Decentrale overheden krijgen te maken met de verwerking van persoonsgegevens. Dan moeten zij zich houden aan de regels van de Algemene verordening gegevensbescherming (AVG). Maar wat houdt het verwerken van persoonsgegevens in? En wat is een persoonsgegeven precies?
Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (art. 4 lid 1 AVG).
Een persoon is geïdentificeerd wanneer deze uniek van andere personen te onderscheiden is. Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt. Bijvoorbeeld door bepaalde gegevens aan elkaar te koppelen.
De identificatie kan bijvoorbeeld gebeuren aan de hand van een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.
Een persoonsgegeven kan bijvoorbeeld zijn:
Gegevens over objecten of organisaties zijn in principe geen persoonsgegevens. Bijvoorbeeld een algemeen telefoonnummer of emailadres. Meer informatie hierover staat ook in deze praktijkvraag.
Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.
Volgens art. 4 lid 2 AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Het begrip ‘verwerken’ is erg ruim en betekent eigenlijk alles wat met persoonsgegevens gedaan wordt. Naast het verzamelen of vernietigen van persoonsgegevens is ook al het raadplegen van persoonsgegevens een verwerking waarbij op de regels van de AVG gelet moet worden.
In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of seksuele geaardheid.
Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (art. 9 AVG). Dit is bijvoorbeeld aan de orde als een betrokkene uitdrukkelijk toestemming voor de verwerking geeft, of de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid, of op grond van Unierechtelijke of lidstaatrechtelijke bepalingen (artikel 10 AVG). Op de verwerking van persoonsgegevens in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen is richtlijn (EU) 2016/680 van toepassing.
Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als de richtlijn gegevensverwerking opsporing en vervolging te maken krijgen. Meer informatie hier over staat ook in deze praktijkvraag.
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
De Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?
De Eerste Kamer heeft op 15 mei 2018 de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming aangenomen. Half maart stemde de Tweede Kamer al in met de Uitvoeringswet. Na ondertekening zal de wet in het Staatsblad worden gepubliceerd en naar verwachting door koninklijk besluit per 25 mei 2018 in werking treden. De Uitvoeringswet is dan door Nederland op tijd aangenomen voor de Europese AVG op diezelfde datum van toepassing wordt.
Bij het aanbesteden van overheidsopdrachten door decentrale overheden dient er rekening te worden gehouden met het waarborgen van privacy. Hoe zorgt u ervoor dat er wordt voldaan aan de transparantieverplichtingen zonder dat er onnodig privacygevoelige informatie publiek kenbaar wordt gemaakt? En hoe kan er bij aanbestedingen worden voldaan aan de eisen uit de Algemene verordening gegevensbescherming?
De nieuwe Europese Algemene verordening gegevensbescherming (AVG) brengt een aantal veranderingen mee voor het privacybeleid van onder meer decentrale overheden. De AVG wordt in Nederland beleidsneutraal geïmplementeerd. Dit betekent dat het huidige recht wordt gehandhaafd, tenzij dit op grond van de AVG niet mogelijk is. Toch zijn er enkele belangrijke verschillen met de huidige Wet bescherming persoonsgegevens (Wbp). In dit overzicht presenteert Europa decentraal een aantal belangrijke tools en publicaties, toegespitst op het behandelde thema in deze speciale Ster-editie: de Functionaris Gegevensbescherming. Dit overzicht kan decentrale overheden helpen bij de voorbereiding op de inwerkingtreding van de AVG.
Eind februari 2018 presenteerde de Europese Commissie de stand van zaken omtrent de implementatie van de Algemene Verordening Gegevensbescherming in de lidstaten. Hieruit bleek onder andere dat in nog maar twee lidstaten de relevante nationale wetgeving was aangenomen. Dit nationaal wettelijk kader moet in orde zijn voor de regels van de AVG op 25 mei 2018 van toepassing worden. Het wetsvoorstel voor de Nederlandse Uitvoeringswet AVG is in december 2017 bij de Tweede Kamer ingediend. Vandaag stemde de Tweede Kamer over het wetsvoorstel en de ingediende amendementen en moties. Het wetsvoorstel van de Uitvoeringswet is met 130 stemmen voor en 20 stemmen tegen (PVV) aangenomen.
Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.
De Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) heeft prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie (het Hof). De Afdeling stelde deze vragen naar aanleiding van twee gevoegde zaken over twee Turkse burgers die bij hun aanvraag van een voorlopige verblijfsvergunning in Nederland verplicht werden om vingerafdrukken en een digitale gezichtsafdruk af te geven. Deze zogeheten biometrische gegevens worden bewaard in de vreemdelingenadministratie.
Het registreren van persoonsgegevens van sekswerkers valt onder het verwerken van bijzondere persoonsgegevens, zo oordeelt de Autoriteit Persoonsgegevens (AP). Diverse gemeenten zijn door de AP al op de vingers getikt omdat zij deze gegevens in strijd met de Wet bescherming persoonsgegevens (Wbp) verwerken. Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). In dit artikel lichten wij de regels omtrent het verwerken van bijzondere persoonsgegevens in de AVG toe.
Een ieder heeft recht op inzage van zijn of haar persoonsgegevens. Ondanks dat burgers over dit recht beschikken, hebben zij vaak moeite om deze gegevens daadwerkelijk te ontvangen. Dit komt onder andere omdat het verstrekken hiervan nu niet eenduidig gebeurt en de gegevens vaak niet digitaal te vinden zijn. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft onderzoek laten doen naar de behoefte die burgers hebben als het gaat om digitale inzage in hun gegevens. Lees het volledige bericht
Het lijkt misschien nog ver van uw bed, maar u heeft nog ongeveer een jaar. Vanaf 25 mei 2018 moeten naast bedrijven ook gemeenten, provincies en waterschappen zich aan de nieuwe Europese regels omtrent privacy houden. Wanneer persoonsgegevens worden verwerkt, gelden de bepalingen uit de Algemene verordening gegevensbescherming (AVG). Tijdens het congres over de AVG op dinsdag 6 juni 2017 kunt u zich hierover laten voorlichten en met elkaar in gesprek gaan. Immers, iedere gemeente, provincie of waterschap verwerkt persoonsgegevens.
Het Europees Parlement heeft een resolutie aangenomen waarin de leden hun bezorgdheid uiten over het Privacy Shield. Dit is een verdrag omtrent privacy tussen de Verenigde Staten en de Europese Unie. Wat de Europarlementariërs met name zorgen baart zijn de nieuwe Amerikaanse regels die het US National Security Agency toelaten om data te delen met andere Amerikaanse organen, zonder rechterlijk toezicht.
De auteursrechten op de inhoud van deze website behoren toe aan Europa decentraal, tenzij expliciet anders is vermeld. Aan de op de website opgenomen en via de links te ontsluiten informatie kunnen geen rechten worden ontleend.
Europa decentraal heeft aan het opstellen van de inhoud van de pagina’s de nodige zorg besteed. Desondanks is het mogelijk dat de site onvolledig is of onjuistheden bevat. Europa decentraal aanvaardt daarvoor geen enkele aansprakelijkheid.
Europa decentraal aanvaardt geen enkele aansprakelijkheid voor schade, hoegenaamd ook, direct of indirect veroorzaakt door de inhoud van de site of de inhoud van de pagina’s die door externe links beschikbaar zijn gemaakt.
