Bescherming persoonsgegevens

[ bescherming-persoonsgegevens.eu ]

Zie ook: Algemene Verordening Gegevensbescherming (AVG) | Doorgifte persoonsgegevens | Persoonsgegevens | Privacy | Rechten van betrokkenen | Vergeetrecht

Privacy & bescherming persoonsgegevens

Privacy is de sleutel Bescherming van privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Algemene Verordening Gegevensbescherming (AVG), in het dagelijks spraakgebruik ook wel privacywet genoemd.
Regels op het gebied van mailings, spam en cookies staan vermeld in de Telecommunicatiewet.

Algemene Verordening Gegevensbescherming (AVG)

De AVG werd effectief van kracht op 25 mei 2018. Daarmee werden de onderlinge verschillen in privacyregelgeving in de Europese landen grotendeels gelijkgetrokken. Nederland kende al de Wet Meldplicht Datalekken die met betrekking tot datalekken in grote lijnen dezelfde bepalingen kent als de AVG.
De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens.

Wanneer geldt de Algemene Verordening Gegevensbescherming?

De AVG is niet op elke verwerking van persoonsgegevens van toepassing. Zo geldt de AVG niet voor de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen of een lijst met adressen en telefoonnummers van vrienden en familie.
Daarnaast is toepasselijkheid van de AVG uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.

Wat is een persoonsgegeven?

Persoonsgegevens zijn gegevens die iets zeggen over een persoon. Wanneer een bepaald gegeven -al dan niet in combinatie met andere gegevens- iemand kan identificeren zonder dat daarvoor een bijzondere inspanning nodig is, dan is de privacy in het geding. Hierbij kun je denken aan namen en adresgegevens.
Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.
Of er sprake is van een persoonsgegeven wordt mede bepaald door de context. Iemands beroep is een persoonsgegeven, maar een beroep op zich geeft in de regel niet de mogelijkheid iemand te identificeren. In combinatie met andere gegevens is identificatie wellicht wél mogelijk. Denk aan het beroep kernfysicus - als we van een kernfysicus weten dat deze op een Waddeneiland woont, weten we waarschijnlijk om wie het gaat.

Wat is een bijzonder persoonsgegeven?

Privacy / privé Naast gewone persoonsgegevens zijn er bijzondere (categorieën) persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere persoonsgegevens vallen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke opvattingen of het lidmaatschap van een vakbond blijken. Ook vallen hieronder genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Er zijn gegevens die niet onder de categorie bijzondere persoonsgegevens vallen, maar door hun gevoeligheid wel een aparte status hebben, zoals strafrechtelijke gegevens en BSN.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt. Een praktisch voorbeeld: een helpdeskmedewerker die gegevens van een klant inziet, verwerkt al persoonsgegevens.

Algemene regels voor verwerking persoonsgegevens

  • Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
  • Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven.
  • Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Ook dienen ze juist te zijn en zo nodig te worden geactualiseerd.
Behalve bovengenoemde regels geldt dat er voor elke verwerking van persoonsgegevens een grondslag of rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.

Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden

Naast bovengenoemde algemene regels geldt dat de gegevensverwerking slechts is gerechtvaardigd als het verwerkingsdoel gebaseerd is op (ten minste) één van de zes grondslagen die in de AVG worden gegeven.

Deze juridische grondslagen zijn:
  • Toestemming

    De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn toestemming gegeven. Deze toestemming dient vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. In dit verband wordt ook wel over geïnformeerde toestemming of informed consent gesproken.
    Voor de verwerking van persoonsgegevens van een kind jonger dan 16 jaar (in Nederland) is toestemming van een ouder of wettelijk vertegenwoordiger noodzakelijk. Een organisatie moet een redelijke inspanning verrichten om die toestemming te controleren.
  • Uitvoering overeenkomst

    De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
  • Wettelijke verplichting

    De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.
  • Vitaal belang

    De gegevensverwerking is noodzakelijk om een vitaal belang te beschermen van de betrokkene, of van een andere natuurlijk persoon. Het gaat hierbij vaak over gezondheid.
  • Publiekrechtelijke taak

    De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
  • Gerechtvaardigd belang

    De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt of van een derde. Dit impliceert dat degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van de betrokken persoon. Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens, en dus met minder inbreuk op de privacy van de betrokkene.
Het is dus niet altijd nodig om toestemming te krijgen van de betrokkenen.

Verwerking risicovolle persoonsgegevens

Onder de AVG hoeft een organisatie niet meer aan de Autoriteit Persoonsgegevens te melden dat er persoonsgegevens worden verwerkt (onder de Wet Bescherming Persoonsgegevens bestond deze verplichting wel).
Wel moet voor een verwerking die waarschijnlijk een hoog risico inhoudt voor rechten en vrijheden van betrokkenen een data protection impact assessment (DPIA of gegevensbeschermingseffectbeoordeling) worden uitgevoerd. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en er door de organisatie geen maatregelen genomen (kunnen) worden om dit risico te beperken, dan moet de Autoriteit Persoonsgegevens (AP) worden geraadpleegd. Deze voorafgaande raadpleging van de AP moet plaatsvinden voordat de verwerking begint.

Het exporteren van persoonsgegevens: doorgifte

Privacy - sleutel Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing.
Zie de pagina doorgifte persoonsgegevens

Wat zijn de rechten van betrokkenen?

De privacywetgeving richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.
  • Inzagerecht

    Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt.
  • Rectificatie en aanvulling

    Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd of aangevuld moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking.
  • Beperking van verwerking

    Dit betreft het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken. Bijvoorbeeld in het kader van een onderzoek in verband met een door een betrokkene ingediend bezwaar tegen de verwerking van zijn persoonsgegevens.
  • Recht op menselijke tussenkomst bij geautomatiseerde besluiten

    Betrokkenen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat voor hen serieuze gevolgen heeft. Hieronder valt ook profilering. Gebruikte algoritmes kunnen mensen ten onrechte selecteren of juist uitsluiten - tussenkomst van een mens kan de procedure een andere wending geven.
  • Recht op dataportabiliteit

    Dit betreft het recht van de betrokkene om zijn persoonsgegevens overgedragen te krijgen in een algemeen leesbaar, digitaal formaat door de organisatie die deze gegevens heeft opgeslagen. Hiermee kunnen mensen hun gegevens eenvoudig overdragen aan een andere leverancier. In de praktijk zal het digitale formaat vaak xml of json zijn.
    Zie ook: dataportabiliteit volgens de AVG
  • Vergeetrecht

    Onder specifieke voorwaarden heeft iemand het recht zijn persoonsgegevens te laten wissen (bijvoorbeeld omdat ze verouderd zijn of niet meer relevant).
    De verantwoordelijke voor deze persoonsgegevens heeft in dat geval de plicht om derden, aan wie hij de gegevens heeft verstrekt, te verzoeken deze gegevens eveneens te wissen.
  • Recht op bezwaar maken tegen verwerking / recht van verzet

    Iemand kan een organisatie vragen om zijn of haar persoonsgegevens niet meer te gebruiken. Dit kan op basis van speciale, persoonlijke redenen zijn of als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden.
Zie de uitgebreide toelicht van de AP: rechten van betrokkenen

Toezicht op naleving AVG

De Autoriteit Persoonsgegevens of AP is de toezichthouder voor de verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.

Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de privacywetgeving, en advies hierover te geven. Deze functionaris wordt ook wel Data Protection Officer genoemd.

Meldplicht datalekken

Onderdeel van de AVG is een regeling over de meldplicht voor datalekken. De meldingen moeten worden gedaan bij de AP en, in bepaalde gevallen, aan de betrokken personen. Voor meer informatie zie: datalekken

Bijhouden van zwarte lijst: privacyinbreuk?

Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een verwerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.

Privacy in de pers - Edward Snowden

Het lijkt alweer lang geleden, maar deze gebeurtenis leidde tot een omslag in het denken over privacy.
In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. PRISM kan gezien worden als een opvolger van ECHELON. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple.
In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan. Lees meer hierover op Wikipedia.

Verwijdering van accountgegevens op internet

Op de website van Bits of Freedom is veel informatie te vinden over privacy(rechten) op internet. De Suicide Machine is een hulpmiddel om je gegevens te verwijderen van Facebook, LinkedIn en Twitter. Men spreekt in dit kader van ontvrienden.

Sinds de komst van de AVG is elke organisatie verplicht gehoor te geven aan jouw -redelijke- verzoek tot verwijdering van gegevens.
Google kent al sinds april 2013 een optie om een account te verwijderen. Deze mogelijkheid is bij de instellingen te vinden onder Accountactiviteit of Inactiviteitsvoorkeuren. Daarmee is te bepalen na hoeveel tijd van inactiviteit een Google account wordt verwijderd.
In juni 2015 introduceerde Google een website waarop de instellingen van een gebruiker / betrokkene in te zien zijn, voor alle diensten van Google: Mijn account. Ook wel Google's Privacy Check genoemd.
Microsoft heeft een soortgelijk dienst: Privacy Instellingen


Persoonsgegevens - briefje met pincode
Een uitgebreide Engelstalige handleiding voor het verwijderen van je: digitale footprint

Verwijderen uit zoekresultaten - recht van vergetelheid

Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan in dit verband (C-131/12). Het betrof een Spanjaard die nadelen ondervond van een krantenartikel uit 1998 over gedwongen verkoop van zijn bezittingen. Het Hof bepaalde dat Google de link naar deze gegevens op zijn verzoek moest verwijderen. Let wel: de oorspronkelijke gegevens uit de krant blijven bewaard. Er vindt dus geen 'geschiedvervalsing' plaats.
Met de uitspraak van het Europese Hof wordt in zijn algemeenheid de mogelijkheid geschapen om een zoekmachine te vragen om bepaalde koppelingen naar webpagina's met gegevens over personen te verwijderen.
De genoemde uitspraak gaf tevens aan dat Google zich aan de Europese privacyregels moet houden, ook al vindt de verwerking van Europese persoonsgegevens plaats in de Verenigde Staten. Als gevolg van het genoemde arrest heeft Google het in mei 2014 mogelijk gemaakt om een verzoek in te dienen om informatie uit de zoekresultaten te verwijderen.
Lees meer hierover bij Google: verwijdering uit zoekresultaten
En Google's algemene verwijderingsbeleid.

Andere zoekmachines zijn ook gehouden aan dit arrest. Lees meer hierover op de pagina over vergeetrecht

Zoekmachines en privacy

Zoekmachines slaan de voorkeuren en zoekopdrachten van de gebruiker op om ervoor te zorgen dat zoekresultaten steeds relevanter worden. Dat betekent dat de gevonden resultaten beter voldoen aan de behoeften van de gebruiker en dat geplaatste advertenties steeds beter aansluiten op diens profiel. Als je cookies van zoekmachines verwijdert, gaat veel van deze informatie verloren. Maar een deel van de opgebouwde informatie blijft bewaard op de servers van de zoekmachines.
Wanneer je niet wilt dat een zoekmachine informatie van (en dus ook over) jou opslaat, dan is DuckDuckGo een alternatief. Deze zoekmachine bewaart geen gegevens van gebruikers en hun zoekopdrachten. Wanneer een overheidsdienst data opeist van DuckDuckGo, is er dus geen identificeerbare data om door te geven.
Een Nederlands alternatief is de zoekmachine Start Page die feitelijk fungeert als een filter tussen Google en de gebruiker. Het filter anonimiseert de zoekopdrachten.

Privacy statement - Privacyverklaring

Het is een wettelijke verplichting om klanten, (website)bezoekers en andere personen duidelijk te informeren over welke gegevens over hen verzameld worden en met welk doel. Veel bedrijven en websites hanteren hiervoor een privacyverklaring, ook wel privacy statement of privacy notice genoemd. Houd er rekening mee dat een privacyverklaring in de loop van de tijd gewijzigd kan worden.
Een bedrijf moet dus ook zijn werknemers informeren over welke gegevens over hen worden verwerkt en met welk doel. Deze informatie is vaak te vinden in een interne privacyverklaring, bijvoorbeeld op het intranet. Het verdient aanbeveling om in de privacyverklaring op de website van het bedrijf te melden hoe wordt omgegaan met de gegevens van sollicitanten.