Update handleiding AVG: wat is er precies veranderd?

De Rijksoverheid heeft een officiële handleiding AVG gepubliceerd met uitleg hoe de AVG te implementeren in de praktijk. Er is een nieuwe versie verschenen in mei 2019. In dit artikel staan de belangrijkste wijzigingen.

Achtergrond handleiding AVG

Vanaf 25 mei 2018 is natuurlijk de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Om de eisen en verplichtingen van de AVG te verduidelijken, heeft het ministerie van Justitie en Veiligheid een handleiding AVG opgesteld. De Handleiding AVG is een officiële uitgave van de Rijksoverheid, en is bedoeld om organisaties te helpen om aan de AVG te voldoen. De eerste versie van de handleiding is  gepubliceerd in 2018, en werd gebruikt in onze privacy en AVG-training. In mei 2019 is een nieuwe versie met een andere kleur voorkant gepubliceerd. De nieuwe versie is niet heel anders, maar bevat een aantal nuttige toevoegingen.

Opbouw van de handleiding

De opbouw van de handleiding is niet gewijzigd. Ook de nieuwe handleiding bestaat uit dezelfde 10 hoofdstukken en is als volgt opgebouwd:

• 1: Inleiding
• 2: De Algemene verordening gegevensbescherming (AVG)
• 3: Is de AVG/Verordening op mijn gegevensverwerking van toepassing?
• 4: Is mijn gegevensverwerking legitiem?
• 5: Wat zijn mijn plichten als verwerkingverantwoordelijke?
• 6: Wat zijn mijn plichten als verwerker?
• 7: Hoe ga ik om met de rechten van de betrokkene?
• 8: Onder welke voorwaarden mag ik gegevens naar het buitenland sturen?
• 9: Hoe is het toezicht op de naleving geregeld en wat zijn de consequenties bij niet naleving?
• 10: Bijlage

Verschillen AVG handleiding 2018 en 2023:

Er zijn verschillende toevoegingen gedaan. De belangrijkste zijn:

• 3.1.5. Bij het bepalen van wie de verantwoordelijk is, is er nu extra tekst over het begrip  ‘essentiele’ en ‘niet-essentiele’ middelen. Denk bij essentiële middelen bijvoorbeeld aan het soort persoonsgegevens dat wordt verwerkt of de duur van de verwerking, en bij niet-essentiële middelen aan bijvoorbeeld de keuze voor een bepaald type hard- of software of de gedetailleerde beveiligingsmaatregelen die aan de verwerker kunnen worden overgelaten.
• 3.5.2 De verwerker: de tekst in deze subsectie is in essentie grotendeels hetzelfde gebleven, naast het herschrijven van een paar zinnen. Wel is er nog wat tekst toegevoegd wat betreft de essentiële en niet-essentiële middelen, namelijk dat er als verwerker wel enige ruimte is om zelfstandig beslissingen te nemen over ‘niet-essentiële middelen’. Als er echter beslissingen genomen worden over ‘essentiële middelen’, dan wordt de desbetreffende persoon zelf verwerkingsverantwoordelijke voor die (nieuwe) verwerkingen.
• 4.3.2 Hiërarchie grondslagen: in deze nieuwe subsectie staat als toevoeging dat er geen hiërarchie bestaat tussen de zes rechtsgrondslagen van artikel 6 AVG. Dat wil zeggen dat de verwerkingsverantwoordelijke dient na te gaan welke grondslag het meest geschikt is voor de verwerking van persoonsgegevens.
• Hoofdstuk 5.9 heeft een extra subhoofdstuk gekregen: 5.9.2 Hoe beoordeel ik het risico voor de rechten en vrijheden van betrokkenen?: in deze nieuwe subsectie wordt toegelicht hoe de risico’s van een datalek geëvalueerd moeten worden. Hiervoor worden de volgende criteria benoemd: de aard van de inbreuk, de aard, gevoeligheid en omvang van de persoonsgegevens, gemak waarmee personen geïdentificeerd kunnen worden, ernst van gevolgen voor betrokkenen, bijzondere kenmerken van betrokkenen en verwerkingsverantwoordelijke, en als laatst het aantal getroffen betrokkenen.
• Hoofdstuk 5.11 heeft een extra subhoofdstuk gekregen: 5.11.2 Moet de gedragscode worden goedgekeurd?: in deze nieuwe subsectie wordt beschreven hoe de Autoriteit persoonsgegevens besluit neemt over de goedkeuring, wijziging of uitbreiding van een gedragscode. Voordat een AP een gedragscode definitief kan goedkeuren, dienen een aantal stappen doorlopen te worden. Zo zal eerst een ontwerpbesluit genomen worden nemen om de gedragscode goed, waarna een zienswijze volgt waar belanghebbenden relevante stukken van de gedragscode kunnen inzien. Als dit is voltooid, wordt her definitieve besluit genomen door de AP.
• Hoodfstuk 8.5 “Waar moet ik op letten inzake aanvullende maatregelen?” is toegevoegd: hierin wordt toegelicht hoe gedocumenteerd moet worden in hoeverre het door u gekozen doorgifte instrument een passend beschermingsniveau biedt voor de persoonsgegevens die worden doorgegeven aan een derde land, en of de wetten en praktijken daar ook daadwerkelijk een passend beschermingsniveau garanderen.
• Hoofdstuk 8.6.1 Afwijkingen voor specifieke situaties: Hier is toegevoegd dat de doorgifte incidenteel en niet-repetitief hoort te zijn, in lijn met het specifieke karakter van afwijkingen. Ook geldt voor sommige situaties dat de doorgifte  “noodzakelijk” moet zijn. Hiervoor hoort dan een noodzakelijkheidstoets uitgevoerd te worden, waarbij wordt vastgesteld dat de doorgifte van persoonsgegevens wel degelijk vereist is in het kader van het doeleinde.

Verwerkingen waarvoor een DPIA benodigd is

Een Data Protection Impact Assessment moet volgens de AVG uitgevoerd worden als er sprake is van een vergroot risico. Dit is niet heel duidelijk en daarom zijn er door de Autoriteit Persoonsgegevens aanvullende richtlijnen gepubliceerd. De duidelijkst richtlijn is een lijst met 17 verwerkingen waarbij een DPIA vereist is . We hebben hier eerder al een artikel over geschreven: Verwerkingsactiviteiten waarbij een DPIA vereist is. Als u een project start dat op deze lijst staat, moet u tijdens het project een DPIA uitvoeren, bijvoorbeeld via dit template DPIA.

Melden datalek

In de nieuwe versie worden drie categorieën van schade geïntroduceerd, namelijk fysiek, materieel of immaterieel. Verder is er ook meer uitleg beschikbaar als het gaat om situaties waarin het niet noodzakelijk is om een datalek te melden aan de Autoriteit persoonsgegevens. Dit is het geval in situaties waarbij het achterwege blijven van die melding noodzakelijk is ter waarborging van verschillende bijvoorbeeld de nationale veiligheid, de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Verwerkersovereenkomst

In de nieuwe versie wordt extra toelichting gegeven als het gaat om of verwerkers andere partijen mogen inschakelen bij het uitvoeren van verwerkingen. In de verwerkersovereenkomst mag namelijk afgesproken worden of, en onder welke voorwaarden, subverwerkers ingeschakeld mogen worden, bijvoorbeeld door algemene schriftelijke toestemming van de verwerkersverantwoordelijke of specifieke toestemming, waarbij de verwerkingsverantwoordelijke voor elke verwerker voorafgaand toestemming te geven, voordat deze aangesteld mag worden als subverwerker.

Downloaden van de handleiding

U kunt de Handleiding AVG Rijksoverheid (versie 2023)  direct downloaden