Algemene Verordening Gegevensbescherming (AVG)

Geplaatst op: 12 jun 2019

Het wettelijk kader

Algemeen
Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘Verordening’ of ‘AVG’) van toepassing in alle lidstaten van de Europese Unie. De Verordening is de opvolger van de Wet bescherming persoonsgegevens in Nederland. Het doel van de verordening is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie (‘EU’).

Bij het toepassen van deze verordening is het belangrijk twee zaken in het achterhoofd te houden. Allereerst het vraagstuk betreffende het toepasselijk recht. De Verordening heeft rechtstreekse werking binnen de gehele Europese Unie en harmoniseert daarmee de regels voor de bescherming van persoonsgegevens. Maar, op specifieke punten biedt de Verordening lidstaten de ruimte om nadere invulling te geven aan de bepalingen. Deze invulling geschiedt via zogenaamde uitvoeringswetten. Het kan derhalve voorkomen dat een specifieke situatie niet de Nederlandse, maar een andere uitvoeringswet op onze gegevensverwerkingen van toepassing kan zijn.

Het tweede vraagstuk waarmee rekening dient te worden gehouden is de interpretatie van de Verordening. De Verordening is een omvangrijk stuk wetgeving met slechts een beperkte schriftelijke toelichting. Op veel punten is het daarom (nog) onduidelijk wat de precieze invulling is die gegeven moet worden aan begrippen en bepalingen.

Verwerkingsverantwoordelijke of verwerker?
Degene die op basis van een specifieke juridische of impliciete bevoegdheid het doel en de middelen voor de verwerking vaststelt en feitelijk gezien invloed uitoefent over de verwerking van de persoonsgegevens, wordt aangeduid als Verwerkingsverantwoordelijke.
Degene die niet over deze voornoemde bevoegdheid beschikt en niet in een hiërarchische verhouding staat tot degene onder wiens verantwoordelijkheid de persoonsgegevens worden verwerkt, wordt aangeduid als Verwerker.

Persoonsgegevens
De verordening is niet van toepassing op de verwerking van alle soorten gegevens, maar alleen op persoonsgegevens. Persoonsgegevens zijn alle gegevens die betrekking hebben op:
1. een geïdentificeerde, of:
2. identificeerbare;
3. natuurlijk persoon.
De natuurlijk persoon op wie de gegevens betrekking hebben wordt de Betrokkene genoemd.

Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is.

Verwerkingen
Een verwerking is volgens de Verordening elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. Veel voorkomende bewerkingen zijn:

• verzamelen;
• vastleggen;
• opslaan;
• wijzigen;
• opvragen;
• raadplegen;
• gebruiken;
• verstrekken;
• wissen en vernietigen.

In de praktijk komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens in de zin van de Verordening is.

Elke verwerking van persoonsgegevens moet in lijn zijn met de volgende beginselen:

a. De verwerking van de persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijk en transparantie”)
Uitgangspunt is dat de persoonsgegevens alleen mogen worden verwerkt voor gerechtvaardigde doeleinden. Dit betekent dat de verwerking noodzakelijk moet zijn met het oog op het bereiken van specifiek in de Verordening genoemde doelen, dan wel dat er toestemming is verkregen van degene wiens gegevens worden verwerkt. Wanneer het gerechtvaardigd is om persoonsgegevens te verwerken, dan moet de verwerking ervan vervolgens netjes en verantwoord gebeuren. Ten slotte moet duidelijk zijn voor welke doelen persoonsgegevens worden verwerkt en hoe dat gebeurt. Persoonsgegevens verwerken zonder dat iemand daar van weet is niet toegestaan.

b. De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)
Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

c. De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn (“minimale gegevensverwerking”)
Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel toereikend en ter zake dienend zijn. Verder mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Met andere woorden, er mogen gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden verwerkt voor het doel. Wanneer er te weinig gegevens worden verwerkt, dan kan er ten onrechte een onvolledig beeld ontstaan van de betrokkene.

d. De gegevens moeten juist zijn (‘juistheid’)
De verwerkingsverantwoordelijke moet alle maatregelen nemen om ervoor te zorgen dat de gegevens correct en actueel zijn. Gegevens die dat niet (meer) zijn, dienen te worden gewist of gecorrigeerd.

e. De gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”)
Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. Wanneer de gegevens niet langer noodzakelijk zijn, dan moeten deze worden vernietigd of gewist.

f. De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (‘integriteit en vertrouwelijkheid”)
Persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Voor alle bovenstaande beginselen geldt dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving en kan aantonen dat de gegevensverwerking in lijn is met de beginselen (de verantwoordingsplicht).

De praktijk
U ziet dat er zo nu en dan nogal wat op ons en u af kan komen vanuit de (Europese) Overheid. Golfvereniging De Drentsche is ook onderworpen aan de Verordening. De Betrokkene dat bent u als lid van onze vereniging en de Verwerkingsverantwoordelijke dat is Golfvereniging De Drentsche. Omdat leden van de vereniging een speelrecht op de baan verkrijgen van de DGCC en wij als vereniging uw persoonsgegevens hiervoor delen met de DGCC, is ook de DGCC partij in deze en wel als Verwerker. De afspraken tussen de vereniging en de DGCC met betrekking tot deze verwerking zijn, conform het in de Verordening gestelde, vastgelegd in een zogenaamde Verwerkersovereenkomst. Deze overeenkomst is ook door de Nederlandse Golf Federatie (NGF) beoordeeld en akkoord bevonden. Op dit moment leggen wij als vereniging de laatste hand aan een eigen Privacyverklaring. In deze verklaring die conform het concept van de NGF is opgesteld, beschrijft de vereniging hoe wordt omgegaan met de privacy van de leden. Wij verwachten op korte termijn deze verklaring op onze site te plaatsen.

Omdat de Verordening een zogenaamde open norm hanteert, te weten niet te veel en niet te weinig, is het lastig op voorhand te weten wanneer je het exact goed doet. De tijd en de bijbehorende jurisprudentie zal uiteindelijk duidelijk maken wat ‘niet te veel’ en ‘niet te weinig’ is. Duidelijk moge zijn dat de Verordening nogal wat los heeft gemaakt en wij in ons dagelijkse doen hier veelvuldig, al dan niet bewust, mee van doen hebben. Wat denkt u van de namen van uw flightgenoten op de startlijsten van de diverse wedstrijden die wij organiseren. Mogen wij zonder toestemming van de deelnemers de namen niet meer publiceren? Dan wordt het op de teebox een grote verrassing met wie u die dag speelt. Zonder toestemming van de winnaars mogen we geen foto’s van de huldiging van een Clubkampioenschap op de site plaatsen. Dan missen we de blijde gezichten en mooie boeketten van de spelers. Mogen wij uw naam straks wel op het schildje plaatsen als u winnaar bent geworden van een clubkampioenschap of als u die hole in one heeft geslagen? In dat geval leggen wij uw gegevens vast en u bent geïdentificeerd. Ach, wellicht moet u wel even schriftelijk toestemming geven maar dat gaat gemakkelijker dan een kampioenschap winnen of een hole in one slaan.

Klik hier voor het Privacyreglement.