Begrippen en voorbeelden Werkkostenregeling - WKR

Begrippen en voorbeelden

 

Algemene verordening gegevensbescherming (AVG)

Deze wet geldt vanaf 25 mei 2018. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU.

 

Bestand

Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

 

Betrokkene

De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.

 

Betrokken toezichthoudende autoriteit

Een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat: a) de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd of b) de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden of c) bij die toezichthoudende autoriteit een klacht is ingediend.

 

Bewaartermijnen

Onder de AVG veranderen de bewaartermijnen niet. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van uw verwerking.

 

Bindende bedrijfsvoorschriften

Beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen.

 

Biometrische gegevens

Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.

 

BSN

Volgends de AVG is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. Vanzelfsprekend is het BSN wel een uniek persoonsgegeven. Een verwerkingsverantwoordelijke mag het BSN alleen gebruiken als een andere wet daar een basis voor geeft. Voor de HR- en salarisadministratie regelt de belastingwetgeving de basis op grond waarvan het BSN moet worden opgenomen in de salarisadministratie.

 

Concern

Een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend.

 

Data protection impact assessment (DPIA)

Organisaties kunnen verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Daarna kan de organisatie zelf maatregelen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG heet dit de gegevensbeschermingseffectbeoordeling.

 

Derde

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

 

Doel(binding)

De reden (het doel) waarvoor de persoonsgegevens worden verwerkt. De gegevens mogen niet voor een ander doel worden gebruikt dan het doel waarvoor zij oorspronkelijk worden verwerkt.

 

Functionaris voor de gegevensbescherming (FG)

Organisaties kunnen onder de AVG verplicht zijn een FG (een interne privacytoezichthouder) aan te stellen.

 

Gegevens over gezondheid

Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

 

Gegevensbeschermingseffectbeoordeling

Dit is de Nederlandse vertaling van de data protection impact assessment (DPIA)

 

General Data Protection Regulation (GDPR)

Engelse benaming voor de nieuwe Europese privacywetgeving

 

Genetische gegevens

ersoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.

 

Grensoverschrijdende verwerking

  1. Verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd of
  2. Verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.
 

Grootschalige verwerking van persoonsgegevens

Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

 

Hoofdvestiging

  1. Met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd.
  2. Met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten.
 

Inbreuk in verband met persoonsgegevens

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

 

Internationale organisatie

Een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.

 

Onderneming

Een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.

 

Ontvanger

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk 4.5.2016 L 119/33 Publicatieblad van de Europese Unie NL persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.

 

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

 

Persoonsgegevens van kinderen

Verwerkt u persoonsgegevens van kinderen? De AVG schrijft voor dat u in sommige gevallen wel toestemming van de ouders moet hebben.

 

Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

 

Pseudonimisering

Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

 

Rechtmatigheid

De grondslag waarop de persoonsgegevens worden verwerkt. Verwerken van persoonsgegevens is alleen toegestaan als er een rechtmatigheid is. De AVG kent de volgende rechtmatigheden:

  1. Toestemming van de betrokkene
  2. Uitvoeren van een overeenkomst
  3. Een wettelijke verplichting
  4. Bescherming van vitale belangen
  5. De vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen
  6. Een gerechtvaardigd belang van de verwerkingsverantwoordelijke.
 

Toestemming van de betrokkene

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

 

Toezichthoudende autoriteit

Een door een lidstaat ingestelde onafhankelijke overheidsinstantie.

 

Verantwoordingsplicht

Organisaties hebben een verantwoordingsplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

 

Vertegenwoordiger

Een in de Unie gevestigde natuurlijke persoon of rechtspersoon die schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening.

 

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die / dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

 

Verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

Verwerkingsverantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.