De AVG staat voor de Algemene Verordening Gegevensbescherming, in het Engels vaak aangeduid als GDPR (General Data Protection Regulation). Het is een Europese wet die is ontworpen om de privacy van mensen te beschermen door te regelen hoe organisaties met persoonsgegevens mogen omgaan. Sinds 25 mei 2018 is de AVG van kracht in alle EU-lidstaten en biedt daarmee een uniform kader voor gegevensbescherming.
persoonsgegevens zijn overal. Van adresgegevens en e-mail tot IP-adressen en medische informatie: steeds meer van jouw leven wordt digitaal vastgelegd. De Europese Unie zag dat er behoefte was aan heldere regels, zodat iedereen in de EU op een betrouwbare manier kon vertrouwen dat zijn of haar persoonlijke gegevens zorgvuldig worden behandeld.
De AVG verving in Nederland de eerdere Wet bescherming persoonsgegevens (Wbp) en sloot aan op de Europese doelstelling om privacyrechten te versterken.
De AVG is van toepassing op vrijwel alle organisaties die persoonsgegevens verwerken. Dat kunnen bedrijven zijn, maar ook overheidsinstellingen. Het maakt daarbij niet uit of het een kleine organisatie is of een grote multinational: wie personen in de EU registreert of hun gegevens gebruikt, moet zich aan de regels houden.
Interessant genoeg geldt de AVG ook als je gevestigd bent buiten de EU, mits je gegevens verwerkt van mensen binnen de EU of gedrag van EU-burgers volgt.
Niet alle gegevens vallen echter onder de AVG. Bijvoorbeeld gegevens van rechtspersonen (denk aan bedrijven) of gegevens over overledenen vallen doorgaans buiten het bereik.
De AVG legt een reeks rechten vast voor mensen van wie gegevens worden verwerkt. Zo kan je bijvoorbeeld opvragen welke persoonsgegevens een organisatie heeft, om correctie vragen of zelfs verzoeken dat bepaalde gegevens verwijderd worden. Daarnaast bestaat er het recht op overdraagbaarheid van data: je mag onder bepaalde voorwaarden je eigen gegevens in een standaardformaat ontvangen zodat je bijvoorbeeld kunt overstappen naar een andere dienstverlener.
Aan de andere kant legt de AVG ook plichten op aan organisaties die met data werken. Ze moeten heldere informatie geven over welke gegevens verwerkt worden, waarom dat gebeurt en met wie gegevens eventueel gedeeld worden. Organisaties moeten ook beoordelen welke juridische basis ze hebben voor het verwerken van gegevens: toestemming, uitvoering van een contract, wettelijke plicht of legitiem belang zijn voorbeelden van mogelijke grondslagen.
Daarnaast hanteert de AVG het concept ‘gegevensbescherming door ontwerp en standaardinstellingen’. Dat betekent dat bij het ontwikkelen van systemen al vanaf het begin rekening gehouden moet worden met dataprivacy en dat standaardinstellingen vaak zó gezet moeten zijn dat de privacy van jou als gebruiker maximaal wordt gerespecteerd.
In Nederland is de Autoriteit Persoonsgegevens (AP) belast met het toezicht op de AVG. Organisaties die zich niet aan de regels houden, kunnen door de AP beboet worden. De boetes zijn fors: er kan een bedrag opgelegd worden tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een onderneming.
Verder hebben organisaties soms de taak om een zogenoemde functionaris gegevensbescherming aan te stellen. Die persoon waakt binnen de organisatie over de naleving van privacyregels en onderhoudt contact met toezichthouders.
De AVG steunt op enkele fundamentele principes die je terugziet in de praktijk van dataverwerking. Zo is er het principe van dataminimalisatie: je verzamelt en bewaart alleen de persoonsgegevens die echt nodig zijn voor het doel waarvoor je ze gebruikt. Verder is er het principe van transparantie: je moet als organisatie duidelijk en begrijpelijk uitleggen wat je met de gegevens doet. Ook moet je zorgen voor voldoende beveiliging, zodat de gegevens niet onbedoeld vrijkomen of in verkeerde handen vallen.
Tot slot geldt dat persoonsgegevens niet langer bewaard mogen worden dan nodig. Wanneer je data niet meer gebruikt voor het oorspronkelijke doel, moet je serieus overwegen om ze te anonimiseren of te verwijderen.
Voor jou als persoon betekent de AVG dat je meer inspraak hebt in welke gegevens over jou bestaan en wat daarmee gebeurt. Organisaties moeten je informeren, en je kunt acties ondernemen als je vindt dat iets niet correct verloopt.
Voor ondernemers, verenigingen of overheidsinstanties betekent de AVG dat je goed moet nadenken over je gegevensverwerking. Je moet vastleggen welke persoonsgegevens je hebt, waarom je ze hebt, hoe je ze beschermt en hoe lang je ze bewaart. Daarnaast moet je mogelijke risico’s inschatten, vooral wanneer je gevoelige gegevens verwerkt. Door te voldoen aan de AVG laat je zien dat je serieus omgaat met privacy en kun je problemen voorkomen.
Hoewel de AVG al enkele jaren van kracht is, verandert de context voortdurend. Nieuwe technologieën zoals kunstmatige intelligentie, grootschalige data-analyse en grensoverschrijdende datastromen stellen nieuwe vragen over wat “verwerken van persoonsgegevens” betekent. Organisaties moeten daarom blijven evalueren of hun maatregelen nog voldoen aan de geldende normen. Daarnaast zijn er nationale maatregelen en aanvullende regels die met de AVG samenwerken, je kunt dus niet zomaar denken dat alles “af” is na één keer voldoen.
De Algemene Verordening Gegevensbescherming is geen stoffige wet, maar een kader dat direct invloed heeft op het dagelijks leven van mensen én organisatieprocessen. Het biedt consumenten meer controle over hun gegevens en legt tegelijkertijd verantwoordingsplicht op bij degenen die deze data gebruiken. Dankzij de AVG is privacy niet langer een loze belofte, maar een concreet waarborg.
