Verwerken van persoonsgegevens

Decentrale overheden krijgen te maken met de verwerking van persoonsgegevens. Dan moeten zij zich houden aan de regels van de Algemene verordening gegevensbescherming (AVG). Maar wat houdt het verwerken van persoonsgegevens in? En wat is een persoonsgegeven precies?

Persoonsgegevens

Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (art. 4 lid 1 AVG).

Een persoon is geïdentificeerd wanneer deze uniek van andere personen te onderscheiden is. Identificeerbaar betekent dat informatie ook als persoonsgegeven moet worden beschouwd wanneer het gegeven zonder veel inspanning alsnog aan een natuurlijk persoon kan worden gelinkt. Bijvoorbeeld door bepaalde gegevens aan elkaar te koppelen.

De identificatie kan bijvoorbeeld gebeuren aan de hand van een naam, een identificatienummer, locatiegegevens of de fysieke, genetische, economische kenmerken van een persoon.

Een persoonsgegeven kan bijvoorbeeld zijn:

  • de naam van een persoon;
  • een gezichtsafbeelding;
  • het BSN;
  • een e-mailadres of telefoonnummer;
  • een vingerafdruk;
  • een IP-adres;
  • de WOZ-waarde van een huis.

Gegevens over objecten of organisaties zijn in principe geen persoonsgegevens. Bijvoorbeeld een algemeen telefoonnummer of emailadres. Meer informatie hierover staat ook in deze praktijkvraag.

Ook gegevens die in zulke mate zijn geanonimiseerd dat ze niet meer naar een natuurlijk persoon te herleiden zijn, worden niet meer als persoonsgegevens gezien. Anders is dit wanneer er sprake is van pseudonimisatie en een gegeven weer terug herleid zou kunnen worden naar een natuurlijk persoon.

Verwerken

Volgens art. 4 lid 2 AVG is het verwerken van persoonsgegevens: ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Het begrip ‘verwerken’ is erg ruim en betekent eigenlijk alles wat met persoonsgegevens gedaan wordt. Naast het verzamelen of vernietigen van persoonsgegevens is ook al het raadplegen van persoonsgegevens een verwerking waarbij op de regels van de AVG gelet moet worden.

bijzondere persoonsgegevens

In sommige gevallen is er sprake van een bijzonder persoonsgegeven. Dit zijn bijvoorbeeld persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of seksuele geaardheid.

Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (art. 9 AVG). Dit is bijvoorbeeld aan de orde als een betrokkene uitdrukkelijk toestemming voor de verwerking geeft, of de verwerking noodzakelijk is om bepaalde arbeidsrechtelijke verplichtingen uit te voeren.

strafrechtelijke PERSOONSGEGEVENS

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid, of op grond van Unierechtelijke of lidstaatrechtelijke bepalingen (artikel 10 AVG). Op de verwerking van persoonsgegevens in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen is richtlijn (EU) 2016/680 van toepassing.

Een buitengewoon opsporingsambtenaar kan in zijn werkzaamheden zowel met de AVG als de richtlijn gegevensverwerking opsporing en vervolging te maken krijgen. Meer informatie hier over staat ook in deze praktijkvraag.

MEER WETEN OVER De HET VERWERKEN VAN PERSOONSGEGEVENS?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


Nieuws Verwerken van persoonsgegevens

Europarlementariërs uiten zorgen over Privacy Shield EU-VS

Het Europees Parlement heeft een resolutie aangenomen waarin de leden hun bezorgdheid uiten over het Privacy Shield. Dit is een verdrag omtrent privacy tussen de Verenigde Staten en de Europese Unie. Wat de Europarlementariërs met name zorgen baart zijn de nieuwe Amerikaanse regels die het US National Security Agency toelaten om data te delen met andere Amerikaanse organen, zonder rechterlijk toezicht.

Lees het volledige bericht

Datalekken, privacy en Functionaris voor Gegevensbescherming op de Werken met Europa borrel

Op donderdag 30 maart vond de Werken met Europa borrel plaats bij Europa decentraal. Dit netwerkevent stond in het teken van de Algemene verordening gegevensbescherming (AVG), waaraan decentrale overheden zich vanaf 25 mei 2018 moeten houden. Voorbereidingen moeten nu al getroffen worden om straks aan de voorwaarden uit de verordening te voldoen.

Lees het volledige bericht

Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show

Het lijkt misschien nog een ver-van-uw-bed-show, maar vanaf 25 mei 2018 moeten naast bedrijven ook gemeenten, provincies en waterschappen zich aan de nieuwe Europese regels omtrent privacy houden. Kortom: wanneer persoonsgegevens verwerkt worden, moeten de bepalingen uit de Algemene verordening gegevensbescherming (AVG) toegepast worden. Iedere gemeente, provincie of waterschap verwerkt namelijk persoonsgegevens. Gemeenten hebben bijvoorbeeld de wettelijke verplichting om de Basisregistratie Personen (BPR) te beheren. Maar ook bij het afgeven van vergunningen worden persoonsgegevens verzameld.

Lees het volledige bericht

Privacy en het sociaal domein: Nationale ombudsman signaleert knelpunten

De Nationale ombudsman heeft een onderzoek gedaan naar de klachtenbehandeling in het sociaal domein als gevolg van de decentralisaties. Aanleiding: er kwamen veel klachten en signalen bij de nationale ombudsman binnen over de drie decentralisaties. In het onderzoek naar klachtbehandeling in het sociaal domein na de decentralisaties ‘Terug aan tafel, samen de klacht oplossen’ worden diverse knelpunten benadrukt. Waaronder privacy.

Lees het volledige bericht

Raad van State volgt HvJ in zaken omtrent EU-paspoortverordening

Het is volgens de Raad van State (RvS) verplicht om vingerafdrukken op te nemen in paspoorten. Deze verplichting geldt echter niet voor identiteitskaarten. Deze uitspraak deed de RvS op 25 mei 2016 in de desbetreffende zeven zaken. Het Hof van Justitie van de Europese Unie (HvJ) gaf antwoord op de vragen die de Afdeling bestuursrechtspraak van de RvS in september 2012 aan het Hof had gesteld.

Lees het volledige bericht

Algemene verordening gegevensbescherming treedt in werking op 25 mei 2016

De Algemene verordening gegevensbescherming (AVG) zal op 25 mei 2016 in werking treden. Dit betekent dat decentrale overheden tot 25 mei 2018 hebben om aan de regels uit de AVG te voldoen. U kunt hierbij denken aan het verplicht aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of uitvoering geven aan de rechten van de betrokkenen. Lees het volledige bericht

Raad van State doet uitspraak in zaak omtrent bescherming persoonsgegevens

Persoonsgegevens moeten goed beschermd worden. Deze bescherming van persoonsgegevens was dan ook onderwerp van een uitspraak van de Raad van State (RvS) van 26 april 2016. De RvS oordeelt echter dat het bezwaar tegen een brief van de gemeente over het koppelen van een afvalpas aan het adres van bewoners niet-ontvankelijk moet worden verklaard. Een actueel onderwerp, omdat onlangs de definitieve versie van de Europese Algemene verordening gegevensbescherming (AVG) is goedgekeurd.

Lees het volledige bericht

EU en VS bereiken akkoord over kader uitwisseling data

De Europese Unie en de Verenigde Staten zijn dinsdag 2 februari tot een akkoord gekomen over een kader in de onderhandelingen over data-uitwisseling. In dit nieuwe akkoord wordt de privacy van Europese burgers in de opslag van data wel gewaarborgd. Ook heeft minister Kamp van Economische Zaken maandag 1 februari in een brief aan de Tweede Kamer een toelichting gegeven op nieuwe privacy hulpmiddelen voor Nederlandse bedrijven.
Lees het volledige bericht

Akkoord hervorming EU-gegevensbescherming Commissie

De Europese Commissie, het Europees Parlement en de Raad hebben een finaal akkoord bereikt over de hervorming van de Europese Verordening gegevensbescherming. Nadat de Europese Commissie in 2002 een hervorming van de wetgeving omtrent EU-gegevensbescherming heeft voorgesteld, zijn de drie Europese instellingen op 15 december tot een definitieve versie gekomen. Met deze hervorming wordt de huidige regelgeving over privacy grondig herzien. De verordening heeft na inwerkingtreding en zal ook consequenties voor provincies, gemeenten en waterschappen hebben.
Lees het volledige bericht

Praktijkvragen Verwerken van persoonsgegevens

Wanneer is een organisatie een ‘overheidsinstantie’ en moet deze een Functionaris voor de Gegevensbescherming aanstellen?

Onze stichting voert het grootste gedeelte van onze werkzaamheden uit voor overheden. Daarvoor krijgen wij subsidie van verschillende gemeenten. Daarnaast voeren we betaalde opdrachten uit voor (andere) private partijen. Bij deze werkzaamheden verwerken we verschillende persoonsgegevens. Naar aanleiding van de uitgevoerde controles van de Autoriteit Persoonsgegevens (AP) op de aanwezigheid van een Functionaris Gegevensbescherming (FG) vragen we ons af in hoeverre wij ook verplicht zijn om een FG aan te stellen? Wanneer valt een organisatie onder de definitie ‘overheidsorganisatie’ in de zin van artikel 37 AVG?

Bekijk het antwoord

Is een decentrale overheid aansprakelijk voor de verwerking van persoonsgegevens op haar Facebookpagina?

Onze gemeente is al geruime tijd actief op social media. De gemeente ziet dit als een moderne manier om de burger te bereiken en maatschappelijke participatie te stimuleren. We hebben gehoord dat het EU-hof zich heeft uitgesproken over het beheer van Facebookpagina’s. Is deze uitspraak relevant voor gemeenten? En zo ja, wat zijn de gevolgen hiervan voor onze activiteiten op social media?

Bekijk het antwoord

(Hoe) moeten wij als gemeente de DPIA uitvoeren? (update)

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?

Bekijk het antwoord

Privacy: Kan het publiceren van een bedrijfsnaam in strijd zijn met de AVG?

Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Wij hebben begrepen dat de Algemene Verordening Gegevensbescherming (AVG) de persoonsgegevens van natuurlijke personen beoogt te beschermen. Het publiceren van een bedrijfsnaam lijkt ons dan in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG, en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?

Bekijk het antwoord

Privacy: Wat is de verhouding tussen maatregel informatiebeveiliging en mogelijkheid monitoren internetverkeer medewerker?

Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?

Bekijk het antwoord

Privacy: is zorgvuldig omgaan met persoonsgegevens voldoende?

Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?

Bekijk het antwoord