Voordat we beginnen
De AVG is belangrijke wetgeving op het gebied van privacy, dus voordat we haar helemaal gaan uitpluizen, is het handig dat je op de hoogte bent van een aantal zaken die het eenvoudiger maken om alles in de juiste context te plaatsen. We zullen proberen dat proces zo aangenaam en interessant mogelijk te maken. Het gaat vooral om bepaalde begrippen en concepten.
De verordening is van toepassing op de verwerking van persoonsgegevens. Die zin bevat meteen al twee van de belangrijkste concepten. Wat je moet weten is dat het begrip 'persoonsgegevens' heel breed is. Officieel gaat het om gegevens over 'geïdentificeerde of identificeerbare personen'. Het is bovendien mogelijk om personen direct of indirect te identificeren. Bij directe identificatie kun je denken aan een naam. Aan de hand daarvan is het eenvoudig iemand te identificeren. Bij indirecte identificatie gaat het erom of het mogelijk is een persoon te identificeren aan de hand van combinaties van unieke eigenschappen binnen een bepaalde groep. Dan gaat het om het herleiden van gegevens tot een bepaald persoon.
Voorbeelden van persoonsgegevens uit de AVG zijn 'een identificatienummer, locatiegegevens, een online identificator, of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van een persoon'. Er zijn ook bijzondere persoonsgegevens, bijvoorbeeld over ras, politieke opvattingen en gezondheid. Die mogen niet verwerkt worden, tenzij er een geldige reden is. In de AVG zijn ook genetische en biometrische gegevens als bijzonder aangemerkt. Een uitzondering voor biometrische gegevens is bijvoorbeeld dat ze wel voor beveiligings- en authenticatiedoeleinden verwerkt mogen worden.
Ten slotte zijn gegevens van overleden personen geen persoonsgegevens. Hetzelfde geldt voor geanonimiseerde data. Gegevens onder een pseudoniem blijven echter wel persoonsgegevens, omdat die vaak alsnog tot een persoon zijn te herleiden met behulp van andere gegevens. Denk aan het toekennen van nieuwe namen aan personen, waarbij de koppeling wordt bijgehouden in een afzonderlijke tabel.
Verwerken
Je zag het begrip 'verwerken' hiervoor al langskomen en dat zal in de loop van dit stuk nog veel vaker gebeuren. Ook dit begrip is heel breed. Er vallen handelingen onder met betrekking tot persoonsgegevens, zoals het verzamelen, opslaan en raadplegen ervan. Maar bijvoorbeeld ook het gebruiken, combineren en wissen van data wordt gezien als verwerkingshandeling. Andere begrippen zijn 'verantwoordelijke', 'verwerker' en 'betrokkene'. Onder dat laatste begrip, in het Engels aangeduid als data subject, vallen de personen van wie de persoonsgegevens zijn, bijvoorbeeld de gebruikers van een dienst. Die dienst, neem Google, is dan de verantwoordelijke. Die bepaalt voor welk doel en op welke manier gegevens mogen worden verwerkt. Een verantwoordelijke kan ook een verwerker aanwijzen, die de verwerking van gegevens op zich neemt, bijvoorbeeld een aparte dienstverlener voor het opslaan van data.
/i/2001987721.jpeg?f=imagenormal)
Als je je tot hier hebt weten door te vechten, ben je al een heel eind. Nu moet je alleen nog weten dat het verwerken van persoonsgegevens alleen mag op basis van zes verschillende juridische gronden, oftewel redenen. Die worden allemaal genoemd in de AVG. De bekendste daarvan is toestemming, waarop we verderop nader ingaan. Er zijn echter ook andere mogelijkheden voor organisaties om jouw gegevens te mogen gebruiken, ook al geef je daarvoor geen toestemming. Die staan hieronder.
| Reden | Voorbeeld |
| Uitvoering van een overeenkomst | Een webshop moet jouw adres verwerken om je een pakket toe te sturen. |
| Nakomen van een wettelijke verplichting | Een bedrijf levert jouw informatie aan de politie, omdat het daartoe wettelijk is verplicht. |
| Vitale belangen | Iemand raadpleegt jouw medische gegevens op je telefoon omdat je betrokken bent bij een ernstig ongeluk. |
| Algemeen belang of uitvoering van openbaar gezag | Een gemeente houdt toezicht met camera's op basis van een wettelijk geregelde taak. |
| De verwerking is noodzakelijk voor een gerechtvaardigd belang dat zwaarder weegt dan dat van de betrokkene | Een bedrijf houdt een personeelsadministratie bij of stuurt marketingmateriaal aan zijn klanten. |
| Toestemming | Zie volgend hoofdstuk |
:strip_icc():strip_exif()/i/2003304536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2002794784.jpeg?f=fpa_thumb)
/i/2000900259.png?f=fpa)
:strip_exif()/i/1322564626.jpeg?f=fpa)
/i/2001714923.png?f=fpa)
:strip_exif()/i/1171112412.jpg?f=fpa)
:strip_exif()/i/2000614887.jpeg?f=fpa)
:strip_exif()/i/1260262875.gif?f=fpa)
/i/1234630431.png?f=fpa)
/i/1236865696.png?f=fpa)
/i/1241724688.png?f=fpa)