De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder als het gaat om de bescherming van persoonsgegevens. Bij wet is deze aangesteld als zogenaamd zelfstandig bestuursorgaan.
De taken van de Autoriteit Persoonsgegevens zijn terug te vinden in de Algemene Verordening Gegevensbescherming (AVG). Dit is het Europese juridische kader dat geldt voor alle landen van de Europese Unie. De AVG werd van kracht op 25 mei 2018.
Vroeger was de AP de autoriteit over gegevensbescherming volgens de Wet bescherming persoonsgegevens. Die wet is met de komst van de AVG vervallen.
In dit artikel lees je alles wat je als ondernemer wilt weten over de Autoriteit Persoonsgegevens. Vooral de taken en bevoegdheden komen aan bod. Ook vind je terug wat de toezichthouder mag doen bij overtreding van de AVG.
Inhoudsopgave
- De belangrijkste taak van de Autoriteit Persoonsgegevens
- Het verwerken van persoonsgegevens
- Het bewaren van persoonsgegevens
- Maatregelen bij niet-naleving van de AVG
- Overige taken en bevoegdheden van de Autoriteit Persoonsgegevens
- Meldplicht datalekken bij Autoriteit Persoonsgegevens
- Veelgestelde vragen over de Autoriteit Persoonsgegevens
De belangrijkste taak van de Autoriteit Persoonsgegevens
De belangrijkste taak van de Autoriteit Persoonsgegevens is het beoordelen of bedrijven en overige organisaties de AVG naleven. Dat geldt niet alleen voor commerciële organisaties, maar ook voor bijvoorbeeld overheidsinstanties. Minder bekend is dat de AP ook toezicht houdt op de naleving van de Wet politiegegevens en de Wet gemeentelijke basisadministratie persoonsgegevens. En van alle andere wettelijke regelingen waarin sprake is van het verwerken van persoonsgegevens.
Tot 2016 heette de Autoriteit Persoonsgegevens het College bescherming persoonsgegevens. Sinds de naamswijziging mag de toezichthouder boetes opleggen. Dat mag als een organisatie de privacyregels uit de AVG (en eerder de Wbp) overtreedt.
Het verwerken van persoonsgegevens
Persoonsgegevens zijn al die gegevens waarmee een persoon te identificeren is. Het gaat daarbij niet alleen om iemands naam en adresgegevens, maar ook bijvoorbeeld telefoonnummers en IP-adressen.
Het verwerken van persoonsgegevens draait om alle handelingen die je kan uitvoeren met persoonsgegevens. Denk aan het opslaan, registreren, bewerken, kopiëren, wijzigen, aanvullen en wissen van persoonlijke data.
Volgens de AVG mag een bedrijf of organisatie alleen persoonsgegevens verwerken als dat aantoonbaar noodzakelijk is. Ook moet het zijn toegestaan. Er zijn ook bijzondere persoonsgegevens. Dat soort gegevens zijn gevoelig en krijgen daardoor extra bescherming onder de AVG. Het gaat bijvoorbeeld om etnische, religieuze of biometrische persoonsgegevens. Andere soorten bijzondere persoonsgegevens zijn die waaruit politieke opvattingen, iemands gezondheidssituatie, seksuele gerichtheid of lidmaatschap van een vakvereniging blijken.
Het uitgangspunt is dat het verwerken van bijzondere persoonsgegevens verboden is. Er zijn uitzonderingen. Die staan in de AVG. Een voorbeeld is de uitdrukkelijke toestemming van de betrokkene. Je moet je kunnen beroepen op in elk geval één van de tien uitzonderingen. En één van de grondslagen voor het verwerken van niet-bijzondere persoonsgegevens.
Het bewaren van persoonsgegevens
In een digitaal of papieren dossier staat informatie over een persoon. Soms zelfs veel informatie. Denk aan een medisch dossier of de salarisadministratie. Het is verplicht voor een organisatie om bepaalde persoonsgegevens gedurende een periode te bewaren. Dat is namelijk nodig voor een deugdelijke administratie.
Tegelijkertijd mag het bewaren van persoonsgegevens niet onbeperkt. Je mag deze alleen bewaren zolang dat noodzakelijk is.
In de AVG staan geen precieze bewaartermijnen voor persoonsgegevens. Kortom: bedrijven bepalen zelf hoe lang zij persoonsgegevens bewaren. Als organisatie kijk je daarbij naar:
- de tijd dat je de persoonsgegevens nodig hebt;
- voor het doel waarvoor je ze hebt verzameld of gebruikt.
Andere wetten geven soms wél concrete bewaartermijnen. Belastingwetgeving bijvoorbeeld. Zorg dus dat je je daar goed over laat informeren.
Het vernietigen van persoonsgegevens
Als de (wettelijke) bewaartermijn van persoonsgegevens voorbij is, dan moet je de gegevens vernietigen. Dat geldt ook als de persoonsgegevens niet meer noodzakelijk zijn.
Het archiveren van persoonsgegevens
In de Archiefwet staat een bewaarplicht voor overheden. Die is er voor sommige informatie. De bewaarplicht geldt ook voor informatie met persoonsgegevens. De overheidsinstanties moeten zich hierbij aan de AVG houden.
Maatregelen bij niet-naleving van de AVG
De Autoriteit Persoonsgegevens kan bedrijven en organisaties ertoe dwingen om zich aan de eisen van de AVG te houden. Gebeurt dat niet, dan heeft de AP verschillende bevoegdheden. Zo mag de toezichthouder geven of opleggen:
- een boete;
- een last onder dwangsom;
- een verwerkingsverbod;
- een berisping; en
- een waarschuwing.
Boete
De hoogte van een boete bij inbreuk op de AVG is beperkt. Dit is maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet van een bedrijf of organisatie. Er zijn richtlijnen om de hoogte van de boete te bepalen, zowel Europeesrechtelijk als nationaal. Die laatste soort is neergelegd in de zogenaamde Boetebeleidsregels Autoriteit Persoonsgegevens 2019. Onder meer de aard, ernst en duur van de overtreding spelen mee.
Last onder dwangsom
Bij een last onder dwangsom betaalt een bedrijf alleen een dwangsom als het bedrijf niet stopt met de overtreding.
Verwerkingsverbod
Bij een door de Autoriteit Persoonsgegevens opgelegd verwerkingsverbod mag een bedrijf bepaalde persoonsgegevens niet verwerken.
Berisping
Bij een berisping zegt de Autoriteit Persoonsgegevens dat een bedrijf in overtreding is. Ook keurt de toezichthouder de inbreuk af. De AP deelt dus geen boete uit. Ook een andere financiële prikkel, zoals bij de last onder dwangsom, ontbreekt. Het zal daarom meestal gaan om een kleine overtreding zonder opzet.
Waarschuwing
Is een bedrijf van plan om in strijd met de AVG persoonsgegevens te verwerken? Dan kan de toezichthouder een waarschuwing geven.
Checklist: ben jij AVG OK?
Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.
- 15 checks om gelijk uit te voeren
- Weet zeker dat je voldoet aan de AVG
- Voorkom hoge boetes
Overige taken en bevoegdheden van de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens heeft meer taken en bevoegdheden naast boetes en andere waarschuwende of bestraffende maatregelen opleggen. Er is een openbaar register dat de AP bijhoudt. Hierin staan verwerkingen van persoonsgegevens die afwijken van de gebruikelijke verwerkingen.
Ook adviseert de toezichthouder de ministers en de Tweede Kamer. Dat gaat over wetsvoorstellen die met privacy en persoonsgegevens te maken hebben. Het advies is zowel gevraagd als ongevraagd.
De AP vormt daarnaast het meldpunt voor datalekken. Verwerkingsverantwoordelijken en bewerkers zijn verplicht om dit te doen.
Meldplicht datalekken bij Autoriteit Persoonsgegevens
Een meldplicht datalekken betekent dat bedrijven en overheidsinstanties een ernstig datalek meteen moeten melden. Die melding doe je in ieder geval bij de AP. Daarna moeten organisaties soms de betrokkenen op de hoogte stellen. Dat zijn de personen van wie de persoonsgegevens zijn gelekt.
Wat is een datalek
Een datalek houdt in dat derden toegang hebben tot persoonsgegevens. Andere voorbeelden zijn de wijziging, vernietiging of het vrijkomen van persoonsgegevens bij een organisatie. Dat gebeurt tegen de bedoeling van deze organisatie in.
De manier van een datalek melden bij de Autoriteit Persoonsgegevens
Een bedrijf of andere organisatie gebruikt het meldformulier datalekken bij een datalek. Op de website van de Autoriteit Persoonsgegevens is dit formulier te vinden. Daar vind je ook de privacyverklaring datalek melden. In die verklaring staat hoe de AP omgaat met de gelekte persoonsgegevens.
Het voorbereiden van een melding
In de Vragenlijst meldformulier datalekken van de Autoriteit Persoonsgegevens zie je de vragen die bij het melden van een datalek gesteld worden. Dit kan je als bedrijf gebruiken als voorbereiding op het invullen van het online formulier. Handig om alvast de benodigde informatie op te zoeken.
Ook is de vragenlijst een nuttig hulpmiddel om een stappenplan op te stellen. Met dat plan is het makkelijker om een eventuele datalek zo snel en volledig mogelijk te melden.
Gratis proefaccount: AVG-Programma
Wil je in vier heldere stappen voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
Veelgestelde vragen over de Autoriteit Persoonsgegevens
Er zijn zes grondslagen voor het verwerken van persoonsgegevens. Dat is het geval als:
<ul><li>je toestemming hebt van de betrokkene;</>
<li>het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren;</>
<li>het wettelijk verplicht is;</>
<li>het cruciaal is om vitale belangen te beschermen;</>
<li>het is noodzakelijk voor het uitoefenen van een taak van algemeen belang of openbaar gezag; en/of</>
<li>het een must is om een gerechtvaardigd belang te behartigen.</></ul>
Bepaalt jouw bedrijf voor welk doel de persoonsgegevens worden verwerkt en de manier waarop het gebeurt? Dan is jouw organisatie verwerkingsverantwoordelijke volgens de AVG.
Dat is bijvoorbeeld zo als je instructies aan een andere partij geeft. Er is dan sprake van een gezagsverhouding. Soms staat ook uitdrukkelijk in de wet dat een bedrijf persoonsgegevens mag of moet verwerken.
Je schakelt een boekhouder in. Of je maakt gebruik van een externe helpdesk. Bijna altijd als je persoonsgegevens deelt met een ander bedrijf, moet je met deze organisatie een verwerkersovereenkomst afsluiten. Dat geldt alleen als jij zelf verantwoordelijk bent voor die persoonsgegevens. Dat ben je als jouw bedrijf bepaalt wat er gebeurt met de persoonsgegevens en hoe.
Het bericht Autoriteit Persoonsgegevens: wat ondernemers moeten weten verscheen eerst op AVG-Programma.