Onderneming en privacy – week 1
Materiele werkingssfeer (art. 2 lid 1 AVG): de AVG is van toepassing op ‘de geheel of
gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden
opgenomen’.
PERSOONSGEGEVENS (ART. 4 ONDERDEEL 1 AVG)
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Alle informatie: niet alleen naam of adres, maar ook IP-adres, klantnummer,
locatiegegevens.
Natuurlijk persoon: het gaat om mensen, niet om organisaties.
Geïdentificeerd of identificeerbaar: iemand kan direct of indirect herleid worden (denk
aan een naam/locatiegegevens/bsn-nummers).
Zaak Breyer: ook al gaat het om indirecte gegevens, kan dit alsnog persoonsgegevens bevatten.
BIJZONDERE PERSOONSGEGEVENS (ART. 9 AVG)
Dit zijn gevoelige gegevens zoals ras, religie, gezondheid, seksuele geaardheid, politieke
opvattingen of biometrische/genetische data. Verwerking hiervan is in principe verboden, tenzij er
een uitzondering geldt.
VERWERKING VAN PERSOONSGEGEVENS (ART. 4 ONDERDEEL 2 AVG)
Verwerking betekent elke handeling met persoonsgegevens, van verzamelen tot vernietigen.
Voorbeelden: verzamelen, opslaan, ordenen, aanpassen, doorgeven, raadplegen of wissen.
Belangrijk arrest: Google Spain SL, ging over het “recht om vergeten te worden”: gegevens
mogen soms verwijderd worden als ze niet langer relevant zijn.
GEAUTOMATISEERDE EN NIET-GEAUTOMATISEERDE VERWERKING
- Geautomatiseerde verwerking: verwerking door computersystemen of databases.
- Niet-geautomatiseerde verwerking: handmatige verwerking, maar alleen als die:
onderdeel uitmaakt van een bestand of bedoeld is om in een bestand te worden
opgenomen. Het begrip ‘bestand’ is dus belangrijk om te bepalen of de AVG van
toepassing is.
UITZONDERINGEN OP DE MATERIËLE WERKINGSSFEER (ART. 2 LID 2 EN 3
AVG)
De AVG geldt niet voor:
1. Activiteiten buiten de werkingssfeer van het Unierecht (zoals nationale veiligheid).
2. Activiteiten in het kader van het gemeenschappelijk buitenlands- en veiligheidsbeleid.
3. Gegevensverwerking bij opsporing en vervolging van strafbare feiten.
4. Zuiver persoonlijke of huishoudelijke activiteiten (zoals een privé-adresboekje).
TERRITORIALE WERKINGSSFEER (ART. 3 AVG)
Hoofdregel: de AVG geldt wanneer de verwerkingsverantwoordelijke of verwerker gevestigd is
binnen de EU.
Ook van toepassing op niet-EU-bedrijven (art. 3 lid 2 AVG) als de verwerking verband houdt met:
- Het aanbieden van goederen of diensten aan personen in de EU, ongeacht betaling.
- Het monitoren van gedrag van betrokkenen, voor zover dat gedrag binnen de EU
plaatsvindt.
,ACTOREN BIJ GEGEVENSVERWERKING
1. Betrokkene (art. 4 lid 1 AVG): de natuurlijke persoon van wie de gegevens worden
verwerkt, bijvoorbeeld klanten, medewerkers of websitebezoekers. Kinderen verdienen
extra bescherming (toestemming ouder bij diensten onder de 16 jaar).
2. Verwerkingsverantwoordelijke (art. 4 lid 7 AVG): de partij die doelen en middelen van
verwerking bepaalt. Voorbeeld: een bedrijf dat klantgegevens verwerkt voor marketing.
Arrest Wirtschaftsakademie Schleswig-Holstein: Facebook-pagina-beheerders kunnen
ook (mede)verantwoordelijk zijn.
3. Verwerker (art. 4 lid 8 AVG): de partij die in opdracht van de verantwoordelijke
gegevens verwerkt, bijvoorbeeld een cloudprovider of salarisadministratiekantoor.
4. Ontvanger (art. 4 lid 9 AVG): de partij aan wie persoonsgegevens worden verstrekt. Hier
geldt het beginsel van transparantie: betrokkenen moeten weten wie hun gegevens
ontvangt.
AVG VS. UAVG
Onderwerpen UAVG:
1. Reikwijdte AVG/UAVG;
2. Oprichting en inrichting AP + taken en bevoegdheden;
3. Bijzondere categorieën persoonsgegevens;
4. Rechtsbescherming;
5. Uitzonderingen en beperkingen op rechten en plichten AVG.
De AVG geldt in de hele EU. De UAVG (Uitvoeringswet AVG) vult deze in voor Nederland. Zie
art. 2, 3 en 4 UAVG voor de nationale reikwijdte. De Caribische delen van Nederland (Bonaire,
Saba en Sint-Eustatius) vallen onder aparte regelgeving.
COSTA/E.N.E.L
Arrest HvJ EG 15 juli 1964 Costa/E.NE.L. ECLI:EU:1964:66
- Costa verzoeken nationale rechter prejudiciële vragen te stellen over verenigbaarheid
nationalisatiewet met Europese wetgeving (zie art. 267 VWEU voor dit mechanisme)
- Uitspraak HvJ: Europese wetgeving gaat voor op nationale wetgeving
BEGINSELEN AVG (ART. 5 AVG)
De verwerkingsverantwoordelijke moet persoonsgegevens verwerken volgens de beginselen uit
art. 5 AVG. Er is geen rangorde tussen de beginselen en schending kan leiden tot hoge boetes.
De organisaties moeten niet alleen naleven, maar ook kunnen aantonen dat ze naleven
(documentatieplicht).
Belangrijkste beginselen:
- Rechtmatigheid, behoorlijkheid en transparantie verwerking moet een wettelijke
grondslag hebben, duidelijk en eerlijk zijn.
- Doelbinding gegevens alleen maar gebruiken voor vooraf omschreven en
gerechtvaardigde doelen.
- Dataminimalisatie niet méér gegevens verwerken dan noodzakelijk.
- Juistheid gegevens moeten kloppen en zo nodig worden bijgewerkt.
- Opslagbeperking bewaren zolang noodzakelijk, daarna verwijderen of anonimiseren.
- Integriteit en vertrouwelijkheid beschermen tegen verlies, vernietiging,
onrechtmatige verwerking.
VERANTWOORDINGSPLICHT (ART. 5 LID 2 AVG)
, Art. 5 lid 2 bepaalt dat de verwerkingsverantwoordelijke verantwoordelijk is voor naleving van
deze beginselen én moet kunnen aantonen dat hij ze naleeft.
In de praktijk betekent dit bijvoorbeeld:
- Documenteren van beslissingen
- Registers bijhouden
- Beleidsstukken hebben
- Kunnen uitleggen waarom gegevens nodig zijn
- Beveiligingsmaatregelen nemen
Onderneming en privacy – week 2
RECHTMATIGHEID GEGEVENSVERWERKING
Art. 5 lid 1 onder a AVG
Eén van de basisbeginselen van gegevensbescherming is dat persoonsgegevens rechtmatig
moeten worden verwerkt. Dat betekent dat er altijd een rechtsgrond moet zijn.
Uitwerking in art. 6 lid 1 t/m 3 AVG
In art. 6 staat wanneer een verwerking rechtmatig is. Dit is verder ingevuld in:
- Lid 1: de grondslagen
- Lid 2 en 3: nationale ruimte (mogelijkheid voor lidstaten om eigen regels te stellen)
Grondslagen zijn limitatief (lid 1)
Dat wil zeggen: de grondslagen staan uitputtend opgesomd in art. 6 lid 1. Er zijn dus alleen deze.
Zes mogelijkheden: je mag geen nieuwe bedenken.
De zes grondslagen zijn:
1. Toestemming van betrokkene
2. Noodzakelijk voor uitvoering van een overeenkomst
3. Wettelijke verplichting
4. Bescherming vitale belangen
5. Taak van algemeen belang/openbaar gezag
6. Gerechtvaardigd belang
Als er geen grondslag van art. 6 lid 1 aanwezig is, dan is de verwerking in strijd met de AVG
dus onrechtmatig.
ALGEMENE VOORWAARDEN
Bij het verwerken van persoonsgegevens moet de verwerkingsverantwoordelijke altijd kunnen
aantonen dat de verwerking voldoet aan de beginselen van de AVG. Daarbij horen twee
belangrijke afwegingen:
- Noodzakelijk
De verwerking moet noodzakelijk zijn voor het doel. Met andere woorden: het doel kan
niet (of niet goed) worden bereikt op een manier waarbij minder gegevens worden
verwerkt.
- Evenredig
De verwerking mag niet verder gaan dan nodig is. Er moet een redelijke verhouding
bestaan tussen het doel en de inbreuk op de privacy van betrokkene.
Afweging maken en verantwoorden: art. 5 lid 2 AVG
Art. 5 lid 2 AVG bevat de verantwoordingsplicht. Dit betekent dat de
verwerkingsverantwoordelijke niet alleen moet voldoen aan de AVG-beginselen, maar ook moet
kunnen aantonen dat hij daaraan voldoet. De organisatie moet de gemaakte afweging
(noodzakelijkheid, evenredigheid, doelbinding etc.) dus kunnen onderbouwen en documenteren.
DE GRONDSLAGEN (ART. 6 LID 1 AVG)
TOESTEMMING (A)
Eisen aan toestemming staan in:
- Art. 4 onderdeel 11 AVG (definitie)
Materiele werkingssfeer (art. 2 lid 1 AVG): de AVG is van toepassing op ‘de geheel of
gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden
opgenomen’.
PERSOONSGEGEVENS (ART. 4 ONDERDEEL 1 AVG)
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Alle informatie: niet alleen naam of adres, maar ook IP-adres, klantnummer,
locatiegegevens.
Natuurlijk persoon: het gaat om mensen, niet om organisaties.
Geïdentificeerd of identificeerbaar: iemand kan direct of indirect herleid worden (denk
aan een naam/locatiegegevens/bsn-nummers).
Zaak Breyer: ook al gaat het om indirecte gegevens, kan dit alsnog persoonsgegevens bevatten.
BIJZONDERE PERSOONSGEGEVENS (ART. 9 AVG)
Dit zijn gevoelige gegevens zoals ras, religie, gezondheid, seksuele geaardheid, politieke
opvattingen of biometrische/genetische data. Verwerking hiervan is in principe verboden, tenzij er
een uitzondering geldt.
VERWERKING VAN PERSOONSGEGEVENS (ART. 4 ONDERDEEL 2 AVG)
Verwerking betekent elke handeling met persoonsgegevens, van verzamelen tot vernietigen.
Voorbeelden: verzamelen, opslaan, ordenen, aanpassen, doorgeven, raadplegen of wissen.
Belangrijk arrest: Google Spain SL, ging over het “recht om vergeten te worden”: gegevens
mogen soms verwijderd worden als ze niet langer relevant zijn.
GEAUTOMATISEERDE EN NIET-GEAUTOMATISEERDE VERWERKING
- Geautomatiseerde verwerking: verwerking door computersystemen of databases.
- Niet-geautomatiseerde verwerking: handmatige verwerking, maar alleen als die:
onderdeel uitmaakt van een bestand of bedoeld is om in een bestand te worden
opgenomen. Het begrip ‘bestand’ is dus belangrijk om te bepalen of de AVG van
toepassing is.
UITZONDERINGEN OP DE MATERIËLE WERKINGSSFEER (ART. 2 LID 2 EN 3
AVG)
De AVG geldt niet voor:
1. Activiteiten buiten de werkingssfeer van het Unierecht (zoals nationale veiligheid).
2. Activiteiten in het kader van het gemeenschappelijk buitenlands- en veiligheidsbeleid.
3. Gegevensverwerking bij opsporing en vervolging van strafbare feiten.
4. Zuiver persoonlijke of huishoudelijke activiteiten (zoals een privé-adresboekje).
TERRITORIALE WERKINGSSFEER (ART. 3 AVG)
Hoofdregel: de AVG geldt wanneer de verwerkingsverantwoordelijke of verwerker gevestigd is
binnen de EU.
Ook van toepassing op niet-EU-bedrijven (art. 3 lid 2 AVG) als de verwerking verband houdt met:
- Het aanbieden van goederen of diensten aan personen in de EU, ongeacht betaling.
- Het monitoren van gedrag van betrokkenen, voor zover dat gedrag binnen de EU
plaatsvindt.
,ACTOREN BIJ GEGEVENSVERWERKING
1. Betrokkene (art. 4 lid 1 AVG): de natuurlijke persoon van wie de gegevens worden
verwerkt, bijvoorbeeld klanten, medewerkers of websitebezoekers. Kinderen verdienen
extra bescherming (toestemming ouder bij diensten onder de 16 jaar).
2. Verwerkingsverantwoordelijke (art. 4 lid 7 AVG): de partij die doelen en middelen van
verwerking bepaalt. Voorbeeld: een bedrijf dat klantgegevens verwerkt voor marketing.
Arrest Wirtschaftsakademie Schleswig-Holstein: Facebook-pagina-beheerders kunnen
ook (mede)verantwoordelijk zijn.
3. Verwerker (art. 4 lid 8 AVG): de partij die in opdracht van de verantwoordelijke
gegevens verwerkt, bijvoorbeeld een cloudprovider of salarisadministratiekantoor.
4. Ontvanger (art. 4 lid 9 AVG): de partij aan wie persoonsgegevens worden verstrekt. Hier
geldt het beginsel van transparantie: betrokkenen moeten weten wie hun gegevens
ontvangt.
AVG VS. UAVG
Onderwerpen UAVG:
1. Reikwijdte AVG/UAVG;
2. Oprichting en inrichting AP + taken en bevoegdheden;
3. Bijzondere categorieën persoonsgegevens;
4. Rechtsbescherming;
5. Uitzonderingen en beperkingen op rechten en plichten AVG.
De AVG geldt in de hele EU. De UAVG (Uitvoeringswet AVG) vult deze in voor Nederland. Zie
art. 2, 3 en 4 UAVG voor de nationale reikwijdte. De Caribische delen van Nederland (Bonaire,
Saba en Sint-Eustatius) vallen onder aparte regelgeving.
COSTA/E.N.E.L
Arrest HvJ EG 15 juli 1964 Costa/E.NE.L. ECLI:EU:1964:66
- Costa verzoeken nationale rechter prejudiciële vragen te stellen over verenigbaarheid
nationalisatiewet met Europese wetgeving (zie art. 267 VWEU voor dit mechanisme)
- Uitspraak HvJ: Europese wetgeving gaat voor op nationale wetgeving
BEGINSELEN AVG (ART. 5 AVG)
De verwerkingsverantwoordelijke moet persoonsgegevens verwerken volgens de beginselen uit
art. 5 AVG. Er is geen rangorde tussen de beginselen en schending kan leiden tot hoge boetes.
De organisaties moeten niet alleen naleven, maar ook kunnen aantonen dat ze naleven
(documentatieplicht).
Belangrijkste beginselen:
- Rechtmatigheid, behoorlijkheid en transparantie verwerking moet een wettelijke
grondslag hebben, duidelijk en eerlijk zijn.
- Doelbinding gegevens alleen maar gebruiken voor vooraf omschreven en
gerechtvaardigde doelen.
- Dataminimalisatie niet méér gegevens verwerken dan noodzakelijk.
- Juistheid gegevens moeten kloppen en zo nodig worden bijgewerkt.
- Opslagbeperking bewaren zolang noodzakelijk, daarna verwijderen of anonimiseren.
- Integriteit en vertrouwelijkheid beschermen tegen verlies, vernietiging,
onrechtmatige verwerking.
VERANTWOORDINGSPLICHT (ART. 5 LID 2 AVG)
, Art. 5 lid 2 bepaalt dat de verwerkingsverantwoordelijke verantwoordelijk is voor naleving van
deze beginselen én moet kunnen aantonen dat hij ze naleeft.
In de praktijk betekent dit bijvoorbeeld:
- Documenteren van beslissingen
- Registers bijhouden
- Beleidsstukken hebben
- Kunnen uitleggen waarom gegevens nodig zijn
- Beveiligingsmaatregelen nemen
Onderneming en privacy – week 2
RECHTMATIGHEID GEGEVENSVERWERKING
Art. 5 lid 1 onder a AVG
Eén van de basisbeginselen van gegevensbescherming is dat persoonsgegevens rechtmatig
moeten worden verwerkt. Dat betekent dat er altijd een rechtsgrond moet zijn.
Uitwerking in art. 6 lid 1 t/m 3 AVG
In art. 6 staat wanneer een verwerking rechtmatig is. Dit is verder ingevuld in:
- Lid 1: de grondslagen
- Lid 2 en 3: nationale ruimte (mogelijkheid voor lidstaten om eigen regels te stellen)
Grondslagen zijn limitatief (lid 1)
Dat wil zeggen: de grondslagen staan uitputtend opgesomd in art. 6 lid 1. Er zijn dus alleen deze.
Zes mogelijkheden: je mag geen nieuwe bedenken.
De zes grondslagen zijn:
1. Toestemming van betrokkene
2. Noodzakelijk voor uitvoering van een overeenkomst
3. Wettelijke verplichting
4. Bescherming vitale belangen
5. Taak van algemeen belang/openbaar gezag
6. Gerechtvaardigd belang
Als er geen grondslag van art. 6 lid 1 aanwezig is, dan is de verwerking in strijd met de AVG
dus onrechtmatig.
ALGEMENE VOORWAARDEN
Bij het verwerken van persoonsgegevens moet de verwerkingsverantwoordelijke altijd kunnen
aantonen dat de verwerking voldoet aan de beginselen van de AVG. Daarbij horen twee
belangrijke afwegingen:
- Noodzakelijk
De verwerking moet noodzakelijk zijn voor het doel. Met andere woorden: het doel kan
niet (of niet goed) worden bereikt op een manier waarbij minder gegevens worden
verwerkt.
- Evenredig
De verwerking mag niet verder gaan dan nodig is. Er moet een redelijke verhouding
bestaan tussen het doel en de inbreuk op de privacy van betrokkene.
Afweging maken en verantwoorden: art. 5 lid 2 AVG
Art. 5 lid 2 AVG bevat de verantwoordingsplicht. Dit betekent dat de
verwerkingsverantwoordelijke niet alleen moet voldoen aan de AVG-beginselen, maar ook moet
kunnen aantonen dat hij daaraan voldoet. De organisatie moet de gemaakte afweging
(noodzakelijkheid, evenredigheid, doelbinding etc.) dus kunnen onderbouwen en documenteren.
DE GRONDSLAGEN (ART. 6 LID 1 AVG)
TOESTEMMING (A)
Eisen aan toestemming staan in:
- Art. 4 onderdeel 11 AVG (definitie)
