You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 14 Next »

1. Beginselen

De AVG kent een aantal beginselen:

  • Rechtmatigheid: Verwerking van persoonsgegevens is rechtmatig
  • Eerlijkheid: Verwerking van persoonsgegevens is behoorlijk
  • Transparantie: Verwerking van persoonsgegevens is transparant
  • Doelbinding: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en vervolgens niet op onverenigbare wijze verwerkt
  • Dataminimalisatie persoonsgegevens zijn adequaat en ter zake dienend en blijven beperkt tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt
  • Juistheid: persoonsgegevens zijn juist en worden zo nodig geactualiseerd
  • Opslagbeperking: persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden bewaard noodzakelijk is
  • Integriteit en vertrouwelijkheid: persoonsgegevens worden door passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat een passende beveiliging gewaarborgd is
  • Verantwoordingsplicht: persoonsgegevens worden verwerkt onder de verantwoordelijkheid van de verwerkingsverantwoordelijke, die ervoor zorgt en kan aantonen dat verwerking voldoet aan de bepalingen van de verordening

Bepalingen :

  • Artikel 5 lid 1 AVG
  • Artikel 5 lid 2 AVG

 

Artikel 5

Beginselen inzake verwerking van persoonsgegevens

1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie");

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding");

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking");

d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid");

e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking");

f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid").

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht").

Wbp :

De beginselen van de AVG komen overeen met de beginselen uit de Wbp, maar de AVG werkt sommige beginselen verder uit. Maar de basis is gelijk.

  • Artikel 6 Wbp
  • Artikel 7 Wbp
  • Artikel 9 Wbp
  • Artikel 11 lid 1 en 2 Wbp

 

Artikel 6:

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Artikel 7:

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Artikel 9: 

1 Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. 

2 Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de verantwoordelijke in elk geval rekening met:

a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; 

b. de aard van de betreffende gegevens; 

c. de gevolgen van de beoogde verwerking voor de betrokkene; 

d. de wijze waarop de gegevens zijn verkregen en 

e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen 

3 Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. 

4 De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat

Artikel 11:

1. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. 

 2. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.


2. Rechtmatigheid

De verwerking van persoonsgegevens is rechtmatig als er een van de grondslagen geldt:

  • Toestemming van de betrokkene
  • Noodzakelijk voor de uitvoering van de overeenkomst
  • Noodzakelijk voor voldoen aan een wettelijke verplichting
  • Een vitaal belang te beschermen
  • Vervulling taak van algemeen belang of openbaar gezag
  • Gerechtvaardigd belang

Voorwaarden toestemming:

  • Aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens
  • De betrokkene kan ten allen tijde zijn toestemming intrekken. Alvorens hij zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven
  • Duidelijke afzonderlijke weergave toestemming van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd
  • Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of de uitvoering van een overeenkomst, met inbegrip van de dienstovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst

Toestemming bij kinderen:

Indien verwerking plaatsvindt op grond van toestemming: voor een kind jonger dan 16 jaar is verwerking slechts rechtmatig bij aanbieden van diensten van de informatiemaatschappij met toestemming of machtiging door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. NB: de leeftijd kan door een lidstaat worden verlaagd, maar niet lager dan 13 jaar. Nederland heeft hier nog geen wetgeving voor.

 

Bepalingen :

  • Artikel 6 lid 1 AVG (grondslagen)
  • Artikel 7 AVG (voorwaarden toestemming)
  • Artikel 8 AVG (toestemming van kinderen)

 

Artikel 6

Rechtmatigheid van de verwerking

 

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

 a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

 b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

 c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

 d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

 e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

 f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

 

2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

 3. De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

 a) Unierecht; of

 b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

 Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

 

4. Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

 a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

 b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

 c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

 d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

 e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

 

Artikel 7

Voorwaarden voor toestemming

1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

 

Artikel 8

Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

1. Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt.

2.Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend. 3.Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.

 

Overwegingen

  • Overweging 45 AVG (grondslagen)
  • Overweging 32 AVG ( voorwaarden toestemming)
  • Overweging 38 en 58 (toestemming kinderen)

 

Overweging 45:

Indien de verwerking wordt verricht omdat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in het Unierecht of het lidstatelijke recht. Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. Het moet ook het Unierecht of het lidstatelijke recht zijn die het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van deze verordening waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en specificaties kunnen vaststellen voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het Unierecht of het lidstatelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon of, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten, een privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn.

Overweging 32:

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.

Overweging 38:

Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.

Overweging 58:

Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullendvisualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen.

Wbp :

De grondslagen voor rechtmatige verwerking van persoonsgegevens zijn onder de AVG dezelfde als in de Wbp

  • Artikel 8 Wbp

De Wbp spreekt over ondubbelzinnige en uitdrukkelijke toestemming, wat enigszins afwijkt van de definitie van toestemming in de AVG

  • Artikel 8 Wbp

 

Artikel 8 Wbp:

Persoonsgegevens mogen slechts worden verwerkt indien:

  • a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;

  • b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

  • c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;

  • d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

  • e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

  • f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

 

 


  • No labels