...
EU Rechtspraak - 21 januari 2025

Moeten ambtenaren worden geïnformeerd over het maken en op internet publiceren van video-opnamen van het uitoefenen van hun functie?

Op 14 februari 2019 heeft het Hof van Justitie van de EU twee prejudiciële vragen beantwoord over de uitlegging van het begrip ‘voor uitsluitend journalistieke doeleinden’ in artikel 9 van richtlijn 95/46/EG. Deze richtlijn is inmiddels vervangen door de Algemene verordening gegevensbescherming (Verordening 2016/679). Het begrip ‘journalistieke doeleinden’ is ook in de AVG vastgelegd (artikel 85). De uitspraak is daarom ook relevant voor uitlegging van de AVG.

...
EU Rechtspraak - 21 januari 2025

Wat is de reikwijdte van het begrip persoonsgegevens en het recht van inzage?

In deze zaak gaat het om de reikwijdte van het begrip persoonsgegevens en de uitwerking van het recht op toegang tot deze gegevens uit richtlijn 95/46 (hierna: de richtlijn). Deze richtlijn is in Nederland in de Wet bescherming persoonsgegevens (Wbp) geïmplementeerd. Vanaf 25 mei 2018 zullen de regels van de Algemene verordening gegevensbescherming (AVG) gelden en worden zowel de richtlijn als de Wbp ingetrokken. De definitie van ‘persoonsgegevens’ is in de AVG hetzelfde als in de richtlijn.

...
EU Rechtspraak - 21 januari 2025

Wat is een gerechtvaardigd belang in het geval van het doorgeven van persoonsgegevens?

Hoe kunnen de fundamentele rechten en vrijheden van natuurlijke personen beschermd blijven, terwijl persoonsgegevens wel doorgespeeld worden. En hoe moeten de woorden ‘noodzakelijk voor de behartiging van het gerechtvaardigd belang van derde aan wie de gegevens worden verstrekt’ uitgelegd worden? In dit arrest gaat het Hof van Justitie hierop in.

...
EU Rechtspraak - 16 december 2024

Is ‘excuses aanbieden’ een vorm van vergoeding van niet-vaststelbare immateriële schade in de AVG? 

Het Hof geeft uitleg over de invulling van immateriële schade in de AVG. Het aanbieden van excuses is een passende vorm van schadevergoeding bij immateriële schade, mits de daadwerkelijke schade door deze vorm van schadevergoeding volledig wordt vergoed. Verder overweegt het Hof dat beweegredenen van verwerkingsverantwoordelijken niet worden meegewogen bij de schadevergoedingsbepaling van de AVG.

...
EU Recht en beleid - 30 mei 2024

Functionaris voor gegevensbescherming

Op grond van artikel 37 AVG moet de verwerkingsverantwoordelijke in een aantal situaties verplicht een Functionaris voor gegevensbescherming aannemen. Decentrale overheidsorganisaties die persoonsgegevens verwerken zijn bijvoorbeeld verplicht om een FG aan te stellen. Een FG adviseert over de toepassing van de AVG en staat de verwerker en verwerkingsverantwoordelijke bij met het intern toezicht op de naleving van de AVG.

...
EU Recht en beleid - 30 mei 2024

Data protection impact assessment (DPIA)

Volgens artikel 35 van de AVG moet een verwerkingsverantwoordelijke in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren wanneer hij een verwerking van persoonsgegevens met een hoog risico uitvoert. Deze term is ook bekend als de data protection impact assessment (DPIA). Met een DPIA maakt een verwerkingsverantwoordelijke voorafgaand aan de verwerking een inschatting van de gevolgen voor de persoonlijke levenssfeer van de betrokkene en welke passende maatregelen hij kan nemen om de AVG na te leven. De betrokkene is degene van wie de persoonsgegevens worden verwerkt. Lees op onderstaande pagina meer over de DPIA.

...
EU Recht en beleid - 30 mei 2024

Meldplicht datalekken

De verwerkingsverantwoordelijke moet op grond van artikel 32 van de AVG de verwerking van persoonsgegevens passend beveiligen. Het kan echter voorkomen dat persoonsgegevens toegankelijk worden gemaakt voor personen die daar geen toegang tot moeten hebben. Dit is een datalek. Een datalek moet in bepaalde gevallen gemeld worden aan de Autoriteit Persoonsgegevens. Wanneer dat is en welke verplichtingen dit nog meer met zich meebrengt voor decentrale overheden kunt u lezen op deze pagina.

...
EU Recht en beleid - 30 mei 2024

Privacy by design en privacy by default

Volgens de AVG moeten decentrale overheden als verwerkingsverantwoordelijke werken volgens de principes van privacy by design en privacy by default. Wat betekent dit precies? Dat leest u op onderstaande pagina.

...
EU Recht en beleid - 30 mei 2024

Verplichtingen van de verwerkings­verantwoordelijke

De AVG stelt dat een decentrale overheid verwerkingsverantwoordelijke is als zij de doelen en middelen bepaalt van iedere verwerking van persoonsgegevens. Indien de decentrale overheid verwerkingsverantwoordelijke is, heeft zij op grond van de AVG verschillende verplichtingen.

...
EU Recht en beleid - 30 mei 2024

Grondslag

Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Dat betekent dat zij een goede reden moeten hebben om persoonsgegevens te verwerken. De AVG stelt zes grondslagen voor het verwerken van persoonsgegevens. Met name de eerste grondslag toestemming dient aan strenge voorwaarden te voldoen. Op deze pagina vindt u meer informatie over de zes grondslagen.