Image
Algemene Verordening Gegevensbescherming © portal gda (via Flickr)

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese Privacywet vervangt vanaf 25 mei 2018 de Belgische "Privacywet" van 8 december 1992.

In het Engels: General Data Protection Regulation (GDPR)
In het Frans: Règlement Général sur la Protection des Données (RGDP)

Een getrouwheidskaart aanvragen en gebruiken in warenhuis of winkel, een online formulier invullen op een webshop of gewoon deelnemen aan een wedstrijd, foto's posten op sociale media: we geven of sturen iedere keer persoonsgegevens door naar allerlei personen, bedrijven of instellingen. Dat zijn, in de definitie van de Europese Algemene Verordening Gegevensbescherming, de "verwerkingsverantwoordelijken". 

Ook overheden, verenigingen en organisaties verwerken in het kader van hun opdracht vaak heel wat persoonsgegevens van burgers, leden, vrijwilligers. Dat is niet anders bij 11.11.11.

Wat?

De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese Privacywet vervangt vanaf 25 mei 2018 de Belgische "Privacywet" van 8 december 1992. Die was in de huidige vorm zelf ook al de nationale omzetting naar Belgische wetgeving van een Europese Richtlijn. Bijzonder is dat de AVG van toepassing is in alle lidstaten van de Europese Unie zonder dat elk land de inhoud ervan moet vertalen in eigen wetten. Hoogstens kunnen landen bijkomende verplichtingen opleggen of bepaalde niet omschreven of vast afgelijnde privacy-aspecten binnen bepaalde grenzen aanpassen.

Niet helemaal nieuw

Vele rechten en verplichtingen die voorzien zijn in deze nieuwe Europese Privacywet, bestonden al geheel of gedeeltelijk in onze Belgische "Privacywet". Dat maakt dat heel wat verplichtingen al gekend zijn. Wel worden nu een aantal verplichtingen scherper gesteld en moet degene die aan verwerking van persoonsgegevens doet, beter kunnen aantonen dat dit gebeurt met de nodige voorzichtigheid en met respect voor de privacy-rechten van elke burger.

Beginselen van de nieuwe privacywet

Wat is een "persoonsgegeven"?

Een persoonsgegeven is iedere informatie betreffende een persoon waarmee die persoon rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Het begrip "persoonsgegeven" is breed op te vatten. Er wordt daarbij ook geen onderscheid gemaakt tussen vertrouwelijke/publiek toegankelijke en professionele/niet professionele informatie. 

Bijvoorbeeld: een gebruikersnaam, een naam, een foto, een nummer van de sociale zekerheid, een intern registratienummer, een nummerplaat, een postadres, een telefoonnummer, locatiegegevens, een online gebruikersnaam (zoals een IP adres), medische gegevens (een CT-scan, bloedgroep, ziektebeeld, ...), een klankopname van een gesprek, een filmpje dat gepost wordt op YouTube of Facebook, ...

Wanneer mag verwerking van persoonsgegevens?

In het algemeen geldt dat persoonsgegevens enkel maar mogen verwerkt worden als daarvoor een gegronde reden is, een gerechtvaardigd doel.

Waarmee moet er rekening gehouden worden?

Er zijn een aantal principes die van belang zijn bij de verwerking van persoonsgegevens. We vatten de belangrijkste hieronder samen:

Wat is een verwerking?

  • Verwerking is alles wat we met een bepaalde informatie kunnen doen: opvragen, in een dossiermap in een klassement steken, verwerken in een informaticaprogramma, bewaren in een databank, inbrengen in een lijst, afdrukken van zo een lijst of van beeldmateriaal, publiceren op het internet, ...

Waarom verwerken we persoonsgegevens?

  • Er moet een "doelbinding" zijn: de gegevens worden met een specifiek en toegelicht doel verzameld en mogen niet zomaar voor andere doeleinden worden gebruikt.

Hoe verwerken we persoonsgegevens?

  • Verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn: geen verzamelen om te verzamelen, de personen waarvan men gegevens verzameld, verwerkt, bewaart ... moeten op de hoogte gebracht worden over wat er met hun gegevens verder gebeurt en dit moet verantwoordbaar zijn en verantwoord worden.
  • Juistheid: men moet ernaar streven zo correct mogelijk de gegevens te verkrijgen en te verwerken. Indien nodig: verbeteren.
  • Integriteit en vertrouwelijkheid: de gegevens mogen niet worden veranderd en enkel wie daarvoor bevoegd is of toestemming heeft, mag de gegevens inzien, gebruiken of verwerken;
  • Beperking van opslag/bewaring: men mag persoonsgegevens niet zomaar onbeperkt bijhouden, en als men ze niet meer nodig heeft, moeten ze op gepaste wijze verwijderd of vernietigd worden.
  • Data-minimalisatie: niet meer persoonsgegevens verzamelen en bijhouden dan noodzakelijk voor een bepaalde wettelijke verplichting, opdracht, taak, informatiegaring.
  • Er moet extra voorzichtig worden omgesprongen met de persoonsgegevens van kinderen
  • Beveiligingsmaatregelen moeten genomen worden in overeenstemming met de risico's die de verwerking van gegevens met zich mee kan brengen
  • Indien er een gegevenslek of gegevensverlies is, moet een goede organisatie van incidentbeheer snelle aangifte hiervan bij de Gegevensbeschermingsautoriteit mogelijk maken. Indien er een ernstig risico bestaat voor de privacy en zelfs veiligheid, moeten de betrokken personen worden verwittigd.
  • Gegevens mogen niet zonder meer worden doorgegeven, daarvoor gelden beperkingen en na te volgen regels. Daarvoor geldt onder andere ook dat de doorgave naar bepaalde landen buiten de Europese Unie niet zomaar mogelijk is, er zijn in zo een geval bijkomende veiligheidsmaatregelen en/of toestemmingen vereist.

Noot: deze Europese Algemene Verordening Gegevensbescherming is niet van toepassing op de "huiselijke sfeer". En voor politie, justitie en nationale veiligheid gelden bijzondere regels.

Rechten van de "betrokkene" (= elke natuurlijke persoon, dus u en ik)

  • Recht op informatie (over welke persoonsgegevens van u verwerkt worden en hoe dit gebeurt).
  • Recht op toegang tot persoonsgegevens (inzagerecht).
  • Recht op verbetering (indien de verzamelde of verwerkte informatie fouten bevat).
  • Recht op gegevenswissing (dit is niet absoluut).
  • Recht op de beperking van de verwerking.
  • Recht van bezwaar tegen bepaalde verwerkingen van uw persoonsgegevens.
  • Recht van verzet tegen geautomatiseerde besluitvorming, inclusief "profiling" (het opmaken van een profiel van u op basis van samengebrachte persoonsgegevens - bijvoorbeeld profiel van koop- of bestedingsgedrag).
  • NIEUW! Recht op overdraagbaarheid van gegevens.

Meer weten?

  • ikbeslis.be :
    Een specifieke website van de Privacycommissie over jongeren en privacy. Maar ook een aanrader voor volwassenen, met een helder taalgebruik.
  • Filmpje De nieuwe privacywet van A tot Z van Je décide - Ik beslis (YouTube filmpje van de Privacycommissie, 29/01/2018) :
    In dit minder dan 4 minuten durende filmpje komen in het kort de krachtlijnen van de AVG aan bod. Waar over gaat de AVG? Wat zijn de rechten en plichten onder de AVG en waar kan men terecht als het fout loopt?