Privacywoordenboek

Privacywoordenboek

In dit privacywoordenboek zijn de verplichtingen en belangrijkste definities in de privacywet uitgelegd. De woorden staan op alfabetische volgorde.

AUTORITEIT PERSOONSGEGEVENS

De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt.

De taken en bevoegdheden van de Autoriteit Persoonsgegevens staan in de privacywet. De belangrijkste voor organisaties zijn:

  • toezicht houden.
  • handhaven door bijvoorbeeld een boete op te leggen.
  • klachten afhandelen.
  • advies geven. Als een organisatie een risicovolle verwerking overweegt en geen goede beveiligingsmaatregelen weet, dan is  'voorafgaande raadpleging' bij de Autoriteit Persoonsgegevens verplicht.

BEGINSELEN

In de privacywet staan de beginselen waar organisaties zich aan moeten houden als ze persoonsgegevens gebruiken.

Rechtmatigheid, behoorlijkheid en transparantie

  • Personen krijgen vooraf duidelijke informatie over het gebruik van persoonsgegevens.
  • Er is een grondslag om persoonsgegevens te gebruiken.
  • Volgens wetgeving.


Doelbinding

  • Persoonsgegevens worden alleen gebruikt voor het doel dat vooraf welbepaald, gerechtvaardigd en beschreven is.
  • Als persoonsgegevens voor een ander doel gebruikt worden, dan is dit andere doel verenigbaar met het oorspronkelijke doel.


Minimale gegevensverwerking

  • Er worden niet meer persoonsgegevens gebruikt dan noodzakelijk.
  • 'het is wel makkelijk' of 'je weet maar nooit dus ik noteer het' valt daar niet onder.

 

Juistheid

  • Persoonsgegevens zijn juist en actueel.
  • Onjuiste of achterhaalde gegevens worden verwijderd.


Opslagbeperking

  • Persoonsgegevens worden niet langer bewaard dan noodzakelijk.


Integriteit en vertrouwelijkheid

  • Er zijn passende technische en organisatorische beveiligingsmaatregelen
  • Voorkomen van onnodige toegang tot en gebruik van persoonsgegevens
  • Datalek meldplicht

DATALEK

Bij een datalek zijn persoonsgegevens gezien of gebruikt door personen die dit niet nodig hebben.

Bijvoorbeeld:

  • er is een brief naar een verkeerd adres gestuurd.
  • een hacker heeft ingebroken in de systemen.
  • een USB met persoonsgegevens is kwijt.
  • een laptop of telefoon met persoonsgegevens is gestolen.
  • dossiers met persoonsgegevens zijn geblokkeerd door een virus.


Het is verplicht om datalekken in een register bij te houden. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dit is de landelijk toezichthouder. Een goed datalekkenregister, een meldprocedure en bewustzijn bij medewerkers zijn belangrijk.

DATA PROTECTION IMPACT ASSESMENT (DPIA)

Heeft jouw organisatie bijzondere persoonsgegevens? Dan is een uitgebreid onderzoek verplicht.

Bijzondere persoonsgegevens zijn bijvoorbeeld Burgerservicenummer (BSN) of medische gegevens. Als bijzondere persoonsgegevens in verkeerde handen vallen, dan kunnen de gevolgen voor je klanten of medewerkers groot zijn. Daarom is een onderzoek verplicht. In de wet heet dit een Data Protection Impact Assesment (DPIA).


In een DPIA onderzoek je:

  • welke persoonsgegevens worden gebruikt.
  • met welk doel.
  • waarom dit mag en nodig is.
  • of en hoe klanten en medewerkers hun rechten kunnen uitoefenen (rechten van betrokkenen).
  • met welke organisaties persoonsgegevens worden uitgewisseld en welke schriftelijke afspraken hierover zijn gemaakt.
  • welke risico’s er zijn.
  • hoe de persoonsgegevens beveiligd zijn.
  • welke beveiligingsmaatregelen verder nodig zijn.

GRONDSLAG

Je mag alleen persoonsgegevens gebruiken als hier een grondslag voor is. Er zijn zes grondslagen genoemd in de wet.

Overeenkomst

Als jouw organisatie een overeenkomst aangaat met een persoon, dan heb je daar persoonsgegevens voor nodig. Denk hierbij aan een arbeidsovereenkomst, koop- of huurovereenkomst, behandelovereenkomst of verkoop via een webshop. De grondslag om persoonsgegevens te gebruiken is dan ‘overeenkomst’.

 

Wettelijke verplichting

Het kan zijn dat het wettelijk verplicht is om persoonsgegevens te gebruiken. Het zeven jaar bewaren van facturen of de personeelsadministratie is hier een voorbeeld van.

 

Algemeen belang of uitoefening openbaar gezag

Als jouw organisatie wettelijke taken heeft, dan zijn hier vaak persoonsgegevens voor nodig. Deze grondslag komt veel voor bij de overheid (politie, belastingdienst, CBS, gemeente).

 

Vitale belangen

Als er ernstig gevaar is voor iemands leven of gezondheid en die persoon kan geen toestemming geven, dan mag je iemands persoonsgegevens gebruiken. Bijvoorbeeld bij natuur- of humanitaire rampen kan dit nodig zijn. De grondslag is dan het vitale belang van de persoon.

 

Gerechtvaardigd belang

Bij deze grondslag maak je de afweging dat het belang van jouw organisatie zwaarder weegt dan de inbreuk op de privacy van de persoon. Bijvoorbeeld een bezoekersregistratie of cameratoezicht op het pand voor beveiliging.

 

Toestemming

Je kunt een persoon om toestemming vragen. Toestemming is alleen geldig als het:

  • vrij is gegeven. Onder druk of in een machtsverhouding is geen geldige toestemming, bijvoorbeeld in een werkgever-werknemer-relatie.
  • schriftelijk, digitaal of mondeling is gegeven. ‘Wie zwijgt stemt toe’ is geen geldige toestemming.
  • vooraf duidelijk en specifiek is uitgelegd waarvoor de toestemming is.
  • net zo makkelijk weer kan worden ingetrokken als dat het is gegeven.

KENNIS EN BEWUSTZIJN

Medewerkers zijn een belangrijke schakel in de beveiliging van persoonsgegevens.

Om zorgvuldig en veilig met persoonsgegevens om te gaan is kennis van de risico's, verantwoordelijkheden en spelregels nodig. Het zorgen voor kennis en bewustzijn onder medewerkers kan op verschillende manieren. Een online quiz, e-learning of een training op een specifiek vakgebied zijn voorbeelden.

PERSOONSGEGEVENS

Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen.

In de privacywet zijn persoonsgegevens ingedeeld in categorieën:


Algemene persoonsgegevens

Hieronder vallen minder risicovolle persoonsgegevens zoals naam, adres, emailadres, telefoonnummer, geboortedatum, locatiegegevens, financiële gegevens zoals IBAN-nummer, etc.

 

Bijzondere persoonsgegevens

Hieronder vallen persoonsgegevens die risicovol zijn, zoals Burgerservicenummer (BSN), gezondheid, seksuele leven, ras, godsdienst of strafrechtelijk verleden. Als deze persoonsgegevens in handen komen van onbevoegden, kunnen de gevolgen groot zijn. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij er een wettelijke uitzondering is. 


Strafrechtelijke veroordelingen en strafbare feiten

Hieronder vallen gegevens zoals een strafblad, strafbare feiten, verdenkingen en veiligheidsmaatregelen. Ook strafrechtelijke gegevens zijn verboden om te gebruiken, tenzij er een wettelijke uitzondering is.


Kinderen

Voor de gegevens van kinderen tot 16 jaar, zegt de privacywet dat extra bescherming nodig is. Vooral als het gaat om gegevens die worden verzamelt via apps en social media voor marketingdoeleinden of het opstellen van gebruikersprofielen.

PRIVACYBELEID

Een privacybeleid laat zien dat je het belangrijk vindt om zorgvuldig en veilig met persoonsgegevens om te gaan.

In een privacybeleid staan de kaders, visie, uitgangspunten, rollen en verantwoordelijkheden voor een zorgvuldige en veilige omgang met persoonsgegevens. Ook breng je hierin in kaart welke maatregelen zijn genomen. Als jouw bedrijf bijzondere persoonsgegevens gebruikt, is een privacybeleid aan te raden.

PRIVACY BY DESIGN EN PRIVACY BY DEFAULT

Nieuwe producten en diensten of andere grote veranderingen op komst? Dan pas je privacy by design en privacy bij default toe.

Privacy by design betekent dat je vanaf het ontwerp nadenkt over een zorgvuldige en veilige omgang met persoonsgegevens:

  • welke gegevens zijn nodig en welke niet.
  • welke maatregelen zijn nodig om goed te beveiligen.
  • welke informatie is nodig.


Privacy by default betekent dat instellingen in een systeem privacyproof zijn ingesteld. Bijvoorbeeld dat het vinkje voor het ontvangen van een nieuwsbrief standaard uit staat in plaats van aan. 

PRIVACY- EN BEVEILIGINGSAFSPRAKEN MET ANDERE ORGANISATIES

Als jouw organisatie persoonsgegevens uitwisselt met andere organisaties, dan zijn schriftelijke afspraken vaak verplicht.

Welke afspraken nodig zijn, hangt af van de verantwoordelijkheden voor de persoonsgegevens. Gaat het om een opdracht of samenwerking tussen:

  • een verwerkingsverantwoordelijke en verwerker? Dan sluit je een verwerkersovereenkomst.
  • organisaties die gezamenlijk verwerkingsverantwoordelijke zijn? Dan sluit je een overeenkomst gezamenlijke verantwoordelijkheid.
  • twee of meer verwerkingsverantwoordelijke? Dan zijn schriftelijke afspraken niet verplicht. Vaak is het wel verstandig om de verantwoordelijkheid van elke organisatie vast te leggen.


De afspraken gaan bijvoorbeeld over het doel, de beveiliging, het melden van datalekken, geheimhouding en teruggave of vernietigen na het einde van de overeenkomst.  

PRIVACYVERKLARING

Op veel websites vind je een privacyverklaring. Waar is een privacyverklaring voor?

De privacywet verplicht organisaties om in duidelijke taal aan klanten en medewerkers uit te leggen waarom ze welke persoonsgegevens gebruiken. Een privacyverklaring op de website is hier een handige manier voor.


In een privacyverklaring staan:

  • het doel en de grondslag van het gebruik van de persoonsgegevens.
  • welke rechten personen hebben en hoe ze hier gebruik van kunnen maken.
  • welke beveiligingsmaatregelen zijn genomen.
  • met welke andere organisaties persoonsgegevens zijn gedeeld.
  • of de persoonsgegevens buiten de Europese Unie worden verwerkt.
  • de bewaartermijnen van de persoonsgegevens.
  • contactgegevens en KvK-nummer.
  • de contactgegevens van de functionaris gegevensbescherming, als die er is.

RECHTEN VAN BETROKKENEN

Klanten en medewerkers hebben rechten om grip te houden op hun persoonsgegevens.

Deze 'rechten van betrokkenen' zijn:

  • recht op informatie.
  • recht op inzage.
  • recht op rectificatie.
  • recht op gegevenswissing.
  • recht op verwerkingsbeperking.
  • recht op overdraagbaarheid van gegevens.
  • recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.
  • recht van bezwaar.

 

Het is belangrijk dat klanten en medewerkers weten hoe ze een verzoek kunnen doen, er een procedure is en dat systemen hierop ingericht zijn. Personen maken steeds vaker gebruik van deze rechten.

REGISTER VAN VERWERKINGSACTIVITEITEN

De meeste organisaties zijn verplicht om een register van verwerkingsactiviteiten bij te houden? Waarom en wat staat er in?

Met het register van verwerkingsactiviteiten verantwoord een organisatie aantoonbaar hoe ze omgaat met persoonsgegevens. Alle verwerkingen van persoonsgegevens staan in het register. Een verwerking kun je vergelijken met een proces waarvoor persoonsgegevens van klanten of medewerkers nodig zijn. De Autoriteit Persoonsgegevens kan het register van verwerkingsactiviteiten opvragen.


In het register zet je per verwerking:

  • het doel.
  • de grondslag.
  • de doelgroep.
  • de soorten persoonsgegevens.
  • de bewaartermijnen.
  • de organisaties met wie je de persoonsgegevens uitwisselt.
  • een algemene beschrijving van de beveiligingsmaatregelen.
  • of je de persoonsgegevens binnen of buiten de Europese Unie gebruikt.

VERWERKEN VAN PERSOONSGEGEVENS

De privacywet gebruikt het woord 'verwerken' van persoonsgegevens. Wat valt daar allemaal onder?

Verwerken is een ruim begrip. Ik vat het samen als ‘gebruiken’ van persoonsgegevens. Alles wat je als bedrijf doet met persoonsgegevens valt hieronder, zoals:

  • bekijken.
  • opslaan.
  • veranderen.
  • verwijderen.
  • doorsturen.
  • verzamelen.

VERWERKER EN VERWERKERSOVEREENKOMST

Wanneer is een organisatie een verwerker en sluit je een verwerkersovereenkomst?

Een organisatie is verwerker als:

  • die een opdracht uitvoert voor een andere organisatie,
  • daarvoor persoonsgegevens nodig zijn,
  • de opdrachtgever bepaalt hoe, waarom en met welke middelen de persoonsgegevens worden gebruikt.

De opdrachtgever is dan 'verwerkingsverantwoordelijke' is.


Een verwerkingsverantwoordelijke en verwerker zijn verplicht om een verwerkersovereenkomst af te sluiten. Hierin staan afspraken over:

  • het doel, soorten persoonsgegevens, doelgroep.
  • het gebruik van de persoonsgegevens.
  • geheimhouding.
  • beveiliging.
  • subverwerkers.
  • rechten van betrokkenen.
  • datalekken.
  • bewaren en verwijderen.
  • audits.

VERWERKINGSVERANTWOORDELIJKE

Wanneer ben je verwerkingsverantwoordelijke en wat betekent dat?

Als jouw organisatie bepaalt waarom en welke persoonsgegevens worden gebruikt en met welke middelen, dan ben je verwerkingsverantwoordelijke. Dat betekent dat jouw organisatie verantwoordelijk is voor een zorgvuldige en veilige omgang met de persoonsgegevens.


Als een verwerkingsverantwoordelijke zich niet houdt aan privacyregels:

  • kunnen personen jouw organisatie aansprakelijk stellen en een schadevergoeding eisen voor geleden schade.
  • zorgen voor imagoschade.
  • kan de Autoriteit Persoonsgegevens hier onderzoek naar doen, maatregelen, sancties en boetes opleggen. 
Share by: