Recht en informatieveiligheid.
Minor Privacy en informatieveiligheid van big data to the human factor.
De bescherming van persoonsgegevens is een grondrecht. De algemene Verordening
Gegevensbescherming (AVG) is een Europese wet die de bescherming van dit grondrecht regelt. De
AVG is vanaf 25 mei 2018 actief in de hele Europese Unie en vervangt daarmee de Nederlandse Wet
bescherming persoonsgegevens.
Hoewel het doel van de Verordening een geharmoniseerd gegevensbeschermingsrecht is, biedt de
Verordening de lidstaten toch op een aantal punten ruimte om specifieke bepalingen op te nemen of
uitzonderingen te maken. In Nederland zijn deze specifieke bepalingen vastgelegd in de
Uitvoeringswet Algemene Verordening gegevensbescherming. (UAVG) en ook in sectorale wetten die
bepalingen bevatten over de verwerking van persoonsgegevens op het terrein dat zij bestrijken.
Wat regelt de Verordening?
Hoofdstuk 1: Algemene bepalingen Artikel 1-4
Dit hoofdstuk stelt de algemene doelen en het toepassingsbereik (waar en wanneer is de
Verordening van toepassing) vast en geeft de in de Verordening gebruikte definities.
Hoofdstuk 2: Beginselen Artikel 5-11
Dit hoofdstuk beschrijft de beginselen waar de verwerking van persoonsgegevens aan moet voldoen,
somt de rechtvaardigingsgronden voor het verwerken van persoonsgegevens op en geeft de
voorwaarden waaraan toestemming voor het verwerken van persoonsgegevens moet voldoen.
Hoofdstuk 3: Rechten van de betrokkenen Artikel 12-23
Dit hoofdstuk beschrijft de rechten van de betrokkenen (recht op informatie, toegang, rectificatie,
verwijdering, overdraagbaarheid, bezwaar en beperking) en de mogelijke uitzonderingen en
beperkingen daarop. Ook wordt de betrokkenen in dit hoofdstuk het recht geboden om niet te
worden onderworpen aan geautomatiseerde besluitvorming en profliering.
Hoofdstuk 4: Verwerkingsverantwoordelijke en verwerker Artikel 24-43
Dit hoofdstuk stelt de eisen waaraan een behoorlijke verwerking van persoonsgegevens moet
voldoen. Het gaat om zaken als het aanstellen van een functionaris voor gegevensbescherming, het
verplicht registreren van alle verwerkingen en het beveiligen van persoonsgegevens. Ook wordt in dit
hoofdstuk de verhouding tussen verwerkingsverantwoordelijke en de verwerker geregeld. Ten slotte
wordt aandacht besteed aan certificering en het gebruik van gedragscodes.
Hoofdstuk 5: Doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Artikel 44-50
Dit hoofdstuk stelt de voorwaarden waaronder het is toegestaan om gegevens buiten de Europese
Unie te brengen.
Hoofdstuk 6: Onafhankelijke toezichthoudende autoriteiten Artikel 51-59
Dit hoofdstuk beschrijft de rol van toezichthouders op de Verordening en hun taken en
bevoegdheden. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens AP. De rol en
positie van de AP is uitgewerkt in de UAVG.
Hoofdstuk 7: Samenwerking en coherentie Artikel 60-76
Omdat de Verordening geldt in heel Europa, moet het toezicht op de Verordening ook
geharmoniseerd zijn. Dit hoofdstuk beschrijft de samenwerking tussen de nationale toezichthouders
,en de manier waarop in Europees verband toezichthouders tot uniforme toepassing van de
Verordening moeten komen.
Hoofdstuk 8: Beroep, aansprakelijkheid en sancties Artikel 77-84
Dit hoofdstuk beschrijft de mogelijkheden van betrokkenen om hun recht te halen. Daarnaast
beschrijft dit hoofdstuk de sancties die de nationale toezichthouders kunnen opleggen.
Hoofdstuk 9: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Artikel 85-91
Een aantal verwerkingen van persoonsgegevens wordt vanwege hun bijzondere aard geregeld in dit
hoofdstuk. Het gaat dan bijvoorbeeld om het gebruik van gegevens voor wetenschappelijk
onderzoek, het gebruik van nationale identificatienummers en de verhouding tussen het gebruik van
persoonsgegevens en de vrijheid van meningsuiting.
Hoofdstuk 10 en 11: Gedelegeerde handelingen, uitvoeringshandelingen en slotbepalingen Artikel 92-
99
Deze hoofdstukken bevatten organisatorische en wetstechnische bepalingen zoals de regels voor de
bevoegdheidsdelegatie en de inwerkingtreding van de Verordening.
Wat regelt de UAVG?
De belangrijkste gebieden waar de UAVG een rol speelt zijn:
1. Het toepassingsbereik van de Verordening
2. De rol, positie en bevoegdheden van de nationale toezichthouden (AP)
3. Regelingen rondom het gebruik van bijzondere categorieën van persoonsgegevens
4. Regelingen omtrent (de uitzonderingen) op de rechten van de betrokkenen
5. Regelingen voor specifieke verwerkingssituaties.
De beginselen waar elke verwerking van persoonsgegevens aan moet doen is te vinden in Artikel 5 en
hieronder opgesomd:
a) De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn,
oftewel rechtmatigheid, behoorlijkheid en transparantie.
b) De verwerking moet gebonden zijn aan specifieke verzameldoelen “doelbinding”.
c) De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn
“minimale gegevensverwerking”.
d) De gegevens moeten juist zijn “juistheid”
e) De gegevens mogen niet langer worden bewaard dan nodig “opslagbeperking”
f) De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven “integriteit en
vertrouwelijkheid”.
Voor al de bovenstaande beginselen geldt dat de verwerkingsverantwoordelijke verantwoordelijk is
voor de naleving en kan aantonen dat de gegevensverwerking in lijn is met de beginselen de
verantwoordingsplicht.
De AVG is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde
verwerking van persoonsgegevens en op de handmatige verwerking van persoonsgegevens die in
een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Let op: een puur mondelinge overdracht van gegevens is geen verwerking van persoonsgegevens.
Pas als de mondelinge overdracht wordt vastgelegd in bijvoorbeeld een dossier wordt het een
verwerking en valt het onder de AVG.
Bestand: een gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen.
Dat wil zeggen dat de gegevens onderlinge samenhang moeten vertonen, en het systeem
, systematisch toegankelijk moet zijn. Een ongestructureerd handmatig dossier valt dus niet onder de
AVG. Een op enige wijze gesystematiseerde dossierkast wel.
Verwerkingsverantwoordelijke: degene die ‘doel en middelen’ bepaalt voor de verwerking. Met
andere woorden de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens
worden verwerkt. Meestal wordt de volgende vraag gesteld om te bepalen wie verantwoordelijk is
voor de verwerking “waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe
genomen?”
Bij het beoordelen wie de verwerkingsverantwoordelijke is kunne we grofweg drie categorieën van
situaties onderscheiden:
1. De verwerkingsverantwoordelijke vloeit voort uit een uitdrukkelijke juridische bevoegdheid;
Bijv. de verwerking van persoonsgegevens door de belastingdienst.
2. De verwerkingsverantwoordelijke vloeit voort uit een impliciete bevoegdheid;
Bijv. een werkgever die gegevens van zijn medewerkers verwerkt.
3. De verwerkingsverantwoordelijke vloeit voor uit een feitelijke invloed;
Het gaat erom wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met de
gegevens gebeurt.
Gezamenlijke verwerkingsverantwoordelijke: wanneer de verantwoordelijke samen met anderen het
doel en middelen bepaald.
Bijv. een computerfabrikant en een fitnessbedrijf ontwikkelen samen een smartwatch die
gezondheidsgegevens registreert en beide partijen samen bepalen hoe en waarom deze gegevens
worden verwerkt.
Als verwerkingsverantwoordelijke ben je verantwoordelijk voor de rechtmatige en zorgvuldige
omgang met persoonsgegevens. Dit betekent dat je:
- De plichten uit de Verordening moet naleven;
- Dat je de goede naleving van deze plichten kunt aantonen.
Op grond van de Verordening heeft een verwerkingsverantwoordelijke de plicht om gegevens in
overeenstemming met de beginselen voor de verwerking van persoonsgegevens te verwerken, ook
wel de verantwoordingsplicht. Om concreet invulling te geven aan deze eis moet de
verwerkingsverantwoordelijke op grond van de Verordening tenminste aan de volgende maatregelen
voldoen:
Een register van verwerkingsactiviteiten bijhouden;
Onder bepaald omstandigheden een functionaris voor gegevensbescherming aan te stellen;
Voorafgaand aan risicovolle verwerkingsactiviteiten een
gegevensbeschermingeffectbeoordeling uit te voeren;
De AP onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle
verwerkingsactiviteit te raadplegen;
Bij het inrichten van verwerkingen rekening te houden met het principe van privacy door
ontwerp en standaardinstellingen (privacy by desgin & default);
Passende beveiligingsmaatregelen te treffen met het oog op bescherming van
persoonsgegevens;
In het geval van een datalek melding maken bij de AP en onder bepaalde omstandigheden
betrokkenen daarover te informeren;
Afspraken maken met verwerkers.
Het is op de grond van de Verordening niet voldoende dat je maatregelen neemt om te waarborgen
dat je verwerkingen in overeenstemming met de Verordening plaatsvinden, je moet dit ook kunnen
aantonen aantoonplicht.
Minor Privacy en informatieveiligheid van big data to the human factor.
De bescherming van persoonsgegevens is een grondrecht. De algemene Verordening
Gegevensbescherming (AVG) is een Europese wet die de bescherming van dit grondrecht regelt. De
AVG is vanaf 25 mei 2018 actief in de hele Europese Unie en vervangt daarmee de Nederlandse Wet
bescherming persoonsgegevens.
Hoewel het doel van de Verordening een geharmoniseerd gegevensbeschermingsrecht is, biedt de
Verordening de lidstaten toch op een aantal punten ruimte om specifieke bepalingen op te nemen of
uitzonderingen te maken. In Nederland zijn deze specifieke bepalingen vastgelegd in de
Uitvoeringswet Algemene Verordening gegevensbescherming. (UAVG) en ook in sectorale wetten die
bepalingen bevatten over de verwerking van persoonsgegevens op het terrein dat zij bestrijken.
Wat regelt de Verordening?
Hoofdstuk 1: Algemene bepalingen Artikel 1-4
Dit hoofdstuk stelt de algemene doelen en het toepassingsbereik (waar en wanneer is de
Verordening van toepassing) vast en geeft de in de Verordening gebruikte definities.
Hoofdstuk 2: Beginselen Artikel 5-11
Dit hoofdstuk beschrijft de beginselen waar de verwerking van persoonsgegevens aan moet voldoen,
somt de rechtvaardigingsgronden voor het verwerken van persoonsgegevens op en geeft de
voorwaarden waaraan toestemming voor het verwerken van persoonsgegevens moet voldoen.
Hoofdstuk 3: Rechten van de betrokkenen Artikel 12-23
Dit hoofdstuk beschrijft de rechten van de betrokkenen (recht op informatie, toegang, rectificatie,
verwijdering, overdraagbaarheid, bezwaar en beperking) en de mogelijke uitzonderingen en
beperkingen daarop. Ook wordt de betrokkenen in dit hoofdstuk het recht geboden om niet te
worden onderworpen aan geautomatiseerde besluitvorming en profliering.
Hoofdstuk 4: Verwerkingsverantwoordelijke en verwerker Artikel 24-43
Dit hoofdstuk stelt de eisen waaraan een behoorlijke verwerking van persoonsgegevens moet
voldoen. Het gaat om zaken als het aanstellen van een functionaris voor gegevensbescherming, het
verplicht registreren van alle verwerkingen en het beveiligen van persoonsgegevens. Ook wordt in dit
hoofdstuk de verhouding tussen verwerkingsverantwoordelijke en de verwerker geregeld. Ten slotte
wordt aandacht besteed aan certificering en het gebruik van gedragscodes.
Hoofdstuk 5: Doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Artikel 44-50
Dit hoofdstuk stelt de voorwaarden waaronder het is toegestaan om gegevens buiten de Europese
Unie te brengen.
Hoofdstuk 6: Onafhankelijke toezichthoudende autoriteiten Artikel 51-59
Dit hoofdstuk beschrijft de rol van toezichthouders op de Verordening en hun taken en
bevoegdheden. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens AP. De rol en
positie van de AP is uitgewerkt in de UAVG.
Hoofdstuk 7: Samenwerking en coherentie Artikel 60-76
Omdat de Verordening geldt in heel Europa, moet het toezicht op de Verordening ook
geharmoniseerd zijn. Dit hoofdstuk beschrijft de samenwerking tussen de nationale toezichthouders
,en de manier waarop in Europees verband toezichthouders tot uniforme toepassing van de
Verordening moeten komen.
Hoofdstuk 8: Beroep, aansprakelijkheid en sancties Artikel 77-84
Dit hoofdstuk beschrijft de mogelijkheden van betrokkenen om hun recht te halen. Daarnaast
beschrijft dit hoofdstuk de sancties die de nationale toezichthouders kunnen opleggen.
Hoofdstuk 9: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Artikel 85-91
Een aantal verwerkingen van persoonsgegevens wordt vanwege hun bijzondere aard geregeld in dit
hoofdstuk. Het gaat dan bijvoorbeeld om het gebruik van gegevens voor wetenschappelijk
onderzoek, het gebruik van nationale identificatienummers en de verhouding tussen het gebruik van
persoonsgegevens en de vrijheid van meningsuiting.
Hoofdstuk 10 en 11: Gedelegeerde handelingen, uitvoeringshandelingen en slotbepalingen Artikel 92-
99
Deze hoofdstukken bevatten organisatorische en wetstechnische bepalingen zoals de regels voor de
bevoegdheidsdelegatie en de inwerkingtreding van de Verordening.
Wat regelt de UAVG?
De belangrijkste gebieden waar de UAVG een rol speelt zijn:
1. Het toepassingsbereik van de Verordening
2. De rol, positie en bevoegdheden van de nationale toezichthouden (AP)
3. Regelingen rondom het gebruik van bijzondere categorieën van persoonsgegevens
4. Regelingen omtrent (de uitzonderingen) op de rechten van de betrokkenen
5. Regelingen voor specifieke verwerkingssituaties.
De beginselen waar elke verwerking van persoonsgegevens aan moet doen is te vinden in Artikel 5 en
hieronder opgesomd:
a) De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn,
oftewel rechtmatigheid, behoorlijkheid en transparantie.
b) De verwerking moet gebonden zijn aan specifieke verzameldoelen “doelbinding”.
c) De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn
“minimale gegevensverwerking”.
d) De gegevens moeten juist zijn “juistheid”
e) De gegevens mogen niet langer worden bewaard dan nodig “opslagbeperking”
f) De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven “integriteit en
vertrouwelijkheid”.
Voor al de bovenstaande beginselen geldt dat de verwerkingsverantwoordelijke verantwoordelijk is
voor de naleving en kan aantonen dat de gegevensverwerking in lijn is met de beginselen de
verantwoordingsplicht.
De AVG is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde
verwerking van persoonsgegevens en op de handmatige verwerking van persoonsgegevens die in
een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Let op: een puur mondelinge overdracht van gegevens is geen verwerking van persoonsgegevens.
Pas als de mondelinge overdracht wordt vastgelegd in bijvoorbeeld een dossier wordt het een
verwerking en valt het onder de AVG.
Bestand: een gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen.
Dat wil zeggen dat de gegevens onderlinge samenhang moeten vertonen, en het systeem
, systematisch toegankelijk moet zijn. Een ongestructureerd handmatig dossier valt dus niet onder de
AVG. Een op enige wijze gesystematiseerde dossierkast wel.
Verwerkingsverantwoordelijke: degene die ‘doel en middelen’ bepaalt voor de verwerking. Met
andere woorden de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens
worden verwerkt. Meestal wordt de volgende vraag gesteld om te bepalen wie verantwoordelijk is
voor de verwerking “waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe
genomen?”
Bij het beoordelen wie de verwerkingsverantwoordelijke is kunne we grofweg drie categorieën van
situaties onderscheiden:
1. De verwerkingsverantwoordelijke vloeit voort uit een uitdrukkelijke juridische bevoegdheid;
Bijv. de verwerking van persoonsgegevens door de belastingdienst.
2. De verwerkingsverantwoordelijke vloeit voort uit een impliciete bevoegdheid;
Bijv. een werkgever die gegevens van zijn medewerkers verwerkt.
3. De verwerkingsverantwoordelijke vloeit voor uit een feitelijke invloed;
Het gaat erom wie daadwerkelijk de beslissingen neemt en feitelijk bepaalt wat er met de
gegevens gebeurt.
Gezamenlijke verwerkingsverantwoordelijke: wanneer de verantwoordelijke samen met anderen het
doel en middelen bepaald.
Bijv. een computerfabrikant en een fitnessbedrijf ontwikkelen samen een smartwatch die
gezondheidsgegevens registreert en beide partijen samen bepalen hoe en waarom deze gegevens
worden verwerkt.
Als verwerkingsverantwoordelijke ben je verantwoordelijk voor de rechtmatige en zorgvuldige
omgang met persoonsgegevens. Dit betekent dat je:
- De plichten uit de Verordening moet naleven;
- Dat je de goede naleving van deze plichten kunt aantonen.
Op grond van de Verordening heeft een verwerkingsverantwoordelijke de plicht om gegevens in
overeenstemming met de beginselen voor de verwerking van persoonsgegevens te verwerken, ook
wel de verantwoordingsplicht. Om concreet invulling te geven aan deze eis moet de
verwerkingsverantwoordelijke op grond van de Verordening tenminste aan de volgende maatregelen
voldoen:
Een register van verwerkingsactiviteiten bijhouden;
Onder bepaald omstandigheden een functionaris voor gegevensbescherming aan te stellen;
Voorafgaand aan risicovolle verwerkingsactiviteiten een
gegevensbeschermingeffectbeoordeling uit te voeren;
De AP onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle
verwerkingsactiviteit te raadplegen;
Bij het inrichten van verwerkingen rekening te houden met het principe van privacy door
ontwerp en standaardinstellingen (privacy by desgin & default);
Passende beveiligingsmaatregelen te treffen met het oog op bescherming van
persoonsgegevens;
In het geval van een datalek melding maken bij de AP en onder bepaalde omstandigheden
betrokkenen daarover te informeren;
Afspraken maken met verwerkers.
Het is op de grond van de Verordening niet voldoende dat je maatregelen neemt om te waarborgen
dat je verwerkingen in overeenstemming met de Verordening plaatsvinden, je moet dit ook kunnen
aantonen aantoonplicht.
