Meest gestelde vragen AVG

F.A.Q. Beginselen AVG

Hoe hoog zijn de boetes onder de AVG?

Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

Boete van maximaal 10 miljoen euro
Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Boete van maximaal 20 miljoen euro
Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

bron: Autoriteit Persoonsgegevens

Waarom is er nieuwe Europese privacywetgeving?

In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens.

De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

bron: Autoriteit Persoonsgegevens

Beginsel AVG 4 | Kwaliteit van data

Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren

Artikel 16 AVG

Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

bron: Autoriteit Persoonsgegevens

Beginsel AVG 1 | Rechtmatigheid, behoorlijkheid en transparantie

Persoonsgegevens moeten verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is

Artikel 6 en 9 AVG

Beginsel AVG 5 | Beperkte bewaartermijn

Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is, overeenkomstig de daarvoor geldende bewaartermijn voor de specifieke categorie persoonsgegevens.

Wat levert de AVG mij als organisatie op?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Dit betekent dat u zich nog maar aan één Europese wet hoeft te houden als u persoonsgegevens verwerkt.

De AVG zorgt voor onder meer voor :

  • versterking en uitbreiding van privacyrechten van burgers;
  • meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken;
  • steviger bevoegdheden voor alle Europese privacytoezichthouders.

Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

  • u heeft minder administratieve kosten en nalevingskosten;
  • u heeft meer rechtszekerheid;
  • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
  • u hoeft nog maar met één toezichthouder zaken te doen(one-stop-shop).

bron: Autoriteit Persoonsgegevens

Beginsel AVG 2 | Doelspecificatie en doelbinding

Persoonsgegevens moeten voor vooraf bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op onverenigbare wijze met de vastgestelde doeleinden, worden verwerkt.

Artikel 26 AVG

Beginsel AVG 6 | Integriteit en vertrouwelijkheid

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Welke belangrijkste veranderingen voor organisaties brengt de AVG?

Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).
Documentatieplicht
Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Hulp bij naleving wet
Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

Veranderingen per 25 mei 2018
Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

bron: Autoriteit Persoonsgegevens

Beginsel AVG 3 | Dataminimalisatie

Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Beginsel AVG 7 | Accountability (verantwoordingsplicht)

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van alle bovenstaande verplichtingen en kan deze aantonen.

F.A.Q. Grondslagen AVG

Wettelijke grondslag 1 | De betrokkene heeft toestemming gegeven voor de verwerking

De betrokkene heeft voor de verwerking zijn/haar ondubbelzinnige toestemming gegeven voor de verwerking van zijn gegevens voor één of meerdere doelen.

De toestemming moet voldoen aan  drie zaken;

1.De betrokkene moet zijn wil in vrijheid hebben geuit.
2.De toestemming van de betrokkene moet gericht zijn op bepaalde gegevensverwerking(en).
3.De toestemming moet ondubbelzinnig zijn.

Wettelijke grondslag 5 | De verwerking dient het algemeen belang.

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. In de AVG moet er ook voor het verwerkingen vanuit deze grondslag ergens een wettelijk doel bestaan.

Hierdoor valt binnen de AVG deze bepaling als zelfstandige rechtsgrondslag weg, en mag dus niet meer gebruikt worden. Er zal dus moeten worden gezocht naar een grondslag vanuit specifieke wettelijke bepaling. Hiermee wordt enerzijds gegarandeerd dat persoonsgegevens slechts kunnen worden verwerkt met het oog op een vooraf vastgelegde wettelijke taak.

Wettelijke grondslag 2 | De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.

De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Of voor het nemen van pre-contractuele maatregelen naar aanleiding van een verzoek van de betrokkenen en die noodzakelijk zijn voor het sluiten van een overeenkomst. Uitzondering op de regel is dat de overeenkomst zelf niet gericht moet zijn op het verwerken van persoonsgegevens.

Wettelijke grondslag 6 | De verwerking dient het gerechtvaardigd belang.

De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

Behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Dit punt is expliciet uitgesloten als grondslag voor overheidsorganen. De overheid mag dus geen beroep doen op een gerechtvaardigd belang.

Wettelijke grondslag 3 | De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.

Onder de grondslag wettelijke verplichting vallen die verwerkingen waarvoor geldt dat het niet mogelijk is een wettelijke plicht uit te voeren is zonder de verwerking van persoonsgegevens. Het moet wel zo zijn dat tussen het persoonsgegeven en de wettelijke plicht een direct verband is.

Wettelijke grondslag 4 | De verwerking dient de vitale belangen van de betrokkene.

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

F.A.Q. Privacyrechten betrokkenen

Privacyrecht betrokkene 1 | Recht op informatie (art. 13 en 14 AVG)

Een betrokkene moet op de hoogte worden gesteld van het feit dat verwerking van zijn persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn.

De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt.

Artikel 13 en 14 AVG

Privacyrecht betrokkene 5 | Recht op beperking van de verwerking (art. 18 AVG)

Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens.

Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Artikel 18 AVG

Privacyrecht betrokkene 2 | Recht van inzage (art. 15 AVG)

Betrokkenen hebben het recht te weten of hun betreffende persoonsgegevens worden verwerkt door de verantwoordelijke. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. De verwerkingsverantwoordelijke moet betrokkene een kopie verstrekken van de persoonsgegevens die worden verwerkt.

Artikel 15 AVG

Privacyrecht betrokkene 6 | Recht op overdraagbaarheid / dataportabiliteit (art. 20 AVG)

Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en machine-leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen.

Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Artikel 20 AVG

Privacyrecht betrokkene 3 | Recht op correctie/rectificatie (art. 16 AVG)

De betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De rectificatie moet meteen plaatsvinden.

De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Artikel 16 AVG

Privacyrecht betrokkene 7 | Recht van bezwaar (art. 21 AVG)

Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar (dat niet vergelijkbaar is met bezwaar op grond van de Awb) tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen.

Als een betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Artikel 21 AVG

Privacyrecht betrokkene 4 | Recht van gegevenswissing / vergetelheid (art.17 AVG

De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien:

a.persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
b.de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat;
c.betrokkene bezwaar maakt tegen de verwerking;
d.de persoonsgegevens onrechtmatig verwerkt zijn.

Artikel 17 AVG

Privacyrecht betrokkene 8 | Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (art. 22 AVG)

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst.

In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

a. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
b. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
c. het berust op de uitdrukkelijke toestemming van de betrokkene.

Artikel 22 AVG

F.A.Q. Meldplicht Datalekken

Wat betekent de meldplicht datalekken voor mij als organisatie?

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het datalek af of u dit wel of niet moet doen.

Overtreding meldplicht datalekken
Is de meldplicht datalekken ingegaan en meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven.

Meldplicht datalekken Telecommunicatiewet
Biedt u openbare elektronische communicatiediensten aan? Dan was u ook voor 1 januari 2016 al verplicht om datalekken te melden op grond van de Telecommunicatiewet. Dit deed u bij de Autoriteit Consument en Markt (ACM).

Deze meldplicht blijft bestaan. Per 1 januari 2016 doet u deze meldingen niet meer bij ACM, maar bij de Autoriteit Persoonsgegevens. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

bron: Autoriteit Persoonsgegevens

Wie is de bewerker bij het verwerken van persoonsgegevens?

Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.

Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

bron: Autoriteit Persoonsgegevens

Is de organisatie verantwoordelijk voor wat de klant/patiënt doet met zijn gegevens?

Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten/patiënten.

bron: Autoriteit Persoonsgegevens

Wanneer legt de Autoriteit Persoonsgegevens een boete op als een datalek niet is gemeld?

De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. Voor overtreding van de meldplicht datalekken uit de Telecommunicatiewet kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 900.000 euro.

In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 staat hoe de Autoriteit Persoonsgegevens de hoogte van boetes bepaalt.

Bindende aanwijzing
Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna legt de Autoriteit Persoonsgegevens eventueel een boete op.

Overwegingen boete datalek
Bij het opleggen van een boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval is bijvoorbeeld dat de gelekte gegevens niet door derden zijn ingezien.

Boetebevoegdheid Autoriteit Persoonsgegevens
Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens een boetebevoegdheid.

bron: Autoriteit Persoonsgegevens

Wie is de verantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?

De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens de organisatie hierbij verwerkt;voor welk doel de organisatie dit doet;
  • op welke manier de organisatie dit doet.

De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.

bron: Autoriteit Persoonsgegevens

Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Melden datalek niet nodig
U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen.

Ook helpen deze beleidsregels u met de vraag of de door u getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

bron: Autoriteit Persoonsgegevens

Hoe hoog zijn de boetes onder de AVG?

Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

Boete van maximaal 10 miljoen euro
Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht. Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Boete van maximaal 20 miljoen euro
Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Hoe kan een FG intern toezicht houden op het naleven van de privacywet?

Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, kan de FG:

  • informatie verzamelen over gegevensverwerkingen binnen de organisatie;
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
  • informatie, adviezen en aanbevelingen geven aan de organisatie.

Aansprakelijkheid
De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

De naleving van de privacywet is een verantwoordelijkheid van de verantwoordelijke of de bewerker. In de AVG heet dit de verwerker.

bron: Autoriteit Persoonsgegevens

F.A.Q. FG

Wat mag u van een FG verwachten?

Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming.

De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese privacywet- en regelgeving over gegevensbescherming;
  • kennis van de organisatie en de sector waarin die actief is;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen.

Concreet kennisniveau
Het concrete kennisniveau dat een FG moet hebben, is afhankelijk van de betreffende organisatie. Welke gegevensverwerkingen voert de organisatie uit? En welk niveau van bescherming van persoonsgegevens vereist dit?

Een FG heeft bijvoorbeeld meer expertise (en ondersteuning) nodig als de organisatie grote hoeveelheden gevoelige gegevens verwerkt.

bron: Autoriteit Persoonsgegevens

Kan een concern met verschillende onderdelen één FG aanstellen?

Ja, meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen. De voorwaarde voor een gezamenlijke FG is dat deze persoon goed bereikbaar is vanuit elke afdeling en vestiging.

Goede bereikbaarheid
Een goede bereikbaarheid van de gezamenlijke FG betekent dat de contactgegevens van de FG breed beschikbaar zijn. Betrokkenen en toezichthouders moeten eenvoudig met de FG kunnen communiceren.

De mogelijkheid om direct contact op te nemen met de FG (via een persoonlijke afspraak of een ander veilig communicatiekanaal) is daarbij essentieel.

bron: Autoriteit Persoonsgegevens

Moet de FG bijhouden welke gegevens mijn organisatie verwerkt?

U bent er als organisatie verantwoordelijk voor om overzicht te houden van de gegevensverwerkingen binnen uw organisatie. De FG heeft deze verantwoordelijkheid niet.

Maar in de praktijk houden FG’s al vaak een lijst bij van de gegevensverwerkingen. Vooral bij risicovolle verwerkingen. Hoewel deze taak niet tot de wettelijke taken van de FG behoort, kunt u ervoor kiezen deze taak bij de FG onder te brengen.

bron: Autoriteit Persoonsgegevens

Kan ik als organisatie ook een FG aanstellen als dit niet verplicht is?

Ja, dat kan. Het kan zelfs heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

Regels FG
Voor een FG die u aanstelt zonder dat u daartoe verplicht bent, gelden dezelfde regels als voor de verplichte FG. Bijvoorbeeld als het gaat om de professionaliteit en het takenpakket van de FG (zie hiervoor artikelen 37, 38 en 39 van de AVG).

Alternatief voor FG
U kunt in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt. Heeft deze persoon een andere functienaam, positie en takenpakket dan een FG? Dan gelden de wettelijke regels voor de FG niet. Het is dan wel belangrijk om duidelijk te maken – zowel binnen als buiten uw organisatie – dat deze persoon geen FG in de zin van de wet is.

bron: Autoriteit Persoonsgegevens

Hoe kan een FG intern toezicht houden op het naleven van de privacywet?

Een belangrijke taak van de FG is intern toezicht houden op het naleven van de privacywet. Om dit te kunnen doen, kan de FG:

  • informatie verzamelen over gegevensverwerkingen binnen de organisatie;
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
  • informatie, adviezen en aanbevelingen geven aan de organisatie.

Aansprakelijkheid
De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

De naleving van de privacywet is een verantwoordelijkheid van de verantwoordelijke of de bewerker. In de AVG heet dit de verwerker.

bron: Autoriteit Persoonsgegevens

F.A.Q. PIA

Op welke wijze dient een PIA uitgevoerd te worden?

Er zijn verschillende methodes om een privacy impact assessment(PIA) uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven.

Voorwaarden PIA
De PIA moet in ieder geval het volgende bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?Een beoordeling van de privacyrisico’s voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Handreiking PIA
U vindt een handreiking voor de uitvoering van een PIA op de website van de beroepsorganisatie van IT-auditors (NOREA).

bron: Autoriteit Persoonsgegevens

Wanneer hoeft er geen PIA uitgevoerd te worden?

Er hoeft geen privacy impact assessment (PIA) uitgevoerd worden wanneer uw gegevensverwerking:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een PIA is uitgevoerd.
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een PIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een PIA nodig is.
  • Op een lijst staat van verwerkingen waarvoor een PIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

bron: Autoriteit Persoonsgegevens

Op welk moment dient een PIA uitgevoerd te worden?

Start de PIA zo vroeg als praktisch gezien mogelijk is in de ontwerpfase van de gegevensverwerking. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.

Continu proces
Let op: dat u de PIA misschien gaandeweg moet aanpassen, is geen argument om de PIA uit te stellen of achterwege te laten. Een PIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U zult altijd moeten (blijven) monitoren of uw gegevensverwerking wijzigt en of u daarom de PIA moet bijstellen.

bron: Autoriteit Persoonsgegevens

bron: Autoriteit Persoonsgegevens

Moet er alsnog een PIA uitgevoerd worden voor een bestaande verwerking?

Wijzigt de bestaande gegevensverwerking niet? Dan hoeft er na 25 mei 2018, als de AVG geldt, niet alsnog een privacy impact assessment (PIA) uitgevoerd te worden. Maar veranderen de gegevensverwerkingen aanzienlijk, dan kunt u dit wel verplicht zijn. Ook is het aan te raden om na maximaal 3 jaar een nieuwe (of eerste) PIA uit te voeren.

Verwerking verandert
De verwerking verandert bijvoorbeeld wanneer er een nieuwe technologie in gebruik wordt genomen. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert de gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een PIA verplicht zijn.

Risico verandert
Verandert het privacyrisico van de verwerking? Dan kunt u ook verplicht zijn alsnog een PIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel, waardoor nieuwe kwetsbaarheden kunnen ontstaan.

Omgeving verandert
Tot slot kan het alsnog verplicht zijn een PIA uit te voeren omdat de organisatie- of maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden, nieuwe categorieën mensen gediscrimineerd worden of omdat u gegevens wil doorgeven aan een land dat de EU heeft verlaten.

Periodieke PIA
Het is aan te raden om periodiek een PIA uit te voeren op bestaande gegevensverwerkingen, in ieder geval elke 3 jaar. Is uw gegevensverwerking al vóór 25 mei 2018 van start gegaan en heeft u dus nooit de verplichting gehad om een PIA uit te voeren? Voer dan uiterlijk 3 jaar na deze datum alsnog een PIA uit.

bron: Autoriteit Persoonsgegevens

Welke rol speelt de FG bij privacy impact assessments (PIA’s)?

Niet de FG, maar de organisatie heeft de taak om een privacy impact assessment (PIA) uit te voeren als dat noodzakelijk is. De organisatie is verplicht om de FG hierbij om advies te vragen.

Advies FG
Het is aan te raden om de FG advies te vragen over:

  • de afweging om wel of niet een PIA uit te voeren;
  • de onderzoeksmethode die geschikt is voor de PIA;
  • de vraag of de organisatie de PIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
  • de waarborgen die nodig zijn om de risico’s voor betrokkenen te beperken;
  • de vraag of de uitkomsten van de PIA in overeenstemming zijn met de wet.

De organisatie moet in het rapport over de PIA opnemen wat het advies van de FG is en wat daarmee is gedaan.

bron: Autoriteit Persoonsgegevens

Wie dient de PIA uit te voeren?

Als verantwoordelijke moet u ervoor zorgen dat er een privacy impact assessment (PIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de PIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. U blijft wel eindverantwoordelijk.

Advies FG
Is er in uw organisatie een verplichte functionaris voor de gegevensbescherming (FG) aangewezen? Dan moet u de FG om advies vragen. U moet in het rapport over de PIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de PIA in de gaten te houden.

Advies bewerker
Voert een bewerker (in de AVG ‘verwerker’ genoemd) in opdracht van u de gegevensverwerking uit? Dan moet de bewerker u ondersteunen bij het uitvoeren van de PIA en de informatie verstrekken die u nodig heeft.

Advies betrokkenen
U moet als het nodig is de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening vragen.

Er zijn, afhankelijk van uw specifieke situatie, verschillende geschikte manieren waarop u betrokkenen om hun mening kunt vragen. U kunt bijvoorbeeld een intern of extern onderzoek doen, consumenten- of werknemersorganisaties consulteren of uw toekomstige klanten een vragenlijst sturen.

Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen om al dan niet met de verwerking door te gaan documenteren. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

Advies overige partijen
Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen in uw specifieke situatie betrokken kunnen worden bij een PIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts, sociologen etc.).

bron: Autoriteit Persoonsgegevens

F.A.Q. Dataportabiliteit

Betekent een verzoek om dataportabiliteit dat de gegevens daarna vernietigd moet worden?

Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

Andere privacyrechten
Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

bron: Autoriteit Persoonsgegevens

Wat is het verschil tussen het inzagerecht en het recht op dataportabiliteit?

Betrokkenen hebben nu al het recht om inzage te vragen in de persoonsgegevens die een organisatie van hen verwerkt. Maar organisaties kunnen zelf beslissen hoe ze de gegevens ter inzage geven. Ze kunnen er bijvoorbeeld ook voor kiezen om de gegevens niet aan de betrokkene te verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te komen inzien.

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

bron: Autorititeit Persoonsgegevens

Binnen welke termijn moet ik reageren op een verzoek om dataportabiliteit?

U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen, in ieder geval binnen een maand.

Complexe verzoeken
Bij complexe verzoeken heeft u maximaal drie maanden de tijd, maar dan moet u de reden voor deze vertraging wel binnen een maand aan uw klant laten weten.

Verzoek weigeren
Wilt u een verzoek weigeren? Dan moet u binnen een maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.

bron: Autoriteit Persoonsgegevens

Welke gegevens vallen onder het recht op dataportabiliteit?

Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.

bron: Autoriteit Persoonsgegevens

Hoe kan ik me als organisatie voorbereiden op het recht op dataportabiliteit?

Vanaf 25 mei 2018 kunnen uw klanten gebruikmaken van hun recht op dataportabiliteit. Dat betekent dat u dus vanaf deze datum verzoeken kunt krijgen van uw klanten om hun persoonsgegevens beschikbaar te stellen. U bent dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

U kunt zich hierop voorbereiden door alvast na te denken over hoe u de gegevens beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee uw klanten hun gegevens direct op een beveiligde manier kunnen downloaden.

Ook moet u ervoor zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kunt u bijvoorbeeld doen met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven

bron: Autoriteit Persoonsgegevens

Moet mijn klanten/patiënten geïnformeerd worden over hun recht op dataportabiliteit?

Ja, dat bent u wettelijk verplicht. U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.

Het is vooral belangrijk dat u duidelijk uitlegt welke gegevens uw klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit. En dat u uw klanten wijst op de mogelijk van dataportabiliteit als zij hun contract bij u willen beëindigen.

bron: Autoriteit Persoonsgegevens

F.A.Q. Register verwerkingen

Handleiding voor verwerkers van persoonsgegevens

Download de handleiding voor verwerkers van persoonsgegevens voor professionals.

Download handleiding
Wie is de bewerker bij het verwerken van persoonsgegevens?

Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor.

Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

bron: Autoriteit Persoonsgegevens

Is de organisatie verantwoordelijk voor wat de klant/patiënt doet met zijn gegevens?

Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten/patiënten.

bron: Autoriteit Persoonsgegevens

Wat houdt verwerken van persoonsgegevens in?

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.
Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

bron: Autoriteit Persoonsgegevens

Wie is de verantwoordelijke en wie de betrokkene bij het verwerken van persoonsgegevens?

De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen doen of samen met anderen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja:

  • om welke verwerking het gaat;
  • welke persoonsgegevens de organisatie hierbij verwerkt;voor welk doel de organisatie dit doet;
  • op welke manier de organisatie dit doet.

De betrokkene is degene van wie een organisatie persoonsgegevens verwerkt. Dit is dus degene op wie de persoonsgegevens betrekking hebben.

bron: Autoriteit Persoonsgegevens

Mag ik als zorgverlener gegevens van patiënten aan een extern onderzoeksbureau verstrekken voor kwaliteitsonderzoek?

De Wet cliëntenrechten zorg (WCZ) verplicht zorgaanbieders om informatie te geven over hun kwaliteit. Deze informatie is via een publieke website toegankelijk voor patiënten en zorgverzekeraars. Wilt u onderzoek laten doen naar de kwaliteit van uw zorgverlening? Dan kunt u hiervoor onder strikte voorwaarden een extern onderzoeksbureau inschakelen.

U besteedt de verwerking van de gegevens van uw patiënten dan uit. Dat betekent dat u een zogeheten bewerkersovereenkomst moet afsluiten met het bureau.

Bewerkersovereenkomst
Het onderzoeksbureau is uw bewerker. Dat houdt in dat het bureau in opdracht van u persoonsgegevens verwerkt. U moet daarom een schriftelijke overeenkomst afsluiten met het onderzoeksbureau.

Deze bewerkersovereenkomst moet specifiek ingaan op de maatregelen die het bureau treft om de gegevens van uw patiënten te beschermen. Zoals de beveiliging en de geheimhouding van de gegevens.

Uw verantwoordelijkheid
Let op: u blijft zelf verantwoordelijk voor de verwerking van de gegevens van uw patiënten. U moet erop toezien dat het onderzoeksbureau de maatregelen naleeft. En dat het bureau niet meer gegevens verwerkt dan noodzakelijk is om het kwaliteitsonderzoek uit te voeren.

Ook moet u ervoor zorgen dat het onderzoeksbureau de persoonsgegevens slechts in opdracht van u verwerkt. Het bureau mag de verkregen gegevens dus niet voor eigen gebruik inzetten of verder verwerken. Dit mag alleen als de patiënt hiervoor toestemming heeft gegeven.

bron: Autoriteit Persoonsgegevens

Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Aanvullende rechten
Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

bron: Autoriteit Persoonsgegevens

Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

bron: Autoriteit Persoonsgegevens

Wat te doen bij ontvangst van gegevens van een nieuwe klant/patiënt?

Ontvangt u gegevens van een nieuwe klant/ patiënt? Die deze heeft opgevraagd bij een andere organisatie en vervolgens aan u heeft doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

Informatie over noodzakelijke gegevens
Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten/patiënten een bewuste keuze maken welke gegevens zij aan u overdragen.

Hiermee verkleint u het risico dat uw nieuwe klanten/patiënten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.

bron: Autoriteit Persoonsgegevens

F.A.Q. Recht op Vergetelheid

Wanneer geldt het recht op vergetelheid uit de AVG niet?

De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt:

  • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
  • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
  • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
  • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
  • De organisatie moet de gegevens in het algemeen belang archiveren.
  • De gegevens zijn noodzakelijk voor een rechtsvordering.

Algemene uitzonderingen privacyrechten
Daarnaast is in artikel 23 van de AVG een aantal algemene uitzonderingen opgenomen op de rechten van betrokkenen. Dit artikel lijkt op het huidige artikel 43 van de Wet bescherming persoonsgegevens.

Het artikel biedt organisaties de mogelijkheid om in bijzondere omstandigheden geen gehoor te geven aan verzoeken van betrokkenen. Zij moeten dan voor dat verzoek een belangenafweging maken waaruit blijkt dat hun belangen (of de rechten en vrijheden van anderen) zwaarder wegen dan het privacyrecht van de betrokkene.

Het is bijvoorbeeld niet de bedoeling dat betrokkenen met een beroep op hun rechten sporen van crimineel gedrag wissen.

bron: Autoriteit Persoonsgegevens

Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen (degenen van wie u gegevens verwerkt) het recht op vergetelheid. Vraagt iemand u op grond van dit recht om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

Manier van reageren
Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

Kosten
U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

Derde partijen informeren
Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

bron: Autoriteit Persoonsgegevens

 Wij begrijpen de zorg

De Privacy Officers en legal consultants van Cure4 adviseren en ondersteunen diverse zorgaanbieders bij de implementatie van de AVG en overige zorgspecifieke (privacy)regelgeving. De combinatie van juridische expertise en zorgkennis maakt ons dé business partner voor instellingen, ondernemingen en gemeenten werkzaam binnen het zorgdomein!

Om de mogelijkheden voor uw organisatie te bespreken kunt u ons altijd per mail  of per telefoon bereiken via 088 64 81 200. Wij kijken er naar uit om u en uw organisatie verder te helpen.

Wilt u specifieke informatie ontvangen over bijvoorbeeld de nul-meting of over het aanstellen van Functionaris Gegevensbescherming?

  •  *
  •  *
  •  *
  •  *
  •  *

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact