Inleiding:
Sinds 2012 is er op Europees niveau gewerkt aan nieuwe wetgeving over privacy, de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving is na vele onderhandelingen in mei 2016 aangenomen en in werking getreden. Twee jaar na aanname, dus in mei 2018, moet iedereen zich aan deze verordening houden. Tot die tijd is de Wet bescherming persoonsgegevens (Wbp) nog van toepassing. Om inzicht te geven in wat voor eisen de AVG stelt op het gebied van een zorgvuldige omgang met persoonsgegevens en wat de verschillen zijn ten opzichte van de Wbp, heeft SURFnet een overzicht hiervan gemaakt en via deze pagina ter beschikking gesteld.
Leeswijzer:
Deze wikipagina geeft een overzicht van de belangrijkste onderwerpen die in de AVG aan de orde komen. Elk onderwerp bevat een uitleg, een verwijzing naar de relevante bepalingen uit de AVG, de originele teksten van deze bepalingen en de relevante overwegingen (overwegingen zijn een soort toelichtingen op de bepalingen en zijn onderdeel van de AVG). Daarnaast staat per onderwerp kort uitgelegd hoe het nu in de Wet bescherming persoonsgegevens (Wbp) is geregeld en de bijbehorende relevante bepalingen.
Lijst met onderwerpen:
Beginselen
De AVG kent een aantal beginselen:
- Rechtmatigheid: verwerking van persoonsgegevens is rechtmatig
- Eerlijkheid: verwerking van persoonsgegevens is behoorlijk
- Transparantie: verwerking van persoonsgegevens is transparant
- Doelbinding: persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en vervolgens niet op onverenigbare wijze verwerkt
- Dataminimalisatie: persoonsgegevens zijn adequaat en ter zake dienend en blijven beperkt tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt
- Juistheid: persoonsgegevens zijn juist en worden zo nodig geactualiseerd
- Opslagbeperking: persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden bewaard noodzakelijk is
- Integriteit en vertrouwelijkheid: persoonsgegevens worden door passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat een passende beveiliging gewaarborgd is
- Verantwoordingsplicht: persoonsgegevens worden verwerkt onder de verantwoordelijkheid van de verwerkingsverantwoordelijke, die ervoor zorgt en kan aantonen dat verwerking voldoet aan de bepalingen van de verordening
Bepalingen :
- Artikel 5 lid 1 AVG
- Artikel 5 lid 2 AVG
Wbp :
De beginselen van de AVG komen overeen met de beginselen uit de Wbp, maar de AVG werkt sommige beginselen verder uit. Maar de basis is gelijk.
- Artikel 6 Wbp
- Artikel 7 Wbp
- Artikel 9 Wbp
- Artikel 11 lid 1 en 2 Wbp
Rechtmatigheid (grondslagen voor verwerking)
De verwerking van persoonsgegevens is rechtmatig als er een van de grondslagen geldt:
- Toestemming van de betrokkene
- Noodzakelijk voor de uitvoering van de overeenkomst
- Noodzakelijk voor voldoen aan een wettelijke verplichting
- Een vitaal belang te beschermen
- Vervulling taak van algemeen belang of openbaar gezag
- Gerechtvaardigd belang
Voorwaarden toestemming:
- Aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens
- De betrokkene kan ten allen tijde zijn toestemming intrekken. Voordat hij zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven
- Soms geeft een betrokkene toestemming in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft. Het verzoek om toestemming wordt dan in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
- Bij de beoordeling van de vraag of toestemming vrijelijk kan worden gegeven, wordt onder meer rekening gehouden met de vraag of de uitvoering van een overeenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst
Toestemming bij kinderen:
Indien verwerking plaatsvindt op grond van toestemming: voor een kind jonger dan 16 jaar is verwerking slechts rechtmatig bij aanbieden van diensten van de informatiemaatschappij met toestemming of machtiging door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. NB: de leeftijd kan door een lidstaat worden verlaagd, maar niet lager dan 13 jaar. Nederland heeft hier nog geen wetgeving voor.
Gerechtvaardigd belang
Gerechtvaardigd belang is een van grondslagen om persoonsgegevens te mogen verwerken. Maar enkel als de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke,in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling nodig om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. (overweging 47)
Voorbeelden van gerechtvaardigd belang (genoemd in de overwegingen):
- Fraude voorkoming (overweging 47)
- Direct marketing (overweging 47)
Doorzending van persoonsgegevens binnen een concern voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens van klanten of werknemers (overweging 48)
- De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging (overweging 49)
NB: De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van gerechtvaardigd belang. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
NB: Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Bepalingen :
- Artikel 6 lid 1 AVG (grondslagen)
- Artikel 7 AVG (voorwaarden toestemming)
- Artikel 8 AVG (toestemming van kinderen)
Overwegingen
- Overweging 45 AVG (grondslagen)
- Overweging 32 AVG ( voorwaarden toestemming)
- Overweging 38 en 58 (toestemming kinderen)
- Overweging 47- 49 (gerechtvaardigd belang)
Wbp :
De grondslagen voor rechtmatige verwerking van persoonsgegevens zijn onder de AVG dezelfde als in de Wbp
- Artikel 8 Wbp
De Wbp spreekt over ondubbelzinnige en uitdrukkelijke toestemming, wat enigszins afwijkt van de definitie van toestemming in de AVG
- Artikel 8 Wbp
Â
Bijzondere persoonsgegevens
De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en de verwerking van genetische of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
Het verbod geldt niet in geval van:
a. uitdrukkelijke toestemming van betrokkene voor een of meer welbepaalde doeleinden; of
b. noodzakelijk voor uitvoering verplichtingen en specifieke rechten arbeidsrecht, voor zover is toegestaan bij Unierecht of lidstatelijk recht; of
c. noodzakelijk is ter bescherming van de vitale belangen; of
d. wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is en gerechtvaardigd belang heeft; of
e. betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; of
f. noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid; of
g. noodzakelijk voor de redenen van zwaarwegend algemeen belang; of
h. (gegevens over gezondheid) noodzakelijk is voor gezondheidsdoeleinden; of
i. noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid; of
j. noodzakelijk is voor archivering in het algemeen belang, historische, statistische of wetenschappelijke doeleinden;
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid
NB: punt a, b en g kunnen door nationale of uniewetgeving afwijken.
NB: de lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.
Bepalingen :
- Artikel 9 AVG (bijzondere persoonsgegevens)
- Artikel 10 AVG (strafrechtelijke veroordelingen en strafbare feiten)
Overwegingen
- Overweging 51 - 54 AVG
Wbp :
De uitzonderingen op het verwerken van bijzondere persoonsgegevens in de AVG komen deels overeen met die van Wbp.
- Artikel 16 Wbp (hoofd bepalingen)
- Artikel 17- 23 Wbp (uitzonderingen)
Â
Bewaarplicht (opslagbeperking)
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden van verwerking. Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
Persoonsgegevens mogen voor een langere periode worden opgeslagen voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden of ten behoeve van archivering worden verwerkt, voor zover er passende technische en organisatorische maatregelen worden getroffen om de toegang tot de gegevens te beperken voor uitsluitend deze doeleinden
Bepalingen :
- Artikel 5 lid 1 onder e AVG
Overwegingen
- Overweging 39 AVG
Wbp :
De AVG komt qua uitgangspunt overeen met de bewaartermijnen zoals omschreven in de Wbp.
- Artikel 10 Wbp
Profilering
Geautomatiseerde individuele besluitvorming
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
Dit geldt niet indien het besluit:
a) noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;
NB: de verwerkingsverantwoordelijke treft in dit geval passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten
b) is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c) berust op de uitdrukkelijke toestemming van de betrokkene.
NB: de verwerkingsverantwoordelijke treft in dit geval passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten
Bovengenoemde besluiten worden niet gebaseerd op bijzondere categorieën van persoonsgegevens (artikel 9), tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven (artikel 9 lid 2 onder a) of vanwege zwaarwegend algemeen belang (artikel 9 lid 2 onder 9) en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
Recht van bezwaar
De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e (taak van algemeen belang) of f, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing.
Bepalingen :
- Artikel 22 AVG
- Artikel 21 AVG (recht van bezwaar)
Overwegingen
- Overweging 63 AVG (inzage in profilering door betrokkene)
- Overweging 70 AVG (direct marketing en profilering)
- Overweging 71 en 72 AVG (profilering)
Wbp :
De Wbp kende ook een bepaling over geautomatiseerde besluitvorming.
- Artikel 42 Wbp
Gezamenlijke verwerkingsverantwoordelijken
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
De volgende eisen gelden (tenzij de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is):
- Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast
- met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken (informatieplicht betrokkenen), door middel van een onderlinge regeling,
- In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
- Uit de regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is
- De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
Ongeacht de voorwaarden van de regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Bepalingen :
- Artikel 26 AVG
Overwegingen :
- Overweging 79 (toewijzen van verantwoordelijkheden)
Wbp :
De Wbp kent geen bepaling over gezamenlijke verwerkingsverantwoordelijken
- nvt
Inschakelen verwerker (verwerkersovereenkomst)
Een verwerkingsverantwoordelijke kan een verwerker inschakelen om namens hen persoonsgegevens te verwerken.
- De verwerkingsverantwoordelijke mag uitsluitend een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
De verwerking door een verwerker wordt geregeld in een overeenkomst of door andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt.
Het volgende wordt in ieder geval omschreven:
- het onderwerp en de duur van de verwerking
- de aard en het doel van de verwerking,
- het soort persoonsgegevens
- de categorieën van betrokkenen,
- de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
- de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
- waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
- alle overeenkomstig artikel 32 (beveiliging van de verwerking) vereiste maatregelen neemt;
- aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
- rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;
- rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 (beveiliging, meldplicht datalekken, PIA);
- na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;
- de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.
Waar het gaat om het vorige punt, stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
Inschakelen van een verwerker door de verwerker:
De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
- Wanneer een verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de verwerkersovereenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
NB: Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd
Bepalingen :
- Artikel 28 AVG
Overwegingen
- Overweging 81 AVG
Wbp :
De Wbp spreekt over bewerker in plaats van verwerker. Ook in de Wbp wordt voorgeschreven dat er een schriftelijke overeenkomst moet zijn tussen verantwoordelijke en de bewerker, maar de eisen die worden gesteld aan de overeenkomst zijn minder uitgebreid beschreven.
- Artikel 14 Wbp
Extra informatie:
Onderdeel van het SURF Juridisch Normenkader (Cloud)services is een model verwerkersovereenkomst. De Word versies zijn beschikbaar in het Nederlands en in het Engels. Een instructie en uitleg per artikel is te vinden op de website van SURF
SURF Model Verwerkersovereenkomst 3.0.docx
SURF Model Processing Agreement 3.0_Final.docx
Documentatieplicht
Documentatieplicht verwerkingsverantwoordelijke:
Elke verwerkingsverantwoordelijke (en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke) houdt een register van de verwerkingsactiviteitenbij die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a. de naam en de contactgegevens verantwoordelijke en eventueel gezamenlijke verantwoordelijken en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b. de verwerkingsdoeleinden;
c. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Documentatieplicht verwerker:
De verwerker, (en, in voorkomend geval, de vertegenwoordiger van de verwerker) houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
a. de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
b. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
d. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
NB: Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
NB: Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker (en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker) het register ter beschikking van de toezichthoudende autoriteit.
NB: De verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, , of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.
Bepalingen :
- Artikel 30 AVG
Overwegingen
- Overweging 82 AVG
Wbp :
De Wbp kent een verplichting om bepaalde verwerkingen te melden bij de toezichthouder (Autoriteit Persoonsgegevens). Dat hoeft bij de AVG niet langer, maar de verplichting om een registratie bij te houden is gebleven en uitgebreid. Alleen hoeft deze pas op verzoek van de toezichthouder ter beschikking worden gesteld.
- Artikel 27 en 28 Wbp
Beveiliging
De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Daarbij rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
De maatregelen omvatten, waar passend, onder meer:
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
NB: Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
NB: Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de vereisten worden nageleefd.
Bepalingen :
- Artikel 32 AVG
- Artikel 40 AVG (gedragscode)
- Artikel 42 (certificeringsmechanisme)
Overwegingen
- Overweging 39 AVG (algemeen)
- Overweging 83 AVG (beveiliging)
Wbp :
De Wbp kent een bepaling lijkend op de AVG. De AVG bepaling is iets uitgebreider.
- Artikel 13 Wbp
Informeren van betrokkenen (informatieplicht)
1 Informatieplicht als persoonsgegevens verkregen zijn bij betrokkene
Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, moet de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie verstrekken:
- de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, (en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke);
- in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
- de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
- in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
- in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd
Naast de bovengenoemde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
- de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
- dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
- wanneer de verwerking op toestemming van de betrokkene is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
- dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
- of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
- het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
NB: Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie die hierboven is genoemd.
NB: Bovenstaande verplichtingen zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
2 Informatieplicht als persoonsgegevens niet verkregen zijn bij de betrokkene
Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
- de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
- in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
- de betrokken categorieën van persoonsgegevens;
- in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
Naast de bovenstaande informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
- de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
- de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op gerechtvaardigd belang (artikel 6, lid 1, onder f), is gebaseerd;
- dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid;
- wanneer verwerking op toestemming van de betrokkene is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
- dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
- de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;
- het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
De verwerkingsverantwoordelijke verstrekt de informatie:
- binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
- indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
- indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
NB: Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als hierboven genoemd
NB: Bovenstaande verplichtingen zijn niet van toepassing wanneer en voor zover:
- de betrokkene reeds over de informatie beschikt;
- het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
- het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
- de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht.
Bepalingen :
- Artikel 13 AVG (persoonsgegevens verkregen bij betrokkene)
- Artikel 14 AVG (persoonsgegevens niet verkregen bij betrokkene)
Overwegingen
- Overweging 60 - 62 AVG
Wbp :
De Wbp kent net als de AVG een plicht om betrokkenen te informeren dat persoonsgegevens worden verwerkt. De bepalingen uit de Wbp zijn iets minder uitgebreid.
- Artikel 33 Wbp (persoonsgegevens verkregen bij betrokkene)
- Artikel 34 Wbp (persoonsgegevens niet verkregen bij betrokkene)
Rechten van betrokkenen
Procedures en maatregelen rond rechten van betrokkenen
De verantwoordelijke informeert de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek over het gevolg dat aan het verzoek is gegeven
- Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog een of twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen een maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.
- De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt.Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
- Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven en informeert hij hem over de mogelijkheden een klacht in te dienen bij de toezichthoudende autoriteit en beroep in rechte in te stellen.
- Het verstrekken van informatie en het treffen van maatregelen geschieden kosteloos. Wanneer de verzoeken kennelijk ongegrond of buitensporig zijn (mn vanwege repetitieve karakter) mag de verwerkingsverantwoordelijke: een redelijke vergoeding in rekening brengen, daarbij rekening houdende met de administratieve kosten voor het verstrekken van de informatie of het treffen van maatregelen. Bewijslast voor duidelijk buitensporig karakter rust op de verantwoordelijke; of weigeren gevolg te geven aan het verzoek.
- Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
- Onverminderd artikel 11 (verwerking waarvoor identificatie niet is vereist) kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
Verwerking waarvoor identificatie niet is vereist
Indien de doeleinden waarvoor persoonsgegevens worden verwerkt, niet (meer) vereisen dat een betrokkene wordt identificeert, is de verwerkingsverantwoordelijke niet verplicht om, uitsluitend om aan deze privacyverordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken. Als dat het geval is stelt de verwerkingsverantwoordelijke de betrokkene daarvan op de hoogte, indien mogelijk. In dergelijke gevallen zijn de onderstaande rechten van betrokkenen (inzagerecht, recht op rectificatie etc) niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.
1 Inzagerecht
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
- de verwerkingsdoeleinden;
- de betrokken categorieën persoonsgegevens;
- de ontvangers of categorieën ontvangers (met name ontvangers in derde landen);
- indien mogelijk, de periode van opslag, of indien niet mogelijk de criteria die dienen om die termijn te bepalen;
- het bestaan van het recht op rectificatie of het wissen van persoonsgegevens te verlangen of bezwaar te maken;
- het recht om een klacht in te dienen bij de toezichthoudende autoriteit;
- wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
- het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
- Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen inzake de doorgifte (overeenkomstig art 46 AVG).
NB:
- De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt.
- Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen.
- Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
- Het recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
2 Recht op rectificatie
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
NB: Kennisgevingsplicht inzake rectificatie of wissen van persoonsgegevens of verwerkingsbeperking: De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking (overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18), tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
3 Recht op vergetelheid
De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen. De verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
- de gegevens zijn niet langer nodig voor doeleinden waar voor zij zijn verzameld of anderszins verwerkt;
- intrekking toestemming en er is geen andere rechtsgrond voor de verwerking;
- bezwaar van betrokkene, overeenkomstig art. 21 en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor verwerking;
- de gegevens zijn onrechtmatig verwerkt;
- de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1 AVG (toestemming van kinderen).
NB: Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
Het recht op vergetelheid is niet van toepassing voor zover verwerking nodig is:
- voor de uitoefening van het recht op vrijheid van meningsuiting en informatie;
- voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
- om redenen van algemeen belang op het gebied van volksgezondheid
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (overeenkomstig artikel 89, lid 1,) voor zover het recht op vergetelheid de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
4 Recht op beperking van de verwerking
De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
- de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te controleren;
- de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
- de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de betrokkene heeft overeenkomstig bezwaar gemaakt (artikel 21 AVG) tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene
NB: Wanneer de verwerking is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
NB: Een betrokkene die een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
NB: Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking: De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking (overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18), tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
5. Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
- de verwerking berust op toestemming uit hoofde van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b); en
- de verwerking via geautomatiseerde procedés wordt verricht.
Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
NB: De uitoefening van dit recht laat artikel 17 (recht op vergetelheid) onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
NB: Het recht op overdraagbaarheid van gegevens doet geen afbreuk aan de rechten en vrijheden van anderen.
6. Recht op bezwaar
De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e (taak van algemeen belang) of f, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
NB: Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing.
NB: Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Bepalingen :
- Artikel 11 AVG (verwerking waarvoor identificatie niet is vereist)
- Artikel 12 AVG (transparantie en rechten van betrokkenen)
- Artikel 15 AVG (inzagerecht)
- Artikel 16 AVG (recht op rectificatie)
- Artikel 17 AVG (recht op vergetelheid)
- Artikel 18 AVG (recht op beperking van verwerking)
- Artikel 19 AVG (kennisgevingsplicht)
- Artikel 20 AVG (recht op overdraagbaarheid van gegevens)
- Artikel 21 AVG (recht van bezwaar)
Overwegingen
- Overweging 57 AVG (verwerking waarvoor identificatie niet is vereist)
- Overweging 59 AVG (rechten van betrokkenen)
- Overweging 63 AVG (inzagerecht)
- Overweging 64 AVG (identificatie verzoeker)
- Overweging 65 AVG (rectificatie, recht op vergetelheid)
- Overweging 66 AVG (recht op vergetelheid)
- Overweging 67 AVG (recht op beperking)
- Overweging 68 AVG (overdraagbaarheid van gegevens)
- Overweging 69 AVG (recht op bezwaar)
- Overweging 70 (recht op bezwaar, direct marketing)
Wbp :
De verschillende rechten van betrokkenen worden ook in de Wbp genoemd, maar in de AVG zijn ze verder uitgewerkt. Daarnaast zijn het recht om vergeten te worden en het recht op overdraagbaarheid van gegevens nieuw ten opzichte van de Wbp
- Artikel 35 Wbp (inzagerecht)
- Artikel 36 Wbp (recht op correctie)
- Artikel 37 Wbp (vaststellen identiteit)
- Artikel 38 Wbp (in kennis stellen)
- Artikel 39 Wbp (vergoeding)
- Artikel 40 en 41 Wbp (recht op verzet)
Privacy Impact Assessment (PIA)
Wanneer een PIA:
Wanneer een soort verwerking ( in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan) waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Beter bekend als een Privacy impact assessment (PIA). Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
Een PIA is met name vereist in de volgende gevallen:
- een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
NB: Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (PIA) diens advies in.
NB: De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een PIA verplicht is, en maakt deze openbaar. Of een lijst van soorten verwerkingen war een PIA niet verplicht is. De toezichthoudende autoriteit deelt die lijsten mee aan hetComité voor gegevensbescherming (zie artikel 68 AVG).
Waar moet een PIA uit bestaan:
De beoordeling bevat tenminste:
- een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, en;
- de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
NB: Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een PIA, wordt de naleving van gedragscodes (zie artikel 40 AVG) naar behoren in aanmerking genomen.
NB: De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen.
NB: Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig PIA wordt uitgevoerd, in ieder geval wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.
NB: Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c (wettelijke verplichting) of e (taak van algemeen belang), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de PIA bepalingen niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
Voorafgaande raadpleging toezichthouder:
Wanneer uit een PIA blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthouder.
Wanneer de toezichthoudende autoriteit van oordeel is dat de voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de toezichthouder binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag zij al haar bevoegdheden uitoefenen (zie artikel 58 AVG). Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de toezichthoudende autoriteit de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit informatie heeft verkregen waarom zij met het oog op de raadpleging heeft verzocht.
Wanneer de verwerkingsverantwoordelijke de toezichthouderuit raadpleegt, verstrekt hij de volgende informtie:
- indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern;
- de doeleinden en de middelen van de voorgenomen verwerking;
- de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening;
- indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
- de PIA; en
- alle andere informatie waar de toezichthouder om verzoekt.
NB: Verwerkingsverantwoordelijken kunnen lidstaatrechtelijk ertoe worden verplicht overleg met de toezichthouder te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer verwerking verband houdt met sociale bescherming en volksgezondheid.
Bepalingen :
- Artikel 35 (gegevensbeschermingseffectbeoordeling, PIA)
- Artikel 36 (voorafgaande raadpleging toezichthouder)
Overwegingen
- Overweging 84 AVG (gegevensbeschermingseffectbeoordeling)
- Overweging 89 - 93 AVG (gegevensbeschermingseffectbeoordeling)
- Overweging 94 - 96 AVG (voorafgaande raadpleging toezichthouder)
Wbp :
De Wbp kent de Privacy Impact Assessment niet, dit is een nieuwe verplichting in de AVG. Wel bestaat in de Wbp een mogelijkheid tot voorafgaande raadpleging. Al is dit een andere regeling
- Artikel 31 Wbp (voorafgaande raadpleging toezichthouder
Meldplicht datalekken
Melding van een datalek aan de toezichthouder
Indien een inbreuk in verband met persoonsgegevens (ook wel een datalek genoemd) heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de toezichthouder (Autoriteit Persoonsgegevens), tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthouder niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
NB: De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een datalek.
De melding bevat de volgende informatie:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
Documentatieplicht: De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthouder in staat de naleving van dit artikel te controleren.
Melding van een datalek aan de betrokkene(n)
Wanneer het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene het datalek onverwijld mee.
De mededeling aan de betrokkene bevat ten minste:
- een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
NB: Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de toezichthouder, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan bovenstaande voorwaarden is voldaan en het niet hoeft.
Bepalingen :
Artikel 33 AVG (melding datalek aan toezichthouder)
Artikel 34 AVG (melding datalek aan betrokkene)
Overwegingen
Overweging 85 (meldplicht datalek aan toezichthouder)
- Overweging 86 (meldplicht datalek aan betrokkene)
- Overweging 87 en 88 AVG
Wbp :
De Wbp kent sinds 1 januari 2016 ook een meldplicht datalekken, maar de invulling van deze plicht wijkt af van die geformuleerd in de AVG.
Artikel 13 Wbp
- Artikel 34a Wbp
Functionaris gegevensbescherming (FG)
Benoemen van een FG:
De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming (FG) aan in elk geval waarin:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
- een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
- de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
Een concern kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.
Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.
In andere dan de in bovengenoemde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken te vervullen.
De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.
De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit.
Positie van de FG:
- De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
- De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.
- De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
- Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
- De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.
- De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
Taken van de FG:
De FG vervult ten minste de volgende taken:
- de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
- toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling (PIA) en toezien op de uitvoering daarvan in;
- met de toezichthouder samenwerken;
- optreden als contactpunt voor de toezichthouderinzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging (zie artikel 36 AVG), en, waar passend, overleg plegen over enige andere aangelegenheid.
NB: De FG houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Bepalingen :
- Artikel 37 AVG (benoeming FG)
- Artikel 38 AVG (positie FG)
- Artikel 39 AVG (taken FG)
Overwegingen
- Overweging 97 AVG
Wbp :
De Wbp kent ook de mogelijkheid om een FG aan te wijzen, maar de verplichting zoals opgenomen in de AVG staat niet in de Wbp.
- Artikel 62- 64 Wbp
Extra informatie:
De Artikel 29 werkgroep (het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders) heeft Guidelines en een FAQ opgesteld over de Functionaris Gegevensbescherming:
- Guidelines data protection officer (december 2016)
- Frequently Asked Questions (december 2016)
Beleid en Privacy by Design/ Default
Beleid:
De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Daarbij wordt rekening gehouden met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
Als het in verhouding staat tot de verwerkingsactiviteiten, is één van de maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
Het aansluiten bij goedgekeurde gedragscodes (zie artikel 40) of goedgekeurde certificeringsmechanismen (zie artikel 42) kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.
Privacy by Design en Privacy by Default
De verwerkingsverantwoordelijke treft, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen (zoals pseudonimisering) die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. Hierbij moet rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden.
De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor:
- de hoeveelheid verzamelde persoonsgegevens
- de mate waarin zij worden verwerkt
- de termijn waarvoor zij worden opgeslagen
- de toegankelijkheid daarvan.
Deze maatregelen moeten er met name voor zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Een goedgekeurd certificeringsmechanisme (zie artikel 42) kan worden gebruikt als element om aan te tonen dat aan bovenstaande voorschriften is voldaan.
Bepalingen :
- Artikel 24 (verantwoordelijkheid van de verwerkingsverantwoordelijke)
- Artikel 25 (gegevensbescherming door ontwerp en door standaardinstellingen)
- Artikel 40 (gedragscodes)
- Artikel 42 (certificering)
Overwegingen
- Overweging 74 (verantwoordelijkheid en aansprakelijkheid verantwoordelijke)
- Overweging 77 (richtsnoeren voor passende maatregelen)
- Overweging 78 (beleid en maatregelen)
Wbp :
De Wbp kent geen specifieke bepalingen over beleid en privacy by design/ default.
Rechtmatigheid (grondslagen voor verwerking)
De verwerking van persoonsgegevens is rechtmatig als er een van de grondslagen geldt:
- Toestemming van de betrokkene
- Noodzakelijk voor de uitvoering van de overeenkomst
- Noodzakelijk voor voldoen aan een wettelijke verplichting
- Een vitaal belang te beschermen
- Vervulling taak van algemeen belang of openbaar gezag
- Gerechtvaardigd belang
Voorwaarden toestemming:
- Aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens
- De betrokkene kan ten allen tijde zijn toestemming intrekken. Voordat hij zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven
- Soms geeft een betrokkene toestemming in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft. Het verzoek om toestemming wordt dan in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
- Bij de beoordeling van de vraag of toestemming vrijelijk kan worden gegeven, wordt onder meer rekening gehouden met de vraag of de uitvoering van een overeenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst
Toestemming bij kinderen:
Indien verwerking plaatsvindt op grond van toestemming: voor een kind jonger dan 16 jaar is verwerking slechts rechtmatig bij aanbieden van diensten van de informatiemaatschappij met toestemming of machtiging door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. NB: de leeftijd kan door een lidstaat worden verlaagd, maar niet lager dan 13 jaar. Nederland heeft hier nog geen wetgeving voor.
Gerechtvaardigd belang
Gerechtvaardigd belang is een van grondslagen om persoonsgegevens te mogen verwerken. Maar enkel als de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke,in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling nodig om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. (overweging 47)
Voorbeelden van gerechtvaardigd belang (genoemd in de overwegingen):
- Fraude voorkoming (overweging 47)
- Direct marketing (overweging 47)
Doorzending van persoonsgegevens binnen een concern voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens van klanten of werknemers (overweging 48)
- De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging (overweging 49)
NB: De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van gerechtvaardigd belang. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
NB: Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Bepalingen :
- Artikel 6 lid 1 AVG (grondslagen)
- Artikel 7 AVG (voorwaarden toestemming)
- Artikel 8 AVG (toestemming van kinderen)
Overwegingen
- Overweging 45 AVG (grondslagen)
- Overweging 32 AVG ( voorwaarden toestemming)
- Overweging 38 en 58 (toestemming kinderen)
- Overweging 47- 49 (gerechtvaardigd belang)
Wbp :
De grondslagen voor rechtmatige verwerking van persoonsgegevens zijn onder de AVG dezelfde als in de Wbp
- Artikel 8 Wbp
De Wbp spreekt over ondubbelzinnige en uitdrukkelijke toestemming, wat enigszins afwijkt van de definitie van toestemming in de AVG
- Artikel 8 Wbp