Decentrale overheden krijgen te maken met de verwerking van persoonsgegevens. Dan moeten zij zich houden aan de regels van de Algemene verordening gegevensbescherming (AVG). Maar wat houdt het verwerken van persoonsgegevens in? En wat is een persoonsgegeven precies?
Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (art. 4 lid 1 AVG).
Een persoon is geïdentificeerd wanneer deze uniek van andere personen te onderscheiden is. Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt. Bijvoorbeeld door bepaalde gegevens aan elkaar te koppelen.
De identificatie kan bijvoorbeeld gebeuren aan de hand van een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.
Een persoonsgegeven kan bijvoorbeeld zijn:
de naam van een persoon;
een gezichtsafbeelding;
het BSN;
een e-mailadres of telefoonnummer;
een vingerafdruk;
een IP-adres;
de WOZ-waarde van een huis.
Gegevens over objecten of organisaties zijn in principe geen persoonsgegevens. Bijvoorbeeld een algemeen telefoonnummer of emailadres. Meer informatie hierover staat ook in deze praktijkvraag.
Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.
Verwerken
Volgens art. 4 lid 2 AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Het begrip ‘verwerken’ is erg ruim en betekent eigenlijk alles wat met persoonsgegevens gedaan wordt. Naast het verzamelen of vernietigen van persoonsgegevens is ook al het raadplegen van persoonsgegevens een verwerking waarbij op de regels van de AVG gelet moet worden.
bijzondere persoonsgegevens
In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of seksuele geaardheid.
Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (art. 9 AVG). Dit is bijvoorbeeld aan de orde als een betrokkene uitdrukkelijk toestemming voor de verwerking geeft, of de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.
Strafrechtelijke Persoonsgegevens
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid, of op grond van Unierechtelijke of lidstaatrechtelijke bepalingen (artikel 10 AVG). Op de verwerking van persoonsgegevens in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen is richtlijn (EU) 2016/680 van toepassing.
Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als de richtlijn gegevensverwerking opsporing en vervolging te maken krijgen. Meer informatie hier over staat ook in deze praktijkvraag.
De Nederlandse normen voor de bouw van windturbineparken moeten worden onderworpen aan een plan-milieueffectrapport. Totdat de regering dit heeft gedaan mogen decentrale overheden de normen niet toepassen. Wel mogen ze zelf normen stellen, mits hierin goed wordt gemotiveerd waarom die normen van toepassing zijn.
Antwoord in het kort Een subsidie voor de aanschaf van milieuvriendelijke bedrijfsvoertuigen door ondernemingen, kan mogelijk staatssteunproof worden verleend op basis van de de-minimisverordening of de Algemene groepsvrijstellingsverordening. Staatssteun, en…
Antwoord in het kort Voor overheidsorganisaties zijn er verscheidene mogelijkheden om hernieuwbare energie- en (lokale) duurzaamheidsinitiatieven te stimuleren met behulp van Europese wet- en regelgeving. Zo kunnen ze duurzaamheidsoverwegingen meenemen…
Meer weten over het verwerken van persoonsgegevens?
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
Het ministerie van Justitie en Veiligheid heeft een modelinformatieprotocol opgesteld dat gemeenten kunnen gebruiken wanneer zij gegevens willen delen om ondermijnende criminaliteit tegen te gaan. Gemeenten gaven eerder aan bij de uitwisseling van deze gegevens in de knel te komen met de regels rondom privacy en gegevensbescherming. Het protocol biedt gemeenten een stappenplan om te kijken hoe gegevens verder verwerkt kunnen worden, binnen de huidig geldende sectorale wetgeving.
Advocaat-generaal (A-G) Saugmandsgaard Øe van het EU-Hof heeft in zijn conclusie van 19 december 2019 aangegeven dat het modelcontract voor doorgifte van persoonsgegevens aan verwerkers die buiten de EU zijn gevestigd, geldig is. De Europese Commissie heeft drie modelcontracten opgesteld die organisaties kunnen gebruiken om rechtmatig persoonsgegevens buiten de EU te laten verwerken. Decentrale overheidsorganisaties die bijvoorbeeld persoonsgegevens opslaan op een server in de VS kunnen van dit modelcontract gebruikmaken.
De Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?
De Eerste Kamer heeft op 15 mei 2018 de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming aangenomen. Half maart stemde de Tweede Kamer al in met de Uitvoeringswet. Na ondertekening zal de wet in het Staatsblad worden gepubliceerd en naar verwachting door koninklijk besluit per 25 mei 2018 in werking treden. De Uitvoeringswet is dan door Nederland op tijd aangenomen voor de Europese AVG op diezelfde datum van toepassing wordt.
Bij het aanbesteden van overheidsopdrachten door decentrale overheden dient er rekening te worden gehouden met het waarborgen van privacy. Hoe zorgt u ervoor dat er wordt voldaan aan de transparantieverplichtingen zonder dat er onnodig privacygevoelige informatie publiek kenbaar wordt gemaakt? En hoe kan er bij aanbestedingen worden voldaan aan de eisen uit de Algemene verordening gegevensbescherming?
De nieuwe Europese Algemene verordening gegevensbescherming (AVG) brengt een aantal veranderingen mee voor het privacybeleid van onder meer decentrale overheden. De AVG wordt in Nederland beleidsneutraal geïmplementeerd. Dit betekent dat het huidige recht wordt gehandhaafd, tenzij dit op grond van de AVG niet mogelijk is. Toch zijn er enkele belangrijke verschillen met de huidige Wet bescherming persoonsgegevens (Wbp). In dit overzicht presenteert Europa decentraal een aantal belangrijke tools en publicaties, toegespitst op het behandelde thema in deze speciale Ster-editie: de Functionaris Gegevensbescherming. Dit overzicht kan decentrale overheden helpen bij de voorbereiding op de inwerkingtreding van de AVG.
Eind februari 2018 presenteerde de Europese Commissie de stand van zaken omtrent de implementatie van de Algemene Verordening Gegevensbescherming in de lidstaten. Hieruit bleek onder andere dat in nog maar twee lidstaten de relevante nationale wetgeving was aangenomen. Dit nationaal wettelijk kader moet in orde zijn voor de regels van de AVG op 25 mei 2018 van toepassing worden. Het wetsvoorstel voor de Nederlandse Uitvoeringswet AVG is in december 2017 bij de Tweede Kamer ingediend. Vandaag stemde de Tweede Kamer over het wetsvoorstel en de ingediende amendementen en moties. Het wetsvoorstel van de Uitvoeringswet is met 130 stemmen voor en 20 stemmen tegen (PVV) aangenomen.
Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.
De Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) heeft prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie (het Hof). De Afdeling stelde deze vragen naar aanleiding van twee gevoegde zaken over twee Turkse burgers die bij hun aanvraag van een voorlopige verblijfsvergunning in Nederland verplicht werden om vingerafdrukken en een digitale gezichtsafdruk af te geven. Deze zogeheten biometrische gegevens worden bewaard in de vreemdelingenadministratie.
Het registreren van persoonsgegevens van sekswerkers valt onder het verwerken van bijzondere persoonsgegevens, zo oordeelt de Autoriteit Persoonsgegevens (AP). Diverse gemeenten zijn door de AP al op de vingers getikt omdat zij deze gegevens in strijd met de Wet bescherming persoonsgegevens (Wbp) verwerken. Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). In dit artikel lichten wij de regels omtrent het verwerken van bijzondere persoonsgegevens in de AVG toe.
Een ieder heeft recht op inzage van zijn of haar persoonsgegevens. Ondanks dat burgers over dit recht beschikken, hebben zij vaak moeite om deze gegevens daadwerkelijk te ontvangen. Dit komt onder andere omdat het verstrekken hiervan nu niet eenduidig gebeurt en de gegevens vaak niet digitaal te vinden zijn. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft onderzoek laten doen naar de behoefte die burgers hebben als het gaat om digitale inzage in hun gegevens. Lees het volledige bericht
Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?
Onze gemeente is al geruime tijd actief op social media. De gemeente ziet dit als een moderne manier om de burger te bereiken en maatschappelijke participatie te stimuleren. We hebben gehoord dat het EU-hof zich heeft uitgesproken over het beheer van Facebookpagina’s. Is deze uitspraak relevant voor gemeenten? En zo ja, wat zijn de gevolgen hiervan voor onze activiteiten op social media?
Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?
Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Wij hebben begrepen dat de Algemene Verordening Gegevensbescherming (AVG) de persoonsgegevens van natuurlijke personen beoogt te beschermen. Het publiceren van een bedrijfsnaam lijkt ons dan in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG, en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?
Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?
Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?
