LawyrupBurgerlijk wetboekVerdragen burgerlijk rechtEuropese wetgeving burgerlijk rechtAlgemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming (AVG)

Pagina inhoud

Inleiding Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) is op 27 april 2016 door de Europese Unie uitgevaardigd. De Verordening is op 25 mei 2018 van kracht geworden. De Nederlandse afkorting is AVG, de Engelse term General Data Protection Regulation (GDPR). De AVG is in werking getreden op 25 mei 2018 en is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en 288 VWEU).

De AVG is de opvolger van een eerdere Europese Richtlijn (Richtlijn 2000/31), die ook al door de Nederlandse wetgever was geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). De AVG gaat verder dan de richtlijn en de regels van de AVG vervangen de eerdere nationale wetgeving. Wel kan de nationale wetgever – als de AVG daarvoor de speelruimte biedt – sommige bepalingen van de verordening zelf nader invullen. Voor bepaalde sectoren bestaan specifieke nationale regels, die binnen de AVG gehandhaafd kunnen worden (vgl. Considerans (10) AVG).

De AVG is – niettegenstaande rechtstreekse werking van de verordening – in Nederland geïmplementeerd in de Uitvoeringswet AVG, die in werking is getreden op 25 mei 2018. De verordening staat op bepaalde onderdelen een nadere of andere invulling toe op nationaal niveau, wat de invoeringswet zinvol maakt om die keuzes in te vullen, en te regelen welke instantie voor de handhaving in Nederland is aangewezen. Die instantie is de Autoriteit Persoonsgegevens (AP).

De regels van de AVG zijn erg algemeen en abstract, wat de toepassing in de praktijk soms lastig maakt. Het draait echter om de ratio van de AVG en de weging van het belang om data (persoonsgegevens) van personen te verzamelen versus de bescherming van hun privacy.

Wat is het doel van de AVG?

Het doel van de AVG is zeer uitvoerig beschreven in de considerans voor de verordening. De Considerans omvat maar liefst 173 (bij elkaar 31 pagina’s A4) aan overwegingen.

Het kerndoel van de AVG is het beschermen van fundamentele grondrechten en vrijheden van de burgers van de EU. Deze grondrechten zijn vastgelegd in het Handvest van de Grondrechten van de Europese Unie. De Considerans zegt het zo:

“(4) De verwerking van persoonsgegevens moet ten dienste staan van de mens. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving. Het moet tegen andere grondrechten worden afgewogen conform het evenredigheidsbeginsel.

Deze verordening eerbiedigt alle grondrechten en de vrijheden en beginselen die zijn erkend in het Handvest … met name de eerbiediging van het privéleven en het familie- en gezinsleven, (het recht op een) woning en (op vrije) communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht  op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.”

Inhoud van de Algemene Verordening Gegevensbescherming

De AVG omvat elf hoofdstukken, met 99 bepalingen.

– Hoofdstuk I – Algemene bepalingen (art. 1 t/m 4)
– Hoofdstuk II – Beginselen (art. 5 t/m 11)
– Hoofdstuk III – Rechten van de betrokkene (art. 12 t/m 23)
– Hoofdstuk IV – Verwerkingsverantwoordelijke en verwerker (art. 24 t/m  43)
– Hoofdstuk V – Doorgiften aan derde landen of internationale organisaties (art. 44 t/m 50)
– Hoofdstuk VI – Onafhankelijke toezichthoudende autoriteiten (art. 51 t/m 59)
– Hoofdstuk VII – Samenwerking en coherentie (art. 60 t/m 76)
– Hoofdstuk VIII – Beroep, aansprakelijkheid en sancties (art. 77 t/m 84)
– Hoofdstuk IX – Bepalingen specifieke situaties gegevensverwerking (art. 85 t/m 91)
– Hoofdstuk X – Gedelegeerde handelingen en uitvoeringshandelingen (art. 92 en 93)
– Hoofdstuk XI – Slotbepalingen (art. 94 t/m 99)

Tot wie richt de AVG zich?

De AVG is een EU Verordening. Een verordening van de EU heeft een algemene strekking, is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat van de EU (art. 288 EU-Werkingsverdrag). Een verordening is dus hetzelfde als een wet. Alleen geldt een EU verordening in alle landen van de EU gelijkelijk en is die niet door de nationale wetgever opgesteld, maar door de Europese wetgever: de Raad van de Europese Unie (de Raad van Ministers) en het Europees Parlement, in samenspraak met de nationale parlementen.

Burgers van de EU kunnen zich dus rechtstreeks op de rechten in een EU Verordening beroepen. Omgekeerd moeten zij zich ook houden aan de verplichtingen die een verordening oplegt.

De bepalingen van een verordening gelden natuurlijk ook voor overheden, bedrijven en andere organisaties in de EU Lidstaten.

Territoriaal toepassingsgebied van de AVG

Het territoriaal bereik van de AVG is bepaald in art. 3 AVG.

De AVG geldt voor alle verwerking ten behoeve van activiteiten van een (vestiging van een) verwerkingsverantwoordelijke of een verwerker, die binnen de Unie gelegen is (art. 3 lid 1 AVG). Dit ongeacht of de verwerking zelf binnen of buiten de Unie plaatsvindt.

De AVG geldt volgens art. 3 lid 2 AVG ook wanneer het de verwerking betreft van persoonsgegevens van natuurlijke personen die zich in de Unie bevinden, ten behoeve van:

– het al dan niet gratis aanbieden van goederen of diensten aan de betrokkenen;
– het monitoren van hun gedrag, voor zover binnen de Unie;
– en bij verwerking door een verwerkingsverantwoordelijke buiten de Unie, als daar op grond van het IPR het recht van een Lidstaat geldt (bvb. de Nederlandse Antillen).

Voornaamste bepalingen van de AVG

Voor degeen, die persoonsgegevens verwerkt (de “verwerker”) of laat verwerken (de “verwerkingsverantwoordelijke”), en natuurlijk ook voor de personen wiens persoonsgegevens verwerkt worden (de “betrokkene”), zijn de voornaamste bepalingen van de AVG de bepalingen in Hoofdstuk I tot en met IV van de verordening.

Die bepalen namelijk:

– wat “verwerking van persoonsgegevens” inhoudt

– wat onder “persoonsgegevens” is te verstaan

– welke rechten de betrokkene heeft en

– waar de verwerker en diens opdrachtgever zich aan moeten houden ter bescherming van de privacy van de betrokkene.

Doel van de AVG is het reguleren van gegevensverwerking ter bescherming van de burger

De AVG heeft tot doel de verwerking van persoonsgegevens te reguleren ter bescherming van de privacy van degeen, wiens gegevens verwerkt worden (de betrokkene). En om de uitwisseling van gegevens binnen de EU te vergemakkelijken en de wetgeving binnen de EU te harmoniseren.

Doel van de AVG is niet het vrije verkeer van persoonsgegevens binnen de Unie te verbieden of te beperken (art. 1 lid 3 AVG).

Materieel toepassingsgebied van de AVG

Art. 2 lid 1 AVG bepaalt dat de AVG van toepassing is op:

– geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en
– op de verwerking van persoonsgegevens die in een bestand zijn opgenomen, en
– op de verwerking van persoonsgegevens teneinde die in een bestand op te nemen

Definities AVG

In art. 4 AVG is de definitie te vinden van de centrale begrippen die in de AVG gehanteerd worden:

1. persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”), aan de hand van identificatoren zoals naam, ID-nr., locatie, een online identificatie (ISDN-nr.), of elementen van de fysieke, fysiologische, genetisch, psychische, economische, culturele of sociale identiteit

2. verwerking een bewerking of samenstel van bewerkingen m.b.t. persoonsgegevens (of een geheel daarvan), al dan niet uitgevoerd met geautomatiseerde procedés, zoals: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden, ter beschikking stellen, aligneren, combineren, afschermen, wissen of vernietigen

3. beperken van verwerking het markeren van persoonsgegevens om de verwerking ervan in de toekomst te beperken

4. profilering geautomatiseerde verwerking waarbij bepaalde persoonlijke aspecten worden geëvalueerd, met name om de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren en voorspellen

5. pseudonimisering het bewerken van persoonsgegevens zodat die niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze sleutel d.m.v. organisatorische en technische maatregelen worden afgezonderd

6. bestand elk gestructureerd geheel van persoonsgegevens, die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is, of op functionele of geografische gronden is gespreid

7. verwerkingsverantwoordelijke eenieder die het doel van de verwerking van persoonsgegevens vaststelt

8. verwerker eenieder die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt (NB zie “verwerken”)

9. ontvanger eenieder – al dan niet een derde – aan wie de verwerkte persoonsgegevens worden verstrekt (uitgezonderd overheidsinstanties die conform Unierecht gegevens ontvangen t.b.v. onderzoek).

Verder vinden we daar de begrippen: derde, toestemming, inbreuk i.v.m. persoonsgegevens, genetische gegevens, biometrische gegevens, gegevens over gezondheid, hoofdvestiging, vertegenwoordiger, onderneming, concern, bindende bedrijfsvoorschriften, toezichthoudende autoriteit, betrokken toezichthoudende autoriteit, grensoverschrijdende verwerking, relevant en gemotiveerd bezwaar, dienst van de informatiemaatschappij en internationale organisatie.

Hoofdstuk II Beginselen van de verwerking van persoonsgegevens

De verwerking van persoonsgegevens moet volgens art. 5 lid 1 AVG voldoen aan de volgende vereisten:

De verwerking van persoonsgegevens moet:

a. tegenover de betrokkene rechtmatig, behoorlijk en transparant zijn;
b. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
b’ doelbinding: de verwerking moet overeenkomstig die doelen zijn (verwerking t.b.v. archivering voor onderzoek, statistiek is doelconform);
c. toereikend, dienend en ter zake dienend en beperkt tot wat noodzakelijk is voor die doeleinden (minimale verwerking)
d. juistheid; redelijke maatregelen moeten worden genomen om onjuiste gegevens  te rectificeren of te verwijderen;
e. opslagbeperking: opslag moet beperkt worden zodat dit niet langer geschiedt dan noodzakelijk;
f. passende beveiliging met technische of organisatorische maatregelen ter voorkoming van onrechtmatige verwerking of onopzettelijk verlies of beschadiging (integriteit en vertrouwelijkheid).

De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze vereisten is voldaan (art. 5 lid 2).

Beslissing Belgische AP d.d. 2 februari 2022 inzake TCF’s IAB Europe

De Belgische Autoriteit Persoonsgegevens heeft – als voortrekker van 27 Autoriteiten binnen de EU – op 2 februari 2022 een beslissing genomen, waarbij het gebruik van Transparancy and Consent Framework (TCF) door IAB Europe, een leverancier van onder meer Google, Amazon en Microsoft, wordt beboet met een bedrag van EUR 250.000. Deze beslissing werkt rechtstreeks in alle lidstaten van de EU. Hiermee is IBA Europe met een hamer op de vingers getikt. Dit raakt ook de online veiling van advertenties. Zie de (Engelstalige) mededeling op de website van de Irisch Council for Civil Liberties (één van de klagers) en de gepubliceerde (lijvige) beslissing (Nederlands en Engels).

De Belgische Databeschermingsautoriteit (pag. 138) gelast IAB Europe om:

“de verwerking van persoonsgegevens in het kader van het TCF in overeenstemming te brengen met de bepalingen van de AVG door:

a. in een geldige rechtsgrond te voorzien voor de verwerking en de verspreiding van de voorkeuren van de gebruikers in het kader van het TCF, onder de vorm van een TC String en een eu-consentv2 cookie, alsmede het gebruik van gerechtvaardigde belangen als grondslag voor de verwerking van persoonsgegevens, door organisaties die deelnemen aan het TCF in zijn huidige vorm, te verbieden via de gebruiksvoorwaarden, overeenkomstig de artikelen 5.1.a en 6 van de AVG;

b. doeltreffende technische en organisatorische controlemaatregelen te implementeren teneinde de integriteit en vertrouwelijkheid van de TC String te garanderen, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 van de AVG;

c. een strikte doorlichting te handhaven van de organisaties die zich aansluiten bij het TCF, om te verzekeren dat de deelnemende organisaties voldoen aan de eisen van de AVG, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 AVG;

d. technische en organisatorische maatregelen te treffen teneinde te beletten dat toestemming standaard wordt aangevinkt in de CMP interfaces alsook dat deelnemende vendors automatisch worden toegestaan op grond van een gerechtvaardigd belang, overeenkomstig de artikelen 24 en 25 AVG;

e. CMPs op te leggen om een uniforme en AVG conforme aanpak te hanteren inzake de informatie die deze laatsten aan gebruikers voorleggen, overeenkomstig de artikelen 12 tot en met 14 en 24 van de AVG;

f. het huidige register van verwerkingsactiviteiten aan te vullen, door de verwerking van persoonsgegevens in het TCF door IAB Europe op te nemen, overeenkomstig artikel 30 van de AVG;

g. een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren met betrekking tot de verwerkingsactiviteiten onder het TCF en hun impact op de verwerkingsactiviteiten die onder het OpenRTB-systeem plaatsvinden, alsmede deze GEB aan te passen aan de toekomstige versies of wijzigingen aan de huidige versie van het TCF, overeenkomstig artikel 35 van de AVG;

h. een functionaris voor gegevensbescherming (DPO) aan te stellen overeenkomstig de artikelen 37 tot 39 van de AVG.

Deze nalevingsmaatregelen moeten worden verwezenlijkt binnen een termijn van zes maanden na de validatie van een actieplan door de Belgische Gegevensbeschermingsautoriteit, dat binnen twee maanden na deze beslissing aan de Geschillenkamer moet worden voorgelegd. Het niet naleven van de bovengenoemde termijnen gaat gepaard met een dwangsom van 5.000 EUR per dag, op grond van artikel 100, § 1, 12° van de WOG.

De verweerster op grond van artikel 101 van de WOG een administratieve geldboete van 250.000 EUR op te leggen.”

Voorwaarden voor het mogen verwerken van persoonsgegevens

In art. 6 lid 1 AVG stelt de verordening voor het rechtmatig verwerken van persoonsgegevens de volgende voorwaarden, waarbij aan tenminste één daarvan voldaan moet zijn:

(a) toestemming van de betrokkene voor verwerking van zijn gegevens voor één of meer specifieke doeleinden;

(b) verwerking is noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is, of ter voorbereiding daarvan;

(c) verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;

(d) verwerking is noodzakelijk t.b.v. bescherming van de vitale belangen van betrokkene of een andere natuurlijke persoon;

(e) verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of voor een overheidstaak die aan de verwerkingsverantwoordelijke is opgedragen, als wettelijk vast te stellen;

(f) verwerking is noodzakelijk ten behoeve van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke – niet zijnde een overheidsinstantie – of een derde, behalve wanneer de belangen, grondrechten of fundamentele vrijheden van betrokkene zwaarder wegen, vooral als betrokkene een kind is.

De Lidstaten kunnen op grond van art. 6 lid 2 AVG specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast.

Gebruik van gegevens voor ander doel dan waarvoor ze zijn verzameld

Wil de verwerkingsverantwoordelijke de verkregen data wil gebruiken voor een ander doel dan waarvoor ze zijn verkregen – en de betrokkene daarvoor geen toestemming heeft gegeven – dan moet hij krachtens art. 6 lid 4 AVG bij zijn besluit daartoe meewegen:

– het verband tussen de doeleinden van verkrijgen en de voorgenomen verdere verwerking;
– het kader waarin de gegevens zijn verzameld, in het licht van de relatie tussen verwerkingsverantwoordelijke en betrokkene;
– de aard van de persoonsgegevens, met name of het bijzondere categorieën betreft;
– de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
– het bestaan van passende waarborgen, waaronder evt. versleuteling.

Toestemming van de betrokkene tot het verwerken van zijn gegevens

In art. 7 AVG zijn nadere regels gegeven over de toestemming van de betrokkene (als bedoeld in art. 6 lid 1 aanhef en sub a AVG). De verantwoordelijke moet kunnen aantonen dat de toestemming gegeven is (lid 1). De bewijslast rust dus op hem.

Als de toestemming meerdere doeleinden heeft, dan moet helder zijn geformuleerd welke dat zijn (lid 2).

De betrokkene moet vrij zijn in het geven van zijn toestemming (lid 4) en moet die even eenvoudig als hij die heeft gegeven kunnen intrekken (lid 3).

Voor kinderen gelden scherpere regels (art. 8 AVG). Tot een bepaalde leeftijd moet de wettelijk vertegenwoordiger de toestemming geven.

Verwerking van bijzondere categorieën persoonsgegevens

Niet alle persoonsgegevens zijn even gevoelig als het gaat om de bescherming van de privacy van individuen. Voor de verwerking van bepaalde ‘bijzondere persoonsgegevens’ stelt de AVG hogere eisen (art. 9 AVG).

In art. 9 lid 1 AVG wordt de verwerking van de volgende ‘bijzondere’ gegevens over een persoon in beginsel verboden:

– etnische afkomst;
– politieke opvatting;
– religieuze of levensbeschouwelijke opvatting;
– het lidmaatschap van een vakbond;
– genetische gegevens;
– biometrische gegevens ter unieke identificatie;
– gegevens over de gezondheid van een persoon;
– of de seksuele geaardheid of seksueel gedrag.

Uitzondering verbod verwerken bijzondere persoonsgegevens

Art. 9 lid 2 (a t/m j) AVG bepaalt, onder welke voorwaarden en in welke gevallen op het verbod van art. 9 lid 1 AVG uitzondering gemaakt kan worden:

(a) met uitdrukkelijke toestemming voor één of meer bepaalde doeleinden, tenzij dit bij wet is verboden;

(b) verwerking is noodzakelijk voor de uitvoering van verplichtingen en uitoefening van rechten van de verwerkingsverantwoordelijke of de betrokkene in kader van arbeidsrecht of sociale zekerheidsrecht, voor zover toegestaan bij enige wet of een CAO, die passende waarborgen biedt;

(c) ter bescherming van de vitale belangen van de betrokkene;

(d) verwerking t.b.v. haar activiteiten door een vereniging of stichting etc. zonder winstoogmerk op politiek, levensbeschouwelijk, religieus of vakbondsgebied werkzaam, mits:

– i.h.k.v. van haar gerechtvaardigde activiteiten;
– met passende waarborgen;
– uitsluitend m.b.t. leden of oud leden;
– t.b.v. contact met die leden in verband met haar doeleinden;
– en mits niet buiten die instantie worden verstrekt zonder toestemming;

(e) gegevens die kennelijk al door betrokkene openbaar zijn gemaakt;

(f) verwerking is noodzakelijk voor instellen, uitoefenen, onderbouwen van een rechtsvordering of bij verwerking door gerechten binnen hun bevoegdheid;

(g) voor zwaarwegend algemeen belang;

(h) voor doeleinden van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid of medische behandeling of diagnose etc., mits met de waarborgen vermeld in art. 9 lid 3 AVG;

(i) redenen van algemeen belang volksgezondheid, op wettelijke grondslagen;

(j) voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, met inachtneming van de vereisten van evenredigheid en waarborgen conform Unierecht of recht van de Lidstaten.

De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren (art. 9 lid 4 AVG).

De verwerking van strafrechtelijke gegevens (zoals iemand strafblad) mag alleen plaatsvinden door de bevoegde overheid (art. 10 AVG).

Hoofdstuk III Rechten van de betrokkene volgens de AVG

In dit hoofdstuk worden regels gegeven voor de wijze waarop de verantwoordelijke moet omgaan met de gegevensverwerving en verwerking en welke rechten de betrokkene heeft met betrekking tot de verzamelde en verwerkte gegevens.

In Afd. 1, Hoofdstuk III is één bepaling (art. 12 AVG) gewijd aan transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene.

Transparantie (art. 12)

In art. 12 AVG worden eisen gesteld aan de maatregelen, die de verwerkingsverantwoordelijke moet nemen om helder en transparant over te brengen wat er met de gegevens gebeurt. In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan deze eisen met de door haar gebruikte cookie-consent.

“1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.

2, De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.

3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:

a. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel

b. weigeren gevolg te geven aan het verzoek.

Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.

8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.”

Afd. 2, Hoofdstuk III bevat een aantal regels over de aan de betrokkene te verstrekken informatie en de rechten van de persoon van wie de gegevens verwerkt worden.

Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker

Hoofdstuk IV van de AVG geeft regels over de verwerkingsverantwoordelijke (degeen in wiens opdracht / in wiens belang gegevens verwerkt worden) en de verwerker (degeen die persoonsgegevens verwerkt).

Dit hoofdstuk bestaat uit meerdere afdelingen:

Afd. 1 Algemene verplichtingen (art. 24 – 31)

Verantwoordelijkheid van de verwerkingsverantwoordelijke (art. 24 AVG)

In artikel 24 AVG worden de volgende verplichtingen geformuleerd voor de verwerkingsverantwoordelijke:

“1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

3. Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.”

Gegevensbescherming door ontwerp en door standaardinstellingen (art. 25 AVG)

Art. 25 AVG schrijft “data protection by design” voor. De bepaling luidt:

“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.”

In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan de eisen van art. 24 AVG en art. 25 AVG.

Afd. 2 Persoonsgegevensbeveiliging (art. 32 – 34)

Beveiliging van de verwerking (art. 32)

De AVG stelt in art. 32 lid 1 AVG de volgende eisen aan de beveiliging van de gegevens:

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

a. pseudonimisering en versleuteling van persoonsgegevens;

b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.

4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”

Afd. 3 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging (art. 35 – 36)

Afd. 4 Functionaris voor gegevensbescherming (art. 37 – 39)

Afd. 5 Gedragscodes en certificering (art. 40 – 43)

Hoofdstuk V Doorgifte van persoonsgegevens

In art. 44 tot en met art. 50 AVG worden regels gegeven voor de doorgifte van persoonsgegevens.

In art. 44 AVG wordt het ‘Algemeen beginsel inzake doorgiften’ geformuleerd, wat er op neerkomt dat als er persoonsgegevens worden doorgegeven aan derde landen, daarbij steeds het door de AVG voorgeschreven niveau van bescherming gewaarborgd moet zijn.

Dit geldt ook voor verdere doorgiften van die persoonsgegevens door degeen die ze in 1e instantie verkreeg.

Max Schrems, oprichter van NOYB.eu en voorvechter van de beveiliging van onze online privacy, heeft in diverse procedures de doorgifte van persoonsgegevens aan de Amerikaanse overheid aan de kaak gesteld. In het arrest van het het HvJEU van 16 juli 2020 (Schrems II) heeft het Hof beslist, dat het werken met techbedrijven die hun basis hebben in de US meebrengt dat de persoonsgegevens van de betrokkenen onvoldoende beschermd zijn vanwege de wettelijke regels van de US overheid om gegevens op te vragen.

Zie ook het blog van Lawyrup over Google Analytics.

Hoofdstuk VI Onafhankelijke toezichthoudende autoriteiten en VII Samenwerking en coherentie

In de hoofdstuk VI (art. 51 tot en met art. 59 AVG) en hoofdstuk VII (art. 60 tot en met art. 76 AVG) is het instellen en het functioneren van toezichthoudende instanties geregeld, zoals in Nederland de Autoriteit Persoonsgegevens, en de samenwerking tussen die instanties. Ook is er een Europese Autoriteit voor Databescherming.

HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties

Klacht bij Autoriteit

Iedere betrokkene is gerechtigd een klacht in te dienen bij een Autoriteit (zoals de AP). met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op de verordening (art. 77 lid 1 AVG).

Een persoon, wiens rechten krachtens de AVG geschonden zijn, kan ook een procedure starten tegen de verwerker of de verwerkingsverantwoordelijke. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet (art. 79 lid 1 AVG). Daarbij kan ook schadevergoeding gevorderd worden.

Schadevergoeding wegens datalek of andere schending van de AVG

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade (art. 82 lid 1 AVG).

Een voorbeeld van de toekenning van schadevergoeding wegens een datalek geeft Ktr. 25 februari 2022 (datalek uitvoerder bouwproject). De uitvoerder van een bouwproject had per ongeluk een Excel-sheet met de persoonlijke gegevens – waaronder hun financiële gegevens – gestuurd naar 1.100 gegadigden voor een woning in het ‘Koningskwartier’. Eén betrokkene vordert EUR 20.000 schadevergoeding. De Ktr. wijst EUR 250,= toe. De Ktr. overweegt dat ook het (zij het per abuis) versturen (verspreiden) een vorm van ‘verwerken van persoonsgegevens’ is  (artikel 4 sub 2 AVG). Het verweer, dat de gestelde schade geen juridisch relevante schade is, in de zin van artikel 6:106 lid 1 sub b B.W., passeert de Ktr. omdat de AVG autonoom moet worden uitgelegd, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Die bepaling doet hier dus niet ter zake, volgens de Ktr..

De Ktr. overweegt verder (r.o. 4.2):

“Uit overweging 85 van de considerans volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd, om een doeltreffende naleving van de AVG te kunnen waarborgen, met een gelijkwaardig niveau van bescherming in alle lidstaten (overweging 10 en 11 AVG).”

De Kantonrechter acht een schadevergoeding van EUR 250,= op zijn plaats, omdat het (i) een menselijke fout betrof, (ii) de groep beperkt was tot 1.100 mensen en (iii) betrokkene geen concrete schade kon aantonen. Ook was van belang, dat het geen bijzondere persoonsgegevens als bedoeld in art. 9 AVG betrof (zoals medische gegevens) en dat de ‘verwerker’ meteen actie had ondernomen en het datalek gemeld had. Als alle 1.100 geadresseerden dit bedrag moeten krijgen is het niettemin een duur foutje (EUR 275.000). De Ktr. zegt daar niets over, dus niet duidelijk is of dit gevolg is meegewogen.

HOOFDSTUK IX – Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking

In dit hoofdstuk worden nadere bepalingen gegeven voor de verwerking van gegevens voor bijzondere doeleinden.

Zoals de verwerking in het kader van de arbeidsverhouding (art. 88 AVG).

Auteur & Last edit

[MdV, 16-01-2022; laatste bewerking 15-03-2022]

Over Lawyrup

Lawyrup, jouw gratis kennisbank voor burgerlijk (proces)recht! De website van Lawyrup bevat knowhow over vermogensrecht, civiel proces- en executierecht en insolventierecht.