Bescherming persoonsgegevens

[ bescherming-persoonsgegevens.eu ]

Privacy & bescherming persoonsgegevens

Privacy is de sleutel Bescherming van privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Algemene Verordening Gegevensbescherming (AVG), in het dagelijks spraakgebruik ook wel privacywet genoemd.
Regels op het gebied van mailings, spam en cookies staan vermeld in de Telecommunicatiewet.

Algemene Verordening Gegevensbescherming (AVG)

De AVG werd effectief van kracht op 25 mei 2018. Daarmee werden de onderlinge verschillen in privacyregelgeving in de Europese landen grotendeels gelijkgetrokken. Nederland kende al de Wet Meldplicht Datalekken die met betrekking tot datalekken in grote lijnen dezelfde bepalingen kent als de AVG.
De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens.

Wanneer geldt de Algemene Verordening Gegevensbescherming?

De AVG is niet op elke verwerking van persoonsgegevens van toepassing. Zo geldt de AVG niet voor de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen of een lijst met adressen en telefoonnummers van vrienden en familie.
Daarnaast is toepasselijkheid van de AVG uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.

Wat is een persoonsgegeven?

Persoonsgegevens zijn gegevens die iets zeggen over een persoon. Wanneer een bepaald gegeven -al dan niet in combinatie met andere gegevens- iemand kan identificeren zonder dat daarvoor een bijzondere inspanning nodig is, dan is de privacy in het geding. Hierbij kun je denken aan namen en adresgegevens.
Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.
Of er sprake is van een persoonsgegeven wordt mede bepaald door de context. Iemands beroep is een persoonsgegeven, maar een beroep op zich geeft in de regel niet de mogelijkheid iemand te identificeren. In combinatie met andere gegevens is identificatie wellicht wél mogelijk. Denk aan het beroep kernfysicus - als we van een kernfysicus weten dat deze op een Waddeneiland woont, weten we waarschijnlijk om wie het gaat.

Bijzondere persoonsgegevens

Privacy / privé Naast gewone persoonsgegevens zijn er bijzondere (categorieën) persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere persoonsgegevens vallen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke opvattingen of het lidmaatschap van een vakbond blijken. Ook vallen hieronder genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Er zijn gegevens die niet onder de categorie bijzondere persoonsgegevens vallen, maar door hun gevoeligheid wel een aparte status hebben, zoals strafrechtelijke gegevens en BSN.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt. Een praktisch voorbeeld: een helpdeskmedewerker die gegevens van een klant inziet, verwerkt al persoonsgegevens.

Algemene regels voor verwerking persoonsgegevens

  • Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
  • Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven.
  • Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Ook dienen ze juist te zijn en zo nodig te worden geactualiseerd.
Behalve bovengenoemde regels geldt dat er voor elke verwerking van persoonsgegevens een grondslag of rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.

Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden

Naast bovengenoemde algemene regels geldt dat de gegevensverwerking slechts is gerechtvaardigd als het verwerkingsdoel gebaseerd is op (ten minste) één van de zes grondslagen die in de AVG worden gegeven.

Deze juridische grondslagen zijn:
  • Toestemming

    De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn toestemming gegeven. Deze toestemming dient vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. In dit verband wordt ook wel over geïnformeerde toestemming of informed consent gesproken.
    Voor de verwerking van persoonsgegevens van een kind jonger dan 16 jaar (in Nederland) is toestemming van een ouder of wettelijk vertegenwoordiger noodzakelijk. Een organisatie moet een redelijke inspanning verrichten om die toestemming te controleren.
  • Uitvoering overeenkomst

    De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
  • Wettelijke verplichting

    De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.
  • Vitaal belang

    De gegevensverwerking is noodzakelijk om een vitaal belang te beschermen van de betrokkene, of van een andere natuurlijk persoon. Het gaat hierbij vaak over gezondheid.
  • Publiekrechtelijke taak

    De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
  • Gerechtvaardigd belang

    De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt of van een derde. Dit impliceert dat degene die de gegevens verwerkt zijn eigen belang (of dat van de derde) moet afwegen tegen het belang en de rechten van de betrokken persoon. Ook moet degene die de gegevens verwerkt vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens, en dus met minder inbreuk op de privacy van de betrokkene. Deze belangenafweging staat ook wel bekend als de balanstest .
Het is dus zéker niet altijd nodig om toestemming te krijgen van de betrokkenen.

Verwerking risicovolle persoonsgegevens

Onder de AVG hoeft een organisatie niet meer aan de Autoriteit Persoonsgegevens te melden dat er persoonsgegevens worden verwerkt (onder de Wet bescherming persoonsgegevens bestond deze verplichting wel).
Wel moet voor een verwerking die waarschijnlijk een hoog risico inhoudt voor rechten en vrijheden van betrokkenen een Data Protection Impact Assessment (DPIA) worden uitgevoerd, ook wel privacy impact assessment (PIA) genoemd. Als uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert en er door de organisatie geen maatregelen genomen (kunnen) worden om dit risico te beperken, dan moet de Autoriteit Persoonsgegevens (AP) worden geraadpleegd. Deze voorafgaande raadpleging van de AP moet plaatsvinden voordat de verwerking begint.

Het exporteren van persoonsgegevens: doorgifte

Privacy - sleutel Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing.
Zie de pagina doorgifte persoonsgegevens

Wat zijn de rechten van betrokkenen?

De privacywetgeving richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.
  • Inzagerecht

    Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt.
  • Rectificatie en aanvulling

    Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd of aangevuld moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking.
  • Beperking van verwerking

    Dit betreft het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken. Bijvoorbeeld in het kader van een onderzoek in verband met een door een betrokkene ingediend bezwaar tegen de verwerking van zijn persoonsgegevens.
  • Recht op menselijke tussenkomst bij geautomatiseerde besluiten

    Betrokkenen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat voor hen serieuze gevolgen heeft. Hieronder valt ook profilering. Gebruikte algoritmes kunnen mensen ten onrechte selecteren of juist uitsluiten - tussenkomst van een mens kan de procedure een andere wending geven.
  • Recht op dataportabiliteit

    Dit betreft het recht van de betrokkene om zijn persoonsgegevens overgedragen te krijgen in een algemeen leesbaar, digitaal formaat door de organisatie die deze gegevens heeft opgeslagen. Hiermee kunnen mensen hun gegevens eenvoudig overdragen aan een andere leverancier. In de praktijk zal het digitale formaat vaak xml of json zijn.
    Zie ook: dataportabiliteit volgens de AVG
  • Vergeetrecht

    Onder specifieke voorwaarden heeft iemand het recht zijn persoonsgegevens te laten wissen (bijvoorbeeld omdat ze verouderd zijn of niet meer relevant).
    De verantwoordelijke voor deze persoonsgegevens heeft in dat geval de plicht om derden, aan wie hij de gegevens heeft verstrekt, te verzoeken deze gegevens eveneens te wissen.
  • Recht van bezwaar

    Iemand kan een organisatie vragen om zijn of haar persoonsgegevens niet meer te gebruiken. Dit kan hij doen op basis van met zijn specifieke situatie verband houdende redenen of als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden.
    De benaming recht van verzet stamt uit de oude Wet bescherming persoonsgegevens. Deze term wordt nog gebruikt in de Telecommunicatiewet: zich verzetten tegen het gebruik van gegevens voor telemarketing.
Zie de uitgebreide toelicht van de AP: rechten van betrokkenen

Toezicht op naleving AVG

De Autoriteit Persoonsgegevens of AP is de toezichthouder voor de verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.

Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de privacywetgeving, en advies hierover te geven. Deze functionaris wordt ook wel Data Protection Officer genoemd.

Meldplicht datalekken

Onderdeel van de AVG is een regeling over de meldplicht voor datalekken. De meldingen moeten worden gedaan bij de AP en, in bepaalde gevallen, aan de betrokken personen. Voor meer informatie zie: datalekken

Bijhouden van zwarte lijst: privacyinbreuk?

Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een verwerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.

Privacy in de pers - Edward Snowden

Het lijkt alweer lang geleden, maar deze gebeurtenis leidde tot een omslag in het denken over privacy.
In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. PRISM kan gezien worden als een opvolger van ECHELON. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple.
In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan. Lees meer hierover op Wikipedia.

Gerelateerde onderwerpen