AVG

De Algemene Verordening Gegevensbescherming (AVG)
Op 25 mei 2018 gebeurde er iets bijzonders. Op die dag werd namelijk tegelijkertijd in all EU lidstaten een nieuwe privacywet van kracht. De General Data Protection Regulation (GDPR). In het Nederlands vertaald als Algemene Verordening Gegevensbescherming of kortweg AVG.

De wet heeft tot doel om de grondrechten en de fundamentele vrijheden van natuurlijke personen te beschermen. Dit recht op de bescherming van persoonsgegevens moet een antwoord zijn op de snelle technologische ontwikkelingen en globalisering en de forse toename van het gebruik van persoonsgegevens. Garanties m.b.t. de bescherming van persoonsgegevens, controle over de eigen gegevens en adequaat toezicht daarop moet het vertrouwen in de het gebruik van persoonsgegevens borgen

Verwerking
Het verwerken van persoonsgegevens is namelijk alleen toegestaan als aantoonbaar aan specifieke voorwaarden wordt voldaan. “Verwerken” houdt meer in dan vaak wordt gedacht. Zie een opsomming in Artikel 4.2 van de AVG.

Rechtmatig
Iedere organisatie die persoonsgegevens verwerkt, dus verenigingen, scholen, werkgevers, huisartsen, ziekenhuizen, leveranciers en de overheid mag dat alleen als de verwerking “rechtmatigheid” is (AVG artikel 6).

Toestemming
Bij de meeste verwerkingen met persoonsgegevens is expliciete toestemming van betrokkene vereist. Bij het verkrijgen van die toestemming moet betrokkene worden geïnformeerd over het specifieke doel van de verwerking. Een betrokkene dient dus goed te worden geïnformeerd (AVG artikel 13). Bovendien moet die toestemming “vrijelijk” (dus niet onder druk) zijn gegeven. Dat laatste wordt uitgelegd in de Overwegingen die je onder de artikelen tussen haakjes aantreft. In dit geval dus onder (AVG artikel 6) in overweging 42.

Beveiligingsmaatregelen
Organisaties moeten aantonen dat passende maatregelen zijn genomen om persoonsgegevens tegen gebruik of misbruik door onbevoegden te beschermen (AVG artikel 32)

Goed geïnformeerd
Samengevat schrijft de privacywet dus voor dat een betrokkene in staat wordt gesteld om niet onder dwang en goed geïnformeerd een keuze te kunnen maken: geef ik toestemming en verstrek ik mijn gegevens nu wel of niet.

Dit is vergelijkbaar met de gezondheidszorg waarbij men spreekt van informed consent. Hierbij informeert de zorgverlener de patiënt uitvoerig en na diens toestemming wordt pas de behandeling gestart.

Organisaties verwijzen naar een Privacyverklaring (soms privacy statement genoemd) waarin in algemene termen staat beschreven op welke wijze de organisatie omgaat met persoonsgegevens.