Menu
JPR Advocaten

Privacyrecht

Privacyrecht

AVG en privacywetgeving: zo zit het

Privacy is een ‘hot topic’ tegenwoordig. Steeds meer bedrijven en organisaties zien dat data het nieuwe goud is en maken dan ook dankbaar gebruik van het feit dat data voor het oprapen ligt. Het ligt voor de hand dat dit haaks kan staan op het privacyrecht van degenen wiens gegevens verzameld worden. De meeste organisaties zijn bekend met de nieuwste privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), of in het Engels de ‘General Data Protection Regulation’ (GDPR).

Ook wanneer u wel bekend bent met de AVG dan kan zij de nodige vragen oproepen, bijvoorbeeld bij processen die al jaren lopen en nooit langs de juridische meetlat zijn gelegd.

De AVG en Persoonsgegevens

Wat verplicht de AVG precies? Wanneer is de AVG van toepassing? We leggen het u hieronder uit. Ook kunnen we u helpen bij de volgende onderwerpen:


De AVG voorziet op een Europees niveau in waarborgen op het gebied van privacy. De AVG verving op 25 mei 2018 de Wet Bescherming Persoonsgegevens. De AVG is van toepassing op het verwerken van persoonsgegevens.

Maar wat is de betekenis van persoonsgegevens in de AVG? Volgens de letter van de wet gaat het om ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Uit de gegevens kan worden opgemaakt dat deze betrekking hebben op een specifiek persoon, de betrokkene waar de persoonsgegevens over gaan. Dat kan op een directe wijze, zoals aan de hand van een naam. Het kan echter ook op indirecte wijze, zoals aan de hand van locatiegegevens of een online identificator. Bovendien geldt er een speciaal regime voor het verwerken van bijzondere persoonsgegevens. Het gaat dan om bijvoorbeeld om godsdienst, ras of gezondheidsgegevens.

Wanneer worden persoonsgegevens verwerkt? Dit is vrij snel het geval. Een verwerking wordt gedefinieerd als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens’. Denk aan het verzamelen, opslaan, wijzigen of vernietigen van persoonsgegevens.

Verwerkingsverantwoordelijke of verwerker?

Elke organisatie die persoonsgegevens verwerkt heeft een rol volgens de AVG: verwerkingsverantwoordelijke of verwerker. Een verwerkingsverantwoordelijke is (eind)verantwoordelijke voor de verwerkingen en de persoonsgegevens die daarmee gemoeid zijn. Zij is ook eerste aanspreekpunt voor de betrokkenen waarover de persoonsgegevens gaan.

De verwerker handelt in opdracht van de verwerkingsverantwoordelijke, zij bepaalt in beginsel niet hoe zij met persoonsgegevens omgaat maar volgt instructies op. De verwerker en de verwerkingsverantwoordelijke sluiten zijn in beginsel gehouden hiervoor een verwerkersovereenkomst af te sluiten.

Wanneer is verwerking rechtmatig?

Het verwerken van persoonsgegevens moet volgens de AVG op een behoorlijke en transparante wijze, op basis van een rechtmatige grondslag. De grondslag legt uit waarom de persoonsgegevens verwerkt mogen worden. De grondslagen zijn te vinden in de AVG en zonder een dergelijke grondslag mogen persoonsgegevens niet verwerkt worden. Er zijn zes grondslagen in de AVG:

  1. toestemming van de betrokkene voor een of meer specifieke doeleinden;
  2. noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  3. noodzakelijk om te voldoen aan een wettelijke verplichting;
  4. noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijk persoon te beschermen;
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijk is opgedragen;
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (belangenafweging).

Toestemming van de betrokkene

De toestemming van de betrokkene is een van deze grondslagen. Toestemming verkrijgen is niet altijd mogelijk en heeft voorwaarden: zo moet de betrokkene de toestemming kunnen intrekken en is de toestemming pas rechtsgeldig wanneer deze vrijelijk door de betrokkene is gegeven. Een werkgever kan aan een werknemer niet zomaar toestemming vragen voor het opslaan van bepaalde persoonsgegevens omdat er sprake is van een hiërarchische verhouding. De toestemming van de werknemer wordt dan niet geacht vrijelijk te zijn gegeven.

De AVG stelt bovendien nog hogere eisen aan het krijgen van toestemming van minderjarigen, nu het uitgangspunt is dat deze nog niet in staat worden geacht bekend te zijn met de consequenties van het geven van toestemming. Tot slot geldt voor bijzondere persoonsgegevens een zwaarder criterium: toestemming is slechts rechtsgeldig indien deze uitdrukkelijk wordt gegeven. Het veronderstellen van toestemming door een ondubbelzinnige uiting is derhalve niet meer voldoende. Wordt er gewerkt met persoonsgegevens van minderjarigen of gaat het om bijzondere persoonsgegevens? Wees dan kritisch op de eisen die de AVG stelt aan het toestemmingsvereiste en neem dan niet te snel aan dat toestemming is gegeven.

Andere grondslagen in de AVG

Toestemming van de betrokkene is niet altijd nodig als grondslag voor de verwerking. Een organisatie kan ook een overeenkomst met de betrokkene hebben, deze dient dan als grondslag voor de verwerking. De persoonsgegevens zijn dan noodzakelijk voor de uitvoering van de overeenkomst. Een webshop heeft bijvoorbeeld adresgegevens nodig om een product te kunnen bezorgen bij de betrokkene.

Een organisatie kan ook wettelijk verplicht zijn om bepaalde persoonsgegevens te verwerken. Vanuit het belastingrecht en arbeidsrecht bestaan een hoop verplichtingen tot het verwerken en bewaren van persoonsgegevens. Voor de verwerking daarvan hoeft u uiteraard geen toestemming van de betrokkene te hebben.

Advies over de AVG of privacywetgeving nodig?

Bent u niet zeker of uw bedrijf voldoet aan de (nieuwe) vereisten voor de verwerking van persoonsgegevens? Of wilt u voor het lanceren van uw product een check uit laten voeren of uw product voldoet aan de privacyrichtlijnen? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de AVG en privacywetgeving. Wij kunnen u dan ook in het gehele proces adviseren. Maar ook wanneer u een betrokkene bent en meent dat uw privacy wordt geschonden, kunnen wij u helpen hiertegen op te treden. Schroom niet om contact op te nemen met één van onze specialisten.

Meer weten over onze dienstverlening?
Neem contact op
Alle advocaten binnen het rechtsgebied Privacyrecht
Direct contact opnemen? Bel
Leonie Ouwersloot-Koster
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: