Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: AVG: Europese Privacyverordening | Bescherming persoonsgegevens | Verwerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Bescherming van privacy & persoonsgegevens

De bescherming van de privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Algemene Verordening Gegevensbescherming (AVG), in het dagelijks spraakgebruik ook wel 'privacywet' genoemd.
Regels op het gebied van mailings, spam en cookies staan vermeld in de Telecommunicatiewet.

Algemene Verordening Gegevensbescherming (AVG)

De AVG werd effectief van kracht op 25 mei 2018. Daarmee werden de onderlinge verschillen in privacy in de Europese landen grotendeels gelijkgetrokken. Nederland kende al de Wet Meldplicht Datalekken die in grote lijnen dezelfde bepalingen kent als de AVG.
De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens.

Wanneer geldt de Algemene Verordening Gegevensbescherming?

De AVG is niet op elke verwerking van persoonsgegevens van toepassing. Zo geldt de AVG niet voor de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen, of een lijst met adressen en telefoonnummers van vrienden en familie.
Daarnaast is toepasselijkheid van de AVG uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.

Wat is een persoonsgegeven?

Persoonsgegevens zijn alle gegevens die iets zeggen over een persoon. Wanneer een persoonsgegeven -al of niet in combinatie met andere gegevens- iemand kan identificeren zonder een bijzondere inspanning te leveren, dan is de privacy in het geding. Hierbij kun je denken aan naam- en adresgegevens.
Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.
Of er sprake is van een persoonsgegeven wordt mede bepaald door de context. Het beroep van iemand is een persoonsgegeven, maar op zich geeft het geen mogelijkheid om iemand te identificeren. Het beroep kernfysicus in combinatie met andere gegevens kan iemand wel identificeren. Als we weten dat de kernfysicus op een Waddeneiland woont, weten we om wie het gaat.

Wat is een bijzonder persoonsgegeven?

Privacy / priv? Naast gewone persoonsgegevens zijn er bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het burgerservicenummer (BSN) zijn bijzondere persoonsgegevens.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke geautomatiseerde handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt. Een praktisch voorbeeld: een helpdeskmedewerker die gegevens van een klant inziet, verwerkt al persoonsgegevens.

Algemene regels voor verwerking persoonsgegevens


Een voorbeeld uit de praktijk is het maken van een kopie paspoort.
Maar: het bekijken van een identiteitsbewijs ter controle of het tijdelijk in bewaring nemen ervan valt niet onder verwerking van persoonsgegevens; het zijn geen geautomatiseerde processen.
Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.

Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden

Naast bovengenoemde algemene regels geldt dat de gegevensverwerking is gerechtvaardigd als het verwerkingsdoel gebaseerd is op minimaal één van de zes rechtsgrondslagen die in de Verordening worden gegeven.
Dit zijn die grondslagen: Het is dus niet altijd nodig om toestemming te hebben van de betrokkenen.

Verwerking risicovolle persoonsgegevens

Sinds 6 november 2017 hoeft een organisatie bij de Autoriteit Persoonsgegevens niet meer te melden dat er persoonsgegevens verwerkt worden. Dit was vooruitlopend op een zelfde bepaling in de AVG.
Als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen moet een data protection impact assessment (DPIA) worden uitgevoerd. Als uit de DPIA blijkt dat de verwerking een hoog risico oplevert, en er door de organisatie geen maatregelen genomen (kunnen) worden om het risico te beperken, dan moet de AP worden geraadpleegd. Deze voorafgaande raadpleging van de AP moet plaatsvinden voordat de verwerking begint.

Het exporteren van persoonsgegevens: doorgifte

Privacy - sleutel Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing.
Zie de pagina doorgifte persoonsgegevens

Wat zijn de rechten van betrokkenen?

De privacywetgeving richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt. Zie de uitgebreide toelicht van de AP: rechten van betrokkenen

Toezicht door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de toezichthouder voor verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.

Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de privacywetgeving, en advies hierover te geven. Deze functionaris wordt ook wel Data Protection Officer genoemd.

Meldplicht datalekken

Onderdeel van de AVG is een regeling over de meldplicht voor datalekken. De meldingen moeten worden gedaan aan bij de AP en, in bepaalde gevallen, aan de betrokken personen. Voor meer informatie zie: datalekken

Bijhouden van zwarte lijst: privacyinbreuk?

Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een verwerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.

Privacy in de pers - Edward Snowden

In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple.
In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan.
Lees meer hierover bij Wikipedia.
PRISM kan gezien worden als een opvolger van ECHELON.
In dit verband moeten we ook CISA noemen, een wet die in oktober 2015 in Amerika werd aangenomen. CISA maakt het mogelijk dat bedrijven informatie delen met de overheid, om daarmee o.a. cyberaanvallen te voorkomen. Deze wet gaat ervan uit dat de overheid meer kennis heeft dan de afzonderlijke bedrijven waardoor die bedrijven beter beschermd zouden zijn. Bedrijven kunnen -op vrijwillige basis- grote hoeveelheden persoonlijke gegevens van gebruikers delen met de overheid.

Verwijdering van accountgegevens op internet

Op de website van Bits of Freedom is veel informatie te vinden over privacy(rechten) op internet. De Suicide Machine is een oude manier om je gegevens te helpen verwijderen van Facebook, LinkedIn en Twitter. Men spreekt in dit kader van ontvrienden.

Sinds de komst van de AVG is elke organisatie verplicht gehoor te geven aan jouw -redelijke- verzoek tot verwijdering van gegevens.
Google kent al sinds april 2013 een optie om een account te verwijderen. Deze mogelijkheid is bij de instellingen te vinden onder Accountactiviteit of Inactiviteitsvoorkeuren. Daarmee is te bepalen na hoeveel tijd van inactiviteit een Google account(s) worden verwijderd.
In juni 2015 introduceerde Google een website waarop de instellingen van een gebruiker / betrokkene in te zien zijn, voor alle diensten van Google: Mijn account. Ook wel Google's Privacy Check genoemd.
Microsoft heeft een soortgelijk dienst: Privacy Dashboard


Persoonsgegevens - briefje met pincode

Verwijderen uit zoekresultaten

Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan in dit verband (C-131/12). Het betrof een Spanjaard die nadelen ondervond van een krantenartikel uit 1998 over gedwongen verkoop van zijn bezittingen. Het Europese Hof bepaalde dat Google deze gegevens op zijn verzoek moet verwijderen. Let wel: de oorspronkelijke gegevens uit de krant blijven bewaard. Er vindt dus geen 'geschiedvervalsing' plaats.
Met de uitspraak van het Europese Hof wordt in zijn algemeenheid de mogelijkheid geschapen om een zoekmachine te vragen om bepaalde gegevens over personen te verwijderen.
De genoemde uitspraak gaf tevens aan dat Google zich aan de Europese privacyregels moet houden, ook al vindt de verwerking van Europese persoonsgegevens plaats in de Verenigde Staten. Als gevolg van het genoemde arrest heeft Google het in mei 2014 mogelijk gemaakt om een verzoek in te dienen om informatie uit de zoekresultaten te verwijderen.
Lees meer hierover bij Google: verwijdering uit zoekresultaten
En Google's algemene verwijderingsbeleid.

Andere zoekmachines zijn ook gehouden aan dit arrest. Lees meer hierover op de pagina over vergeetrecht

Zoekmachines en privacy

Zoekmachines slaan uw voorkeuren en zoekopdrachten op om ervoor te zorgen dat zoekresultaten steeds relevanter worden. Dat betekent dat de gevonden resultaten beter voldoen aan uw behoeften en dat geplaatste advertenties steeds beter aansluiten op uw profiel. Als je cookies van zoekmachines verwijdert gaat veel informatie verloren. Een deel van de opgebouwde informatie blijft bewaard op de servers van de zoekmachines.
Wanneer je niet wilt dat de zoekmachines informatie van en over jou opslaan, dan is DuckDuckGo een alternatief. Deze zoekmachine bewaart geen gegevens over gebruikers en waar ze naar zoeken. Wanneer een overheidsdienst data opeist van DuckDuckGo, is er geen identificeerbare data om door te geven.
DuckDuckGo zoekmachine

Privacy statement

Het is een wettelijke verplichting om klanten of bezoekers duidelijk te informeren welke gegevens verzameld worden en met welk doel dat gebeurt. Veel bedrijven en websites hanteren een privacyverklaring om de klanten of gebruikers te informeren hoe wordt omgegaan met de persoonsgegevens. Een privacy statement kan na verloop van tijd wijzigen. Een toezegging om de gegevens niet te delen met andere bedrijven kan daarom achteraf nietszeggend blijken te zijn. Zo beloofde Facebook ooit om de data van de gebruikers niet te delen met adverteerders. Dat deed het wel.

Het belang van privacy

Niet iedereen maakt zich druk over zijn of haar privacy. Daarom twee voorbeelden die aangeven dat we niet alles moeten delen.
Wanneer je foto's verstuurd met een app op je mobiel worden deze bij de ontvanger opgeslagen. Als andere apps op dat apparaat bij het installeren vragen om toegang tot de aanwezige foto's en dat mogen, krijgen ze toegang tot alle foto's. Wat die apps vervolgens doen met jouw privéfoto's is ongewis.
[red.: dat schreven we enkele jaren geleden. Inmiddels kunnen apps razendsnel de inhoud van jouw foto's herkennen -zonder gps-locatie- en zo bepalen waar je geweest bent en met wie je contact hebt gehad.]
Bij het gebruik van de emoticons en likes in Facebook geef je veel informatie over jezelf prijs. De soort emoticon in combinatie met het onderwerp geeft Facebook een enorm inzicht in jou als persoon, zeker in de loop van de tijd. Facebook gebruikt de hiermee opgebouwde profielen -samen met bijvoorbeeld de websites die je hebt bezocht- om gerichte advertenties mogelijk te maken. Uiteindelijk weet Facebook meer over jou dan je familie en vrienden.
Ongemerkt kun je persoonlijke gegevens prijsgeven. Zet je bijvoorbeeld een foto van je vliegticket op social media? Wist je dat daarin je naam, adres, telefoonnummer en meer in opgeslagen zijn? Gooi ook niet zo maar een boarding pass weg: welke info bevat een boarding pass (EN).

Niet geheel overtuigd van het nut van privacy? Lees dan Je hebt wel iets te verbergen