Zeer veel organisaties gebruiken persoonsgegevens en wisselen deze uit. De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG). Op een aantal punten laat de AVG ruimte voor nationale keuzes. Deze zijn uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). AP als toezichthouder De AVG en de UAVG regelen ook de taken en bevoegdheden van de Autoriteit Persoonsgegevens (AP) als toezichthouder op deze wet en andere wet- en regelgeving voor de verwerking van persoonsgegevens. Belangrijkste bepalingen AVG De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden. Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld. Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking. Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt. De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd. De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. Functionaris gegevensbescherming (Branche)organisaties kunnen ook een eigen, interne toezichthouder aanstellen. Dit is de functionaris gegevensbescherming (FG). Een FG is verplicht: voor overheidsorganen; voor organisaties die hoofdzakelijk zijn belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; voor organisaties waarvan de verwerkingsverantwoordelijke hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën van gegevens en van persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten.