logo Europa decentraal
Menu
Onderwerpen > Informatiemaatschappij > Privacy: de Algemene Verordening Gegevensbescherming > Verwerken van persoonsgegevens
Zoeken
Informatiemaatschappij
Subonderwerpen

Meer informatie:

MEER INFORMATIE
Onderwerpen > Informatiemaatschappij > Privacy: de Algemene Verordening Gegevensbescherming > Verwerken van persoonsgegevens

Verwerken van persoonsgegevens

Decentrale overheden krijgen te maken met de verwerking van persoonsgegevens. Dan moeten zij zich houden aan de regels van de Algemene verordening gegevensbescherming (AVG). Maar wat houdt het verwerken van persoonsgegevens in? En wat is een persoonsgegeven precies?

Persoonsgegevens

Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (art. 4 lid 1 AVG).

Een persoon is geïdentificeerd wanneer deze uniek van andere personen te onderscheiden is. Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt. Bijvoorbeeld door bepaalde gegevens aan elkaar te koppelen.

De identificatie kan bijvoorbeeld gebeuren aan de hand van een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.

Een persoonsgegeven kan bijvoorbeeld zijn:

  • de naam van een persoon;
  • een gezichtsafbeelding;
  • het BSN;
  • een e-mailadres of telefoonnummer;
  • een vingerafdruk;
  • een IP-adres;
  • de WOZ-waarde van een huis.

Gegevens over objecten of organisaties zijn in principe geen persoonsgegevens. Bijvoorbeeld een algemeen telefoonnummer of emailadres. Meer informatie hierover staat ook in deze praktijkvraag.

Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.

Verwerken

Volgens art. 4 lid 2 AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Het begrip ‘verwerken’ is erg ruim en betekent eigenlijk alles wat met persoonsgegevens gedaan wordt. Naast het verzamelen of vernietigen van persoonsgegevens is ook al het raadplegen van persoonsgegevens een verwerking waarbij op de regels van de AVG gelet moet worden.

bijzondere persoonsgegevens

In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of seksuele geaardheid.

Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (art. 9 AVG). Dit is bijvoorbeeld aan de orde als een betrokkene uitdrukkelijk toestemming voor de verwerking geeft, of de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.

Strafrechtelijke Persoonsgegevens

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid, of op grond van Unierechtelijke of lidstaatrechtelijke bepalingen (artikel 10 AVG). Op de verwerking van persoonsgegevens in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen is richtlijn (EU) 2016/680 van toepassing.

Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als de richtlijn gegevensverwerking opsporing en vervolging te maken krijgen. Meer informatie hier over staat ook in deze praktijkvraag.

Meer weten over het verwerken van persoonsgegevens?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag

Meer informatie:

MEER INFORMATIE

Nieuws Verwerken van persoonsgegevens

1 2

Hoe kunnen gemeenten intern gegevens delen bij aanpak ondermijning?

9 maart 2020 Informatiemaatschappij

Het ministerie van Justitie en Veiligheid heeft een modelinformatieprotocol opgesteld dat gemeenten kunnen gebruiken wanneer zij gegevens willen delen om ondermijnende criminaliteit tegen te gaan. Gemeenten gaven eerder aan bij de uitwisseling van deze gegevens in de knel te komen met de regels rondom privacy en gegevensbescherming. Het protocol biedt gemeenten een stappenplan om te kijken hoe gegevens verder verwerkt kunnen worden, binnen de huidig geldende sectorale wetgeving.

Lees het volledige bericht

A-G: Persoonsgegevens verwerken in derde landen blijft mogelijk op basis van modelcontract

27 januari 2020 Informatiemaatschappij Justitie, vrijheid en veiligheid

Advocaat-generaal (A-G) Saugmandsgaard Øe van het EU-Hof heeft in zijn conclusie van 19 december 2019 aangegeven dat het modelcontract voor doorgifte van persoonsgegevens aan verwerkers die buiten de EU zijn gevestigd, geldig is. De Europese Commissie heeft drie modelcontracten opgesteld die organisaties kunnen gebruiken om rechtmatig persoonsgegevens buiten de EU te laten verwerken. Decentrale overheidsorganisaties die bijvoorbeeld persoonsgegevens opslaan op een server in de VS kunnen van dit modelcontract gebruikmaken.

Lees het volledige bericht

De Autoriteit Persoonsgegevens: controles en onderzoek naar de naleving van de AVG

4 februari 2019 Informatiemaatschappij Justitie, vrijheid en veiligheid

De Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?

Lees het volledige bericht

Uitvoeringswet AVG aangenomen door Eerste Kamer

16 mei 2018 Informatiemaatschappij Justitie, vrijheid en veiligheid

De Eerste Kamer heeft op 15 mei 2018 de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming aangenomen. Half maart stemde de Tweede Kamer al in met de Uitvoeringswet. Na ondertekening zal de wet in het Staatsblad worden gepubliceerd en naar verwachting door koninklijk besluit per 25 mei 2018 in werking treden. De Uitvoeringswet is dan door Nederland op tijd aangenomen voor de Europese AVG op diezelfde datum van toepassing wordt.

Lees het volledige bericht

Aanbesteden in overeenstemming met de privacyregelgeving

7 mei 2018 Aanbesteden Informatiemaatschappij Sociaal domein

Bij het aanbesteden van overheidsopdrachten door decentrale overheden dient er rekening te worden gehouden met het waarborgen van privacy. Hoe zorgt u ervoor dat er wordt voldaan aan de transparantieverplichtingen zonder dat er onnodig privacygevoelige informatie publiek kenbaar wordt gemaakt? En hoe kan er bij aanbestedingen worden voldaan aan de eisen uit de Algemene verordening gegevensbescherming?

Lees het volledige bericht

AVG – Tools en publicaties #4

9 april 2018 Informatiemaatschappij

De nieuwe Europese Algemene verordening gegevensbescherming (AVG) brengt een aantal veranderingen mee voor het privacybeleid van onder meer decentrale overheden. De AVG wordt in Nederland beleidsneutraal geïmplementeerd. Dit betekent dat het huidige recht wordt gehandhaafd, tenzij dit op grond van de AVG niet mogelijk is. Toch zijn er enkele belangrijke verschillen met de huidige Wet bescherming persoonsgegevens (Wbp). In dit overzicht presenteert Europa decentraal een aantal belangrijke tools en publicaties, toegespitst op het behandelde thema in deze speciale Ster-editie: de Functionaris Gegevensbescherming. Dit overzicht kan decentrale overheden helpen bij de voorbereiding op de inwerkingtreding van de AVG.

Lees het volledige bericht

Tweede Kamer neemt Uitvoeringswet AVG aan

13 maart 2018 Informatiemaatschappij Justitie, vrijheid en veiligheid

Eind februari 2018 presenteerde de Europese Commissie de stand van zaken omtrent de implementatie van de Algemene Verordening Gegevensbescherming in de lidstaten. Hieruit bleek onder andere dat in nog maar twee lidstaten de relevante nationale wetgeving was aangenomen. Dit nationaal wettelijk kader moet in orde zijn voor de regels van de AVG op 25 mei 2018 van toepassing worden. Het wetsvoorstel voor de Nederlandse Uitvoeringswet AVG is in december 2017 bij de Tweede Kamer ingediend. Vandaag stemde de Tweede Kamer over het wetsvoorstel en de ingediende amendementen en moties. Het wetsvoorstel van de Uitvoeringswet is met 130 stemmen voor en 20 stemmen tegen (PVV) aangenomen.

Lees het volledige bericht

AVG Deel II: Wanneer mogen persoonsgegevens verwerkt worden? Verwerkingsbeginselen en grondslagen voor verwerking

19 februari 2018 Informatiemaatschappij Justitie, vrijheid en veiligheid

Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.

Lees het volledige bericht

Prejudiciële vragen: hoe moet er worden omgegaan met persoonsgegevens van asielzoekers?

12 februari 2018 Informatiemaatschappij Migratie

De Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) heeft prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie (het Hof). De Afdeling stelde deze vragen naar aanleiding van twee gevoegde zaken over twee Turkse burgers die bij hun aanvraag van een voorlopige verblijfsvergunning in Nederland verplicht werden om vingerafdrukken en een digitale gezichtsafdruk af te geven. Deze zogeheten biometrische gegevens worden bewaard in de vreemdelingenadministratie.

Lees het volledige bericht

Verwerking bijzondere persoonsgegevens: registratie van sekswerkers is verboden

2 oktober 2017 Informatiemaatschappij

Het registreren van persoonsgegevens van sekswerkers valt onder het verwerken van bijzondere persoonsgegevens, zo oordeelt de Autoriteit Persoonsgegevens (AP). Diverse gemeenten zijn door de AP al op de vingers getikt omdat zij deze gegevens in strijd met de Wet bescherming persoonsgegevens (Wbp) verwerken. Vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). In dit artikel lichten wij de regels omtrent het verwerken van bijzondere persoonsgegevens in de AVG toe.

Lees het volledige bericht

Onderzoek naar mogelijkheden beter inzicht voor burgers in verwerking van persoonsgegevens

11 september 2017 Informatiemaatschappij

Een ieder heeft recht op inzage van zijn of haar persoonsgegevens. Ondanks dat burgers over dit recht beschikken, hebben zij vaak moeite om deze gegevens daadwerkelijk te ontvangen. Dit komt onder andere omdat het verstrekken hiervan nu niet eenduidig gebeurt en de gegevens vaak niet digitaal te vinden zijn. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft onderzoek laten doen naar de behoefte die burgers hebben als het gaat om digitale inzage in hun gegevens. Lees het volledige bericht

1 2

Praktijkvragen Verwerken van persoonsgegevens

Wanneer is een organisatie een ‘overheidsinstantie’ en moet deze een Functionaris voor de Gegevensbescherming aanstellen?

Praktijkvraag | 21 januari 2019 | | Informatiemaatschappij

Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?

Bekijk het antwoord

Is een decentrale overheid aansprakelijk voor de verwerking van persoonsgegevens op haar Facebookpagina?

Praktijkvraag | 24 september 2018 | | Informatiemaatschappij | Justitie, vrijheid en veiligheid

Onze gemeente is al geruime tijd actief op social media. De gemeente ziet dit als een moderne manier om de burger te bereiken en maatschappelijke participatie te stimuleren. We hebben gehoord dat het EU-hof zich heeft uitgesproken over het beheer van Facebookpagina’s. Is deze uitspraak relevant voor gemeenten? En zo ja, wat zijn de gevolgen hiervan voor onze activiteiten op social media?

Bekijk het antwoord

(Hoe) moeten wij als gemeente de DPIA uitvoeren? (update)

Praktijkvraag | 5 maart 2018 | | Informatiemaatschappij | Justitie, vrijheid en veiligheid

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?

Bekijk het antwoord

Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?

Praktijkvraag | 19 februari 2018 | | Informatiemaatschappij

Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Wij hebben begrepen dat de Algemene Verordening Gegevensbescherming (AVG) de persoonsgegevens van natuurlijke personen beoogt te beschermen. Het publiceren van een bedrijfsnaam lijkt ons dan in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG, en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?

Bekijk het antwoord

Privacy: Wat is de verhouding tussen maatregel informatiebeveiliging en mogelijkheid monitoren internetverkeer medewerker?

Praktijkvraag | 23 oktober 2017 | | Informatiemaatschappij

Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?

Bekijk het antwoord

Privacy: is zorgvuldig omgaan met persoonsgegevens voldoende?

Praktijkvraag | 1 mei 2017 | | Informatiemaatschappij

Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?

Bekijk het antwoord

Disclaimer

De auteursrechten op de inhoud van deze website behoren toe aan Europa decentraal, tenzij expliciet anders is vermeld. Aan de op de website opgenomen en via de links te ontsluiten informatie kunnen geen rechten worden ontleend.

Europa decentraal heeft aan het opstellen van de inhoud van de pagina’s de nodige zorg besteed. Desondanks is het mogelijk dat de site onvolledig is of onjuistheden bevat. Europa decentraal aanvaardt daarvoor geen enkele aansprakelijkheid.

Europa decentraal aanvaardt geen enkele aansprakelijkheid voor schade, hoegenaamd ook, direct of indirect veroorzaakt door de inhoud van de site of de inhoud van de pagina’s die door externe links beschikbaar zijn gemaakt.