Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Algemene Verordening Gegevensbescherming (AVG) basisbegrippen

Algemene Verordening Gegevensbescherming (AVG) basisbegrippen

Op deze pagina vindt u uitleg over basisbegrippen uit de Algemene Verordening Gegevensbescherming (AVG).

1. Wat is een persoonsgegeven?

Volgens de AVG zijn persoonsgegevens alle gegevens die direct of indirect herleidbaar zijn tot een bepaalde natuurlijke persoon. Bij direct herleidbare gegevens kunt u zonder al te veel moeite vaststellen wie de persoon is. Deze gegevens zijn min of meer uniek. Denk bijvoorbeeld aan iemands naam, adres, postcode of een combinatie van die gegevens. Bij indirect herleidbare persoonsgegevens gaat het om gegevens die op zichzelf misschien niet te herleiden zijn tot een individu, maar in combinatie met andere gegevens wel. Denk hierbij bijvoorbeeld aan een IP-adres of een GPS-locatie.

 

2. Wat betekent verwerking van persoonsgegevens?

Verwerken houdt zo ongeveer alles in wat u met persoonsgegevens doet. Zoals het opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verzamelen, vastleggen, ordenen, structureren, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen en wissen of vernietigen van gegevens.

 

3. Wanneer is de AVG van toepassing?

De AVG is van toepassing op verwerkingen van persoonsgegevens die digitaal plaatsvinden. Alle verwerkingen waarmee gebruik wordt gemaakt van bijvoorbeeld een smartphone, het internet, een tablet of een computer vallen hieronder. Maar ook geprinte e-mails, stickers met persoonsgegevens en baxterzakjes vallen onder het toepassingsgebied. Wanneer handgeschreven papieren met daarop persoonsgegevens opgenomen worden in een bestand of archief is de AVG ook van toepassing. Een bestand is een geordende en gestructureerde weergave, zoals een personeelsdossier. Wanneer u op een memoblaadje een telefoonnummer schrijft valt dit niet onder de AVG. Dit is namelijk een gegeven, zonder dat deze geordend of gestructureerd is opgeslagen.

 

4. Wat is een bijzonder persoonsgegeven?

Bijzondere persoonsgegevens zijn gevoelige gegevens die iets zeggen over iemands:

  • Religie of levensovertuiging
  • Ras of afkomst
  • Politieke opvattingen
  • Gezondheid waaronder ook genetische en biometrische gegevens vallen zoals DNA-tests (genetisch) en irisscan (biometrisch)
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
  • Lidmaatschap van een vakbond
  • Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen

Het burgerservicenummer is niet opgenomen in de lijst van bijzondere persoonsgegevens. Wel staat in de Nederlandse Uitvoeringswet van de AVG dat verwerking van het BSN alleen mag, als daarvoor een wettelijke verplichting is. Het idee hierachter is dat verwerking van het BSN een groot risico met zich mee kan brengen bijvoorbeeld door identiteitsfraude, maar dat het BSN op zich geen gevoelige informatie bevat.

 

5. Wat is een verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke is degene die het doel en de middelen voor gegevensverwerking vaststelt. Dit kan een natuurlijke persoon of rechtspersoon zijn, een overheidsinstantie, een dienst of een ander orgaan die dat alleen of samen met anderen doet. Beslist u waarom de persoonsgegevens verwerkt worden? En op welke wijze dat gebeurt? Dan bent u verwerkingsverantwoordelijke voor die verwerking.

 

6. Wat is een verwerker?

Een verwerker is degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Dit kan wederom een natuurlijke of rechtspersoon zijn, een overheidsinstantie, een dienst of een ander orgaan. Een voorbeeld hiervan is een payrollbedrijf dat ten behoeve van bedrijf X de salarisadministratie op zich neemt. Het payrollbedrijf heeft geen zeggenschap over de reden van de verwerking en is daarom geen verwerkingsverantwoordelijke.

 

7. Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst tussen verwerker(s) en verwerkingsverantwoordelijke(n) waarin afspraken en verplichtingen over de verwerking van persoonsgegevens zijn vastgelegd. Het sluiten van een verwerkersovereenkomst is verplicht tussen een verwerkingsverantwoordelijke en een verwerker.

 

8. Welke wettelijke grondslagen bestaan er voor het verwerken van persoonsgegevens?

De AVG kent zes verschillende wettelijke grondslagen waarop persoonsgegevens verwerkt mogen worden. Valt de verwerking van persoonsgegevens niet onder één van deze zes grondslagen? Dan mogen deze ook niet worden verwerkt. De zes grondslagen zijn:

Toestemming

Toestemming is iedere vrije, specifieke, geïnformeerde, en ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. Het is van belang dat de toestemming actief wordt gegeven. Stilzwijgende toestemming is dus niet voldoende. Daarnaast moet de toestemmingsvraag duidelijk en eenvoudig zijn geformuleerd. De toestemming moet op ieder moment kunnen worden ingetrokken en mag geen onderdeel uitmaken van een groter geheel. Verwerkt u persoonsgegevens voor verschillende doelen dan moet u voor ieder doel apart toestemming vragen.

Noodzakelijk voor de uitvoering van een overeenkomst

Van noodzakelijkheid is alleen sprake wanneer de overeenkomst niet goed kan worden nagekomen zonder de verwerking. Hierbij kunt u denken aan een webshop die bepaalde gegevens nodig heeft om een product op te sturen. Zonder die gegevens komt het pakket niet bij de klant aan. Dit omvat ook precontractuele maatregelen zoals het aanvragen van een offerte.

Wettelijke verplichting

Het kan ook voorkomen dat u wettelijk verplicht bent om een verwerking uit te voeren. Een voorbeeld is het overhandigen van gegevens aan veiligheids- en inlichtingendiensten, wanneer daar een gerechtelijk afgiftebevel voor is gegeven. Die wettelijke verplichting moet worden gevonden in Unierecht (de Europese wet) of in nationaal recht (de Nederlandse wet).

Vitale belangen

Het vitaal belang raakt aan het leven van een persoon. Dit gaat dan om verstrekking van medische gegevens na een ongeval, of bijvoorbeeld verwerking van persoonsgegevens bij natuurrampen. Hiervan is niet snel sprake. Verwerking op basis van deze grondslag is in beginsel alleen toegestaan als de verwerking niet op een andere grondslag kan worden gebaseerd.

Algemeen belang

Verwerking van persoonsgegevens is ook gerechtvaardigd als dit noodzakelijk is voor een taak van algemeen belang of openbaar gezag. Op deze grondslag kan alleen een beroep worden gedaan als u een publieke taak verricht. Daarvoor hoeft u geen bestuursorgaan te zijn. Publieke taken worden ook uitgevoerd door andere organisaties die het algemeen belang dienen, zoals organisaties voor ontwikkelingssamenwerking. De taak die verricht wordt moet wel wettelijk zijn vastgelegd. Bovendien moet voor de mensen duidelijk zijn dat u hun persoonsgegevens verwerkt en moet de verwerking noodzakelijk zijn om de publieke taak uit te voeren. Een voorbeeld is een gemeente die op openbare plaatsen cameratoezicht inzet om de openbare veiligheid te waarborgen.

Gerechtvaardigde belangen

De laatste in de wet genoemde grondslag is die van het eigen gerechtvaardigde belang. Dit is altijd een belangenafweging tussen de belangen van de verantwoordelijke en de belangen van de betrokkene. Er moet worden beoordeeld of de belangen van de verwerkingsverantwoordelijke zwaarder wegen dan de belangen van de betrokkenen van wie persoonsgegevens worden verwerkt. Om een gerechtvaardigd belang te kunnen hebben, moeten er passende maatregelen genomen worden zodat de rechten en vrijheden van deze personen zoveel mogelijk worden beschermd.

 

9. Wat zijn de rechten van betrokkenen

De AVG geeft degene wiens persoonsgegevens worden verwerkt (de betrokkenen) een aantal rechten:

  • Het recht van inzage
  • Het recht op rectificatie
  • Het recht om vergeten te worden
  • Het recht op beperking van de verwerking
  • Het recht op dataportabiliteit
  • Het recht van bezwaar
  • Het recht op menselijke tussenkomst bij geautomatiseerde besluiten

10. Wat is Privacy by Design?

Met Privacy by Design wordt bedoeld dat bij de start van het maken van een informatiesysteem (zoals software of een applicatie) rekening gehouden wordt met privacy. Die aandacht voor privacy blijft zo lang het systeem er is bestaan. Een voorbeeld hiervan is een app die ingevulde gegevens direct pseudonimiseert, waardoor de persoonsgegevens omgezet worden in een lastige code die zonder een sleutel van die code niet te achterhalen is.

 

11. Wat is Privacy by Default?

Met Privacy by Default wordt bedoeld dat de standaardinstellingen van een informatiesysteem (bijvoorbeeld een account voor een SaaS-oplossing) zodanig zijn ingesteld, dat de privacy van de gebruiker(s) maximaal wordt beschermd. Een social media profiel mag bijvoorbeeld niet standaard openbaar worden weergegeven, na het aanmaken ervan. De keuze voor het openbaar maken van het profiel moet bij de gebruiker liggen.

 

12. Wat is een privacyverklaring?

Volgens de AVG bent u verplicht om personen te informeren over de wijze waarop u persoonsgegevens over hen verwerkt. Die informatie staat veelal in een privacyverklaring. In een privacyverklaring moeten in ieder geval de volgende punten worden opgenomen:

  • De identiteit
  • De doeleinden en grondslagen, zoals het gebruik van cookies en het verzenden van de nieuwsbrief en informatie over profileren
  • De rechten van betrokkenen
  • De beveiliging van de persoonsgegevens
  • Wie de ontvangers van de persoonsgegevens zijn
  • Of persoonsgegevens buiten de EU verwerkt zullen worden
  • De bewaartermijnen

Klik verder voor meer informatie over de privacyverklaring.

 

13. Wat is een Functionaris voor de Gegevensbescherming?

Een Functionaris voor de Gegevensbescherming (FG) is iemand die binnen de organisatie toeziet op de omgang met persoonsgegevens. Ook controleert de FG of de organisatie voldoet aan de eisen van de AVG en andere wetgeving. De FG is het aanspreekpunt binnen de organisatie, als het persoonsgegevens betreft. Soms is het aanstellen van een FG verplicht.

 

14. Wat is een verwerkingsregister?

Een verwerkingsregister is een registratie van de persoonsgegevens die binnen een organisatie worden verwerkt. Een verwerkingsregister is bijna altijd verplicht om te hebben. In ieder geval wanneer een organisatie meer dan 250 werknemers in dienst heeft, of als er sprake is van:

  • Niet-incidentele verwerking van persoonsgegevens;
  • Verwerking van persoonsgegevens die een hoog risico voor de rechten en vrijheden inhouden van de personen van wie de persoonsgegevens worden verwerkt;
  • Verwerking van bijzondere persoonsgegevens.

In het register moeten de volgende punten worden opgenomen:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • Wanneer van toepassing, doorgiften van persoonsgegevens aan derde land of een internationale organisatie;
  • Indien mogelijk de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • Een beschrijving van de technische en organisatorische beveiligingsmaatregelen voor de verwerking.

Voor meer informatie over het verwerkingsregister verwijzen wij u graag verder naar deze blogpost. Daarnaast stelt ICTRecht kosteloos en vrijblijvend een voorbeeld verwerkingsregister (Excel-sheet) beschikbaar.

15. Wat is een datalek?

In de AVG wordt niet gesproken over het woord datalek. Daar wordt de term ‘inbreuk in verband met persoonsgegevens’ gebruikt. Daarvan is sprake als er een beveiligingsincident heeft plaatsgevonden waarbij persoonsgegevens vernietigd zijn, verloren zijn geraakt, gewijzigd zijn, verstrekt zijn of toegankelijk zijn gemaakt. Wanneer iemand een e-mail stuurt naar de verkeerde persoon dan is sprake van een beveiligingsincident. Wanneer er in die e-mail een geheel klantenbestand wordt doorgestuurd dan is sprake van een ‘inbreuk in verband met persoonsgegevens’. Dit brengt namelijk risico’s voor de klanten in het klantenbestand met zich mee. Voor meer informatie, lees ook onze factsheet over datalekken.

 

16. Wat is profileren?

In de AVG wordt profilering gedefinieerd als:

“Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”

Profileren kan van grote invloed zijn op de privacy van betrokkenen. Het gedrag, interesses en gewoontes worden door een ander vastgesteld. Een voorbeeld van profiling is “behavioral advertising” waarbij op basis van surfgedrag op het internet via tracking cookies een profiel wordt opgesteld. In principe is profilering toegestaan onder de AVG. Dit verandert zodra er geautomatiseerd besluiten worden genomen op basis van die profielen. Er mag in beginsel geen geautomatiseerde besluitvorming plaatsvinden op basis van die profielen als daaraan rechtsgevolgen zijn verbonden voor de betrokkene of de betrokkene aanzienlijk wordt getroffen. Er kunnen geautomatiseerde beslissingen worden genomen over de persoon waarvan een profiel is opgesteld op basis van zijn surfgedrag. Hiervan is sprake als deze persoon bepaalde advertenties niet te zien krijgt en daardoor wordt uitgesloten van het kunnen kopen van bepaalde producten of diensten. Er zijn ook uitzonderingen op. Zo is geautomatiseerde besluitvorming wel weer toegestaan als:

  • Dit berust op uitdrukkelijke toestemming van de betrokkene;
  • Dit op grond van de Nederlands wet is toegestaan (bijv. bij het opsporen van terreurverdachten);
  • Dit noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene(bijv. bij een kredietovereenkomst).

Natuurlijk is dit wel verbonden aan een aantal regels. De betrokkene moet op de hoogte zijn, heeft recht op menselijke tussenkomst, moet zijn standpunt kunnen toelichten, het besluit kunnen aanvechten en heeft recht op uitleg over de totstandkoming van het besluit.

 

17. Wat is een Privacy Impact Assessment (PIA)?

Een Privacy Impact Assessment, ook wel PIA genoemd, is een onderzoek dat voorafgaat aan een project, zoals bijvoorbeeld een nieuw ICT-systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van bepaalde personen. Dit onderzoek is gericht op de privacy-effecten die komen kijken bij een nieuwe, waarschijnlijk risicovolle verwerking van persoonsgegevens. Het doel is om risico’s voor de rechten en vrijheden van betrokkenen in een vroeg stadium in kaart te brengen en maatregelen te bedenken waarmee deze kunnen worden geminimaliseerd. Meer weten over PIA’s? Hier vind u onze factsheet over PIA’s.

 

18. Wat zijn passende waarborgen voor verwerking buiten de EU?

In principe mag doorgifte naar een derde land (een land buiten de EU) alleen plaatsvinden wanneer het derde land een passend beschermingsniveau biedt. De wet noemt een aantal grondslagen waarop vastgesteld kan worden of een derde land een passend beschermingsniveau heeft. De Europese Commissie kan besluiten dat landen een passend beschermingsniveau waarborgen. Wanneer de Europese Commissie heeft besloten dat een land passend beschermingsniveau waarborgen heeft, dan mag u in die landen gegevens opslaan of bedrijven in dat land iets met die gegevens laten doen. Voor landen die niet door de keuring van de Europese Commissie zijn gekomen, is er nog een optie. Die houdt in een notendop in dat u als Europese partij ervoor kan zorgen dat de betrokken personen dezelfde bescherming genieten, als wanneer het was opgeslagen in Europa. Ook dan is er sprake van passende waarborgen.

Meer weten over privacy en de AVG?

Lees hier meer over onze privacy adviezen, of neem contact met ons op.