FAQ's

Frequently asked questions

Persoonsgegevens

Wat zijn persoonsgegevens?


De meeste organisaties verwerken meer persoonsgegevens dan ze denken. Het komt niet vaak voor dat ze dit alleen incidenteel doen. Twee voorbeelden:

Naast klant-, cliënt-, patiënt- en inwonergegevens, gaat de AVG ook over personeelsgegevens. Inclusief logbestanden over het betreden van het gebouw;

Heeft u een website of app? Dan verzamelt u via de IP-adressen in ieder geval persoonsgegevens. Al dan niet in combinatie met andere unieke identifiers of informatie afkomstig uit de apparaten van gebruikers. Vaak moet u eerst een handeling verrichten om ervoor te zorgen dat uw systemen niet automatisch IP-adressen bewaren.

Daarnaast omvat het verwerken van persoonsgegevens niet alleen het verzamelen en bewaren van gegevens. Ook het doorgeven aan derde partijen en het pseudonimiseren en anonimiseren van gegevens vallen hier bijvoorbeeld onder.




Heb ik het recht om persoonsgegevens te verwerken?


U mag alleen ‘gewone’ persoonsgegevens verwerken wanneer u aan ten minste 1 van de 6 AVG-grondslagen voldoet.

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Op welke van deze grondslagen voor het verwerken van ‘gewone’ persoonsgegevens kunt u zich beroepen?

  1. toestemming
  2. noodzakelijk voor de uitvoering van een overeenkomst
  3. noodzakelijk voor het nakomen van een wettelijke verplichting
  4. noodzakelijk ter bescherming van vitale belangen
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen




Wat zijn bijzondere persoonsgegevens?


Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen ook onder de Algemene verordening gegevensbescherming (AVG) extra bescherming. Nieuw onder de AVG is dat ook genetische gegevens en biometrische gegevens hieronder vallen als deze herleidbaar zijn tot een persoon.

De volgende persoonsgegevens ziet de AVG als bijzondere persoonsgegevens:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.
  • Genetische persoonsgegevens
    • Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt het zo gevoelig.

In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukgegevens.

Speciale regels voor strafrechtelijke persoonsgegevens

Let op: anders dan onder de Wet bescherming persoonsgegevens, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG specifieke eisen.




Wat zijn strafrechtelijke persoonsgegevens?


Strafrechtelijke persoonsgegevens zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd. Een voorbeeld hiervan is een opgestelde zwarte lijst van frauderende klanten bij een financiële instelling.

Met ‘veiligheidsmaatregelen’ worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod voor onrechtmatig of hinderlijk gedrag.

Nieuw ten opzichte van de Wet bescherming persoonsgegevens (Wbp) is dat de strafrechtelijke gegevens niet gelden als een bijzondere categorie van persoonsgegevens. U moet dus aan speciale regels voldoen wanneer u strafrechtelijke persoonsgegevens wilt verwerken.




Hoe weet u of u persoonsgegevens mag verwerken?


Als organisatie mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen.

Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan heeft u niet het recht om de persoonsgegevens te verwerken.

Welke grondslagen zijn er?

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

Bijzondere en strafrechtelijke gegevens

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij u voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Meer informatie over wanneer u bijzondere persoonsgegevens mag verwerken

Meer informatie over wanneer u strafrechtelijke persoonsgegevens mag verwerken

Persoonlijk gebruik

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat u goed kunt onderbouwen dat u de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.




Hoe weet u of u bijzondere persoonsgegevens mag verwerken?


De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Er zijn wettelijke uitzonderingen voor verwerkingen van bijzondere persoonsgegevens die strikt noodzakelijk en vanzelfsprekend zijn. Zoals voor het verwerken van medische gegevens door huisartsen en ziekenhuizen. Of voor het verwerken van lidmaatschap van een vakbond of politieke partij door die organisaties zelf.

  1. Er zijn 10 wettelijke uitzonderingen op het verbod op het verwerken van bijzondere persoonsgegevens:
  2. Uitdrukkelijke toestemming. Iemand kan uitdrukkelijke toestemming geven voor de verwerking van zijn of haar bijzondere persoonsgegevens voor het doel of de doelen die u heeft aangegeven;
  3. Verwerkingen die noodzakelijk zijn voor de uitvoering van verplichtingen en het uitoefenen van arbeidsrecht en het sociale zekerheidsrecht zoals geregeld in de nationale wet;
  4. Verwerkingen die noodzakelijk zijn om de vitale belangen te beschermen;
  5. Verwerkingen voor gerechtvaardigde activiteiten door een instantie zonder winstoogmerk. De instantie moet wel passende waarborgen hebben ingebouwd en het mag alleen gaan om gegevensverwerkingen van (voormalige) leden of personen die regelmatig contact met de instantie onderhouden;
  6. Verwerkingen van persoonsgegevens die door de betrokken personen zelf openbaar zijn gemaakt;
  7. Verwerkingen die noodzakelijk zijn voor rechtsvordering of rechtsbevoegdheden;
  8. Verwerkingen met een zwaarwegend algemeen belang. Daarbij moet u de evenredigheid en de inhoud van het recht op bescherming respecteren. Ook moet u de maatregelen treffen zoals geregeld in een nationale wet;
  9. Verwerkingen die noodzakelijk voor de doelen gezondheidszorg, sociale diensten en arbeidsongeschiktheid, zoals geregeld in een nationale wet;
  10. Verwerkingen die noodzakelijk zijn voor de volksgezondheid, zoals geregeld in een nationale wet;
  11. Verwerkingen die noodzakelijk zijn voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.





Grondslagen persoonsgegevensverwerking

Wanneer mag u zich baseren op de grondslag ‘noodzakelijk voor de behartiging van de gerechtvaardigde belangen’?


Eén van die grondslagen is ‘noodzakelijk voor de behartiging van de gerechtvaardigde belangen’.

U kunt zich op deze grondslag baseren als u aan drie voorwaarden voldoet: gerechtvaardigd belang, noodzakelijkheid en afweging tussen de belangen.

1. Gerechtvaardigd

Ten eerste moet het gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig zijn, voldoende duidelijk zijn verwoord en het moet om een belang gaan dat ook echt aanwezig is. Het mag niet speculatief zijn. Bijvoorbeeld wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten.

2. Noodzakelijkheid

Ten tweede moet de verwerking van de persoonsgegevens noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. U moet de verwerking daarom toetsen aan de eisen van proportionaliteit en subsidiariteit. Dat betekent dat u moet nagaan of het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt. Ook moet u nagaan of u het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.

3. Afweging belangen

Ten derde moet u een afweging maken tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt. Ook moet u hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan uw gerechtvaardigd belang.

Dit betekent onder meer dat u de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking. Gaat het bijvoorbeeld om de verwerking van persoonsgegevens van kinderen, dus jonger dan 16 jaar? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

Let op: bent u een overheidsinstantie? Dan mag u zich niet baseren op deze grondslag voor de uitoefening van uw taken. U moet zich dan op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag ‘algemeen belang of openbaar gezag’.

U mag als overheidsinstanties in de regel alleen gegevens verwerken in het kader van de uitoefening van uw taken als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsinstantie een rechtsgrond voor verwerkingen heeft.




Wanneer mag u zich baseren op de grondslag toestemming?


De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Maar de manier waarop u toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

Rechstgeldige toestemming voldoet aan de volgende eisen:

Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.

Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd: u moet mensen informeren over:

1) de identiteit van u als organisatie;

2) het doel van elke verwerking waarvoor u toestemming vraagt;

3) welke persoonsgegevens u verzamelt en gebruikt;

4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.

Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

U moet kunnen aantonen dat u geldige toestemming heeft verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.




Hoe kan ik aantonen dat ik toestemming heb ontvangen?


Verwerkt u persoonsgegevens die gebaseerd is op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

Specifiek en geïnformeerd

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

Online toestemming

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:

  • documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt.
  • een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.
  • Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

Meer informatie over de verantwoordingsplicht [link}




Wanneer mag u zich baseren op de grondslag “Noodzakelijk voor de uitvoering van een overeenkomst”?


U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet u dat wel? Dan moet u daarvoor rechtsgeldige toestemming of een andere grondslag hebben.

Voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast ook nog gebruiken om het koopgedrag van iemand te analyseren? Dan moet u hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.




Wanneer mag u zich baseren op de grondslag “wetteljke verplichting”?


Wilt u zich op de grondslag wettelijke verplichting baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwet.

Het hoeft niet expliciet in de wet te staan dat u voor de uitvoering van een specifieke taak persoonsgegevens moet verwerken. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.




Wanneer mag u zich baseren op de grondslag “”vitale belangen”?


Eén van de 6 grondslagen is ‘noodzakelijk voor de bescherming van vitale belangen’. U kunt zich slechts in enkele gevallen op deze grondslag baseren.

Wat is een vitaal belang?

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

Ter illustratie: bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het natuurlijk niet te doen om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

Toegang door anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen. verwerkt? Dan mag dat in principe alleen wanneer u de verwerking kennelijk niet op een andere rechtsgrond kan baseren.




Wanneer mag u zich baseren op de grondslag ‘noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag’?


Eén van die grondslagen is ‘noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag’. Het gaat daarbij om wettelijke taken.

Taak die wettelijk is vastgelegd

Wilt u zich op deze grondslag beroepen? Dan kan dat alleen als u een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt voor de uitoefening van die specifieke wettelijke taak.

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

Welke organisaties mogen een beroep doen op deze grondslag?

Onder de AVG hoeft u geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.




Is direct marketing een gerechtvaardigd belang?


Ja.




Kan ik beter toestemming vragen of een beroep doen op een gerechtvaardigd belang?


Stel best eerst de vraag of u uw gerechtvaardigd belang kunt toepassen als legale grond voor dataverwerking van uw bestaande klantenrelaties, vooraleer expliciet toestemming te vragen.

In vergelijking met toestemming, biedt dit gerechtvaardigde belang vier voordelen:

  1. Vanuit marketingperspectief laat het gerechtvaardigd belang bedrijven toe te blijven communiceren met al hun bestaande klanten, terwijl de aanpak van toestemming waarschijnlijk leidt tot een aanzienlijke vermindering van het aantal klanten dat mag worden gecontacteerd. Men moet er enkel op letten dat dit mogelijke gebruik van hun gegevens werd aangehaald wanneer de gegevens werden gevraagd.
  2. Vanuit ethisch perspectief zet het gebruik van het gerechtvaardigd belang bedrijven ertoe aan stil te staan bij wat ‘normaal’ of ‘redelijkerwijs te verwachten’ is, terwijl de voorafgaandelijke toestemming mogelijk net heel breed werd gedefinieerd om twijfelachtige marketingpraktijken te rechtvaardigen.
  3. Vanuit technisch perspectief vergemakkelijkt het gerechtvaardigd belang, in tegenstelling tot de voorafgaandelijke toestemming, het proces: er moet geen complex opt-inproces worden gebouwd, maar enkel een systeem dat de opt-outs beheert.
  4. Vanuit juridisch perspectief ten slotte vertegenwoordigt het gerechtvaardigd belang een solide alternatief omdat het gebruik ervan in het kader van direct marketing naar bestaande klanten, expliciet wordt vermeld in overweging 47 van GDPR.

GDPR vergemakkelijkt dus het leven van de ondernemingen omdat het hen toelaat hun bestaande klanten voor direct marketing doeleinden via papieren post te contacteren zonder daar systematisch hun toestemming te moeten voor hebben gevraagd. Bedrijven kunnen hun klanten meer activeren, op een efficiënte en wettelijk onderbouwde manier.





Verantwoordingsplicht

Wat is de verantwoordingsplicht?


De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

rechtmatigheid;

transparantie;

doelbinding;

juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018. Vanaf dan geldt de AVG.





Algemeen

Wat is GDPR?


GDPR staat voor "General Data Protection Regulation", ook wel "Algemene Verordening Gegevensbescherming", en is de nieuwe Verordening van de Europese Unie die in de plaats komt van de Richtlijn Gegevensbescherming (DPD) en de Britse Wet Bescherming Persoonsgegevens van 1998. Na vele jaren van discussie werd deze op 14 april 2016 door het EU-Parlement goedgekeurd, en heeft betrekking op de bescherming van persoonlijke gegevens en de rechten van individuen. Het doel is om de stroom van persoonsgegevens doorheen de 28 EU-lidstaten te vergemakkelijken.




Wanneer wordt de GDPR wetgeving van kracht?


De verordening treedt in werking op 25 mei 2018 en zal belangrijke wijzigingen met zich meebrengen in de huidige wetgeving inzake gegevensbescherming zoals wij die kennen. Elk bedrijf dat als niet-compliant wordt beschouwd, krijgt te maken met forse boetes.




Voor wie is GDPR van toepassing?


Elke organisatie die persoonsgegevens van betrokkenen in de EU verwerkt en bewaart, is verplicht zich te houden aan de door GDPR vastgestelde wetgeving. Dit geldt voor elke organisatie, ongeacht of ze zelf in een van de 28 EU-lidstaten wonen.




Welke verantwoordelijkheden hebben bedrijven volgens deze nieuwe verordening?


Regels voor het verkrijgen van geldige toestemming om persoonlijke informatie te gebruiken zullen veel moeilijker worden wanneer de AVG van kracht wordt. Daarom moeten bedrijven ervoor zorgen dat de toestemming helder, bevestigend en in duidelijke taal is. Bedrijven moeten het ook gemakkelijk maken voor betrokkenen om toestemming in te trekken als zij dat willen. Volgens het Information Commissioner's Office (ICO) wordt van organisaties verwacht dat ze:

"..... uitgebreide, maar evenredige beheersmaatregelen invoeren. Goede oefenmiddelen waar de ICO al lang voor pleit, zoals privacy-effectbeoordelingen en 'privacy by design', zijn nu wettelijk verplicht in bepaalde omstandigheden. Uiteindelijk zal dit het risico van inbreuken moeten minimaliseren en de bescherming van persoonlijke gegevens instand moeten houden. Praktisch gezien betekent dit waarschijnlijk meer beleid en procedures voor organisaties, hoewel veel organisaties al over goed bestuursmaatregelen zullen beschikken."




Op wat voor soort informatie is GDPR van toepassing?


GDPR is net als de Data Protection Act 1998 van toepassing op persoonlijke gegevens. De huidige richtlijn gegevensbescherming definieert persoonsgegevens als: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

Hoewel deze definitie meestal ongewijzigd blijft, zal deze iets gedetailleerder zijn in die zin dat duidelijk wordt gemaakt dat online identificatiegegevens, zoals een IP-adres, ook als persoonlijke gegevens worden geclassificeerd.

De GDPR verwijst naar gevoelige persoonlijke gegevens als "speciale categorieën van persoonlijke gegevens die een unieke identiteit identificeren". Dit omvat genetische gegevens en biometrische gegevens.




Zijn er specifieke regels die bedrijven moeten naleven om compliance te garanderen?


Artikel 5 van de EU GDPR bepaalt dat persoonsgegevens:

  • Rechtmatig, eerlijk en op een transparante manier verwerkt moeten worden
  • Alleen verzameld mogen worden voor gespecificeerde, expliciete en legitieme doeleinden
  • Adequaat, relevant en beperkt tot wat nodig is moeten zijn
  • Nauwkeurig en up-to-date moeten worden gehouden
  • Alleen gehouden mag worden voor de absolute tijd die nodig is en niet langer
  • Verwerkt moet worden op een manier die een gepaste beveiliging van de persoonlijke gegevens garandeert




Wat zullen de straffen zijn wanneer je GDPR niet naleeft?


De GDPR hebben een gelaagde benadering van boetes ingevoerd, wat betekent dat de ernst van de inbreuk de opgelegde boete zal bepalen.

De maximale boete die een bedrijf kan hebben is 4% van hun jaarlijkse wereldwijde omzet, of 20 miljoen euro, afhankelijk van wat het hoogste is.

Minder ernstige schendingen, zoals het hebben van ongepaste records of het niet melden van schendingen, kunnen een boete krijgen van maximaal 2% van hun jaarlijkse wereldwijde omzet, of 10 miljoen euro.




Welk effect heeft de Brexit, indien aanwezig, op GDPR?


Hoewel de Britse premier Theresa May nu een definitieve datum heeft aangekondigd om te beginnen met het verlaten van de Europese Unie (29 maart 2017), zal het naar verwachting nog twee jaar duren vooraleer de Brexit effect zal hebben. Bedrijven uit de UK moeten dus nog steeds klaar zijn voor de GDPR tegen 25 mei 2018. De Britse regering heeft al aangegeven de GDPR te volgen.




Moeten alle organisaties nu een functionaris voor gegevensbescherming (DPO) benoemen?


Het is niet noodzakelijkerwijs verplicht voor alle organisaties om een ​​DPO te benoemen, omdat dit afhankelijk is van een aantal factoren. Volgens de ICO zou een bedrijf een DPO moeten benoemen als zij:

  • een openbare autoriteit zijn (met uitzondering van rechtbanken die handelen in hun juridische hoedanigheid)
  • grootschalige systematische monitoring van individuen uitvoeren, zoals online gedragsregistratie; of
  • grootschalige verwerking van speciale categorieën gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen uitvoeren

Elke organisatie kan een DPO aanwijzen als zij dat willen. Zelfs als een bedrijf ervoor kiest om geen DPO te benoemen omdat het bovenstaande niet op hen van toepassing is, moeten zij er toch voor zorgen dat zij over voldoende personeel en vaardigheden beschikken om hun verplichtingen onder de GDPR te kunnen nakomen.




Welke rechten zullen personen hebben volgens GDPR?


1. Het recht op informatie - Organisaties moeten volledig transparant zijn over hoe zij persoonlijke gegevens gebruiken. 2. Het recht op inzage - Individuen hebben het recht om precies te weten welke informatie over hen wordt bewaard en hoe deze wordt verwerkt. 3. Het recht op rectificatie - Personen hebben het recht om persoonlijke gegevens te laten corrigeren als deze onjuist of onvolledig zijn. 4. Het recht op het wissen van gegevens - ook bekend als ‘the right to be forgotten', verwijst naar het recht van een persoon om zijn persoonlijke gegevens te laten verwijderen zonder de noodzaak van een specifieke reden waarom hij wenst te stoppen. 5. Het recht om de verwerking te beperken - Verwijst naar het recht van een persoon om de verwerking van zijn persoonlijke gegevens te blokkeren of te onderdrukken. 6. Het recht op dataportabiliteit - Hiermee kunnen personen hun persoonlijke gegevens bewaren en hergebruiken voor hun eigen doel. 7. Het recht om bezwaar aan te tekenen - In bepaalde omstandigheden hebben personen het recht om bezwaar te maken tegen het gebruik van hun persoonlijke gegevens. Dit omvat: als een bedrijf persoonsgegevens gebruikt voor direct marketing, wetenschappelijk en historisch onderzoek, of voor de uitvoering van een taak van openbaar belang. 8. Rechten van geautomatiseerde besluitvorming en profilering - De GDPR heeft waarborgen ingevoerd om personen te beschermen tegen het risico dat een mogelijk schadelijke beslissing wordt genomen zonder menselijke tussenkomst. Individuen kunnen er bijvoorbeeld voor kiezen om niet het onderwerp te zijn van een beslissing waarbij de consequentie een wettelijke invloed op hen heeft, of is gebaseerd op geautomatiseerde verwerking.





Alle vragen

Op wie is GDPR / AVG van toepassing?


Elke organisatie die persoonsgegevens van betrokkenen in de EU verwerkt en bewaart, is verplicht zich te houden aan de door GDPR / AVG vastgestelde wetgeving. Dit geldt voor elke organisatie, ongeacht of deze zelf in een van de 28 EU-lidstaten is gevestigd.




Welke verantwoordelijkheden hebben bedrijven als gevolg van GDPR / AVG ?


Regels voor het verkrijgen van geldige toestemming om persoonlijke informatie te gebruiken zullen veel moeilijker worden wanneer de AVG van kracht wordt. Daarom moeten bedrijven ervoor zorgen dat de toestemming helder, bevestigend en in duidelijke taal is. Bedrijven moeten het ook gemakkelijk maken voor betrokkenen om toestemming in te trekken als zij dat willen. Volgens het Information Commissioner's Office (ICO) wordt van organisaties verwacht dat ze:

"..... uitgebreide, maar evenredige beheersmaatregelen invoeren. Goede oefenmiddelen waar de ICO al lang voor pleit, zoals privacy-effectbeoordelingen en 'privacy by design', zijn nu wettelijk verplicht in bepaalde omstandigheden. Uiteindelijk zal dit het risico van inbreuken moeten minimaliseren en de bescherming van persoonlijke gegevens instand moeten houden. Praktisch gezien betekent dit waarschijnlijk meer beleid en procedures voor organisaties, hoewel veel organisaties al over goed bestuursmaatregelen zullen beschikken."




Zijn er specifieke regels die bedrijven moeten naleven om compliance te garanderen?


Artikel 5 van de EU GDPR bepaalt dat persoonsgegevens:

  • Rechtmatig, eerlijk en op een transparante manier verwerkt moeten worden
  • Alleen verzameld mogen worden voor gespecificeerde, expliciete en legitieme doeleinden
  • Adequaat, relevant en beperkt tot wat nodig is moeten zijn
  • Nauwkeurig en up-to-date moeten worden gehouden
  • Alleen bewaard mogen worden voor de absolute tijd die nodig is en niet langer
  • Verwerkt moeten worden op een manier die een gepaste beveiliging van de persoonlijke gegevens garandeert




Wat zijn de boetes wanneer je GDPR / AVG niet naleeft?


Met de GDPR is een gelaagde benadering van boetes ingevoerd, wat betekent dat de ernst van de inbreuk de opgelegde boete bepaalt.

De maximale boete die een bedrijf kan krijgen is 4% van hun jaarlijkse wereldwijde omzet, of 20 miljoen euro, afhankelijk van welk bedrag het hoogste is.

Voor minder ernstige schendingen, zoals het hebben van ongepaste records of het niet melden van schendingen of datalekken, kan een boete worden opgelegd van maximaal 2% van de jaarlijkse wereldwijde omzet, of 10 miljoen euro.




Welk effect heeft de Brexit op GDPR?


Hoewel er een definitieve datum is aangekondigd om te beginnen met het verlaten van de Europese Unie (29 maart 2019), zal het naar verwachting nog twee jaar duren vooraleer de Brexit effect zal hebben, indien deze doorgang vindt. De Britse regering heeft bovendien al aangegeven de GDPR te volgen.




Moeten alle organisaties nu een functionaris voor gegevensbescherming (DPO) benoemen?


Het is niet noodzakelijkerwijs verplicht voor alle organisaties om een ​​DPO te benoemen, omdat dit afhankelijk is van een aantal factoren. Volgens de ICO zou een bedrijf een DPO moeten benoemen als zij:

  • een openbare autoriteit zijn (met uitzondering van rechtbanken die handelen in hun juridische hoedanigheid)
  • grootschalige systematische monitoring van individuen uitvoeren, zoals online gedragsregistratie; of
  • grootschalige verwerking van speciale categorieën gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen uitvoeren

Elke organisatie kan een DPO aanwijzen als zij deze dat wil. Zelfs als een bedrijf ervoor kiest om geen DPO te benoemen omdat het bovenstaande niet op hen van toepassing is, moet deze er toch voor zorgen dat zij over voldoende personeel en vaardigheden beschikken om de verplichtingen onder de GDPR te kunnen nakomen.




Welke rechten hebben personen volgens GDPR / AVG ?


1. Het recht op informatie - Organisaties moeten volledig transparant zijn over hoe zij persoonsgegevens gebruiken. 2. Het recht op inzage - Individuen hebben het recht om precies te weten welke informatie over hen wordt bewaard en hoe deze wordt verwerkt. 3. Het recht op rectificatie - Personen hebben het recht om persoonsgegevens te laten corrigeren als deze onjuist of onvolledig zijn. 4. Het recht op het wissen van gegevens - ook bekend als ‘ the right to be forgotten', verwijst naar het recht van een persoon om zijn persoonsgegevens te laten verwijderen zonder de noodzaak van een specifieke reden waarom hij wenst te stoppen. 5. Het recht om de verwerking te beperken - Verwijst naar het recht van een persoon om de verwerking van zijn persoonlijke gegevens te blokkeren of te onderdrukken. 6. Het recht op dataportabiliteit - Hiermee kunnen personen hun persoonsgegevens bewaren en hergebruiken voor hun eigen doel. 7. Het recht om bezwaar aan te tekenen - In bepaalde omstandigheden hebben personen het recht om bezwaar te maken tegen het gebruik van hun persoonlijke gegevens. Dit omvat: als een bedrijf persoonsgegevens gebruikt voor direct marketing, wetenschappelijk en historisch onderzoek, of voor de uitvoering van een taak van openbaar belang. 8. Rechten van geautomatiseerde besluitvorming en profilering - De GDPR heeft waarborgen ingevoerd om personen te beschermen tegen het risico dat een mogelijk schadelijke beslissing wordt genomen zonder menselijke tussenkomst. Individuen kunnen er bijvoorbeeld voor kiezen om niet het onderwerp te zijn van een beslissing waarbij de consequentie een wettelijke invloed op hen heeft, of is gebaseerd op geautomatiseerde verwerking.




Wanneer mag u zich baseren op de grondslag "Toestemming"?


De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Maar de manier waarop u toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

Rechstgeldige toestemming voldoet aan de volgende eisen:

Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.

Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd: u moet mensen informeren over:

1) de identiteit van u als organisatie;

2) het doel van elke verwerking waarvoor u toestemming vraagt;

3) welke persoonsgegevens u verzamelt en gebruikt;

4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.

Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

U moet kunnen aantonen dat u geldige toestemming heeft verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.




Hoe kan ik aantonen dat ik toestemming heb ontvangen?


Verwerkt u persoonsgegevens die gebaseerd is op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

Specifiek en geïnformeerd

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

Online toestemming

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:

  • documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt.

  • een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.

  • Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.




Wanneer mag u zich baseren op de grondslag “Noodzakelijk voor de uitvoering van een overeenkomst”?


U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet u dat wel? Dan moet u daarvoor rechtsgeldige toestemming of een andere grondslag hebben.

Bij voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast ook nog gebruiken om het koopgedrag van iemand te analyseren? Dan moet u hiervoor toestemming hebben van de betrokken persoon.




Wanneer mag u zich baseren op de grondslag “Wetteljke verplichting”?


Wilt u zich op de grondslag wettelijke verplichting baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwet.

Het hoeft niet expliciet in de wet te staan dat u voor de uitvoering van een specifieke taak persoonsgegevens moet verwerken. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.




Wanneer mag u zich baseren op de grondslag “Vitale belangen”?


Eén van de 6 grondslagen is ‘noodzakelijk voor de bescherming van vitale belangen’. U kunt zich slechts in enkele gevallen op deze grondslag baseren.

Wat is een vitaal belang?

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

Ter illustratie: bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het natuurlijk niet te doen om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

Toegang door anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen. verwerkt? Dan mag dat in principe alleen wanneer u de verwerking kennelijk niet op een andere rechtsgrond kan baseren.




Wanneer mag u zich baseren op de grondslag "Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag"?


Eén van die grondslagen is ‘noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag’. Het gaat daarbij om wettelijke taken.

Taak die wettelijk is vastgelegd

Wilt u zich op deze grondslag beroepen? Dan kan dat alleen als u een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt voor de uitoefening van die specifieke wettelijke taak.

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

Welke organisaties mogen een beroep doen op deze grondslag?

Onder de AVG hoeft u geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.




Is Direct Marketing een gerechtvaardigd belang?


Ja, de regelgeving voorziet in deze mogelijkheid mits u de waarborgen onder "Gerechtvaardigd belang" in acht neemt.




Kan ik beter toestemming vragen of een beroep doen op een gerechtvaardigd belang?


Stel eerst de vraag of u uw gerechtvaardigd belang kunt toepassen als wettelijke grond voor dataverwerking van uw bestaande klantenrelaties, vooraleer expliciet toestemming te vragen.

In vergelijking met toestemming, biedt dit gerechtvaardigde belang vier voordelen:

  1. Vanuit marketingperspectief laat het gerechtvaardigd belang bedrijven toe te blijven communiceren met al hun bestaande klanten, terwijl de aanpak van toestemming waarschijnlijk leidt tot een aanzienlijke vermindering van het aantal klanten dat mag worden benaderd. Men moet er wel op letten dat dit mogelijke gebruik van hun gegevens werd vermeld toen de gegevens werden gevraagd.
  2. Vanuit ethisch perspectief zet het gebruik van het gerechtvaardigd belang bedrijven ertoe aan stil te staan bij wat ‘normaal’ of ‘redelijkerwijs te verwachten’ is, terwijl de voorafgaandelijke toestemming mogelijk heel breed werd gedefinieerd om twijfelachtige marketingpraktijken te rechtvaardigen.
  3. Vanuit technisch perspectief vergemakkelijkt het gerechtvaardigd belang, in tegenstelling tot de voorafgaandelijke toestemming, het proces: er moet geen complex opt-inproces worden gebouwd, maar enkel een systeem dat de opt-outs beheert.
  4. Vanuit juridisch perspectief ten slotte vertegenwoordigt het gerechtvaardigd belang een alternatief omdat het gebruik ervan in het kader van direct marketing naar bestaande klanten, expliciet wordt vermeld in overweging 47 van GDPR.

GDPR vergemakkelijkt dus het leven van de ondernemingen omdat het hen toelaat hun bestaande klanten voor direct marketing doeleinden via papieren post te benaderen zonder daar systematisch hun toestemming te moeten voor hebben gevraagd. Bedrijven kunnen hun klanten meer activeren, op een efficiënte en wettelijk onderbouwde manier.




Wat is GDPR / AVG ?


GDPR staat voor "General Data Protection Regulation", ook wel "Algemene Verordening Gegevensbescherming" (AVG), en is de nieuwe Verordening van de Europese Unie die betrekking heeft op de bescherming van persoonlijke gegevens en de rechten van individuen. Na vele jaren van discussie werd deze op 14 april 2016 door het EU-Parlement goedgekeurd, en is op 25 mei 2018 in werking getreden. Het doel is om de stroom van persoonsgegevens doorheen de 28 EU-lidstaten te vergemakkelijken.




Wat zijn persoonsgegevens?


De meeste organisaties verwerken meer persoonsgegevens dan ze denken. Het komt niet vaak voor dat ze dit alleen incidenteel doen. Twee voorbeelden:

Naast klant-, cliënt-, patiënt- en inwonergegevens, gaat de AVG ook over personeelsgegevens. Inclusief logbestanden over het betreden van het gebouw;

Heeft u een website of app? Dan verzamelt u via de IP-adressen in ieder geval persoonsgegevens. Al dan niet in combinatie met andere unieke identifiers of informatie afkomstig uit de apparaten van gebruikers. Vaak moet u eerst een handeling verrichten om ervoor te zorgen dat uw systemen niet automatisch IP-adressen bewaren.

Daarnaast omvat het verwerken van persoonsgegevens niet alleen het verzamelen en bewaren van gegevens. Ook het doorgeven aan derde partijen en het pseudonimiseren en anonimiseren van gegevens vallen hier bijvoorbeeld onder.




Heb ik het recht om persoonsgegevens te verwerken?


U mag alleen ‘gewone’ persoonsgegevens verwerken wanneer u aan ten minste 1 van de 6 AVG-grondslagen voldoet.

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Op welke van deze grondslagen voor het verwerken van ‘gewone’ persoonsgegevens kunt u zich beroepen?

  1. toestemming
  2. noodzakelijk voor de uitvoering van een overeenkomst
  3. noodzakelijk voor het nakomen van een wettelijke verplichting
  4. noodzakelijk ter bescherming van vitale belangen
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. noodzakelijk voor de behartiging van gerechtvaardigde belangen




Wat zijn bijzondere persoonsgegevens?


Persoonsgegevens die door hun aard bijzonder gevoelig zijn, hebben ook onder de Algemene verordening gegevensbescherming (AVG) extra bescherming. Nieuw onder de AVG is dat ook genetische gegevens en biometrische gegevens hieronder vallen als deze herleidbaar zijn tot een persoon.

De volgende persoonsgegevens ziet de AVG als bijzondere persoonsgegevens:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.
  • Genetische persoonsgegevens
    • Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt het zo gevoelig.

In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukgegevens.

Speciale regels voor strafrechtelijke persoonsgegevens

Let op: anders dan onder de Wet bescherming persoonsgegevens, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG specifieke eisen.




Hoe weet u of u persoonsgegevens mag verwerken?


Als organisatie mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen.

Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan heeft u niet het recht om de persoonsgegevens te verwerken.

Welke grondslagen zijn er?

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

Bijzondere en strafrechtelijke gegevens

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij u voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Persoonlijk gebruik

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat u goed kunt onderbouwen dat u de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.




Hoe weet u of u bijzondere persoonsgegevens mag verwerken?


De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Er zijn wettelijke uitzonderingen voor verwerkingen van bijzondere persoonsgegevens die strikt noodzakelijk en vanzelfsprekend zijn. Zoals voor het verwerken van medische gegevens door huisartsen en ziekenhuizen. Of voor het verwerken van lidmaatschap van een vakbond of politieke partij door die organisaties zelf.

Er zijn 10 wettelijke uitzonderingen op het verbod op het verwerken van bijzondere persoonsgegevens:
  1. Uitdrukkelijke toestemming. Iemand kan uitdrukkelijke toestemming geven voor de verwerking van zijn of haar bijzondere persoonsgegevens voor het doel of de doelen die u heeft aangegeven;
  2. Verwerkingen die noodzakelijk zijn voor de uitvoering van verplichtingen en het uitoefenen van arbeidsrecht en het sociale zekerheidsrecht zoals geregeld in de nationale wet;
  3. Verwerkingen die noodzakelijk zijn om de vitale belangen te beschermen;
  4. Verwerkingen voor gerechtvaardigde activiteiten door een instantie zonder winstoogmerk. De instantie moet wel passende waarborgen hebben ingebouwd en het mag alleen gaan om gegevensverwerkingen van (voormalige) leden of personen die regelmatig contact met de instantie onderhouden;
  5. Verwerkingen van persoonsgegevens die door de betrokken personen zelf openbaar zijn gemaakt;
  6. Verwerkingen die noodzakelijk zijn voor rechtsvordering of rechtsbevoegdheden;
  7. Verwerkingen met een zwaarwegend algemeen belang. Daarbij moet u de evenredigheid en de inhoud van het recht op bescherming respecteren. Ook moet u de maatregelen treffen zoals geregeld in een nationale wet;
  8. Verwerkingen die noodzakelijk voor de doelen gezondheidszorg, sociale diensten en arbeidsongeschiktheid, zoals geregeld in een nationale wet;
  9. Verwerkingen die noodzakelijk zijn voor de volksgezondheid, zoals geregeld in een nationale wet;
  10. Verwerkingen die noodzakelijk zijn voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.




Wanneer mag u zich baseren op de grondslag "Noodzakelijk voor de behartiging van de gerechtvaardigde belangen"?


Eén van die grondslagen is ‘noodzakelijk voor de behartiging van de gerechtvaardigde belangen’.

U kunt zich op deze grondslag baseren als u aan drie voorwaarden voldoet: gerechtvaardigd belang, noodzakelijkheid en afweging tussen de belangen.

1. Gerechtvaardigd

Ten eerste moet het gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig zijn, voldoende duidelijk zijn verwoord en het moet om een belang gaan dat ook echt aanwezig is. Het mag niet speculatief zijn. Bijvoorbeeld wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten.

2. Noodzakelijkheid

Ten tweede moet de verwerking van de persoonsgegevens noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. U moet de verwerking daarom toetsen aan de eisen van proportionaliteit en subsidiariteit. Dat betekent dat u moet nagaan of het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt. Ook moet u nagaan of u het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.

3. Afweging belangen

Ten derde moet u een afweging maken tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt. Ook moet u hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan uw gerechtvaardigd belang.

Dit betekent onder meer dat u de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking. Gaat het bijvoorbeeld om de verwerking van persoonsgegevens van kinderen, dus jonger dan 16 jaar? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

Let op: bent u een overheidsinstantie? Dan mag u zich niet baseren op deze grondslag voor de uitoefening van uw taken. U moet zich dan op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag ‘Algemeen belang of openbaar gezag’.

U mag als overheidsinstanties in de regel alleen gegevens verwerken in het kader van de uitoefening van uw taken als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsinstantie een rechtsgrond voor verwerkingen heeft.




Wat is de verantwoordingsplicht?


De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

rechtmatigheid;

transparantie;

doelbinding;

juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt.





Datalekken

Wat is een datalek en wat te doen als dat voorkomt?


Lees het uitgebreide artikel over wat een datalek is, het artikel over wat u moet doen, of dit blog-artikel en dit blog-artikel.





  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.