AVG deel I: Privacy en persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) regelt hoe om te gaan met persoonsgegevens van derden. Organisaties zijn verplicht om deze strenge regelgeving na te leven. Doen ze dat niet, dan zijn de boetes fors. Zorg ervoor dat je op de hoogte bent van de regels van de AVG en wat er van je verwacht wordt als HR-professional. Gebruik daarvoor deze checklist.

Reikwijdte van de AVG

De AVG is de belangrijkste wet voor de bescherming van de privacy van mensen in Nederland en in Europa. De wet is van toepassing op iedereen die persoonsgegevens verwerkt, dus niet alleen voor bedrijven, maar ook voor de overheid, stichtingen en verenigingen en voor individuen. De afzonderlijke lidstaten voegen voor hun eigen land nationale wetgeving toe.

De wetgeving voor Nederland staat in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Die vind je op wetten.overheid.nl

Persoonsgegevens in de AVG

De AVG bevat regels voor de verwerking van persoonsgegevens. Dat zijn gegevens die iets zeggen over een persoon of gegevens waarmee de identiteit van een persoon te achterhalen is. De voor de meest voor de hand liggende persoonsgegevens zijn naam, adres en pasfoto. Maar informatie over iemands surfgedrag, denk aan cookies, en videobeelden zijn ook persoonsgegevens. Gegevens waarmee je de identiteit van een persoon kan herleiden zijn bijvoorbeeld IP-adressen van computers.

Bijzondere persoonsgegevens in de AVG

Naast gewone persoonsgegevens zijn er bijzondere persoonsgegevens. Dit zijn zeer gevoelige gegevens, zoals gegevens over:

ras en etnische afkomst;
religieuze en levensbeschouwelijke opvattingen;
seksuele geaardheid;
politieke overtuiging;
gegevens over iemands gezondheid;
lidmaatschap van een vakbond.

Organisaties mogen geen bijzondere persoonsgegevens verwerken. Dit mag alleen als de degene van wie de persoonsgegevens zijn hiervoor uitdrukkelijk toestemming geeft en als het noodzakelijk is om aan wettelijke verplichtingen te voldoen. Ook artsen, ziekenhuizen en verzuimverzekeraars mogen onder voorwaarden gezondheidsgegevens verwerken.

Het verwerken van gezondheidsgegevens is in principe verboden. Zorg dus dat je organisatie dit niet doet. Sla geen gezondheidsgegevens van medewerkers op en maak er ook geen notities over.

Verwerking van persoonsgegevens

Je organisatie mag alleen persoonsgegevens verwerken als een of meer van de zes grondslagen die de AVG daarvoor noemt, van toepassing zijn:

Je hebt toestemming van de persoon om wie het gaat, dat wil zeggen de persoonsgegevens zijn vrijelijk verkregen, ondubbelzinnig verleend, de persoon is vooraf geïnformeerd en op de hoogte gebracht voor welk specifiek doel de gegevens worden verwerkt.
Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen: een belang dat essentieel is voor iemands leven of gezondheid.
Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen. Het gaat om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie
Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen. Dat is alleen mogelijk als jouw belang zwaarder weegt dan dat van de betrokkenen.

Wil je persoonsgegevens verwerken, dan moet je daarvoor een verwerkingsregister bijhouden. Lees hierover meer in de Checklist AVG deel II: Verwerken van persoonsgegevens.

Hoge boete

Het overtreden van de Algemene verordening gegevensbescherming (AVG) kan je organisatie duur komen te staan. De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen van maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.