1. Er worden persoonsgegevens
Wil de Algemene Verordening Gegevensbescherming van toepassing zijn dan moet er allereerst sprake zijn van een 'persoonsgegeven'. Een persoonsgegeven is kort gezegd informatie over een specifiek individu of een kleine groep personen.
Het gaat dan om informatie over 'natuurlijke personen' en niet over 'rechtspersonen'. Een natuurlijk persoon is iemand van vlees en bloed; een rechtspersoon is bijvoorbeeld een bedrijf, een stichting, een overheidsorganisatie, een BV of een NV. De zin 'De NS heeft hopeloos gefaald' bevat dus geen persoonsgegeven. De zin 'Mark Rutte heeft hopeloos gefaald' wel. In sommige gevallen kan informatie over een rechtspersoon toch als persoonsgegeven worden gezien, namelijk als de informatie over een rechtspersoon iets zegt over een persoon van vlees en bloed.
Het gaat in de Algemene Verordening Gegevensbescherming ook alleen over informatie over nog levende personen. Informatie over overleden personen vallen in principe niet onder de reikwijdte van de Verordening. De zin 'Koning Willem Alexander is een vrolijk persoon' is dus wel een persoonsgegeven. De zin 'Napoleon was een dronkaard' niet. In sommige gevallen kan informatie over overleden personen toch als een persoonsgegeven worden gezien, namelijk als die informatie iets zegt over een nog levend persoon. 'De moeder van Marietje is overleden aan een erfelijke vorm van borstkanker' is zo'n voorbeeld.
Algemene informatie of informatie over objecten valt in principe niet onder het begrip persoonsgegeven. De zin 'Er wonen 18 miljoen mensen in Nederland' is zo algemeen dat het geen persoonsgegeven is. Informatie over een kleine groep mensen kan dat weer wel zijn. Een voorbeeld is 'In deze straat heeft 90% een crimineel verleden'. Dan is de groep klein genoeg om met redelijke zekerheid iets te zeggen over een persoon in die straat. Ook is de kans redelijk groot dat de informatie over het crimineel verleden op individuen van toepassing is. Waar de grens precies ligt - hoe klein de groep personen moet zijn en hoe hoog de kans moet zijn dat informatie over die groep op een specifiek individu van toepassing is - hangt af van de context. Daar is geen harde grens te trekken. Als de informatie wordt gebruikt om beslissingen te nemen over een individu of een groep dan zal die doorgaans als persoonsgegevens hebben te gelden. Een voorbeeld daarvan is als een verzekeraar besluit geen verzekeringen af te sluiten met mensen die in deze straat wonen.
Belangrijk is dat het bij een persoonsgegeven ook kan gaan om informatie over een persoon, zonder dat je de naam of identiteit van die persoon weet. Ook kan het gaan om hele ongevoelige informatie die openbaar toegankelijk is voor iedereen. Als je zegt 'Die man daar, naast de lantaarnpaal, met de rode stropdas' dan is dat ongevoelige informatie, die openbaar is, over een persoon wiens naam je niet kent. Toch is de zin een persoonsgegeven.
Daarbij komt dat ook 'identificeerbare' gegevens onder het begrip 'persoonsgegeven' vallen. Dat wil zeggen, informatie over een persoon die je op dit moment nog niet kan identificeren, maar mogelijk in de toekomst wel. Als je bijvoorbeeld twee aparte databases hebt die elk afzonderlijk niemand kunnen identificeren, maar als ze worden samengevoegd wel, dan kan het zijn dat die databases moeten worden gezien als bevattende persoonsgegevens, zelfs nog voor het moment dat ze worden samengevoegd.
Tot slot is belangrijk dat encryptie (het versleutelen van gegevens) of het pseudonimiseren (in plaats van te spreken over mevrouw De Wit een code als 'SU(*###' te gebruiken) wel aan te raden zijn als beveiligingsmaatregelen - als de gegevens in verkeerde handen vallen dan wordt er minder schade aangericht - maar niet betekent dat er geen persoonsgegevens worden verwerkt. De gegevens verwijzen immers nog steeds naar een uniek individu.
Kortom, heel veel gegevens zijn te zien als persoonsgegeven. Vaak kost het dan ook meer moeite om uit te pluizen welke gegevens nu precies wel of niet als persoonsgegeven moeten worden gezien dan om simpelweg alle gegevens als 'persoonsgegeven' te zien.
Op niet-persoonlijke gegevens is een aparte Verordening van toepassing.
Verder lezen:
Artikel 4 sub 1 AVG (wat is een persoonsgegeven).
3. Door een verantwoordelijke
Ten derde is de Algemene Verordening Gegevensbescherming van toepassing als de persoonsgegevens worden verwerkt door een 'verantwoordelijke'. Er is altijd een zogenoemde 'verantwoordelijke' voor de gegevensverwerking, de vraag is alleen wie dat is. Vaak is dat simpel, bijvoorbeeld als er maar één organisatie bij de verwerking van persoonsgegevens in het spel is.
Soms is het ingewikkelder en zijn er meerdere organisaties in het spel. Dan zijn er 2 opties:
1. Ofwel ze zijn allemaal aan te merken als verantwoordelijke
2. Ofwel één of meerder partijen zijn niet als 'verantwoordelijke' aan te merken maar als 'verwerker'.
Als er 3 bedrijven aan één gegevensverwerkingsproces werken dan kan het dus zijn dat alle 3 als 'verantwoordelijke' moeten worden gezien, dat er 2 als 'verantwoordelijke' moeten worden gezien en 1 als 'verwerker' of dat 1 als 'verantwoordelijke' heeft te gelden en er 2 'verwerkers zijn. Het kan niet zo zijn dat ze alle drie 'verwerker' zijn en er geen 'verantwoordelijke' is.
Een 'verwerker' is kort gezegd een persoon of organisatie die in opdracht van de 'verantwoordelijke' werkt. Als Philips het bedrijf Data Storage BV vraagt om gegevens van Philips in een datacentrum op te slaan, dan is Data Storage BV de 'verwerker' en Philips de 'verantwoordelijke'. De verwerker mag alleen in opdracht van de verantwoordelijke handelen en voert dus slechts de contractuele afspraken uit.
De verwerker heeft een aantal plichten onder de Algemene Verordening Gegevensbescherming, zoals het goed beveiligen van de gegevens, het melden van fouten en misstanden, het respecteren van de rechten van personen over wie gegevens worden verwerkt en bij grotere organisaties, het aanstellen van een functionaris voor de gegevensbescherming.
De verantwoordelijke, de naam zegt het al, is verantwoordelijk voor het gegevensverwerkingsproces. Als de verwerker een fout maakt dan kan ook de verantwoordelijke daarvoor aansprakelijk worden gesteld.
De verantwoordelijke is degene die besluit tot het gegevensverwerkingsproces. Bijvoorbeeld Philips die besluit dat er gegevens moeten worden verzameld onder klanten, door middel van een klanttevredenheidsonderzoek en daartoe een digitale vragenlijst opstelt. Het gaat dan om de organisatie die het doel en de middelen van de verwerking vaststelt, dat wil zeggen, waarom de gegevens worden verwerkt en hoe.
Als er meerdere organisaties als verantwoordelijke zijn aan te merken, bijvoorbeeld als Philips en de gemeente Eindhoven samen besluiten om te bestuderen hoe burgers van de gemeente Eindhoven reageren op veranderingen in de kleur van de straatverlichting, dan moeten de verschillende rollen contractueel worden vastgelegd. Zodoende is achteraf duidelijk wie waarvoor aansprakelijk kan worden gesteld.
Lees verder:
Artikel 4 lid 6 AVG (definitie verantwoordelijke)
Artikel 4 lid 7 AVG (definitie verwerker)
Artikel 26 AVG (Gezamenlijke verwerkingsverantwoordelijken)
Artikel 29 AVG (Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker)
2. Verwerkt
Ten tweede is de Algemene Verordening Gegevensbescherming alleen van toepassing als die persoonsgegevens ook worden 'verwerkt'. Wederom is dat een zeer breed begrip en valt bijna alles wat je kunt doen met gegevens onder het begrip verwerking. Het gaat dan om het verzamelen van gegevens, het opslaan van gegevens, het samenvoegen van datasets en het doorsturen van de gegevens, maar ook om het verwijderen van de gegevens en het wissen of vernietigen van gegevens. Kortom, vrijwel alles is te zien als een verwerking.
De Algemene Verordening Gegevensbescherming gaat in ieder geval om alle verwerkingen die digitaal of computergestuurd gebeuren. Alles waar dus een computer, een database, het internet, smart phones of andere moderne technieken bij in het spel is valt dus onder de Verordening.
Niet alles wat op papier gebeurt valt echter onder de Verordening. Als je gewoon wat aantekeningen maakt op een papiertje, zonder ze in te scannen of te fotograferen, dan is de Algemene Verordening Gegevensbescherming niet van toepassing. Toch is de Verordening wel op gegevensverwerking op papier van toepassing als de gegevens in een geordende en gestructureerde vorm worden bewaard. Waar de grens precies ligt hangt van geval tot geval af.
Lees verder:
Artikel 2 lid 1 AVG (geautomatiseerde verwerking of opgeslagen in een bestand)
Artikel 4 lid 2 AVG (definitie verwerken)
Artikel 4 lid 6 AVG (definitie bestand)
4. De EU heeft competentie
De Algemene Verodening Gegevensbescherming is een wet van de Europese Unie. De wet heeft dan ook alleen betrekking op de verwerking van persoonsgegevens op EU grondgebied of als de verwerking gaat over EU burgers. De Algemene Verordening Gegevensbescherming is dan ook meestal niet van toepassing op de verwerking van persoonsgegevens in Japan, Amerika of Rusland.
Meestal is het dus betrekkelijk simpel. De Verordening is gewoon van toepassing op organisaties die in Nederland of in de landen van de EU gevestigd zijn.
Daarnaast zijn er nog vier gevallen waarin de Algemene Verordening Gegevensbescherming ook van toepassing is.
Ten eerste als een buitenlands bedrijf een vestiging heeft in de EU en in het kader van de activiteiten van die vestiging persoonsgegevens verwerkt. Denk bijvoorbeeld aan de situatie waarin Amazon een vestiging zou hebben in Duitsland en in het kader van de website Amazon.de de woonadressen van Duitse klanten en Amerikaanse leveranciers zou opslaan. Dan is de Algemene Verordening Gegevensbescherming van toepassing.
Ten tweede is de AVG van toepassing als een organisatie geen vestiging heeft in de EU, maar wel producten of diensten aanbiedt aan een specifiek EU publiek. Bijvoorbeeld, Amazon heeft geen vestiging in Duitsland, maar runt wel Amazon.de die op een specifiek Duits publiek is gericht en verwerkt in het kader daarvan de gegevens van Duitse klanten.
Ten derde is de AVG van toepassing als een organisatie geen vestiging heeft in de EU, maar wel persoonsgegevens over EU burgers verwerkt ten behoeve van het monitoren van hun gedrag. Het gaat dan om gedrag dat in de EU plaatsvindt en dus niet als bijvoorbeeld een Amerikaanse organisatie EU burgers monitort als zij op vakantie zijn in de Verenigde Staten. Bij het monitoren van gedrag gaat het met name om internet monitoring, bijvoorbeeld het door middel van cookies in de gaten houden van iemands gedragingen online. Ook daarop is de Algemene Verordening Gegevensbescherming van toepassing.
Ten vierde en tot slot is de AVG van toepassing op consulaten van de EU in het buitenland.
Kortom, de Algemene Verordening Gegevensbescherming heeft een zeer brede reikwijdte.
Belangrijk is dat in het geval de organisatie geen vestiging heeft in de EU, maar die wel onder de Algemene Verordening Gegevensbescherming valt, de organisatie een vertegenwoordiger moet aanstellen. Dat wil zeggen, een contactpersoon en aanspreekpunt voor EU burgers en instanties die zich tot de organisatie willen wenden met een vraag of een klacht.
Lees verder:
Artikel 3 AVG (Territoriaal toepassingsgebied)
Artikel 4 lid 17 AVG (definitie vertegenwoordiger)
Artikel 27 AVG (aanstellen vertegenwoordiger)
5. En er is geen uitzondering van toepassing
De Algemene Verordening Gegevensbescherming is niet of slechts gedeeltelijk van toepassing in de volgende gevallen.
De AVG is niet van toepassing als de EU geen competentie heeft:
1. De persoonsgegevens worden verwerkt in het kader van de nationale veiligheid. Hierover heeft de EU in principe geen competentie; over nationale veiligheid gaan landen zoals Nederland zelf.
2. De persoonsgegevens worden verwerkt in het kader van gemeenschappelijk buitenlands beleid. Ook hierover gaat de EU in principe niet.
De AVG is niet van toepassing als er een andere wet van toepassing is:
1. Er persoonsgegevens worden verwerkt door politie en justitie. Dan is weliswaar niet de AVG zelf, maar wel de zogenoemde Politierichtlijn van toepassing. Deze Politierichtlijn gaat tegelijkertijd met de AVG in en er staan grosso modo dezelfde regels in. Wel kunnen de regels en rechten van individuen verder worden beperkt dan in de AVG mogelijk is, als dat nodig is voor de bestrijding van criminaliteit.
2. De persoonsgegevens worden verwerkt door de EU zelf. Dan is niet de Algemene Verordening Gegevensbescherming, maar een aparte Verordening van toepassing. Hierin komen grosso modo dezelfde regels te staan als in de AVG zijn vervat.
De AVG is niet van toepassing als het gaat om kleinschalige privéverwerkingen:
Als er persoonsgegevens worden verwerkt door een natuurlijk persoon (een mens van vlees en bloed) voor puur persoonlijke redenen, dan is de Algemene Verordening Gegevensbescherming niet van toepassing. Denk hierbij bijvoorbeeld aan het bijhouden van een adressenbestand van namen, adressen en telefoonnummers van je vrienden en familie op je computer.
De AVG is beperkt van toepassing als:
1. Het gaan om de aansprakelijkheid van internet providers. Dan is in principe de e-Commerce Richtlijn van toepassing.
2. Het gaat om telecommunicatierecht, zoals bijvoorbeeld de cookie-regels, spam en mal- en spyware. Dan is in principe de e-Privacy richtlijn van toepassing.
De AVG is beperkt van toepassing als:
1. Er in een nationale wet beperkingen worden vastgelegd. Deze beperkingen gelden alleen voor de rechten van het individu. Zulke beperkingen mogen worden opgelegd als dat noodzakelijk is in het kader van de openbare veiligheid, de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures of een taak op het gebied van toezicht of inspectie. Voor de goede vervulling van een publieke taak is het soms nodig om de individuele rechten, zoals het recht om informatie te verwijderen, te beknotten.
2. Er persoonsgegevens worden verwerkt in het kader van andere rechten en democratische principes, zoals het recht van vrijheid van meningsuiting, openbaarheid van overheidsinformatie en wetenschappelijk en historisch onderzoek. Deze uitzonderingen staan in de Nederlandse Uitvoeringswet.
Verder lezen:
Artikel 3 lid 2, 3 en 4 AVG (absolute en relatieve beperkingen)
Artikel 23 AVG (beperkingen rechten individu)
Artikel 85 (vrijheid van meningsuiting)
Artikel 86 (toegang tot officiële documenten)
Artikel 87 (nationaal identificatienummer)
Artikel 88 (arbeidsverhoudingen)
Artikel 90 (geheimhoudingsplicht)
Artikel 91 (kerken en religieuze verenigingen)
Artikel 95 ( e-Privacyrichtlijn)