Uw zoekopdracht komt in het volgende document voor:
handleiding_avg.pdf
Klik hier om het bestand te downloaden
Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming Auteur(s): Bart W. Schermer, Dominique Hagenauw, Nathalie Falot Opdrachtgever: Ministerie van Justitie en Veiligheid Contactpersoon: Pauline Verhaak, p.m.verhaak@minvenj.nl Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming 1 Inleiding 9 Stroomdiagrammen en checklists 10 Schema 1: Is de Verordening op u van toepassing? 10 Schema 2: Welke uitvoeringswet is op u van toepassing? 11 Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker? 12 Schema 4: Is uw gegevensverwerking rechtmatig? 13 Schema 5: Wanneer moet u de betrokkene informeren over een verwerking van persoonsgegevens? 14 Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke? 15 Checklist 2: Wat zijn de plichten van de verwerker? 16 Checklist 3: Welke informatie moet u verstrekken aan de betrokkene? 17 Checklist 4: Eisen aan de verwerkersovereenkomst 18 2 De Algemene verordening gegevensbescherming 19 2.1 Eén gegevensbeschermingswet voor de hele Europese Unie 19 2.2 Wat regelt de Verordening? 20 2.3 Wat regelt de Uitvoeringswet? 21 2.4 Welke beginselen vormen het uitgangspunt bij de bescherming van persoonsgegevens? 21 3 Is de Verordening op mijn gegevensverwerkingen van toepassing? 23 3.1 Verwerk ik gegevens? 24 3.2 Verwerk ik persoonsgegevens? 24 3.2.1 Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard 26 3.2.2 Gevoelige gegevens 26 3.2.3 Nationaal identificatienummer 26 3.2.4 Pseudonimisering en anonimisering 27 3.3 Is er sprake van de geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand? 28 3.4 Valt mijn verwerking binnen het toepassingsbereik van de Verordening? 28 3.4.1 Is de Verordening op alle verwerkingen van persoonsgegevens van toepassing? 28 3.4.2 Waar is de Verordening van toepassing? 29 3.5 Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker? 32 3.5.1 Ben ik een verwerker? 33 4 Is mijn gegevensverwerking legitiem? 35 4.1 Voor welke doelen mag ik persoonsgegevens verzamelen? 35 4.2 Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb? 35 4.3 Wanneer is mijn verwerkingsdoel gerechtvaardigd? 36 4.3.1 Toestemming 37 4.3.2 Noodzakelijk voor de uitvoering van een overeenkomst 38 4.3.3 Noodzakelijk om te voldoen aan een wettelijke plicht 38 4.3.4 Noodzakelijk om de vitale belangen te beschermen 39 4.3.5 Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag 39 4.3.6 Noodzakelijk voor de behartiging van het gerechtvaardigde belang 39 4.4 Welke voorwaarden worden aan de toestemming gesteld? 40 4.5 Mag ik bijzondere categorieën van persoonsgegevens verwerken? 41 4.5.1 Welke uitzonderingen kent de Verordening op het verbod op het verwerken van bijzondere categorieën van persoonsgegevens? 41 4.5.2 Wat zijn de algemene uitzonderingsgronden op het verwerkingsverbod van bijzondere categorieën van persoonsgegevens? 42 Inhoudsopgave 4.5.3 Specifieke uitzonderingen 43 4.6 Mag ik persoonsgegevens van strafrechtelijke aard verwerken? 45 4.7 Wat wordt bedoeld met ‘specifieke verwerkingssituaties’? 47 4.7.1 Verwerken van persoonsgegevens en vrijheid van meningsuiting 47 4.7.2 Toegang tot officiële documenten 47 4.7.3 Nationaal identificatienummer 48 4.7.4 Arbeidsverhouding 48 4.7.5 Wetenschappelijk en historisch onderzoek, statistiek en archivering in algemeen belang 48 4.7.6 Kerken en religieuze verenigingen 48 4.7.7 Openbare registers 49 5 Wat zijn mijn plichten als verwerkings-verantwoordelijke? 50 5.1 Wat zijn mijn plichten als verwerkingsverantwoordelijke? 50 5.2 Hoe toon ik aan dat ik aan mijn verplichtingen voldoe? 51 5.3 Wat is de registerplicht? 52 5.3.1 Wat is een register van verwerkingsactiviteiten? 52 5.3.2 Is er een vormvereiste aan het register? 52 5.3.3 Moet ik altijd een register bijhouden? 52 5.3.4 Wat moet ik in het register opnemen? 52 5.3.5 Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? 53 5.3.6 Wie moet ik toegang geven tot het register? 53 5.3.7 Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? 53 5.4 Wat is een functionaris voor gegevensbescherming? 53 5.4.1 Wanneer moet ik verplicht een functionaris voor gegevensbescherming aanstellen? 53 5.4.2 Kan ik ook vrijwillig een functionaris voor gegevensbescherming aanstellen? 54 5.4.3 Welke eisen worden gesteld aan een functionaris voor gegevensbescherming? 54 5.4.4 Kan ik een functionaris voor gegevensbescherming extern aanstellen of inhuren? 55 5.4.5 Welke taken heeft een functionaris voor gegevensbescherming? 55 5.4.6 Wat is de positie van een functionaris voor gegevensbescherming? 56 5.4.7 Is een functionaris voor gegevensbescherming eindverantwoordelijk voor de naleving van de Verordening? 57 5.5 Wat is een gegevensbeschermingseffectbeoordeling? 57 5.5.1 Wanneer moet ik een gegevensbeschermingseffectbeoordeling uitvoeren? 58 5.5.2 Wanneer is er sprake van een ‘hoog risico’? 58 5.5.3 Moet ik voor elke verwerking een gegevensbeschermingseffectbeoordeling uitvoeren? 58 5.5.4 Wat houdt het uitvoeren van een gegevensbeschermingseffectbeoordeling in? 59 5.5.5 Wat moet ik met de resultaten van de gegevensbeschermingseffect beoordeling doen? 59 5.5.6 Kan een functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling uitvoeren? 59 5.6 Wat is een ‘voorafgaande raadpleging’? 60 5.6.1 Welke informatie moet ik aan de toezichthouder verstrekken bij een voorafgaand raadpleging? 60 5.6.2 Wanneer krijg ik antwoord van de Autoriteit Persoonsgegevens? 60 5.7 Wat houdt ‘privacy door ontwerp en standaardinstellingen’ in? 61 5.7.1 Hoe maak ik aantoonbaar dat ik met deze uitgangspunten rekening heb gehouden? 62 5.8 Aan welke beveiligingseisen moeten mijn verwerkingen voldoen? 62 5.8.1 Hoe stel ik vast welke beveiligingsmaatregelen ik moet treffen? 62 5.8.2 Kan ik mij certificeren of bij een gedragscode aansluiten om aan deze verplichting te voldoen? 64 5.9 Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? 64 5.9.1 Wanneer is er sprake van een inbreuk in verband met persoonsgegevens? 64 5.9.2 Moet ik ieder datalek melden aan de Autoriteit Persoonsgegevens? 64 5.9.3 Wanneer moet ik aan de betrokkene mededelen dat er een inbreuk heeft plaatsgevonden? 64 5.9.4 Wanneer moet ik het datalek melden? 65 5.9.5 Welke informatie moet ik bij de melding verstrekken? 65 5.9.6 Wat moet ik verder met de mededeling doen? 66 5.10 Afspraken met verwerkers 66 5.10.1 Moet ik een verwerkersovereenkomst sluiten? 66 5.10.2 Mag mijn verwerker zomaar andere partijen inschakelen bij het uitvoeren van mijn verwerkingen? 67 5.11 Wat zijn goedgekeurde gedragscodes en certificeringsmechanismen? 67 5.11.1 Door wie kan een gedragscode of certificeringsmechanisme worden opgesteld? 67 5.11.2 Is iedere gedragscode toereikend om naleving van de Verordening aan te tonen? 68 5.11.3 Ontslaat het onderschrijven van een gedragscode of certificering mij van verdere naleving van de Verordening? 68 6 Wat zijn mijn plichten als verwerker? 69 6.1 Moet ik de verwerkingsverantwoordelijke garanties bieden? 69 6.2 Moet ik als verwerker verplicht een verwerkersovereenkomst tekenen? 69 6.3 Mag ik andere partijen inzetten bij het verwerken van persoonsgegevens? 69 6.4 Welke afspraken moet ik maken met sub-verwerkers? 70 6.5 Moet ik mijn verwerkingsactiviteiten registreren? 70 6.5.1 Wanneer hoef ik geen register bij te houden? 70 6.5.2 Wat moet ik in het register opnemen? 70 6.5.3 In welke vorm moet ik het register opstellen? 70 6.5.4 Wie moet ik toegang geven tot het register? 70 6.6 Moet ik een functionaris voor gegevensbescherming aanstellen? 71 6.7 Hoe moet ik de beveiligingseis invullen? 71 6.8 Wat moet ik doen bij een inbreuk in verband met persoonsgegevens? 71 6.9 Moet ik meewerken met de Autoriteit persoonsgegevens? 72 6.10 Wat moet ik doen als de verwerkingsverantwoordelijke de verwerkingsactiviteiten beëindigt? 72 7 Hoe ga ik om met de rechten van de betrokkene? 73 7.1 Welke rechten hebben betrokkenen? 73 7.1.1 Ben ik verplicht gehoor te geven aan verzoeken van de betrokkene? 73 7.1.2 Hoe snel moet ik reageren op verzoeken van de betrokkene? 73 7.1.3 Aan welke vormvereisten moet de invulling van deze rechten voldoen? 73 7.1.4 Zijn er beperkingen op de rechten van de betrokkenen? 74 7.1.5 Wat kan er gebeuren als de betrokkene het niet eens is met mijn besluit over zijn rechten? 74 7.2 Wat houdt het recht op informatie in? 75 7.2.1 In welke gevallen moet ik de betrokkene informeren? 75 7.2.2 Wanneer hoef ik de betrokkene niet te informeren? 75 7.2.3 Welke informatie moet ik aan de betrokkene verstrekken? 76 7.2.4 Op welk moment moet ik de betrokkene informeren? 77 7.2.5 Mag ik gebruik maken van icoontjes om de betrokkene te informeren? 77 7.3 Wat houdt het recht op inzage in? 77 7.3.1 Welke informatie moet ik aan de betrokkene verstrekken? 78 7.3.2 Moet ik ook een kopie van de gegevens aan de betrokkene verstrekken? 78 7.3.3 Hoe weet ik zeker dat degene die het verzoek doet wel de betrokkene is? 78 7.4 Wat houdt het recht op rectificatie in? 78 7.4.1 Moet ik ontvangers van de gegevens ook informeren over de wijzigingen? 78 7.5 Wat houdt het recht op verwijdering en het recht om vergeten te worden in? 79 7.5.1 Wanneer kan de betrokkene zijn gegevens laten wissen? 79 7.5.2 Wat houdt het ‘recht om vergeten te worden’ in? 79 7.5.3 Moet ik altijd de gegevens verwijderen of zijn er uitzonderingen? 79 7.5.4 Moet ik ontvangers van de gegevens ook informeren over de verwijdering? 80 7.6 Het recht op beperking 80 7.6.1 Wanneer heeft de betrokkene recht op beperking van de verwerking? 80 7.6.2 Wat moet ik doen om de gegevensverwerking te beperken? 80 7.7 Het recht op verzet 80 7.7.1 Wanneer kan de betrokkene zijn recht op verzet inroepen? 81 7.8 Het recht op overdraagbaarheid van gegevens (dataportabiliteit) 81 7.8.1 Welke gegevens moet ik overdragen? 81 7.8.2 Ben ik verplicht om overgedragen gegevens te accepteren? 81 7.9 Het recht niet onderworpen te worden aan geautomatiseerde individuele besluitvorming waaronder profilering 82 7.9.1 Wat is geautomatiseerde individuele besluitvorming? 82 7.9.2 Wat is profilering? 82 7.9.3 Wat houdt het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming waaronder profilering in? 82 7.9.4 Zijn er uitzondering op verbod van geautomatiseerde individuele besluitvorming? 82 8 Onder welke voorwaarden mag ik gegevens naar het buitenland sturen? 84 8.1 Mag ik gegevens naar het buitenland sturen? 84 8.2 Welke landen buiten de Europese Unie bieden een adequaat niveau van gegevensbescherming? 84 8.2.1 Hoe zit het met de Europese Economische Ruimte? 85 8.2.2 Wat gebeurt er als een lidstaat de Europese Unie verlaat? 85 8.3 Welke passende beschermingsmaatregelen moet ik treffen wanneer ik gegevens buiten de EU exporteer? 85 8.4 Wat zijn bindende bedrijfsvoorschriften? 86 8.5 Wat als geen van bovenstaande manieren mogelijk zijn om passende waarborgen te treffen? 86 9 Hoe is het toezicht op de naleving geregeld en wat zijn de consequenties bij niet naleving? 88 9.1 Wie houdt toezicht op de naleving van de Verordening in Nederland? 88 9.2 Hoe is het toezicht op Europees niveau georganiseerd? 88 9.2.1 Het Europees Comité voor de gegevensbescherming 89 9.3 Welke taken en bevoegdheden heeft de toezichthouder? 90 9.4 Ben ik verplicht mee te werken met de toezichthouder? 90 9.5 Welke sancties staan er op het niet naleven van de Verordening? 90 9.6 Welke acties kan de betrokkene tegen mij ondernemen? 91 9.6.1 Recht op een klacht bij de toezichthouder 91 9.6.2 Recht op een doeltreffende voorziening in rechte tegen de verwerkingsverantwoordelijke 91 9.6.3 Recht op vertegenwoordiging 92 9.6.4 Recht op schadevergoeding 92 10 Bijlage 93 10.1 Implementatietabel UAVG 93 10.2 Organisaties en inhoudelijk deskundigen die waren vertegenwoordigd in de klankbordgroep Handleiding AVG 98 1 Inleiding 25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘Verordening’ of ‘AVG’) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. De Verordening is de opvolger van de Wet bescherming persoonsgegevens in Nederland. Het doel van de Verordening is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie (‘EU’). In deze handleiding worden de belangrijkste bepalingen uit de Verordening en Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming (de ‘Uitvoeringswet’ of ‘UAVG’) toegelicht. De handleiding vervangt de Handleiding Wbp. De handleiding is samengesteld door juridisch adviesbureau Considerati onder auspiciën van het Ministerie van Justitie en Veiligheid. Een externe klankbordgroep is geraadpleegd bij de totstandkoming van de handleiding. Een overzicht van vertegenwoordigde organisaties en inhoudelijk deskundigen is opgenomen in paragraaf 10.2. Deze handleiding is gericht op iedereen die meer wil weten over de Verordening en de Uitvoeringswet, maar is primair gericht aan ‘verwerkingsverantwoordelijken’, dat wil zeggen, degenen die voor een bepaald doel gegevens van personen willen gaan verwerken. Deze handleiding is in het bijzonder bedoeld voor lezers die reeds enigszins op de hoogte zijn van het gegevensbeschermingsrecht en op zoek zijn naar verdere verdieping, om zo binnen hun organisatie de maatregelen die de Verordening vereist te kunnen implementeren. Voornaamste doelgroepen zijn daarmee (beginnende) functionarissen voor gegevensbescherming, privacy officers, bedrijfsjuristen, compliance managers, risk managers en security officers. Bij het lezen van deze handleiding is het goed om de volgende twee zaken in het achterhoofd te houden. Allereerst het vraagstuk betreffende het toepasselijk recht (zie hoofdstuk 3). De Verordening heeft rechtstreekse werking binnen de gehele Europese Unie en harmoniseert daarmee de regels voor de bescherming van persoonsgegevens. Maar, op specifieke punten biedt de Verordening lidstaten de ruimte om nadere invulling te geven aan de bepalingen. Deze invulling geschiedt via zogenaamde uitvoeringswetten. Deze handleiding is geschreven vanuit het perspectief van de Nederlandse Uitvoeringswet. Houd er rekening mee dat afhankelijk van uw specifieke situatie niet de Nederlandse, maar een andere uitvoeringswet op uw gegevensverwerkingen van toepassing kan zijn. De inhoud daarvan kan afwijken van hetgeen in deze handleiding is beschreven. Ten tweede het vraagstuk over de interpretatie van de Verordening. De Verordening is een omvangrijk stuk wetgeving met slechts een beperkte schriftelijke toelichting. Op veel punten is het daarom (nog) onduidelijk wat de precieze invulling is die gegeven moet worden aan begrippen en bepalingen. Omdat de Verordening een Europese wet is waarvan de verdere invulling aan de toezichthouder(s) en de Europese rechter is, wordt in deze handleiding slechts zeer beperkt vooruitgelopen op de interpretatie van nu nog onduidelijke begrippen. Daar waar er in het bijzonder onduidelijkheid is over de invulling en interpretatie van begrippen wordt dit expliciet vermeld. In de handleiding wordt waar nuttig verwezen naar de Uitvoeringswet Algemene verordening gegevensbescherming. Daarbij wordt opgemerkt dat het wetsvoorstel nog in de fase van de parlementaire behandeling is en kan wijzigen. In een volgende versie van de handleiding zal meer uitgebreid aandacht aan de Uitvoeringswet worden geschonken. De elektronische versie van deze handleiding wordt in het licht van het bovenstaande periodiek herzien om de laatste ontwikkelingen op het gebied van de toepassing en de uitleg van de Verordening mee te nemen. U kunt de laatste versie van deze handleiding vinden op: www.rijksoverheid.nl/avg Den Haag, 8 januari 2018 Ministerie van Justitie en Veiligheid Stroomdiagrammen en checklists Schema 1: Is de Verordening op u van toepassing?
Schema 2: Welke uitvoeringswet is op u van toepassing? Het onderstaande schema laat voor veelvoorkomende situaties zien welke uitvoeringswetgeving van toepassing is (de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming of de uitvoeringswetgeving van een andere lidstaat). Houd er bij het gebruik van dit schema rekening mee dat het niet uitputtend is en dat voor de keuze van het toepasselijke recht ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang zijn. Vestigingsplaats verwerker/verwerkingsverantwoordelijke Woonplaats betrokkene of plaats gedragingen van betrokkene Toepasselijk recht zoals volgend uit de Verordening en de Uitvoeringswet Buiten de Europese Unie Buiten Nederland, buiten de Europese Unie Verordening niet van toepassing Buiten de Europese Unie Buiten Nederland, binnen een andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere lidstaat van toepassing Buiten de Europese Unie Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Binnen de Europese Unie, in deze andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat waar de verwerkings verantwoordelijke /verwerker is gevestigd, is van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Buiten de Europese Unie Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing Binnen Nederland Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen Nederland In een andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen Nederland Buiten de Europese Unie Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker?
Schema 2: Welke uitvoeringswet is op u van toepassing? Het onderstaande schema laat voor veelvoorkomende situaties zien welke uitvoeringswetgeving van toepassing is (de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming of de uitvoeringswetgeving van een andere lidstaat). Houd er bij het gebruik van dit schema rekening mee dat het niet uitputtend is en dat voor de keuze van het toepasselijke recht ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang zijn. Vestigingsplaats verwerker/verwerkingsverantwoordelijke Woonplaats betrokkene of plaats gedragingen van betrokkene Toepasselijk recht zoals volgend uit de Verordening en de Uitvoeringswet Buiten de Europese Unie Buiten Nederland, buiten de Europese Unie Verordening niet van toepassing Buiten de Europese Unie Buiten Nederland, binnen een andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere lidstaat van toepassing Buiten de Europese Unie Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Binnen de Europese Unie, in deze andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat waar de verwerkings verantwoordelijke /verwerker is gevestigd, is van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing Binnen de Europese Unie, in een andere lidstaat dan Nederland Buiten de Europese Unie Verordening van toepassing, nationale beperkingen en uitzonderingen van de andere nationale lidstaat van toepassing Binnen Nederland Binnen Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen Nederland In een andere lidstaat dan Nederland Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Binnen Nederland Buiten de Europese Unie Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker?