Privacy is een bekend begrip voor iedereen. Privacy gaat om het beschermen van persoonlijke informatie en daarom voor iedere natuurlijk persoon relevant. In 2018 veranderde de privacywetging met de komst van de veelbesproken AVG. Bekend, maar toch nog vaak onbekend, daarom nemen wij u graag mee. In een aantal blogs neemt WeDo Legal advocate Maria van Bladel u mee in de wereld van privacy. Dit is deel 1 over de basisbeginselen van privacy.
De AVG
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG zorgt onder meer voor een versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties, en de bevoegdheid voor privacytoezichthouders om boetes tot 20 miljoen euro op te leggen bij schendingen van deze. Deze privacywetgeving geldt voor de hele Europese Unie en is internationaal bekend onder de Engelse benaming: General Data Protection Regulation (GDPR). Maar wat houdt deze wet nu eigenlijk in en voor wie is het interessant?
Wat zijn persoonsgegevens?
Belangrijk om te weten is wat persoonsgegevens zijn, wat valt er binnen de AVG en wat juist niet. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Voorbeelden van persoonsgegevens zijn:
Naam, adres en woonplaats, ID-nummer, IP-adres, personeelsnummer, privé of professioneel telefoonnummer (wie-is-wie), login-gegevens, identificatiecookies, rekeningnummer, CV, loggegevens (waaronder cafetaria, parkinggebruik, webgebruik, surfgedrag), camerabeelden, personeelsbestanden, loongegevens, professionele uitgaven en ook postcodes met huisnummers zijn persoonsgegevens.
Interessant is dat ook persoonsgegevens die niet op het eerste zicht direct tot (identificatie van) een persoon leiden persoonsgegevens kunnen zijn. Bijvoorbeeld wanneer er ook informatie bestaat die deze gegevens (al dan niet gepseudonimiseerd) aan de natuurlijke persoon linkt. Zo is alleen een postcode niet per se naar één persoon te herleiden, maar wanneer deze in combinatie met het huisnummer en/of telefoonnummer in zicht komt en daardoor identificeerbaar wordt, kan het wel een persoonsgegeven zijn.
Bijzondere persoonsgegevens zijn gevoelige gegevens, zoals informatie over iemands godsdienst, gezondheid of strafrechtelijke verleden, die volgens de privacywetgeving extra bescherming verdienen. De AVG verbiedt de verwerking van deze gegevens, met uitzondering van een aantal situaties die de wet omschrijft.
Welke persoonsgegevens vallen buiten de AVG?
Op de gegevens van overleden personen is de AVG niet van toepassing. Daarnaast is de AVG niet van toepassing op geanonimiseerde gegevens. Die zijn niet meer naar één persoon te herleiden.
De spelers in het privacy-domein
Binnen de privacywetgeving hebben we te maken met drie rollen: de betrokkene, de verwerkingsverantwoordelijke en de verwerker. Om deze drie rollen uit te leggen nemen we als voorbeeld een werknemer bij een organisatie:
1. De betrokkene.
De betrokkene is een “geïdentificeerde of identificeerbare natuurlijk persoon”. Iemand is identificeerbaar indien hij of zij direct of indirect kan worden geïdentificeerd, met name met behulp van gegevens, bestaande uit onder andere een naam, locatiegegevens, elementen die kenmerkend zijn voor de sociale identiteit (en meer, zie hierboven). In het voorbeeld is de betrokkene de werknemer.
2. De verwerkingsverantwoordelijke.
Dit is een natuurlijk persoon, een overheidsinstantie of een rechtspersoon die, samen met anderen of alleen, het doel van de gegevensverwerking vaststelt en de gegevens verwerkt. In het voorbeeld is de verwerkingsverantwoordelijke de werkgever.
3. De verwerker.
De verwerker is een natuurlijk persoon, een overheidsinstantie of een rechtspersoon die ten dienste van de verwerkingsverantwoordelijke persoonsgegevens van de betrokkene verwerkt. In het voorbeeld kan dit bijvoorbeeld een payrollbedrijf zijn waarmee de werkgever samenwerkt. Wij raden u, als werkgever, aan om met een verwerker altijd een goede verwerkingsovereenkomst af te sluiten waarin duidelijk afgesproken staat wat ze wel en niet mogen en wie welke aansprakelijkheid draagt.
De verwerking van de persoonsgegevens als organisatie
Als organisatie heeft u altijd te maken met persoonsgegevens, dit kan zijn van werknemers maar ook van klanten. Van belang is u goed te (laten) informeren over wat de algemene privacy beginselen zijn met betrekking tot de verwerking van deze persoonsgegevens. Dit kunt u doen met de hulp van een juridisch adviseur die u kan adviseren bij het implementeren van de wetgeving. Er zijn op dit moment nog veel bedrijven waar de AVG wetgeving nog niet (voldoende) geïmplementeerd is. De algemene beginselen voor de verwerking van persoonsgegevens zijn:
Advies op hulp nodig bij de privacywetgeving?
Heeft u hulp nodig bij de implementatie van de AVG? Heeft u vragen over de naleving van de AVG? Bent u op het punt om een verwerkingsovereenkomst op te stellen? Wij adviseren u graag op voorhand om juridische kopzorgen te voorkomen. Neem gerust en vrijblijvend contact op met Maria van Bladel (vanbladel@wedo-legal.nl of +31 (0)6 – 10 82 56 56).
Nieuwsbrief
Altijd op de hoogte van de laatste ontwikkelingen en trends met onze nieuwsbrief.
Aanmelden
Contact