Direct naar de inhoud

Wat zijn de belangrijkste aspecten van de Algemene Verordening Gegevensbescherming (AVG) waar een overheid op moet letten?

Antwoord

Een overheid is onderworpen aan de regels van de AVG wanneer zij persoonsgegevens verwerkt. Het is de verantwoordelijkheid van de nationale overheden om regionale en lokale overheden te ondersteunen tijdens hun voorbereiding op de implementatie van de AVG.

De meeste persoonsgegevens die in bezit zijn van overheidsinstanties, worden gewoonlijk verwerkt op basis van een wettelijke verplichting voor zover dat nodig is om taken uit te voeren in het kader van het algemeen belang of de uitoefening van openbaar gezag waarover deze instantie beschikt.

Bij het verwerken van persoonsgegevens moet een overheidsinstantie de volgende essentiële beginselen eerbieden, zoals:

  • eerlijke en rechtmatige verwerking;
  • doelbinding;
  • minimale gegevensverwerking en bewaring van gegevens;
  • in het geval van verwerking op basis van de wet, dient deze wet ervoor te zorgen dat deze beginselen in acht worden genomen (zoals soorten opslag, opslagperiode en passende waarborgen).

Voordat persoonsgegevens worden verwerkt, moeten de betrokkenen op de hoogte worden gebracht van de verwerking, zoals voor welke doeleinden de gegevens worden verwerkt, welke gegevens worden verzameld, wie de gegevens zal ontvangen en welke rechten de betrokkenen hebbenop het gebied van gegevensbescherming.

Een overheidsinstantie dient een functionaris voor gegevensbescherming te benoemen. Een enkele functionaris voor gegevensbescherming kan echter ook worden benoemd voor meerdere overheidsorganen die de diensten van deze functionaris delen. Daarnaast kan het werk tevens worden uitbesteed aan een externe functionaris voor gegevensbescherming. De overheidsinstantie moet er ook voor zorgen dat er passende technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens te beveiligen. Als er delen van de verwerking zijn uitbesteedt aan een externe organisatie (de zogeheten „verwerker”), moet er een overeenkomst of andere rechtshandeling zijn die garandeert dat de verwerker voldoende garanties biedt dat passende technische en organisatorische maatregelen worden getroffen die aan de normen van de AVG voldoen.

Wanneer persoonsgegevens per ongeluk of onrechtmatig aan onbevoegde ontvangers worden geopenbaard of tijdelijk niet beschikbaar of gewijzigd zijn, moet de inbreuk onverwijld aan de gegevensbeschermingsautoriteit worden gemeld en uiterlijk binnen 72 uur nadat de overheidsinstantie kennis kreeg van de inbreuk. Mogelijk moet de overheidsinstantie ook de betrokken personen informeren over de inbreuk.

Meer informatie over de verplichtingen van overheidsinstanties in het kader van de AVG vindt u in het hoofdstuk „Ondernemingen en organisaties”.

Referenties

References