In dit privacywoordenboek zijn de verplichtingen en belangrijkste definities in de privacywet uitgelegd. De woorden staan op alfabetische volgorde.
De taken en bevoegdheden van de Autoriteit Persoonsgegevens staan in de privacywet. De belangrijkste voor organisaties zijn:
Rechtmatigheid, behoorlijkheid en transparantie
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Bijvoorbeeld:
Het is verplicht om datalekken in een register bij te houden. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dit is de landelijk toezichthouder. Een goed datalekkenregister, een meldprocedure en bewustzijn bij medewerkers zijn belangrijk.
Bijzondere persoonsgegevens zijn bijvoorbeeld Burgerservicenummer (BSN) of medische gegevens. Als bijzondere persoonsgegevens in verkeerde handen vallen, dan kunnen de gevolgen voor je klanten of medewerkers groot zijn. Daarom is een onderzoek verplicht. In de wet heet dit een Data Protection Impact Assesment (DPIA).
In een DPIA onderzoek je:
Overeenkomst
Als jouw organisatie een overeenkomst aangaat met een persoon, dan heb je daar persoonsgegevens voor nodig. Denk hierbij aan een arbeidsovereenkomst, koop- of huurovereenkomst, behandelovereenkomst of verkoop via een webshop. De grondslag om persoonsgegevens te gebruiken is dan ‘overeenkomst’.
Wettelijke verplichting
Het kan zijn dat het wettelijk verplicht is om persoonsgegevens te gebruiken. Het zeven jaar bewaren van facturen of de personeelsadministratie is hier een voorbeeld van.
Algemeen belang of uitoefening openbaar gezag
Als jouw organisatie wettelijke taken heeft, dan zijn hier vaak persoonsgegevens voor nodig. Deze grondslag komt veel voor bij de overheid (politie, belastingdienst, CBS, gemeente).
Vitale belangen
Als er ernstig gevaar is voor iemands leven of gezondheid en die persoon kan geen toestemming geven, dan mag je iemands persoonsgegevens gebruiken. Bijvoorbeeld bij natuur- of humanitaire rampen kan dit nodig zijn. De grondslag is dan het vitale belang van de persoon.
Gerechtvaardigd belang
Bij deze grondslag maak je de afweging dat het belang van jouw organisatie zwaarder weegt dan de inbreuk op de privacy van de persoon. Bijvoorbeeld een bezoekersregistratie of cameratoezicht op het pand voor beveiliging.
Toestemming
Je kunt een persoon om toestemming vragen. Toestemming is alleen geldig als het:
Om zorgvuldig en veilig met persoonsgegevens om te gaan is kennis van de risico's, verantwoordelijkheden en spelregels nodig. Het zorgen voor kennis en bewustzijn onder medewerkers kan op verschillende manieren. Een online quiz, e-learning of een training op een specifiek vakgebied zijn voorbeelden.
In de privacywet zijn persoonsgegevens ingedeeld in categorieën:
Algemene persoonsgegevens
Hieronder vallen minder risicovolle persoonsgegevens zoals naam, adres, emailadres, telefoonnummer, geboortedatum, locatiegegevens, financiële gegevens zoals IBAN-nummer, etc.
Bijzondere persoonsgegevens
Hieronder vallen persoonsgegevens die risicovol zijn, zoals Burgerservicenummer (BSN), gezondheid, seksuele leven, ras, godsdienst of strafrechtelijk verleden. Als deze persoonsgegevens in handen komen van onbevoegden, kunnen de gevolgen groot zijn. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij er een wettelijke uitzondering is.
Strafrechtelijke veroordelingen en strafbare feiten
Hieronder vallen gegevens zoals een strafblad, strafbare feiten, verdenkingen en veiligheidsmaatregelen. Ook strafrechtelijke gegevens zijn verboden om te gebruiken, tenzij er een wettelijke uitzondering is.
Kinderen
Voor de gegevens van kinderen tot 16 jaar, zegt de privacywet dat extra bescherming nodig is. Vooral als het gaat om gegevens die worden verzamelt via apps en social media voor marketingdoeleinden of het opstellen van gebruikersprofielen.
In een privacybeleid staan de kaders, visie, uitgangspunten, rollen en verantwoordelijkheden voor een zorgvuldige en veilige omgang met persoonsgegevens. Ook breng je hierin in kaart welke maatregelen zijn genomen. Als jouw bedrijf bijzondere persoonsgegevens gebruikt, is een privacybeleid aan te raden.
Privacy by design betekent dat je vanaf het ontwerp nadenkt over een zorgvuldige en veilige omgang met persoonsgegevens:
Privacy by default betekent dat instellingen in een systeem privacyproof zijn ingesteld. Bijvoorbeeld dat het vinkje voor het ontvangen van een nieuwsbrief standaard uit staat in plaats van aan.
Welke afspraken nodig zijn, hangt af van de verantwoordelijkheden voor de persoonsgegevens. Gaat het om een opdracht of samenwerking tussen:
De afspraken gaan bijvoorbeeld over het doel, de beveiliging, het melden van datalekken, geheimhouding en teruggave of vernietigen na het einde van de overeenkomst.
De privacywet verplicht organisaties om in duidelijke taal aan klanten en medewerkers uit te leggen waarom ze welke persoonsgegevens gebruiken. Een privacyverklaring op de website is hier een handige manier voor.
In een privacyverklaring staan:
Deze 'rechten van betrokkenen' zijn:
Het is belangrijk dat klanten en medewerkers weten hoe ze een verzoek kunnen doen, er een procedure is en dat systemen hierop ingericht zijn. Personen maken steeds vaker gebruik van deze rechten.
Met het register van verwerkingsactiviteiten verantwoord een organisatie aantoonbaar hoe ze omgaat met persoonsgegevens. Alle verwerkingen van persoonsgegevens staan in het register. Een verwerking kun je vergelijken met een proces waarvoor persoonsgegevens van klanten of medewerkers nodig zijn. De Autoriteit Persoonsgegevens kan het register van verwerkingsactiviteiten opvragen.
In het register zet je per verwerking:
Verwerken is een ruim begrip. Ik vat het samen als ‘gebruiken’ van persoonsgegevens. Alles wat je als bedrijf doet met persoonsgegevens valt hieronder, zoals:
Een organisatie is verwerker als:
De opdrachtgever is dan 'verwerkingsverantwoordelijke' is.
Een verwerkingsverantwoordelijke en verwerker zijn verplicht om een verwerkersovereenkomst af te sluiten. Hierin staan afspraken over:
Als jouw organisatie bepaalt waarom en welke persoonsgegevens worden gebruikt en met welke middelen, dan ben je verwerkingsverantwoordelijke. Dat betekent dat jouw organisatie verantwoordelijk is voor een zorgvuldige en veilige omgang met de persoonsgegevens.
Als een verwerkingsverantwoordelijke zich niet houdt aan privacyregels: