AVG

AVG
Photo by AbsolutVision / Unsplash

De Algemene Verordening Gegevensbescherming (AVG), of General Data Protection Regulation (GDPR) in het Engels, is een uitgebreide privacywetgeving die van kracht is in de Europese Unie (EU) sinds 25 mei 2018. De AVG heeft tot doel de privacyrechten van EU-burgers te versterken en te harmoniseren en een uniforme gegevensbeschermingsnorm binnen de EU te waarborgen.

De belangrijkste aspecten van de AVG zijn onder meer:

  1. Reikwijdte: De AVG is van toepassing op alle organisaties die gegevens verwerken van personen die zich in de EU bevinden, ongeacht of de organisatie zelf in de EU is gevestigd. Dit betekent dat bedrijven buiten de EU die gegevens van EU-burgers verwerken ook aan de AVG moeten voldoen.
  2. Toestemming: Organisaties moeten duidelijke en ondubbelzinnige toestemming verkrijgen van individuen voordat ze hun persoonlijke gegevens mogen verwerken. Bovendien moeten organisaties het eenvoudig maken voor individuen om hun toestemming in te trekken.
  3. Gegevensbeschermingsprincipes: De AVG stelt een aantal fundamentele principes vast voor gegevensverwerking, zoals minimale gegevensverwerking, doelbinding, nauwkeurigheid, opslagbeperking en integriteit en vertrouwelijkheid. Organisaties moeten deze principes naleven bij het verwerken van persoonsgegevens.
  4. Rechten van betrokkenen: De AVG versterkt de rechten van individuen (de zogenaamde "betrokkenen") met betrekking tot hun persoonsgegevens. Deze rechten omvatten het recht op informatie, het recht op inzage, het recht op rectificatie, het recht op gegevenswissing (het "recht om vergeten te worden"), het recht op beperking van de verwerking, het recht op gegevensoverdraagbaarheid en het recht om bezwaar te maken tegen verwerking.
  5. Meldplicht datalekken: Organisaties zijn verplicht om datalekken te melden bij de relevante toezichthoudende autoriteit, meestal binnen 72 uur na ontdekking van het lek. In bepaalde gevallen moeten organisaties ook de betrokken individuen informeren over het datalek, vooral als er een hoog risico is voor hun rechten en vrijheden.
  6. Privacy by design en privacy by default: De AVG vereist dat organisaties gegevensbescherming integreren in de ontwerpfase van producten, diensten en systemen, en dat ze standaard de hoogst mogelijke privacy-instellingen hanteren.
  7. Functionaris voor gegevensbescherming (FG): Bepaalde organisaties zijn verplicht om een functionaris voor gegevensbescherming (Data Protection Officer, DPO) aan te stellen. De DPO is verantwoordelijk voor het toezicht op de naleving van de AVG binnen de organisatie en fungeert als contactpunt voor toezichthoudende autoriteiten.
  8. Doorgifte van gegevens buiten de EU: De AVG stelt strikte regels op voor de overdracht van persoonsgegevens naar landen buiten de EU. Organisaties mogen gegevens alleen overdragen naar landen die een passend beschermingsniveau bieden of wanneer er passende waarborgen zijn getroffen, zoals standaardcontractbepalingen, bindende bedrijfsvoorschriften of het EU-VS Privacy Shield.
  9. Handhaving en sancties: De AVG wordt gehandhaafd door nationale toezichthoudende autoriteiten die samenwerken binnen de Europese Gegevensbeschermingsraad (EDPB). Organisaties die niet aan de AVG voldoen, kunnen te maken krijgen met aanzienlijke boetes. Afhankelijk van de overtreding kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van het bedrijf, afhankelijk van welk bedrag hoger is.
  10. Verantwoordingsplicht: De AVG introduceert het principe van verantwoordingsplicht, wat betekent dat organisaties moeten kunnen aantonen dat ze voldoen aan de AVG-vereisten. Dit omvat het bijhouden van documentatie over gegevensverwerking, het uitvoeren van risicobeoordelingen en privacyeffectbeoordelingen (PIA's), en het implementeren van passende technische en organisatorische maatregelen om gegevensbescherming te waarborgen.

Samenvattend is de Algemene Verordening Gegevensbescherming (AVG) een belangrijke privacywetgeving die de gegevensbeschermingsnormen binnen de Europese Unie harmoniseert en de privacyrechten van EU-burgers versterkt. Organisaties die persoonsgegevens van EU-burgers verwerken, moeten zich bewust zijn van de vereisten van de AVG en passende maatregelen nemen om te voldoen aan de regels en principes die door de verordening zijn vastgesteld.