Terminologie

Als we het hebben over privacywetgeving, onderscheiden we een aantal kernbegrippen. Wat verstaan we bijvoorbeeld over de verwerkingsverantwoordelijke en wat zijn bijzondere persoonsgegevens?

 

De privacywetgeving spreekt over het verwerken van persoonsgegevens door een verwerkingsverantwoordelijke. Deze persoonsgegevens hebben altijd betrekking op een betrokkene. De verwerkingsverantwoordelijke mag de persoonsgegevens alleen maar verwerken als hij daar een grondslag voor heeft. Onder de AVG heet dit een rechtmatigheid. Er moet dus altijd een doel zijn en de persoonsgegevens mogen alleen maar voor dat vooraf beschreven doel worden gebruikt. Dit heet doelbinding.

De AVG definieert in art. 9 de bijzondere persoonsgegevens en hoe daar mee om moet worden gegaan. Bijzondere persoonsgegevens zijn gegevens omtrent iemands geloofsovertuiging, seksuele geaardheid, gezondheid, lidmaatschap van een vakbond of politieke partij, genetische- en biometrische gegevens. De hoofdregel met betrekking tot bijzondere persoonsgegevens is simpel. De verwerking er van is verboden. Alleen bij hele hoge uitzondering mogen bijzondere persoonsgegevens worden verwerkt. Bijvoorbeeld voor de bescherming van vitale belangen van de betrokkene of andere personen. Zo kan het van vitaal belang zijn dat u weet dat een medewerker suikerziekte of epilepsie heeft en dat u dit ook vastlegt.

 

De verwerkingsverantwoordelijke heeft een informatieplicht. Hij moet de betrokkene voor het verkrijgen van de gegevens informeren voor welk doel hij de gegevens gebruikt en eventueel ook met wie hij die zal delen.
De verwerkingsverantwoordelijke kan de verwerking of een deel daarvan uitbesteden aan een externe verwerker. Dit wordt vastgelegd in een verwerkersovereenkomst.

Vanzelfsprekend moet dergelijke gevoelige informatie goed beveiligd worden. De AVG schrijft dan ook voor dat de verwerkingsverantwoordelijke passende organisatorische en technische maatregelen moet nemen om de persoonsgegevens te beveiligen. Besteed de verwerkingsverantwoordelijke de verwerking uit aan een verwerker, dan moet de verwerkingsverantwoordelijke er op toezien dat de verwerker organisatorische en technische maatregelen neemt om de gegevens te beschermen.

In het geval er toch iets misgaat, spreken we van een beveiligingsincident. Als de persoonsgegevens definitief verloren zijn en/of het is niet uit te sluiten dat ze onrechtmatig worden verwerkt, dan kan er sprake zijn van een datalek. De verwerkingsverantwoordelijke moet dit altijd binnen 72 uur na ontdekking melden bij de Autoriteit persoonsgegevens.