Please select a page template in page properties.

De AVG als 'wet'

Gegevensbescherming is dus een grondrecht zoals verwoord in het Handvest in artikel 8. De AVG biedt het wettelijk kader voor die bescherming van de verwerking van persoonsgegevens.

De AVG doet dit onder meer door: 

  • principes te benoemen (Beginselen inzake verwerking van persoonsgegevens, bijvoorbeeld: ‘rechtmatigheid’, ‘behoorlijkheid’ en ‘transparantie’), 
  • rollen (‘verwerkingsverantwoordelijke’, ‘verwerker’) en 
  • verantwoordelijkheden te benoemen. 

En niet in de laatste plaats de ‘rechten van betrokkenen’ - de personen van wie de persoonsgegevens verwerkt worden. De AVG geeft de lidstaten de mogelijkheid om nadere invulling te geven aan bepaalde open normen, bijvoorbeeld het verwerken van een nationaal identificatienummer - zie bijvoorbeeld: AVG Art 87, "Verwerking van het nationaal identificatienummer":

De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.

Deze nationale bepalingen zijn vervat in nationale implementatiewetgeving van de AVG, voor Nederland bekend onder de naam: Uitvoeringswet AVG, ook wel 'UAVG' genaamd.

Voorbeelden

Onderstaande voorbeelden illustreren goed hoe de UAVG af kan wijken van de AVG:

Burgerservicenummer

In Nederland mag het Burgerservicenummer alleen onder strikte voorwaarden worden verwerkt. Zie hiertoe bijvoorbeeld: Artikel 46 UAVG.

Zie voor een voorbeeld van verschillen op dit punt tussen lidstaten: https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/national-identification-numbers.

Kinderen & toestemming

De leeftijd waarop kinderen geacht worden om zelf toestemming te kunnen geven verschilt sterk tussen de lidstaten (bron: https://fra.europa.eu/en/publication/2017/mapping-minimum-age-requirements/use-consent). Onderstaande afbeelding laat deze verschillen goed zien:

 

 

Hiërarchie en relaties

Om de AVG als 'wet' goed te begrijpen is inzicht nodig in de hiërarchishe positie van de AVG en in de relatie van de AVG tot het Handvest van de grondrechten van de Europese Unie. In onderstaande kaders lees je precies hoe dit zit:

Hiërarchie van wetgeving

Het recht op privacy is in verschillende soorten van wetgeving dus op verschillende manieren geborgd. Er geldt voor wetgeving de volgende hiërarchie (bron: https://www.wetrecht.nl/lex-specialis/):
 

‘Verordeningen’ bevatten regels die direct gelden in alle lidstaten van de Europese Unie. Dit wordt 'rechtstreekse werking' genoemd. Verordeningen hebben daarmee een vergelijkbare status als nationale wetten in de lidstaten, maar in geval van strijdigheid gaat de verordening boven de nationale wet (bron: https://www.europa-nu.nl/id/vh7bhpblc5za/verordening).

Voor gegevensbescherming geldt dus de hiërarchie:

  1. Artikel 8 in het Handvest van de grondrechten van de Europese Unie beschrijft in algemene termen het Europese  grondrecht op bescherming van persoonsgegevens (bron: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:12012P/TXT&from=NL).
     
  2. Artikel 5 in de AVG beschrijft de principes waaraan de bescherming van persoonsgegevens moet voldoen, waarmee zij de bescherming borgen van de algemene principes uit Artikel 8 in het EU Handvest (bron: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=en).
     
  3. De Nederlandse Grondwet beschrijft in artikel 10 voor Nederland het grondrecht op privacy en gegevensbescherming (bron: https://www.denederlandsegrondwet.nl/id/via0icz1lvv8/artikel_10_privacy).
     
  4. De uitvoeringswet UAVG beschrijft specifiek voor de Nederlandse context en aanvullend op de AVG de kaders, rollen en verantwoordelijkheden voor de bescherming van persoonsgegevens (bron: https://wetten.overheid.nl/BWBR0040940/2020-01-01).

Indien een onderzoeker de privacy-principes uit artikel 5 (AVG) niet naleeft, schendt deze daarmee dus het fundamentele mensenrecht uit artikel 8 van het EU Handvest.

De relatie tussen het Handvest en de AVG

De relatie tussen het Handvest van de grondrechten van de Europese Unie en de AVG beginselen inzake verwerking van persoonsgegevens is nader weergegeven in onderstaande afbeelding (klik op de afbeelding om deze te vergroten): 


De binnenste blauwe cirkel bevat de artikel 8 principes in het EU Handvest. Zij worden beschermd door de artikel 5.1 principes uit de AVG en de aanvullende wetgeving uit de UAVG voor de Nederlandse context, zoals te zien in de binnenste donkergroene cirkel. De buitenste lichtgroene cirkel omhelst het principe ‘Verantwoordingsplicht’ uit AVG Artikel 5.2 AVG:

5.2 De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht").

Dit principe 5.2 geeft aan dat een onderzoeker volgens de AVG met bewijs moet kunnen aantonen dat de onderzoeker alle benodigde maatregelen genomen heeft om de (gevoelige) persoonsgegevens zo goed als mogelijk te beschermen.

Het vereist tevens van een onderzoeker dat deze niet alleen gedegen kennis van de artikel 5 principes in de AVG heeft, maar dat de onderzoeker ook moet weten welke technische en organisatorische maatregelen en waarborgen nodig zijn binnen een bepaalde context. Ook moet de onderzoeker (in samenwerking met een privacy officer) weten hoe de bewijslast voor de genomen maatregelen en waarborgen indien nodig te verstrekken is. Dit is van belang, aangezien de Autoriteit Persoonsgegevens bij een klacht van een betrokkene een onderzoek kan opstarten waarbij men om deze bewijslast zal vragen. Het niet kunnen aanleveren van deze bewijslast kan mogelijk resulteren in een boete en het stopzetten van het onderzoek. 

Maar welke technische en organisatorische maatregelen moet een onderzoeker nu in een specifieke context nemen om ‘AVG compliant’ een onderzoek op te starten en uit te voeren? In 'Module 4 - Acties' gaan we dieper in op verschillende maatregelen die hierbij te nemen zijn. Eerst duiken we dieper in de wetgeving AVG en de principes uit artikel 5 in de AVG.