grondrechten van de Europese burgers worden online onvoldoende beschermd

National Contact Points for Consumers

Austria - Federal Ministry of Labour, Social Affairs, Health and Consumer Protection

 Email: produktsicherheit@sozialministerium.at  Website:

https://www.sozialministerium.at/site/Soziales_und_Konsu mentInnen/KonsumentInnen/Produktsicherheit/Gefaehrlich e_Produkte_melden/

Belgium – Consumer Authority

 Email: belspoc@economie.fgov.be  Website:

https://pointdecontact.belgique.be/meldpunt/fr/bienvenue

Bulgaria – Product Safety complaints  Email: compliant.GPSD@kzp.bg

Croatia – Consumer Protection Service  Website: https://www.hanfa.hr/consumer-

protection/complaints-to-hanfa/

Cyprus – Consumer Protection Service  Email: ccps@mcit.gov.cy

 Website:

http://www.mcit.gov.cy/mcit/cyco/cyconsumer.nsf/contact_ en/contact_en?OpenDocument

Czechia – Ministry of Industry and Trade  Website: https://www.mpo.cz/cz/ochrana-

spotrebitele/bezpecnost-vyrobku/podavani-podnetu- ohledne-bezpecnosti-nepotravinarskych-vyrobku-a-jejich- kontroly-verejnosti---246926/

Denmark – Danish Safety Technology Authority  Email: sik@sik.dk

Estonia – Consumer Protection and Technical Regulatory Authority

 Email: info@ttja.ee

Finland – Finnish Safety and Chemicals Agency

 Website: https://tukes.fi/asiointi/ilmoita-vaarallinen-tai-

puutteellinen-tuote

France – Consumer Authority

 Website: http://www.economie.gouv.fr/courrier/4212

Germany – Federal Institute for Occupational Safety and Health

 Website:

https://www.baua.de/DE/Services/Kontakt/Kontaktformular _node.html

                       

 Greece - Consumer Authority  Email: 1520@efpolis.gr

Hungary – European Consumer Centre

 Website: http://fogyasztovedelem.kormany.hu/node/4531

Ireland – Competition and Consumer Protection Commission

 Website: https://www.ccpc.ie/consumers/

Italy – Ministry of Economic Development  Email: dgmccvnt.dg@pec.mise.gov.it

Latvia – Consumer Rights Protection Centre  Email: ptac@ptac.gov.lv

Lithuania – State Consumer Rights Protection Authority  Website: http://www.vvtat.lt/en/about-authority.html

Luxembourg – Market Surveillance Department  Website: https://portail-qualite.public.lu/fr.html

Malta – Market Surveillance Authority

 Email: marketsurveillance@mccaa.org.mt

 Website: https://mccaa.org.mt/home/complaint

Netherlands – Consumer Product Safety Authority  Website: https://www.nvwa.nl/onderwerpen/melden-

onveilige-producten-non-food

Poland – Office of Competition and Consumer Protection

 Website: https://www.uokik.gov.pl/

Portugal – Market Surveillance Authority  Website: https://www.consumidor.gov.pt/

Romania – National Authority for Consumer Protection  Website: http://www.anpc.gov.ro/

Slovakia – Slovak Trade Inspection - Central Inspectorate  Address: P.O. Box 29, Bajkalská 21/A,

827 99 Bratislava 27, Slovakia

Slovenia – Market Inspectorate of the Republic of

Slovenia

 Email: gp.tirs@gov.si

Health Inspectorate of the Republic of Slovenia (toys, cosmetics, childcare articles)

 Email: gp.zirs@gov.si

Spain – National Authority  Website:

http://www.mscbs.gob.es/servCiudadanos/atencionCiudada no/home.htm

Sweden – Swedish Consumer Agency

 Website: https://www.konsumentverket.se/for-

                   konsument/anmal-till-konsumentverket/anmalan/

 

 Iceland – Consumer Agency

 Email: postur@neytendastofa.is  Website:

https://rafraen.neytendastofa.is/pages/nafnlausabending/ https://rafraen.neytendastofa.is/pages/

Liechtenstein – Office of Economic Affairs - Technical Inspection, Measures and Standards Bureau

 Email: tpmn.avw@llv.li

Norway – Department of Consumer, Religious and Life Stance Affairs

 Email: postmottak@bfd.dep.no  Website:

https://www.regjeringen.no/en/dep/bfd/organisation/depar tments/Department-of-Consumer-Affairs-and-religious-and- life-stance-Affairs/id752066/

United Kingdom in respect of Northern Ireland - Citizens Advice Consumer Service

 Telephone: 03454 04 05 06

 Website: https://www.citizensadvice.org.uk/consumer/get-

more-help/if-you-need-more-help-about-a-consumer-issue

grondrechten van de Europese burgers worden online onvoldoende beschermd. Platforms kunnen bijvoorbeeld besluiten om inhoud van gebruikers te verwijderen, zonder deze hiervan op de hoogte te stellen of een mogelijkheid van verhaal te bieden. Dit heeft grote gevolgen voor de vrijheid van meningsuiting van de gebruikers.

92% van de respondenten vindt transparantie van dienstverleners belangrijk voor de vrijheid van meningsuiting (openbare raadpleging over de wet inzake digitale diensten)

Wat verandert er door de nieuwe wet inzake digitale diensten? Gebruikers moeten worden geïnformeerd over de verwijdering van inhoud door platforms en er bezwaar tegen kunnen maken. Gebruikers krijgen toegang tot geschillenbeslechting in hun eigen land Transparante voorwaarden voor platforms Meer veiligheid en duidelijkheid over de echte verkopers van producten Strengere beoordelings- en risicobeperkingsverplichtingen voor zeer grote onlineplatforms, waar de kans op virale verspreiding het grootst is en de meeste gevolgen heeft  Toegang van erkende onderzoekers tot platformdata zodat zij inzicht kunnen krijgen in de risico’s voor de samenleving en de grondrechten

Mondige burgers en gebruikers

Platforms optimaliseren de presentatie van informatie om aandacht te trekken en inkomsten te genereren, maar hun gebruikers weten niet hoe die platforms inhoud sorteren en hen profileren. Door manipulatie van aanbevelingssystemen en misbruik van reclamesystemen kan gevaarlijke desinformatie en illegale inhoud worden verspreid.

70% van de respondenten denkt dat via onlineplatforms op die manier desinformatie wordt verspreid(openbare raadpleging over de wet inzake digitale diensten)

Wat verandert de nieuwe wet inzake digitale diensten? Transparantie van de regels voor het modereren van inhoud Nuttige informatie over reclame en gerichte advertenties: wie de advertentie betaalde, hoe en waarom deze afgestemd is op een gebruiker Duidelijke informatie over de vraag waarom inhoud wordt aanbevolen aan gebruikers Het recht van gebruikers om af te zien van aanbevelingen van producten of diensten op basis van profilering Gedragscodes voor platforms Betere toegang tot platformdata voor autoriteiten en onderzoekers, om beter te begrijpen hoe inhoud viraal kan gaan en welke gevolgen dat heeft, en om de maatschappelijke risico’s te kunnen beperken

Digitale diensten van hoge kwaliteit tegen lagere prijzen

Enkele onlineplatforms beïnvloeden het leven van miljarden gebruikers en de activiteiten van miljoenen bedrijven in Europa. Sommige daarvan hebben een enorme impact op de digitale markten, controleren er de toegang toe, en zijn er volledig mee verweven. Zij kunnen oneerlijke "take it-or-leave-it"-voorwaarden opleggen, zowel aan zakelijke gebruikers als aan consumenten.

60% van de respondenten zegt dat consumenten onvoldoende keuzes en alternatieven hebben met betrekking tot onlineplatforms (openbare raadpleging over een nieuw concurrentie-instrument)

Wat verandert er door de nieuwe wet inzake digitale markten? Verbod op oneerlijke praktijken, waardoor zakelijke gebruikers consumenten meer keuzemogelijkheden voor innovatieve diensten kunnen bieden Betere interoperabiliteit met diensten die een alternatief vormen voor gatekeepers Consumenten kunnen makkelijker van platform veranderen Betere dienstverlening en lagere prijzen voor consumenten Legal certainty for platforms Today, national legislative initiatives in EU Member States may partially address the problems identified but also lead to increased regulatory fragmentation in the EU. This can create increased compliance costs for platforms operating cross-border. What the new Digital Markets Act changes: Gatekeepers know beforehand the obligations they have to respect. Other platforms will not be subject to these rules but will be able to benefit from fairer behaviours when doing businesses with gatekeepers. Reduced compliance costs for gatekeepers and their business users. What the new Digital Services Act changes: One set of rules applicable throughout the EU The new rules set up mechanisms for the Commission and Member States to coordinate their actions and ensure a proper implementation of the framework across the EU. Tailored asymmetric obligations Today, users are exposed to illegal goods, content or services, and all decisions are mostly at the discretion of the platforms. The biggest impact comes from those platforms which have become quasi-public spaces for communication and trading. What the new Digital Services Act changes: Measures to counter illegal goods, services or content online, such as a mechanism for users to flag such content and for platforms to cooperate with “trusted flaggers”. New obligations on traceability of business users in online market places, to help identify sellers of illegal goods. Effective safeguards for users, including the possibility to challenge platforms’ content moderation decisions Transparency measures for online platforms that are wide-ranging, including on the algorithms used for recommendation Obligations for very large platforms that reach more than 10% of the EU’s population to prevent abuse of their systems by taking risk-based action and through independent audits of their risk management systems. Researchers will have access to data of key platforms, in order to scrutinise how platforms work. Codes of conduct and technical standards will assist platforms in their compliance with the new rules. All online intermediaries offering their services in the single market, whether they are established in the EU or outside, will have to comply with the new rules. Oversight structure to match the complexity of the online space: Member States will have the primary role, supported by a new European Board for Digital Services; for very large platforms, enhanced supervision and enforcement by the Commission   Intermediary services Hosting services Online platforms Very large platforms Transparency reporting ● ● ● ● Requirements on terms of service due account of fundamental rights ● ● ● ● Cooperation with national authorities following orders ● ● ● ● Points of contact and, where necessary, legal representative ● ● ● ● Notice and action and obligation to provide information to users   ● ● ● Complaint and redress mechanism and out of court dispute settlement     ● ● Trusted flaggers     ● ● Measures against abusive notices and counter-notices     ● ● Vetting credentials of third party suppliers ("KYBC")     ● ● User-facing transparency of online advertising     ● ● Reporting criminal offences     ● ● Risk management obligations and compliance officer       ● External risk auditing and public accountability       ● Transparency of recommender systems and user choice for access to information       ● Data sharing with authorities and researchers       ● Codes of conduct       ● Crisis response cooperation       ● Clarified liability and efficient compliance mechanism The liability exemption for online intermediaries is a cornerstone of internet regulation, ensuring that it is possible to tackle illegal content, goods or services swiftly, but also that platforms are not incentivised to remove legitimate content and are not obliged to monitor their users. Today, some of the rules led to fragmentation across the single market, and there are uncertainties for diligent platforms who want to take measures and protect their users from illegal content. What the new Digital Services Act changes: Reinforce and further clarify the conditions for liability exemptions: Platforms and other intermediaries are not liable for users’ unlawful behaviour unless they are aware of illegal acts and fail to remove them. Rules for the liability exception will now be harmonised and uniform across the EU thanks to a directly applicable Regulation. New clarifications on how these conditions apply for consumer protection liability. Solving the paradox of voluntary measures taken by small platforms: diligent platforms are not liable for illegal content they detect themselves More legal certainty on interaction with authorities: Legal orders and orders to access information about users will have minimum common criteria, and platforms will know how to react to them Single Market Programme: Consumer protection Ensuring a high level of consumer protection, product safety and a stronger voice for consumers PAGE CONTENTS Aims Tools Calls for proposals Lead directorates-general Aims Actions under the Single Market Programme promote the interests of European consumers and end-users, including in financial services. They ensure that consumer rights are respected and enforced in every EU country and strengthen the consumer voice in policy-making. We will make sure that products on the market are safe empower, educate and assist consumers to make sustainable and informed choices ensure that all consumers have access to redress mechanisms protect vulnerable consumers in order to enhance fairness and transparency in the internal market support competent enforcement authorities and consumer organisations Tools The European online dispute resolution platform (ODR) that helps consumers who shop online Alternative dispute resolution (ADR) that helps consumers solve disputes out of court A consumer protection cooperation network to tackle illegal EU-wide practices (e.g. misleading advertising campaigns) Safety Gate: the EU rapid alert system for dangerous non-food products European consumer centres providing assistance to consumers to help them exercise their rights and obtain access to redress mechanisms Grants to 2 European organisations representing the views of users of financial services and small investors Calls for proposals Calls for proposals for actions supporting consumer protection under the Single Market Programme will be advertised on the website of the European Innovation Council and SMEs Executive Agencyand published on the European Commission’s Funding and tender portal. Proposals can only be submitted electronically through the Funding and tender portal. Information including the legislation and rules for participation, templates for proposals, evaluations and project reporting can be accessed on the Funding and tender portal. Lead directorates-general Managed by Directorate-General for Justice and Consumers Directorate-General for Financial Stability, Financial Services and Capital Markets Union Partly implemented on their behalf by European Innovation Council and SMEs Executive Agency. Belgium: U.S. companies identified several policies affecting market access, including a turnover tax, a crisis tax, a marketing tax, and a clawback tax. In addition, industry reports that domestically manufactured medicines are permitted a price premium of up to 10 percent on the manufacturing cost component when calculating their manufacturer’s selling price. Imported products, however, are only eligible for up to a 5 percent price premium. The United States continues to highlight the need for a continued dialogue with the Belgian Government to address the above as well as meaningful opportunities for stakeholder input into budget and pricing decisions with the aim of safeguarding the access to the best treatment, including new innovative medicines, for Belgian patients. Algemene verordening gegevensbescherming Naar navigatie springenNaar zoeken springen Algemene verordening gegevensbescherming Citeertitel Algemene verordening gegevensbescherming Titel Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG Afkorting AVG Soort regeling Europese verordening Toepassingsgebied Europese Unie Status Geldend Grondslag Artikel 16 VWEU Goedkeuring en inwerkingtreding Ingediend op 25 januari 2012 door Europese Commissie Aangenomen door Europees Parlement op 14 april 2016; Raad op 8 april 2016 Ondertekend op 27 april 2016 Gepubliceerd op 4 mei 2016 Gepubliceerd in PbEU 2016, L 119/1 In werking getreden op 24 mei 2016 (van toepassing vanaf 25 mei 2018) Geschiedenis Opvolger van Databeschermingsrichtlijn Lees online Algemene verordening gegevensbescherming Portaal     Mens & maatschappij Overzicht algemene verordening gegevensbescherming De Algemene verordening gegevensbescherming (AVG) (Engels: General Data Protection Regulation (GDPR)) is een Europese verordening (dus met rechtstreekse werking) die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Het doel is niet alleen om de bescherming van persoonsgegevens binnen de Europese Unie te garanderen, maar ook om het vrije verkeer van gegevens binnen de Europese interne markt te waarborgen. De verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens bijhouden en verwerken van natuurlijke personen in de Europese Unie, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. De verordening verving de databeschermingsrichtlijn uit 1995,[1] die niet meer op de huidige digitale wereld aansloot. De AVG is in mei 2016 in werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming brengen. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving.[2][3] Inhoud 1Voorgeschiedenis 2Principes 3Inhoud 3.1Toepassingsgebied 3.2Eén set regels en één loket 3.3Verantwoordelijkheid en verantwoordingsplicht 3.4Wettelijke basis voor verwerking 3.5Toestemming 3.6Functionaris voor gegevensbescherming 3.7Pseudonimisering 3.8Datalek 3.9Sancties 4Privacyrechten 4.1Recht op inzage 4.2Recht op vergetelheid 4.3Recht op rectificatie en aanvulling 4.4Recht op dataportabiliteit 4.5Recht op beperking van de verwerking 4.6Recht op een menselijke blik bij besluiten 4.7Recht van bezwaar 5Beperkingen 6Tijdlijn 7E-privacyverordening 8Europese instellingen 9Nederland 10België 11Zie ook 12Externe links Voorgeschiedenis[bewerken | brontekst bewerken] Reeds in de 19e en 20e eeuw werden de grote principes inzake privacy vooropgesteld. Dit leidde na de Tweede Wereldoorlog tot een reeks internationale verdragen. Binnen de Europese Unie kwam in 1995 de databeschermingsrichtlijn tot stand. In januari 2012 stelde de Europese Commissie een grondige hervorming voor van de databeschermingsrichtlijn uit 1995, waarop in maart 2012 zowel de Europees Toezichthouder voor gegevensbescherming als de Werkgroep Artikel 29 (de voorloper van het Europees Comité voor gegevensbescherming) advies uitbrachten. Op 12 maart 2014 keurde het Europees Parlement een eerste versie van de AVG met een overweldigende meerderheid goed. Het zou dan nog tot december 2015 duren alvorens het Parlement, de Europese Raad en de Commissie tot een finale tekst besloten, die op 24 mei 2016 in werking is getreden, met een overgangsperiode van twee jaar.[4] Principes[bewerken | brontekst bewerken] Persoonsgegevens zijn gegevens die aan een individu verbonden kunnen worden, of waarmee een individu kan worden geïdentificeerd, bijvoorbeeld naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mailadres, IP-adres, vingerafdruk en medische data. De volgende regels moeten worden gevolgd: transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten. doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden gegevensbeperking: enkel de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld juistheid: de persoonsgegevens moeten correct zijn en blijven bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen Inhoud[bewerken | brontekst bewerken] Toepassingsgebied[bewerken | brontekst bewerken] De verordening is van toepassing indien de voor de verwerking verantwoordelijke, een organisatie die gegevens verzamelt van EU burgers, of een verwerker, een organisatie die gegevens verwerkt namens voor de verwerking verantwoordelijke zoals cloud-dienstverleners of namens de betrokkene (persoon), in de EU is gevestigd. De verordening is ook van toepassing op buiten de EU gevestigde organisaties die persoonsgegevens verzamelen of verwerken van binnen de EU gevestigde personen. Volgens de Europese Commissie "zijn persoonsgegevens alle gegevens die betrekking hebben op een individu, ongeacht of het gaat om zijn privé-, beroeps- of openbare leven. Het kan gaan om een naam, een huisadres, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer."[5] Het maakt hierbij niet uit of de gegevens electronisch of op papier worden verwerkt.[6] De verordening is niet bedoeld om van toepassing te zijn op de verwerking van persoonsgegevens voor activiteiten op het gebied van nationale veiligheid of rechtshandhaving in de EU; industriële groepen die zich zorgen maken over mogelijke wetsconflicten hebben zich echter afgevraagd of artikel 48[7] van de AVG kan worden ingeroepen om te proberen te voorkomen dat een voor de verwerking verantwoordelijke die onder de wetgeving van een derde land valt, zich houdt aan een rechtsorde van de wetshandhavings-, gerechtelijke of nationale veiligheidsinstanties van dat land om aan die autoriteiten de persoonsgegevens van een persoon uit de EU bekend te maken, ongeacht of de gegevens zich in of uit de EU bevinden. Artikel 48 bepaalt dat een rechterlijke beslissing van een rechterlijke instantie en een beslissing van een administratieve autoriteit van een derde land die een voor de verwerking verantwoordelijke of verwerker ertoe verplicht persoonsgegevens door te geven of openbaar te maken, alleen erkend of afdwingbaar kan zijn op grond van een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp dat van kracht is tussen het verzoekende derde land (niet-EU) en de EU of een lidstaat. Het hervormingspakket inzake gegevensbescherming omvat ook een afzonderlijke gegevensbeschermingsrichtlijn voor de politiële en strafrechtelijke sector die regels bevat voor de uitwisseling van persoonsgegevens op nationaal, Europees en internationaal niveau. Eén set regels en één loket[bewerken | brontekst bewerken] Voor alle lidstaten van de EU gelden dezelfde regels. Elke lidstaat dient een onafhankelijke gegevensbeschermingsautoriteit te hebben om klachten te behandelen en te onderzoeken, administratieve overtredingen te bestraffen, enz. De toezichthoudende autoriteiten in elke lidstaat werken samen met andere toezichthoudende autoriteiten, verlenen wederzijdse bijstand en organiseren gezamenlijke acties. Indien een bedrijf in de EU meerdere vestigingen heeft, zal het één enkele toezichthoudende autoriteit als "leidende autoriteit" hebben, gebaseerd op de locatie van zijn "hoofdvestiging" waar de belangrijkste verwerkingsactiviteiten plaatsvinden. Het Europees Comité voor gegevensbescherming coördineert de toezichthoudende autoriteiten. Dit Comité vervangt de werkgroep artikel 29. Er zijn uitzonderingen voor gegevens die in het kader van de werkgelegenheid of de nationale veiligheid worden verwerkt en die nog steeds onderworpen kunnen zijn aan individuele nationale regelgeving (artikel 2, lid 2, onder a), en artikel 82 van de AVG). Verantwoordelijkheid en verantwoordingsplicht[bewerken | brontekst bewerken] De aankondigingseisen blijven gehandhaafd en worden uitgebreid. Zij moeten de bewaartermijn voor persoonsgegevens bevatten en er moet contactinformatie worden verstrekt aan de verantwoordelijke voor de verwerking en de functionaris voor gegevensbescherming. Geautomatiseerde individuele besluitvorming, met inbegrip van profilering (artikel 22), kan worden betwist, net als in de databeschermingsrichtlijn (artikel 15). Burgers hebben het recht om vragen te stellen en te strijden tegen belangrijke beslissingen die hen betreffen en slechts op algoritmische basis zijn genomen. Om aan te kunnen tonen dat de AVG wordt nageleefd, moet de voor de verwerking verantwoordelijke maatregelen nemen die voldoen aan de beginselen van gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default). Volgens gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (artikel 25) moeten gegevensbeschermingsmaatregelen worden ontworpen voor de ontwikkeling van bedrijfsprocessen voor producten en diensten. Dergelijke maatregelen omvatten onder meer pseudonimisering van persoonsgegevens door de voor de verwerking verantwoordelijke, zo spoedig mogelijk (overweging 78). Het is de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke om effectieve maatregelen te treffen en de conformiteit van de verwerkingsactiviteiten aan te tonen, zelfs als de verwerking wordt uitgevoerd door een gegevensverwerker namens de voor de verwerking verantwoordelijke. (overweging 74). Bij specifieke risico's voor de rechten en vrijheden van de betrokkenen moeten gegevensbeschermingseffectbeoordelingen (artikel 35) worden uitgevoerd. Risicobeoordeling en risicobeperking is vereist en voorafgaande goedkeuring van de nationale gegevensbeschermingsautoriteiten is vereist voor grote risico' s. Er zijn gegevensbeschermingsfunctionarissen (artikelen 37-39) nodig om de naleving binnen organisaties te waarborgen. Zij moeten worden benoemd: voor alle overheidsinstanties, met uitzondering van rechterlijke instanties die in hun hoedanigheid van rechter optreden; indien de kernactiviteiten van de voor de verwerking verantwoordelijke of de verwerker als volgt zijn: verwerkingen die vanwege hun aard, reikwijdte en/of doeleinden vereisen dat de betrokkenen op grote schaal regelmatig en systematisch worden gevolgd; verwerking op grote schaal van speciale categorieën van gegevens overeenkomstig artikel 9 en persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.[7] Wettelijke basis voor verwerking[bewerken | brontekst bewerken] Gegevens mogen niet worden verwerkt tenzij er ten minste één wettelijke basis is om dit te doen:[7] De betrokkene heeft toestemming gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Verwerking is noodzakelijk voor de uitvoering van een contract waar betrokkene deel van is of om op verzoek van de betrokkene stappen te ondernemen voordat hij een contract sluit. Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen. Verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te behartigen. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van officiële autoriteit van de voor de verwerking verantwoordelijke. Verwerking is noodzakelijk met het oog op de rechtmatige belangen die door de voor de verwerking verantwoordelijke of door een derde worden behartigd, tenzij de belangen of fundamentele rechten en vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, prevaleren boven deze rechtmatige belangen, met name wanneer de betrokkene een kind is. Toestemming[bewerken | brontekst bewerken] Indien de toestemming wordt gebruikt als wettelijke basis voor verwerking, moet de toestemming expliciet worden gegeven voor de verzamelde gegevens en de doeleinden waarvoor die gegevens worden gebruikt (artikel 7; gedefinieerd in artikel 4). Toestemming voor kinderen moet door de ouder of voogd van het kind worden gegeven en moet verifieerbaar zijn (artikel 8). De voor de verwerking verantwoordelijken moeten "toestemming" kunnen aantonen en de toestemming kan worden ingetrokken. Functionaris voor gegevensbescherming[bewerken | brontekst bewerken] Indien de verwerking wordt uitgevoerd door een overheidsinstantie, met uitzondering van rechterlijke instanties of onafhankelijke rechterlijke instanties wanneer zij optreden in hun gerechtelijke hoedanigheid, of indien de verwerking in de particuliere sector wordt uitgevoerd door een voor de verwerking verantwoordelijke wiens kernactiviteiten bestaan uit verwerkingen die een regelmatige en systematische controle van de betrokkenen vereisen, dient een persoon met deskundige kennis van de wetgeving en praktijken inzake gegevensbescherming de voor de verwerking verantwoordelijke of verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. De functionaris voor gegevensbescherming is vergelijkbaar met een nalevingsfunctionaris en zal naar verwachting ook deskundig zijn in het beheren van IT-processen, gegevensbeveiliging (met inbegrip van het afhandelen van cyberaanvallen) en andere kritieke bedrijfscontinuïteitsaspecten rond het bewaren en verwerken van persoonlijke en gevoelige gegevens. De vereiste vaardigheden gaan verder dan het begrijpen van de wettelijke naleving van wetten en voorschriften inzake gegevensbescherming. De aanstelling van een functionaris voor gegevensbescherming in een grote organisatie zal een uitdaging vormen voor zowel het bestuur als de betrokkene. Er zijn tal van problemen op het gebied van bestuur en menselijke factoren die organisaties en bedrijven moeten aanpakken, gezien de omvang en de aard van de benoeming. Daarnaast moet de functionaris voor gegevensbescherming beschikken over een ondersteuningsteam en zal hij ook verantwoordelijk zijn voor de verdere professionele ontwikkeling om onafhankelijk te zijn van de organisatie die hen in dienst neemt, effectief als een "mini-autoriteit". Meer details over de functie en de rol van de functionaris voor gegevensbescherming werden op 13 december 2016 (herziene versie 5 april 2017) gegeven in een richtsnoer.[8] Pseudonimisering[bewerken | brontekst bewerken] De AVG verwijst naar pseudonimisering als een proces waarbij persoonsgegevens zodanig worden omgezet dat de resulterende gegevens niet zonder het gebruik van aanvullende informatie aan een specifieke betrokkene kunnen worden toegeschreven. Een voorbeeld hiervan is versleuteling, waarbij de oorspronkelijke gegevens onbegrijpelijk worden en het proces niet kan worden omgekeerd zonder toegang tot de juiste ontcijferingssleutel. De AVG vereist dat de aanvullende informatie (zoals de ontcijferingssleutel) gescheiden wordt gehouden van de gepseudonimiseerde gegevens. Een ander voorbeeld van pseudonimisering is symbolisering, een niet-wiskundige benadering van de bescherming van gegevens in rust die gevoelige gegevens vervangt door niet-gevoelige substituten, de zogenaamde symbolen. De symbolen hebben geen extrinsieke of exploiteerbare betekenis of waarde. De symbolisering verandert het type of de lengte van de gegevens niet, wat betekent dat het kan worden verwerkt door oudere systemen zoals databases die gevoelig kunnen zijn voor lengte en type gegevens. Dat vereist veel minder rekenmiddelen om te verwerken en minder opslagruimte in databases dan traditioneel gecodeerde gegevens. Dit wordt bereikt door specifieke gegevens volledig of gedeeltelijk zichtbaar te houden voor verwerking en analyse terwijl gevoelige informatie verborgen wordt gehouden. Pseudonimisering wordt aanbevolen om de risico's voor de betrokkenen te beperken en ook om de voor de verwerking verantwoordelijken en verwerkers te helpen hun verplichtingen inzake gegevensbescherming na te komen (overweging 28). Hoewel de AVG het gebruik van pseudonimisering aanmoedigt om "de risico's voor de betrokkenen te verminderen" (overweging 28), worden gepseudonimiseerde gegevens nog steeds beschouwd als persoonsgegevens (overweging 26) en blijven zij dus onder de AVG vallen. Datalek[bewerken | brontekst bewerken] Krachtens de AVG is de voor de verwerking verantwoordelijke wettelijk verplicht de toezichthoudende autoriteit zonder onnodige vertraging op de hoogte te stellen, tenzij het datalek waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen. Er is een maximumtermijn van 72 uur na kennisneming van het datalek om het verslag op te stellen (artikel 33). Personen moeten op de hoogte worden gebracht wanneer negatieve effecten worden vastgesteld (artikel 34). Bovendien moet de gegevensverwerker de voor de verwerking verantwoordelijke zonder onnodige vertraging op de hoogte te stellen van een datalek. (artikel 33). De kennisgeving aan betrokkenen is echter niet vereist indien de voor de verwerking verantwoordelijke passende technische en organisatorische beschermingsmaatregelen ten uitvoer heeft gelegd die de persoonsgegevens onbegrijpelijk maken voor eenieder die geen toegangsbevoegdheid heeft, zoals versleuteling (artikel 34). Sancties[bewerken | brontekst bewerken] De volgende sancties kunnen worden opgelegd: een schriftelijke waarschuwing in geval van eerste en niet-opzettelijke niet-naleving periodieke controles van gegevensbescherming een boete van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet van het vorige boekjaar in het geval van een onderneming, afhankelijk van welk bedrag hoger is, indien de volgende bepalingen zijn overtreden (artikel 83, lid 4, onder 20) de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker uit hoofde van de artikelen 8,11,25 tot en met 39,42 en 43 de verplichtingen van de certificeringsinstantie uit hoofde van de artikelen 42 en 43 de verplichtingen van het controleorgaan uit hoofde van artikel 41, lid 4 een boete van maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet van het vorige boekjaar in het geval van een onderneming, afhankelijk van welk bedrag hoger is, indien de volgende bepalingen zijn overtreden (artikel 83, leden 5 en 6[9]) de basisbeginselen voor verwerking, met inbegrip van de voorwaarden voor toestemming overeenkomstig de artikelen 5,6,7 en 9 de rechten van de betrokkenen uit hoofde van de artikelen 12 tot en met 22 de doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49 eventuele verplichtingen uit hoofde van de krachtens hoofdstuk IX vastgestelde wetgeving van een lidstaat niet-naleving van een bevel of een tijdelijke of definitieve beperking van de verwerking of opschorting van de gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of het niet verlenen van toegang in strijd met artikel 58, lid 1, of het niet verlenen van toegang in strijd met artikel 58, lid 1 Privacyrechten[bewerken | brontekst bewerken] De AVG kent betrokkenen onder meer onderstaande rechten toe. Recht op inzage[bewerken | brontekst bewerken] Het recht van toegang (artikel 15) is een recht van de betrokkene.[10] Dit geeft burgers het recht om toegang te krijgen tot hun persoonlijke gegevens en informatie over de manier waarop deze persoonsgegevens worden verwerkt. Een voor de verwerking verantwoordelijke moet op verzoek een overzicht verstrekken van de categorieën gegevens die worden verwerkt (artikel 15, lid 1, onder b)) en een kopie van de feitelijke gegevens (artikel 15, lid 3). Daarnaast moet de verantwoordelijke voor de verwerking de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is (artikel 15, lid 1, onder a)), met wie de gegevens worden gedeeld (artikel 15, lid 1, onder c)) en hoe de gegevens zijn verkregen (artikel 15, lid 1, onder g)). Recht op vergetelheid[bewerken | brontekst bewerken] Het recht om vergeten te worden werd vervangen door een beperkter recht op schrapping in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen.[11] Artikel 17 bepaalt dat de betrokkene het recht heeft om op een van een aantal gronden te verzoeken om verwijdering van hem betreffende persoonsgegevens, waaronder niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen (zie ook Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González). Recht op rectificatie en aanvulling[bewerken | brontekst bewerken] Een betrokkene heeft het recht dat een organisatie op verzoek zijn gegevens corrigeert. Wanneer het gaat om subjectieve informatie zoals een functievervullingsformulier of een psychologisch rapport, dan hoeft een organisatie het oordeel niet bij te stellen. Wel mag een betrokkene vragen om de tekst aan te vullen met diens visie op de zaak. Recht op dataportabiliteit[bewerken | brontekst bewerken] Een betrokkene moet door hem verstrekte persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere kunnen overdragen, zonder door de verantwoordelijke voor de verwerking te worden verhinderd. Geanonimiseerde gegevens en gegevens die niet op de betrokkene zelf zien vallen buiten dit zogenaamde recht op dataportabiliteit. Gepseudonimiseerde gegevens en gegevens van derden die duidelijk aan de betrokkene gekoppeld kunnen worden (bijvoorbeeld doordat de betrokkene aanvullende gegevens verschaft, vgl. artikel 11, tweede lid) komen wel in aanmerking.[12][13] Zowel gegevens die door de betrokkene "verstrekt" zijn, als "waargenomen" gegevens – bijvoorbeeld over zijn gedrag – vallen binnen de omvang van dit recht. Dit geldt niet voor afgeleide gegevens, zoals een op basis van het bezoekersgedrag opgebouwd interesseprofiel.[13] De gegevens moeten door de verwerkingsverantwoordelijke worden verstrekt in een gestructureerde en algemeen gebruikte elektronische open standaard. Het recht op gegevensoverdraagbaarheid is vastgelegd in artikel 20 van de AVG. Juridische deskundigen zien in de definitieve versie van deze maatregel een "nieuw recht" dat "verder reikt dan de portabiliteit van gegevens tussen twee voor de verwerking verantwoordelijken, zoals bepaald in [artikel 20]".[14] Recht op beperking van de verwerking[bewerken | brontekst bewerken] Artikel 18 AVG: Een betrokkene heeft het recht om de verwerking van zijn gegevens door een organisatie te beperken. Bijvoorbeeld omdat er een juridische procedure loopt, of wanneer de gegevens niet kloppen maar de correctie nog niet is verwerkt of wanneer de organisatie de gegevens gebruikt voor een doel waarvoor hij ze niet mag gebruiken. Bijvoorbeeld in het geval dat betrokkene de organisatie een mailadres heeft gegeven om een afspraak met een monteur te maken, en de organisatie het adres gebruikt om marketingmails te sturen. Recht op een menselijke blik bij besluiten[bewerken | brontekst bewerken] Bij geautomatiseerde besluitvorming heeft betrokkene het recht om bezwaar te maken tegen het besluit en te vragen om een nieuw besluit, genomen met tussenkomst van een menselijke blik. Deze situatie komt veel voor bij de automatische acceptatie - en weigering - van verzekerden door een verzekeraar. Recht van bezwaar[bewerken | brontekst bewerken] Een betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn gegevens. Bij direct marketing is dit een absoluut recht: de organisatie moet dit bezwaar altijd respecteren. In andere situaties geldt een afweging van de belangen van de betrokkene tegen de belangen van de organisatie. Wanneer de procedure loopt, mag de organisatie de gegevens van de betrokkene niet verwerken. Beperkingen[bewerken | brontekst bewerken] De volgende zaken vallen niet onder de verordening:[10] Nationale veiligheid, het leger, de politie, justitie Statistische en wetenschappelijke analyse Overleden personen vallen onder de nationale wetgeving Er is een speciale wet over werkgever-werknemer relaties Verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit Tijdlijn[bewerken | brontekst bewerken] 21 oktober 2013 introductie in het Europees Parlement 2013-2015 onderhandelingen tussen het Europees Parlement, de Raad en de Commissie 4 mei 2016 publicatie wetteksten 24 mei 2016 de AVG is in werking getreden[15] 24 mei 2016 t/m 24 mei 2018 implementatieperiode 25 mei 2018 de AVG is van toepassing - aanspreekbaar op naleving – boetes kunnen worden opgelegd[15] E-privacyverordening[bewerken | brontekst bewerken]  Zie E-privacyverordening voor het hoofdartikel over dit onderwerp. De AVG wordt naar verwachting[16] nog aangevuld met een meer specifieke e-privacyverordening (Lex specialis). Deze verordening, die de bestaande e-privacyrichtlijn uit 2002 gaat vervangen, moet de AVG aanvullen op het vlak van online-communicatie (zoals WhatsApp of Skype, maar ook sms, cookies en dergelijke).[17] Europese instellingen[bewerken | brontekst bewerken] Voor de bescherming van persoonsgegevens die verwerkt worden door instellingen van de Europese Unie zelf geldt de EU-verordening 2018/1725 (vervangt verordening 45/2001).[18] Nederland[bewerken | brontekst bewerken] De Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) strekt tot uitvoering van de Algemene verordening gegevensbescherming. De UAVG verving de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG.[19] Stap 1: Bewustwording - Aanpassen huidige processen, diensten en goederen. Stap 2: Rechten van betrokkenen - recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit. Stap 3: Overzicht verwerkingen - Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Documentatieplicht. Stap 4: Privacy Impact Assessment (PIA) - Verplicht PIA uit te voeren bij waarschijnlijk hoog privacyrisico. Stap 5: Privacy by design & privacy by default - Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default is het als standaard toepassen van de instelling(en) die de meeste bescherming biedt voor de betrokkene. Bijvoorbeeld alléén persoonsgegevens verwerkt die noodzakelijk zijn of op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; Stap 6: Functionaris voor de gegevensbescherming – Mogelijke verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen. Stap 7: Meldplicht datalekken - U moet alle datalekken documenteren. Stap 8: Bewerkersovereenkomsten - Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Zijn overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend? Stap 9: Leidende toezichthouder - Vestigingen of gegevensverwerkingen in meerdere EU-lidstaten? Toch één privacytoezichthouder. Stap 10: Toestemming - Kunnen aantonen geldige toestemming van mensen heeft gekregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. De minister voor Rechtsbescherming, Sander Dekker, gaf vlak voor het in werking treden van de verordening aan dat er te verwachten is dat bij kleine organisaties niet gehandhaafd zal worden.[20] De handhavende autoriteit is evenwel zelfstandig bevoegd, en moet daarbij de Algemene wet bestuursrecht (Awb) naleven wat inhoudt dat het voor de overtreder duidelijk had kunnen zijn wat van hem kon worden verwacht.[21] België[bewerken | brontekst bewerken]  Zie Wet bescherming persoonsgegevens (België) voor het hoofdartikel over dit onderwerp. Sedert september 2018 is de nieuwe wet van toepassing. De Privacycommissie, die vooral een adviserende bevoegdheid had, hield op te bestaan en werd vervangen door de Gegevensbeschermingsautoriteit (GBA), een controle- en sanctie-instantie onder toezicht van de Kamer van volksvertegenwoordigers.[22][23][24] Eind 2019 werd in België voor het eerst een website veroordeeld voor een tekortschietend cookiebeleid. De website Jubel.be kreeg door de geschillenkamer van de GBA een boete van 15.000 euro opgelegd.[25] Zie ook[bewerken | brontekst bewerken] Databeschermingsrichtlijn E-privacyverordening Autoriteit Persoonsgegevens Europees Toezichthouder voor gegevensbescherming Externe links[bewerken | brontekst bewerken] Privacyweb: dossier AVG AVG op europa.eu De Nederlandse AVG wettekst op europa.eu Meertalige HTML en PDF wetgevende documenten Meertalige campagnewebsite van Europese digitale burgerrechtenorganisaties Wettekst Algemene verordening gegevensbescherming doorzoekbaar op artikel Nederland Campagnewebsite van de Autoriteit Persoonsgegevens over de AVG Campagnewebsite van het Ministerie van Justitie en Veiligheid België Vlaamse Toezichtcommissie, vanaf 2019 Vlaamse Toezichtcommissie, adviezen (tot 2018)