GDPR/AVG: overzicht

(De volgende toelichting op de AVG/GDPR is met toestemming van de auteur integraal overgenomen uit de afstudeerscriptie van M. van Biezen Bsc, 2018, Rotterdam University of Applied Sciences.)

1. De Algemene Verordening Gegevensbescherming

1.1.         Definitie, reden en doel van de AVG

In 1995, toen het internet nog in de kinderschoenen stond, is de Europese Richtlijn 95/46/EU opgesteld. Op basis van deze richtlijn hebben alle Europese lidstaten eigen privacywetgeving aangenomen. Volgens de Europese Commissie is dit belemmerend voor de economie en voor het consumentvertrouwen in de digitale economie. Daarom heeft zij besloten dat er een uniform regelgevend kader dient te komen voor bescherming van persoonsgegevens (De Vries, Gerrits, Damen, Ter Wal, Beem, & Recourt, 2018, p. 10; Autoriteit Persoonsgegevens, z.d.-a).

Dit uniform regelgevend kader is de Verordening (EU) 2016/679, beter bekend als de Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR), welke op 4 mei 2016 is gepubliceerd in het Publicatieblad van de Europese Unie. Twintig dagen later, op 25 mei 2016, is de AVG in werking getreden (Autoriteit Persoonsgegevens, z.d.-a). De AVG is van toepassing vanaf 25 mei 2018. Organisaties krijgen dus exact twee jaar om zich voor te bereiden op de nieuwe Europese privacywet.

De AVG heeft volgens Vermissen, Terstegge en Krijgsman (2017, p. 17) twee hoofddoelen. Ten eerste het beschermen van persoonsgegevens en ten tweede het mogelijk maken van het vrije verkeer van persoonsgegevens binnen de EU. Er zal dus altijd een afweging gemaakt moeten worden tussen het belang van privacy en het belang van de verwerker. Deze doelen staan ook beschreven in artikel 1 van de AVG.

De AVG biedt op een aantal punten ruimte voor aanvullingen of uitzonderingen. Lidstaten hebben bevoegdheden gekregen om nationale wetgeving aan te nemen ter specificatie. In Nederland zijn deze specificaties opgenomen in de Uitvoeringswet AVG (UAVG), welke de samen met de AVG de Wbp gaat vervangen (Schermer et al., 2018, pp. 21-30).

 

1.2.         Voor wie geldt de AVG?

Alle Europese organisaties die persoonsgegevens verwerken zijn verplicht om zich te houden aan de AVG. Daarnaast geldt deze wetgeving volgens artikel 3 lid 2 ook voor niet-Europese organisaties die persoonsgegevens verwerken van betrokkenen die zich binnen een EU-lidstaat bevinden, als de verwerking verband houdt met:

  1. het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
  2. het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Het gaat dus om alle organisaties die persoonsgegevens verwerken van ‘betrokkenen die zich in de Unie bevinden’. Daarbij is het niet belangrijk of de betrokkenen burgers zijn van een van de Europese lidstaten (Vermissen et al., 2017, p. 26).

1.3.         Actoren

In de AVG worden de actoren ‘betrokkene’, ‘verwerkingsverantwoordelijke’ en ‘verwerker’ genoemd. Hieronder worden deze begrippen toegelicht:

  1. De betrokkene is de natuurlijke persoon waarvan persoonsgegevens worden verwerkt.
  2. De Verordening geeft de volgende definitie voor verwerkingsverantwoordelijke: “Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.” (art. 4 lid 7). Iedere verwerking heeft een verwerkingsverantwoordelijke. Een verwerking kan ook meerdere verwerkingsverantwoordelijken hebben. Er is dan sprake van een gezamenlijke verantwoordelijkheid.
  3. De Verordening geeft de volgende definitie voor verwerker: “Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.” (art. 4 lid 8). Een verwerker voert dus verwerkingen uit in opdracht van de verantwoordelijke. Wanneer de verwerking door de verantwoordelijke wordt uitgevoerd, heeft een verwerking geen verwerker (Vermissen et al., 2017, p. 27).

Hoewel de term ‘sub-verwerker’ in de AVG niet wordt genoemd, wordt deze in de praktijk wel gebruikt wanneer een verwerker een andere verwerker in dienst neemt. De verwerker dient hiervoor volgens artikel 28 lid 2 wel toestemming te hebben van de betrokkene. De sub-verwerker dient zich aan dezelfde regels te houden als de verwerker. Daarnaast moet de verantwoordelijke ingelicht worden over de inschakeling van een sub-verwerker, waarbij de mogelijkheid wordt geboden om hiertegen bezwaar te maken (Schermer et al., 2018, p. 69). Sub-verwerkers mogen tevens andere sub-verwerkers inschakelen. Hiervoor gelden dezelfde regels als wanneer een verwerker een sub-verwerker inschakelt (Vermissen et al., 2017, pp. 27-28).

 

1.4.         Definitie van verwerking

Artikel 4 lid 2 van de AVG stelt de volgende definitie voor een verwerking: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

Het begrip ‘verwerken’ omvat dus vrijwel alles wat gedaan kan worden met persoonsgegevens, ongeacht of dit digitaal of op papier gebeurt. De reeks van de in de definitie genoemde handelingen, is een opsomming van voorbeelden, omdat er ‘zoals’ voor de opsomming staat. Er vallen dus meerdere handelingen onder, die met persoonsgegevens uitgevoerd kunnen worden (Vermissen et al., 2017, pp. 21-22).

 

1.5.         Definitie van persoonsgegevens en categorieën

Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens zijn ook gegevens die niet direct over een persoon gaan, maar wel naar een persoon te herleiden zijn. Gegevens over overledenen zijn geen persoonsgegevens (Autoriteit Persoonsgegevens, z.d.-b; Vermissen et al., 2017).

Een voorbeeld waarmee de scheidingslijn tussen wel of geen persoonsgegevens duidelijker wordt, zijn productiviteitsgegevens. Wanneer de productiviteit van een afdeling gemeten wordt, zijn dit geen persoonsgegevens, maar wanneer het gaat om een kleine afdeling waar bijvoorbeeld twee mensen werken op een dag, dan zijn de productiviteitsgegevens wel te herleiden naar een persoon. In het laatste geval gaat het wel om persoonsgegevens (De Vries et al., 2018, p. 14).

Voorbeelden van persoonsgegevens zijn NAW-gegevens, contactgegevens, geboortedatum- en plaats, IP-adres, cookies, camerabeelden, rekeningnummer, kenteken, BSN, medische gegevens, sekse, ras, strafrechtelijke overtredingen, lidmaatschap van een vakbond, religieuze gegevens en biometrische gegevens.

De AVG onderscheidt drie typen persoonsgegevens: normale persoonsgegevens, bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens. Er bestaan enkele normale persoonsgegevens, waaronder het BSN (art. 87), die aan specifieke regels gebonden zijn. Het BSN viel volgens de Wbp echter nog wel onder de categorie bijzondere persoonsgegevens (Siemers, 2017a), net als strafrechtelijke persoonsgegevens (Autoriteit Persoonsgegevens, z.d.-c). Meer informatie over de verwerking van deze gegevens staat in paragraaf 8 van dit hoofdstuk.

De volgende persoonsgegevens ziet de AVG als bijzondere persoonsgegevens:

  1. Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  2. Persoonsgegevens waaruit politieke opvattingen blijken;
  3. Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  4. Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  5. Gegevens over gezondheid;
  6. Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  7. Genetische gegevens;
  8. Biometrische gegevens met het oog op de unieke identificatie van een persoon (Autoriteit Persoonsgegevens, z.d.-c).

 

1.6.         Beginselen van iedere verwerking

Iedere verwerking van persoonsgegevens dient aan de onderstaande beginselen te voldoen.

  1. De verwerking moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”). Een verwerking is volgens artikel 6 lid 1 alleen rechtmatig als deze gebaseerd is op een van de zes grondslagen. Deze grondslagen staan verder uitgewerkt in paragraaf 1.7.
  2. De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”).
  3. De gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”).
  4. De gegevens moeten juist en actueel zijn (“juistheid”).
  5. De gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”).
  6. Gegevens moeten goed beveiligd en vertrouwelijk blijven (“Integriteit en vertrouwelijkheid”).

Uit hoofde van artikel 5 lid 2 is de verwerkingsverantwoordelijke verplicht om het bovenstaande te kunnen verantwoorden. Meer over deze verantwoordingsplicht staat beschreven in paragraaf 1.10.1. Veel van de regels uit de Verordening zijn te herleiden naar deze beginselen.

 

1.7.         Grondslagen

Volgens artikel 6 lid 1 dient de verwerker iedere verwerking te kunnen verantwoorden op basis van een van de onderstaande zes grondslagen.

  1. de betrokkene heeft toestemming gegeven voor de verwerking;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
  4. de verwerking is noodzakelijk om de vitale belangen (levensbelang) van de betrokkene of een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen, welke zwaarder wegen dan de belangen van de betrokkene.

 

1.7.1.     Toestemming

Voor het verantwoorden van een verwerking op basis van toestemming, dient de toestemming te voldoen aan een aantal voorwaarden.

Volgens artikel 4 lid 11 is de definitie van ‘toestemming’ van de betrokkene: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.

De verwerkingsverantwoordelijke is volgens artikel 7 lid 1 verplicht om aan te kunnen tonen dat de betrokkene geldige toestemming heeft gegeven. Bovendien moet de betrokkene volgens artikel 7 lid 3, vóór het geven van de toestemming, op de hoogte worden gesteld van het feit dat de toestemming te allen tijde kan worden ingetrokken. Intrekken van toestemming moet net zo eenvoudig zijn als het geven ervan.

Vrij

De toestemming moet vrijelijk gegeven zijn. Dit houdt in dat de betrokkene niet benadeeld mag worden indien hij/zij geen toestemming geeft. Ook machtsverhoudingen zijn niet toegestaan bij het verlenen van toestemming. Hiervan is bijvoorbeeld vaak sprake bij een werknemer-werkgeverrelatie Autoriteit Persoonsgegevens (z.d.-c).

Specifiek

Volgens artikel 6 lid 1 sub a dient de toestemming te worden gegeven “voor een of meer specifieke doeleinden”. Wanneer de toestemming van toepassing is op verschillende aangelegenheden, dient het verzoek zodanig geformuleerd zijn, dat duidelijk onderscheid gemaakt kan worden tussen de verschillende aangelegenheden (art. 7 lid 2). “Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.” (overweging 32).

 

 

 

Geïnformeerd

Volgens de Autoriteit Persoonsgegevens (z.d.-c) dient de betrokkene geïnformeerd te worden over:

  1. de identiteit van de organisatie;
  2. het doel van elke verwerking waarvoor toestemming gevraagd wordt;
  3. welke persoonsgegevens verwerkt worden;
  4. het recht van de betrokkene om te allen tijde de toestemming in te trekken.

 

Ondubbelzinnig

De toestemming dient te worden gegeven door een actieve handeling, bijvoorbeeld door middel van een schriftelijke of mondelinge verklaring. Stilzwijgende toestemming, zoals een standaard aangevinkte checkbox is geen actieve handeling en daarom ongeldig (overweging 32).

1.7.2.     Overeenkomst met betrokkene

Wanneer de verantwoordelijke en de betrokkene een overeenkomst (bijvoorbeeld een koopovereenkomst of arbeidsovereenkomst) hebben gesloten en het verwerken van persoonsgegevens is noodzakelijk voor de uitvoering van die overeenkomst, kan de verantwoordelijke zich beroepen op deze grondslag. Denk hierbij aan een webshop die de adresgegevens van een koper dient te verwerken, om erachter te komen waar het product naartoe verzonden moet worden (Vermissen et al., 2017, p. 60).

Soms zijn persoonsgegevens nodig ter voorbereiding van een overeenkomst met de betrokkene, bijvoorbeeld een telefonie-aanbieder die het verbruik wil inzien om te bepalen welk abonnement geschikt is voor de betrokkene. Dit is, volgens artikel 6 lid 1 sub b, uitsluitend toegestaan als de betrokkene hierom gevraagd heeft. In de praktijk zal de verwerker de betrokkene hierop wijzen en zal de betrokkene hier vervolgens om vragen of toestemming voor geven (Vermissen et al., 2017, p. 60).

1.7.3.     Wettelijke verplichting

De verwerker kan een verwerking baseren op de grondslag uit artikel 6 lid 1 sub c, indien de verwerking noodzakelijk is voor het naleven van andere wetgeving. Een voorbeeld hiervan is “de verplichting voor werkgevers om het BSN van hun werknemers ter verwerken en inkomensgegevens door te geven aan de Belastingdienst.” of de “’ken uw klant’-verplichting voor financiële dienstverleners.” (Vermissen et al., 2017, p. 60)

Het gaat bij deze grondslag uitsluitend om Nederlandse (lidstatelijke) en EU-wetgeving. Wanneer u volgens de grondslag ‘belangenafweging’ van de AVG bepaalde persoonsgegevens niet mag verwerken, maar volgens een andere niet-Europese wetgeving hiertoe verplicht bent, adviseert Vermissen et al. (2017, p. 61) “behoedzaam opereren, bij voorkeur samen met uw branchegenoten of anderen die in hetzelfde schuitje zitten.”

1.7.4.     Vitaal belang

Bij deze grondslag hoeft het niet letterlijk te gaan om een acute zaak van leven of dood. Deze grondslag is ook van toepassing als iemand lichamelijk schade op dreigt te lopen of voor humanitaire doeleinden, “onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.” (Overweging 46)

De Autoriteit Persoonsgegevens (z.d.-c) omschrijft vitaal belang als volgt: “Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.” Verwerking op grond van deze grondslag is uitsluitend toegestaan indien de verwerking niet op een andere grondslag kan worden gebaseerd (overweging 46).

1.7.5.     Overheidstaak

Een verwerker kan zich uitsluitend beroepen op deze grondslag, indien er sprake is van het uitoefenen van een wettelijk vastgestelde publieke taak voor het algemeen belang of openbaar gezag, welke relevant is voor de organisatie. De betrokkene dient op de hoogte te worden gesteld van de betreffende wettelijke taak. Een gemeente mag zich bijvoorbeeld beroepen op deze grondslag voor cameratoezicht voor de openbare veiligheid (Autoriteit Persoonsgegevens, z.d.-c).

1.7.6.     Belangenafweging

Bij deze grondslag is het belangrijk dat het gerechtvaardigde belang zwaarder weegt dan het belang van de betrokkene. Ook moet het gerechtvaardigde belang vastgelegd worden. Houd er rekening mee dat het belang van personen, die jonger zijn dan zestien jaar, zwaarder weegt. Overheden mogen geen verwerkingen baseren op deze grondslag (Autoriteit Persoonsgegevens, z.d.-c).

 

1.8.         Wanneer mag een organisatie persoonsgegevens verwerken?

In paragraaf 1.5 werd uitgelegd dat er drie verschillende typen persoonsgegevens bestaan en dat het BSN een uitzondering is op de normale persoonsgegevens. In deze paragraaf wordt per type beschreven wanneer verwerking toegestaan is.

1.8.1.     Normale persoonsgegevens

Om normale persoonsgegevens te mogen verwerken, dient een organisatie te kunnen verantwoorden dat de verwerking op grond van ten minste één van de zes grondslagen is uitgevoerd.

1.8.2.     BSN

Het BSN is een normaal persoonsgegevens, maar in artikel 87 van de AVG staat dat lidstaten specifieke voorwaarden kunnen vaststellen voor het verwerken van een nationaal identificatienummer. In artikel 46 van de Uitvoeringswet AVG (UAVG) staat dat het verwerken van een nationaal identificatienummer uitsluitend is toegestaan als:

  1. ergens in de wet staat dat uw organisatie die bevoegdheid heeft; of
  2. het in lijn is met doeleinden van de wet.

Hier staat precies hetzelfde als in artikel 24 van de Wbp. Echter, in de Wbp stond deze bepaling in de paragraaf “De verwerking van bijzondere persoonsgegevens” en in de AVG staat deze in het hoofdstuk “Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking”. Daardoor is het BSN na invoering van de AVG geen bijzonder persoonsgegeven meer (Siemers, 2017a).

1.8.3.     Bijzondere persoonsgegevens

In paragraaf 1.5 werd beschreven wanneer gegevens als bijzondere persoonsgegevens worden beschouwd. Het verwerken van bijzondere persoonsgegevens is verboden, tenzij de organisatie zich kan beroepen op ten minste een van de zes grondslagen én op een van de in artikel 9 lid 2 beschreven uitzonderingen.

1.8.4.     Strafrechtelijke persoonsgegevens

Net als bijzondere persoonsgegevens, is het uit hoofde van artikel 10 ook verboden om strafrechtelijke persoonsgegevens te verwerken. Dit verbod geldt niet als (Autoriteit Persoonsgegevens, z.d.-c):

  1. de verwerking onder toezicht staat van de overheid; of
  2. de verwerking is toegestaan bij nationaal recht.

1.9.         Rechten van betrokkenen

In hoofdstuk III van de Verordening staat welke rechten betrokkenen hebben. De verwerkingsverantwoordelijke moet de uitvoering van deze rechten faciliteren en mag deze niet bemoeilijken (art. 12 lid 2). De verwerkingsverantwoordelijke moet tevens passende maatregelen nemen om te zorgen dat de betrokkene alle te verstrekken informatie en communicatie uit artikel 13 t/m 22 en 34 in begrijpelijke taal kosteloos ontvangt (art. 12).

De verwerkingsverantwoordelijke dient informatie m.b.t. een van de onderstaande rechten, uiterlijk een maand na ontvangst van het verzoek te verstrekken, tenzij de identiteit van de betrokkene niet vastgesteld kan worden of wanneer het verzoek ongegrond of buitensporig is, bijvoorbeeld wanneer een betrokkene regelmatig een verzoek indient. In dat geval mag een verwerkingsverantwoordelijke het verzoek weigeren of een redelijke vergoeding voor de administratieve kosten in rekening brengen (art. 12).

Afhankelijk van de complexiteit en het aantal verzoeken, kan die termijn met twee maanden worden verlengd. De betrokkene dient in dat geval wel binnen een maand op de hoogte gesteld te worden van de verlenging. Wanneer de betrokkene het verzoek elektronisch indient, wordt de informatie elektronisch verstrekt, tenzij dit niet mogelijk blijkt (art. 12 lid 3). Mondeling verstrekken van de informatie is ook toegestaan als de betrokkene hierom vraagt, mits de identiteit van de betrokkene met zekerheid vastgesteld is (art. 12 lid 1).

De rechten van betrokkenen kennen ook beperkingen, welke beschreven staan in artikel 23. De verwerkingsverantwoordelijke dient bij de beperking van de rechten van een betrokkene rekening te houden met een aantal zaken die in artikel 23 lid 2 beschreven staan. Verwerkingsverantwoordelijken hoeven geen gehoor te geven aan de rechten van de betrokkene, wanneer dit noodzakelijk is voor de waarborging van:

  1. nationale veiligheid, landsverdediging of openbare veiligheid;
  2. het proces voor strafbare feiten of schending van beroepscodes;
  3. andere belangrijke doelstellingen van algemeen belang (nationaal of van EU);
  4. de bescherming van onafhankelijkheid van rechters en rechterlijke procedures;
  5. taken op het gebied van toezicht, inspectie of regelgeving op de hierboven genoemde gebieden;
  6. de bescherming van de betrokkene of van de rechten of vrijheden van anderen; of
  7. de inning van civielrechtelijke vorderingen.

Hieronder worden de rechten van betrokkenen nader toegelicht.

1.9.1.     Recht op informatie

Een gedeelte van het recht op informatie is hierboven beschreven. Daarnaast is de verwerkingsverantwoordelijke verplicht om de betrokkene te informeren over ieder verwerkingsdoel. Er zijn echter situaties waarin deze informatieplicht niet geldt. In bijlage II staat een schema waarin beschreven is wanneer de betrokkene geïnformeerd moet worden en wanneer niet.

De Verordening maakt onderscheid tussen gegevens die bij de betrokkene worden verzameld (art. 13) en gegevens die buiten de betrokkene om worden verzameld (art. 14). Wanneer de gegevens bij de betrokkene worden verzameld, dient de verwerkingsverantwoordelijke volgens artikel 13 lid 1 en 2 ten minste de volgende informatie aan de betrokkene te verstrekken:

  1. identiteit en contactgegevens van de verwerkingsverantwoordelijke en diens vertegenwoordiger;
  2. contactgegevens van de FG;
  3. verwerkingsdoeleinden en grondslag;
  4. belangenafweging, indien deze grondslag van toepassing is;
  5. (categorieën) ontvangers van de persoonsgegevens, indien van toepassing;
  6. internationale doorgiften en de waarborgen, indien van toepassing;
  7. bewaartermijnen van de gegevens;
  8. verwijzing naar de rechten van de betrokkene;
  9. het recht om toestemming in te trekken, indien deze grondslag van toepassing is;
  10. het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
  11. of de verwerking wettelijk verplicht is, dan wel noodzakelijk om een overeenkomst te sluiten en wat de gevolgen zijn als de betrokkene geen persoonsgegevens verstrekt;
  12. het belang, de gevolgen en nuttige informatie over de onderliggende logica van de geautomatiseerde besluitvorming of profilering, indien van toepassing.

Naast deze verplichte informatie moet ook alle informatie worden verstrekt die noodzakelijk is om een behoorlijke en transparante verwerking te waarborgen. De verwerkingsverantwoordelijke moet zelf bepalen welke aanvullende informatie hiervoor in aanmerking komt (Schermer et al., 2018, p. 76).

Indien de persoonsgegevens buiten de betrokkene om zijn verzameld, dient de verwerkingsverantwoordelijke al de hierboven genoemde informatie te verstrekken, plus de bron waar de persoonsgegevens zijn verkregen.

1.9.2.     Recht op inzage

Betrokken hebben volgens artikel 15 het recht om te weten of hun eigen persoonsgegevens worden verwerkt en als dat het geval is, ook om inzage te krijgen van die persoonsgegevens en van de volgende informatie:

  1. de verwerkingsdoeleinden;
  2. de betrokken categorieën van persoonsgegevens;
  3. de (categorieën) ontvangers van de persoonsgegevens, met name internationale ontvangers;
  4. de bewaartermijn van de persoonsgegevens;
  5. het recht op rectificatie, wissing, beperking van de verwerking en het recht op bezwaar;
  6. het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
  7. de bron van de persoonsgegevens, indien deze niet bij de betrokkene zijn verzameld;
  8. het belang, de gevolgen en nuttige informatie over de onderliggende logica van de geautomatiseerde besluitvorming of profilering, indien van toepassing;
  9. doorgiften naar derde landen en internationale organisaties en de waarborgen;

Daarnaast dient de verwerkingsverantwoordelijke een kopie te verstrekken van de persoonsgegevens van de betrokkene die worden verwerkt. Wanneer de betrokkene meerdere kopieën wil ontvangen, mag de verwerkingsverantwoordelijke hiervoor wel een vergoeding in rekening brengen om de administratieve kosten te dekken. Wanneer het verzoek elektronisch wordt ingediend, dient de informatie elektronisch te worden verstrekt, tenzij de betrokkene om een andere regeling verzoekt.

Tevens mag het verstrekken van de kopie geen afbreuk doen aan de rechten en vrijheden van anderen. Indien dit van toepassing is, dient de verwerkingsverantwoordelijke aan de betrokkene te beargumenteren waarom bepaalde informatie niet verstrekt wordt (Siemers, 2017b). Ook mag de informatie uitsluitend worden verstrekt als de identiteit van de betrokkene is met zekerheid is vastgesteld (Schermer et al., 2018, p. 78).

1.9.3.     Recht op rectificatie

Artikel 16 van de Verordening geeft betrokkenen het recht om onjuiste persoonsgegevens van de betreffende betrokkene te laten wijzigen en om onvolledige gegevens aan te laten vullen. Dit recht wordt in artikel 16 van de Verordening het ‘Recht op rectificatie’ genoemd.

Dit recht heeft betrekking op het beginsel ‘juistheid’ uit artikel 5. Verwerkingsverantwoordelijken zijn verantwoordelijk voor de juistheid en actualiteit van de persoonsgegevens. Indien de gegevens onjuist zijn, dient de verwerkingsverantwoordelijke er alles aan te doen om die gegevens te rectificeren of aan te vullen.

Als de onjuiste gegevens waren verstrekt aan derde partijen, dient de verwerkingsverantwoordelijke de gerectificeerde gegevens door te geven aan die derde partijen. Indien de betrokkene daarom vraagt, moet de verwerkingsverantwoordelijke informeren om welke derde partijen het gaat (Autoriteit Persoonsgegevens, z.d.-d).

1.9.4.     Recht op vergetelheid

Dit recht wordt in artikel 17 van de Verordening het ‘Recht op gegevenswissing („recht op vergetelheid”)’ genoemd. In de volgende gevallen heeft de betrokkene het recht om verwijderd te worden uit de gegevensverzameling van de verwerkingsverantwoordelijke:

  1. de persoonsgegevens zijn niet meer nodig;
  2. de betrokkene trekt de toestemming in en er is geen andere rechtsgrond;
  3. de betrokkene maakt gegrond bezwaar tegen de verwerking;
  4. de persoonsgegevens zijn onrechtmatig verwerkt;
  5. de persoonsgegevens moeten worden gewist om te voldoen aan een andere wet;
  6. de persoonsgegevens betreffen een kind onder de 16 jaar en zijn verzameld via het internet;

Het recht op vergetelheid is niet van toepassing als de verwerking nodig is:

  1. voor het uitoefenen van het recht op vrijheid van meningsuiting;
  2. voor het nakomen van een andere wet, algemeen belang of openbaar gezag;
  3. om redenen van algemeen belang op het gebied van volksgezondheid;
  4. de verwerkingsverantwoordelijke moet de gegevens in het algemeen belang archiveren;
  5. voor de instelling, uitoefening of onderbouwing van een rechtsverordening.

Het recht op gegevenswissing en het recht op vergetelheid hebben niet precies dezelfde betekenis. Het recht op gegevenswissing zorgt ervoor dat verwerkingsverantwoordelijken de persoonsgegevens verwijderen. Het recht op vergetelheid zorgt ervoor dat verwerkingsverantwoordelijken die de persoonsgegevens openbaar hebben gemaakt, maatregelen moeten nemen om andere verwerkingsverantwoordelijken die de persoonsgegevens van de betreffende betrokkene verwerken, ervan op de hoogte te stellen dat de betrokkene vergeten wil worden. Derde partijen hoeven niet op de hoogte te worden gesteld als dit onmogelijk blijkt of een onevenredige inspanning vergt.

1.9.5.     Recht op beperking van de verwerking

Volgens artikel 18 houdt het ‘Recht op beperking van de verwerking’ in dat persoonsgegevens van de betrokkene, met uitzondering van de opslag ervan, tijdelijk alleen verwerkt mogen worden:

  1. met toestemming van de betrokkene;
  2. voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  3. ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon; of
  4. om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.

De betrokkene kan de beperking van de verwerking in werking stellen, als:

  1. de juistheid van de persoonsgegevens wordt betwist door de betrokkene;
  2. de verwerking onrechtmatig is en de betrokkene beperking verkiest boven wissing;
  3. de persoonsgegevens niet meer nodig zijn voor de doeleinden;
  4. de betrokkenen bezwaar heeft gemaakt, in afwachting op de uitkomst van de belangenafweging;

De verwerkingsverantwoordelijke dient derde partijen op de hoogte te stellen van de beperking van de verwerking, waarna deze partijen de gegevens ook niet meer mogen verwerken. Daarnaast dient de betrokkene door de verwerkingsverantwoordelijke op de hoogte te worden gebracht, voordat de beperking van de verwerking wordt opgeheven.

1.9.6.     Recht op overdraagbaarheid van gegevens (dataportabiliteit)

In artikel 20 staat dat het recht op dataportabiliteit inhoudt dat betrokkenen het recht hebben om hun eigen digitale (dus geen papieren) persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te ontvangen die van hen worden verwerkt. De aanleiding van deze regels is dat betrokkenen in het verleden beperkt werden door het formaat waarin de verwerkingsverantwoordelijken de opgevraagde informatie bezorgde. Het doel van het recht op portabiliteit is enerzijds het versterken van de positie van de betrokkene en anderzijds om betrokkenen meer controle te geven over zij/haar persoonsgegevens (Groep gegevensbescherming artikel 29, 2017b, p. 3).

‘Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.’ (Autoriteit Persoonsgegevens, z.d.-d) Hierdoor wordt de betrokkene minder afhankelijk van een leverancier, doordat zijn data daar staat opgeslagen. De nieuwe leverancier is echter niet verplicht om de overgedragen gegevens te accepteren (Schermer et al., 2018, p. 81).

Het verschil tussen het recht van inzage en het recht op dataportabiliteit is dat bij het recht van dataportabiliteit de gegevens aangeleverd worden op een manier waarop deze makkelijk te beheren zijn en hergebruikt kunnen worden. Bij het recht op inzage kan het ook zijn dat de organisatie de betrokkene uitnodigt om langs te komen om de gegevens in te zien.

Het recht op dataportabiliteit geldt alleen voor verstrekte gegevens die geautomatiseerd worden verwerkt en de verwerking is gebaseerd op toestemming of noodzakelijk is voor het uitoefenen van een overeenkomst, dus niet wanneer een andere grondslag is gebruikt. Het gaat om verstrekte gegevens en gegevens door observatie (bijvoorbeeld GPS-tracking), maar niet om afgeleide gegevens. Afgeleide gegevens zijn interpretaties en/of conclusies die de verantwoordelijke trekt op basis van beschikbare data (Schermer et al., 2018, p. 81).

Wanneer de verwerkingsverantwoordelijke de gegevens op verzoek van de betrokkene overdraagt, is de verzendende verwerkingsverantwoordelijke niet meer verantwoordelijk voor de verwerkingen van de ontvangende partij. De ontvangende partij handelt in opdracht van de betrokkene en indien deze partij een organisatie is, dient deze te voldoen aan de eisen die de Verordening stelt aan de verwerkingsverantwoordelijke, voordat de gegevens verstuurd worden (Groep gegevensbescherming artikel 29, 2017b, pp. 7-8).

De Verordening noemt geen specifieke bestandsformaten waarin de gegevens overgedragen moeten worden. Overweging 68 moedigt aan om interoperabele formaten te ontwikkelen voor gegevensoverdracht. “Wanneer in een bepaalde bedrijfstak of gegeven context geen specifieke formaten gangbaar zijn, dienen verwerkingsverantwoordelijken de persoonsgegevens te leveren in gangbare open formaten (bv. XML, JSON, CSV …) samen met nuttige metagegevens met een zo hoog mogelijke mate van gedetailleerdheid” (Groep gegevensbescherming artikel 29, 2017b, pp. 21). Het is volgens de WP29 (2017b, pp. 21-22) daarom onwaarschijnlijk dat e-mailberichten in pdf-versie aangeleverd mogen worden.

1.9.7.     Recht om bezwaar te maken

De betrokkene kan volgens artikel 21 bezwaar maken tegen het verwerken van zijn/haar persoonsgegevens, wanneer:

  1. de verwerking wordt uitgevoerd ten behoeve van direct marketing;
  2. de verwerking wordt uitgevoerd met het oog op wetenschappelijk historisch onderzoek of statistische doeleinden, op grond van specifiek met zijn situatie verband houdende redenen;
  3. de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  4. de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen, welke zwaarder wegen dan de belangen van de betrokkene.

Tenzij het gerechtvaardigd belang van de verwerkingsverantwoordelijke groter is dan het belang van de betrokkene, mag de verwerkingsverantwoordelijke de persoonsgegevens niet meer verwerken voor deze doeleinden.

1.9.8.     Recht met betrekking tot geautomatiseerde besluitvorming en profilering

Profileren wordt in artikel 4 lid gedefinieerd als: “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen”.

Artikel 22 geeft betrokkenen het recht op een menselijke blik bij besluiten. Wanneer een besluit uitsluitend geautomatiseerd wordt genomen en gevolgen heeft voor de betrokkene, kan de betrokkene zich beroepen op dit recht. De verwerkingsverantwoordelijke is dan verplicht om het besluit opnieuw te laten beoordelen door een mens.

Dit recht geldt niet indien het besluit:

  1. noodzakelijk is voor de uitvoering van een overeenkomst;
  2. wettelijk is toegestaan en de desbetreffende wet de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene beschermt;
  3. berust is op toestemming van de betrokkene.

 

1.10.      Plichten van verwerkingsverantwoordelijken

In de Wbp staat dat de verwerkingsverantwoordelijke aansprakelijk is voor de verwerker. Na invoering van de AVG krijgen verwerkers meer verplichtingen. Bij overtreding van zijn verplichting, kan de verwerker ook beboet worden (Talen, 2017).

Naast het gehoor geven aan de rechten van betrokkenen, heeft de verantwoordelijke ook te maken met een aantal andere plichten.

Het aanstellen van een functionaris voor gegevensbescherming behoort in sommige gevallen ook tot de plichten van de verwerkingsverantwoordelijke, maar dit wordt uitgebreid beschreven in de volgende paragraaf, welke volledig aan de FG is gewijd. Daarom wordt de FG in deze paragraaf niet behandeld.

1.10.1.  Verantwoordingsplicht (accountability)

Een van de plichten van de verwerkingsverantwoordelijke is de verantwoordingsplicht. Deze is in paragraaf 1.6 al genoemd. Artikel 5 lid 2 stelt dat alleen maatregelen nemen niet voldoende is en dat deze ook aangetoond moeten kunnen worden en dat aangetoond moet worden dat de verwerkingen voldoen aan de beginselen. De Autoriteit Persoonsgegevens (z.d.-c) heeft de volgende opsomming gepubliceerd van verplichte en extra maatregelen:

Tabel 1.1 Maatregelen verantwoordingsplicht

Verplicht Extra
Register van verwerkingen; Aansluiten bij een gedragscode;
DPIA voor verwerkingen met verhoogd risico; Behalen van een bepaald certificaat;
Register van datalekken; Hanteren van een specifiek IT-beveiligingsbeleid;
Verantwoorden van toestemming; Verantwoording in een (privacy)jaarverslag.
Beargumentering voor aanstelling FG.

 

Bron: Autoriteit Persoonsgegevens (z.d.-c)

Volgens Schermer et al. (2018, p. 51) moeten de volgende zaken worden gedocumenteerd om te voldoen aan de verantwoordingsplicht:

  1. register van verwerkingsactiviteiten;
  2. gegevensbeschermingsbeleid;
  3. DPIA’s;
  4. passende waarborgen bij doorgiften buiten de EU;
  5. privacy statement om betrokkenen te informeren;
  6. op welke wijze voldaan is aan de voorwaarden voor toestemming;
  7. bewijs dat de betrokkene toestemming heeft gegeven;
  8. gerechtvaardigd belang, indien deze grondslag is gebruikt voor verwerkingen;
  9. processen en procedures ter waarborging van rechten van betrokkenen;
  10. verwerkersovereenkomsten;
  11. procedures voor de meldplicht van datalekken;
  12. register van datalekken;
  13. maatregelen om te voldoen aan privacy by design & privacy by default.

1.10.2.  Privacy by design & Privacy by default

De Engelstalige termen worden in de praktijk vaker gebruikt dan de Nederlandse, Gegevensbescherming door ontwerp en door standaardinstellingen. Deze, in artikel 25 beschreven regel, werd nog niet in eerdere privacywetgeving genoemd. Deze regel houdt in dat bij het ontwerpen van nieuw beleid of een nieuw systeem, rekening gehouden dient te worden met de in paragraaf 1.6 genoemde beginselen van de Verordening. In de Verordening wordt vermeld dat technische en organisatorische maatregelen genomen dienen te worden, waaronder pseudonimisering.

Met het bepalen van de te nemen de maatregelen, dient de verwerkingsverantwoordelijke rekening te houden met:

  1. de stand van de techniek;
  2. de uitvoeringkosten;
  3. de aard, omvang, context en het doel van de verwerking;
  4. de risico’s voor de betrokkene.

De Verordening geeft naast pseudonimisering ook andere voorbeelden van maatregelen in overweging. Schermer et al. (2018, p. 61) hebben een tabel opgesteld met de in overweging 78 genoemde maatregelen.

1.10.3.  Verwerkersovereenkomst

Wanneer de verwerkingen uitgevoerd worden door een verwerker, dient er volgens artikel 28 lid 3 een verwerkersovereenkomst opgesteld te worden tussen de verwerkingsverantwoordelijke en de verwerker. Hierin worden de duur, de aard en het doel van de verwerking vastgelegd, net als het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en plichten van de verwerkingsverantwoordelijke.

In de verwerkersovereenkomst wordt met name vastgelegd dat de verwerker (Schermer et al., 2018, p. 67):

  1. de persoonsgegevens alleen verwerkt onder uw schriftelijke instructies, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);
  2. waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;
  3. minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als u doet;
  4. u alle mogelijke ondersteuning biedt bij het nakomen van uw verplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen (zie hoofdstuk 7);
  5. u bijstaat bij het nakomen van uw verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;
  6. na beëindiging van de overeenkomst tussen u en verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan u teruggeeft, en bestaande kopieën verwijdert;
  7. u alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;
  8. afspraken met betrekking tot sub-verwerkers maakt.

Bij het inschakelen van een sub-verwerker dient de verwerker ook daarmee een overeenkomst te sluiten. Een sub-verwerker mag uitsluitend ingeschakeld worden, wanneer de verwerker daarvoor specifiek toestemming heeft gegeven. De sub-verwerker dient zich aan dezelfde regels te houden als de verwerker. De verwerker die de sub-verwerker ingeschakeld heeft, is aansprakelijk wanneer deze  regels niet nageleefd worden voor de sub-verwerker.

1.10.4.  Register van verwerkingsactiviteiten

Als onderdeel van de verantwoordingsplicht, zijn verwerkingsverantwoordelijken en verwerkers volgens artikel 30 van de Verordening verplicht om een register van verwerkingsactiviteiten, ook wel bekend als verwerkingsregister of register van verwerkingen, bij te houden als:

  1. de verwerkingsverantwoordelijke meer dan 250 personen in dienst heeft;
  2. verwerkingen mogelijk een risico voor betrokkenen meebrengen;
  3. de verwerking niet incidenteel is; of
  4. bijzondere categorieën of strafrechtelijke persoonsgegevens verwerkt worden.

In een register van verwerkingsactiviteiten dient het volgende vastgelegd te worden:

  1. naam en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker en de functionaris voor gegevensbescherming;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van categorieën van betrokkenen en categorieën van persoonsgegevens;
  4. de categorieën van ontvangers van de persoonsgegevens;
  5. eventuele doorgiften naar landen buiten de EU en waarborgen;
  6. bewaartermijnen per categorie;
  7. technische en organisatorisch beveiligingsmaatregelen.

Het register dient schriftelijk vastgelegd te worden, met inbegrip van elektronische vorm. “Het register mag dus worden opgemaakt in een tekstverwerkingsbestand, een spreadsheet, speciaal daartoe bestemde software of elke andere schriftelijke vorm.” (Schermer et al., 2018, p. 51) Houd er rekening mee dat dit register niet de persoonsgegevens bevat, maar alleen een beschrijving van de verwerkingsactiviteiten. Geautoriseerden voor het register zijn de functionaris voor gegevensbescherming, de Autoriteit Persoonsgegevens en personen die verantwoordelijk zijn voor het bijhouden van het register.

Het register moet actueel zijn, dus als een verwerkingsactiviteit verandert, dient het register direct gewijzigd te worden. Schermer et al. (2018, p. 53) adviseren om wijzigingen in het bestand bij te houden en om verouderde en gestaakte verwerkingsactiviteiten te archiveren.

1.10.5.  Informatiebeveiliging

Volgens artikel 32 dient de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen die afgestemd is op de hoogte van het risico. Hierbij dient rekening gehouden te worden met dezelfde factoren als beschreven in sub-paragraaf 1.10.2 van dit rapport.

De maatregelen omvatten:

  1. pseudonimisering en versleuteling van persoonsgegevens;
  2. vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen garanderen;
  3. herstellen van persoonsgegevens na een incident;
  4. een procedure om periodiek de maatregelen te testen, beoordelen en evalueren.

Aansluiten bij een goedgekeurde gedragscode of certificeringsmechanisme kan de aantoonbaarheid van deze beveiligingsmaatregelen ondersteunen. Meer informatie over gedragscodes en certificering wordt beschreven in paragraaf 2.14.

1.10.6.  Datalekken

Volgens de Verordening is sprake van een datalek (in de Verordening genoemd als ‘inbreuk in verband met persoonsgegevens’) als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (art. 4 lid 12).

Artikel 33 beschrijft de meldplicht van datalekken aan de toezichthoudende autoriteit. Wanneer een datalek heeft plaatsgevonden, dient de verwerkingsverantwoordelijke deze uiterlijk 72 uur na kennisneming te melden bij de toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de datalek een risico vormt voor de rechten en vrijheden van de betrokkenen. Indien het niet mogelijk blijkt om de datalek binnen 72 uur te melden, moet hiervoor een motivering worden afgegeven. Verwerkers moeten het datalek zonder onredelijke vertraging melden aan de verwerkingsverantwoordelijken. Alle datalekken dienen volgens artikel 33 lid 5 in een register van datalekken te worden vastgelegd.

Een melding aan de toezichthoudende autoriteit bevat de volgende informatie:

  1. de aard van de inbreuk, de categorieën persoonsgegevens in kwestie, het aantal betrokkenen en het aantal persoonsgegevens in kwestie;
  2. de contactgegevens van de FG of ander contactpunt;
  3. de waarschijnlijke gevolgen van het datalek;
  4. de maatregelen die getroffen worden of zijn getrokken om nadelige gevolgen te beperken.

Indien niet al deze informatie binnen 72 uur verstrekt kan worden, is het ook toegestaan om een gedeelte van de informatie binnen 72 uur te melden en de resterende informatie op een later moment te verstrekken, zodra dit mogelijk is (Schermer et al., 2018, p. 65).

Artikel 34 verplicht verwerkingsverantwoordelijken om datalekken te melden aan de betrokkenen in kwestie, wanneer het datalek waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van betrokkenen. De melding aan betrokkenen bevat dezelfde informatie als de melding aan de Autoriteit Persoonsgegevens, behalve de categorieën persoonsgegevens in kwestie, het aantal betrokkenen en het aantal persoonsgegevens in kwestie.

De meldplicht aan betrokkenen is niet verplicht als:

  1. er passende maatregelen zijn toegepast op de gelekte persoonsgegevens, met name versleuteling;
  2. achteraf maatregelen zijn genomen om te zorgen dat het hoge risico voor de betrokkenen zich waarschijnlijk niet meer zal voordoen;
  3. de mededeling onevenredige inspanning vergt. In dat geval is een openbare mededeling toegestaan indien deze even doeltreffend is (art. 34 lid 3).

Naast de meldplicht aan de AP en de betrokkene, dient de verwerkingsverantwoordelijke ook alle datalekken te vast te leggen in een intern register van datalekken (art. 33 lid 5; Groep gegevensbescherming artikel 29, 2017f). Volgens artikel 33 moeten in dit register de feiten omtrent het datalek, de gevolgen daarvan en de genomen corrigerende maatregelen vermeld worden. De Groep gegevensbescherming artikel 29 (2017f, pp. 26-27) voegt daaraan toe dat de ‘feiten omtrent het datalek’ in ieder geval zou moeten bestaan uit de oorzaak, de gebeurtenis en de categorieën gelekte persoonsgegevens.

1.10.7.  Data Protection Impact Assessment en voorafgaande raadpleging

De term DPIA wordt in de praktijk het meest gebruikt voor de in de Verordening genoemde ‘gegevensbeschermingseffectenbeoordeling’. Dit begrip wordt in de Verordening niet gedefinieerd, maar de WP29 geeft de volgende definitie: “Een gegevensbeschermingseffectbeoordeling is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten en maatregelen te bepalen om ze aan te pakken.” (Groep gegevensbescherming artikel 29, 2017d, p. 4). DPIA’s zijn belangrijk voor de verantwoordingsplicht, omdat ze verwerkingsverantwoordelijken helpen aan de eisen van de AVG te voldoen en om aan te tonen dat passende maatregelen zijn getroffen.

DPIA’s zijn verplicht als de verwerking “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen” (art. 35, lid 1). Eén beoordeling kan voor meerdere verwerkingen uitgevoerd worden, indien al deze verwerkingen vergelijkbaar zijn en vergelijkbare hoge risico’s inhouden. Verwerkingsverantwoordelijken zijn eindverantwoordelijk voor het uitvoeren van DPIA’s voor hun verwerkingen.

Er is in ieder geval sprake van een hoog risico bij:

  1. geautomatiseerde besluitvorming, of profilering, met gevolgen voor de betrokkene;
  2. grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens;
  3. het grootschalig en stelselmatig volgen van personen in openbare ruimten (cameratoezicht).

De Verordening geeft geen definitie voor ‘grootschalig en stelselmatig’. De verwerkingsverantwoordelijke zal dus zelf moeten beoordelen of dit van toepassing is. Ook zijn er, naast deze drie voorbeelden uit artikel 35 lid 3, meer gevallen waarin de verwerking een hoog risico kan vormen voor de betrokkene. Daarom staat in lid 4 en 5 dat de toezichthoudende autoriteiten een lijst kunnen publiceren van verwerkingen waarvoor wel of geen DPIA vereist is.

De Groep gegevensbescherming artikel 29 (2017d, p. 4) heeft een concretere lijst opgesteld met negen factoren om te beoordelen of er sprake is van een hoog risico:

  1. evaluatie of scoretoekenning;
  2. geautomatiseerde besluitvorming met gevolgen voor de betrokkene;
  3. stelselmatige monitoring;
  4. bijzondere en strafrechtelijke persoonsgegevens;
  5. op grote schaal verwerkte gegevens;
  6. matching of samenvoeging van datasets;
  7. de verwerking betreft kwetsbare betrokkenen, zoals kinderen tot 16 jaar, werknemers (vanwege machtsverhouding), geesteszieken, asielzoekers, bejaarden en patiënten.
  8. gebruik van innovatieve technologie;
  9. wanneer de betrokkene een recht niet kan uitoefenen of geen beroep kan doen op een dienst of overeenkomst als gevolg van de verwerking.

Een DPIA hoeft niet uitgevoerd te worden als (Groep gegevensbescherming artikel 29, 2017d, pp. 15-16):

  1. de verwerking geen hoog risico vormt voor de betrokkene;
  2. er al een DPIA is uitgevoerd voor een vergelijkbare verwerking;
  3. de verwerking al door de toezichthoudende autoriteit zijn gecontroleerd;
  4. als de verwerking een rechtsgrond heeft en al een DPIA is uitgevoerd voor die rechtsgrond;
  5. de verwerking valt onder de, door de toezichthouder opgestelde uitzonderingen.

Een DPIA bevat volgens artikel 35 lid 7 ten minste:

  1. een beschrijving van de verwerking en de doeleinden en indien van toepassing, de gerechtvaardigde belangen;
  2. de noodzaak en de evenredigheid van de verwerking met betrekking tot de doeleinden;
  3. de risico’s voor rechten en vrijheden van betrokkenen;
  4. de maatregelen om de risico’s te mitigeren.

De verwerkingsverantwoordelijke vraagt de mening van betrokkenen of vertegenwoordiger van betrokkenen, over de verwerking, Met name over de commerciële of algemene belangen of de beveiliging van de verwerking (art. 35 lid 9).

Hoewel het uitvoeren van DPIA’s geen taak is van de functionaris voor gegevensbescherming, dient het advies van een eventuele functionaris voor gegevensbescherming ingewilligd te worden, voordat de DPIA wordt uitgevoerd.

Wanneer blijkt dat een verwerking een hoog risico vormt voor betrokkenen, dient de verwerkingsverantwoordelijke maatregelen te treffen om dit risico te mitigeren tot een aanvaardbaar niveau. Wanneer de risico’s onvoldoende gemitigeerd kunnen worden, dient de verwerkingsverantwoordelijke de toezichthoudende autoriteit te raadplegen. De toezichthoudende autoriteit geeft binnen 8 weken schriftelijk advies over het verzoek. De verwerking mag niet uitgevoerd worden, totdat de toezichthoudende autoriteit hiervoor toestemming heeft gegeven.

Bij voorafgaande raadpleging moet de volgende informatie aan de toezichthoudende autoriteit verstrekt worden (art. 36 lid 3):

  1. verantwoordelijkheden van de verwerkingsverantwoordelijke en verwerkers;
  2. de doeleinden en middelen van de van de verwerking;
  3. getroffen maatregelen en waarborgen;
  4. contactgegevens van de functionaris voor gegevensbescherming;
  5. de DPIA;
  6. alle andere informatie waar de toezichthoudende autoriteit om verzoekt.

In het schema in bijlage 3 is beschreven wanneer DPIA’s uitgevoerd moeten worden en wanneer voorafgaande raadpleging verplicht is.

1.11.      Functionaris voor gegevensbescherming

Een functionaris voor gegevensbescherming is de onafhankelijke interne toezichthouder binnen de organisatie op de naleving van de AVG. Hieronder staat beschreven wanneer een organisatie verplicht is om een FG aan te stellen, wat diens positie is en welke taken een FG heeft.

Indien een FG niet verplicht is, kan een organisatie ervoor kiezen om vrijwillig een FG in dienst te nemen. Een vrijwillig aangestelde FG heeft zich echter aan dezelfde voorwaarden te houden als een verplicht aangestelde FG. Daarom kan het praktischer zijn om een aantal taken van de FG onder te brengen bij een medewerker of adviseur met een andere functienaam. Wanneer een organisatie hiervoor kiest, is het van belang dat zowel intern als extern gecommuniceerd wordt dat deze medewerker of adviseur geen FG is (Groep gegevensbescherming artikel 29, 2017a, p. 7). In artikel 37 lid 6 staat dat de FG een medewerker van de verwerkingsverantwoordelijke kan zijn, maar dat een externe, ingehuurde FG ook mogelijk is.

In verband met de verantwoordingsplicht uit artikel 5, raadt de WP29 aan de interne analyse te documenteren die werd uitgevoerd om te bepalen of een FG aangesteld dient te worden (Groep gegevensbescherming artikel 29, 2017a, p. 7).

1.11.1.  Wanneer is een FG verplicht?

Volgens artikel 37 lid 1 is een organisatie verplicht om een FG aan te stellen, indien deze voldoet aan ten minste een van de onderstaande factoren.

  • De verwerking wordt verricht door een overheidsinstantie of een overheidsorgaan.
  • De verwerkingsverantwoordelijke of verwerker is hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkene vereisen.
  • De verantwoordelijke of de verwerker is hoofdzakelijk belast met het op grote schaal verwerken van bijzondere- of strafrechtelijke persoonsgegevens.

Bovenstaande voorwaarden roepen drie vragen op, door het gebruik van enkele vage begrippen, namelijk “hoofdzakelijk belast”, “regelmatige en stelselmatige observatie” en “op grote schaal”. Voor opheldering over deze vragen zijn de richtsnoeren van de Groep gegevensbescherming artikel 29 (2017a) geraadpleegd.

‘Hoofdzakelijk belast’ omvat “de belangrijkste handelingen die nodig zijn om de doelstellingen van de verwerkingsverantwoordelijke of de verwerker te bereiken” (Groep gegevensbescherming artikel 29, 2017a, p. 8), als ook de handelingen die daar onlosmakelijke mee verbonden zijn. Er bestaat echter een grijs gebied. Zo wordt er gesproken van hoofdzakelijke belasting bij een ziekenhuis die medische dossiers bijhoudt voor de behandeling van patiënten, terwijl de salarisadministratie van een productiebedrijf eerder beschouwd wordt als nevenfunctie. Toch is de salarisadministratie noodzakelijk voor het bereiken van de doelstelling, omdat er geen productiemedewerkers zijn als ze geen salaris ontvangen (Groep gegevensbescherming artikel 29, 2017a, pp. 8-9).

In de AVG wordt niet gedefinieerd wanneer sprake is van ‘regelmatige en stelselmatige observatie’. Wel wordt het concept van ‘controle van het gedrag van betrokkenen’ beschreven in overweging 24. Hieruit kan worden geconcludeerd dat deze term alle vormen van volgen, opsporing en profilering op het internet omvat. Denk hierbij aan lokalisering door GPS, profilering voor het bepalen van verzekeringspremies, klantenkaarten, controleren van gezondheid door draagbare apparaten, beveiligingscamera’s en slimme meters.

Ook de term ‘op grote schaal’ wordt in de AVG niet gedefinieerd. De verwachting van de WP29 is dat dit na verloop van tijd duidelijker gekwantificeerd zal worden. Zij willen daar ook een bijdrage aan leveren, door drempelwaarden uit praktijkvoorbeelden te delen (Groep gegevensbescherming artikel 29, 2017a, p. 9).

Voor het bepalen of de verwerking al dan niet op grote schaal wordt uitgevoerd, beveelt de WP29 aan om de volgende factoren in acht te nemen (Groep gegevensbescherming artikel 29, 2017a, p. 9):

  • Het aantal betrokkenen waarover het gaat – hetzij als een specifiek aantal of als een evenredig deel van de relevante populatie
  • De hoeveelheid gegevens en/of het bereik van de verschillende verwerkte gegevensitems
  • De duur of permanentie van de gegevensverwerking
  • De geografische omvang van de verwerkingsactiviteit

1.11.2.  Positie van de FG

In artikel 38 wordt de positie van de FG beschreven. Volgens dit artikel moet de FG “naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met bescherming van persoonsgegevens” (lid 1).

De verantwoordelijke en verwerker verschaffen de FG toegang tot persoonsgegevens en verwerkingsactiviteiten en andere benodigde middelen, voor het vervullen van zijn taken en zijn deskundigheid in stand te houden (lid 2).

De FG moet onafhankelijk zijn en mag daarom geen instructies krijgen over zijn taken als FG van een verantwoordelijke of verwerker. Ook kan de FG niet door hen ontslagen of gestraft worden voor de uitvoering van zijn taken. De FG brengt rechtstreeks verslag uit aan de hoogte leidinggevende (lid 3).

De FG fungeert daarnaast als contactpersoon voor betrokkenen over alles wat met de verwerking van hun persoonsgegevens te maken heeft en over hun rechten volgens de AVG (lid 4).

De FG is verplicht tot geheimhouding of vertrouwelijkheid (lid 5). Dit verhindert volgens (Groep gegevensbescherming artikel 29 (2017a, p. 22) niet dat de FG contact op mag nemen met de Autoriteit Persoonsgegevens en haar om advies mag vragen.

De FG mag andere taken binnen de organisatie vervullen, maar hierbij moet rekening gehouden worden dat er in dat geval geen sprake is van een belangenconflict (lid 6). “Dit houdt met name in dat de functionaris voor gegevensbescherming binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen” (Groep gegevensbescherming artikel 29, 2017a, p. 20).

1.11.3.  Taken van de FG

In artikel 39 lid a t/m e staan de taken van de FG beschreven:

  1. de verantwoordelijke of de verwerker en betrokken werknemers informeren en adviseren over hun verplichtingen volgens de AVG en andere relevante wetgeving, bijvoorbeeld de Uitvoeringswet AVG;
  2. toezien op de naleving van de AVG, andere relevante wetgeving en het privacybeleid, met inbegrip van toewijzen van verantwoordelijkheden, bewustmaking en opleiding van betrokken personeel;
  3. adviseren over DPIA’s en toezien op de uitvoering ervan;
  4. samenwerken met de toezichthoudende autoriteit, voor Nederland de Autoriteit Persoonsgegevens;
  5. optreden als contactpunt voor de toezichthoudende autoriteit.

 

1.12.      Toezicht, handhaving en sancties

Artikel 51 stelt dat per lidstaat één of meerdere onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van de verordening. In Nederland is dit de Autoriteit Persoonsgegevens. De meeste lidstaten hebben één nationale toezichthouder. Duitsland en Spanje hebben ook toezichthouders op regionaal niveau (Schermer et al., 2018, p. 88). Iedere lidstaat dient voldoende middelen ter beschikking te stellen, zodat de toezichthoudende autoriteit haar haar taken en bevoegdheden effectief kan uitoefenen (art. 52 lid 4).

1.12.1.  Taken van toezichthouders

De belangrijkste taak van elke toezichthouder is het monitoren en handhaven van de toepassing van de Verordening. Dit kan zij doen door middel van verkennend onderzoek naar bijvoorbeeld de omgang met persoonsgegevens binnen een bepaalde sector of door middel van gericht onderzoek bij één of meerdere verwerkingsverantwoordelijken en/of verwerkers. De toezichthouder kan zelf initiatief nemen of voor een dergelijk onderzoek of een onderzoek uitvoeren naar aanleiding van een klacht (Vermissen et al., 2017, p. 89).

Een andere taak van de toezichthouder is om organisaties bekend te maken met hun verplichtingen uit hoofde van de AVG, het privacybewustzijn van het brede publiek te bevorderen en te adviseren over de wetgeving en beleid op dit terrein (Schermer et al., 2018, p. 90; Vermissen et al., 2017, pp. 89 – 90).

1.12.2.  Bevoegdheden van toezichthouders

Toezichthouders zijn bevoegd om controles te verrichten, waarbij ze alle benodigde informatie en relevante persoonsgegevens mogen vorderen. Daarnaast is de toezichthouder bevoegd om toegang te krijgen tot alle bedrijfsruimten van de verantwoordelijke en de verwerker, waaronder alle uitrusting en middelen voor gegevensverwerking (art. 58 lid 1). Daarnaast hebben toezichthouders de bevoegdheid om sancties op te leggen. Meer hierover leest u in de volgende sub paragraaf.

1.12.3.  Sancties

Wanneer uit een onderzoek ter controle blijkt dat de verantwoordelijke of verwerker privacyregels overtreedt, heeft de toezichthouder de bevoegdheid om een van de volgende sancties op te leggen (Vermissen et al., 2017, p. 90):

  1. een waarschuwing of berisping;
  2. een boete;
  3. opdragen dat:
    • de overtreding op een specifieke manier en binnen de specifieke termijn wordt opgelost;
    • een verzoek van een betrokkene wordt ingewilligd;
    • betrokkenen worden geïnformeerd over de overtreding.
  4. de verwerking tijdelijk of definitief beperken of verbieden;
  5. de privacycertificering intrekken.

De Verordening beschrijft in artikel 83 lid 4 en lid 5 twee categorieën boetes. Boetes in de hoogste categorie kunnen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, indien dit cijfer hoger is. Boetes in de laagste categorie kunnen oplopen tot 10 miljoen 2% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, indien dit cijfer hoger is. “Bij een concern gaat het dan om de jaaromzet van de specifieke onderneming binnen het concern waar de overtreding is begaan, niet per se om de hele groep.” (Vermissen et al., 2017, p. 91)

1.12.4.  One stop shop

Om te zorgen voor een consistente interpretatie van de AVG, moeten de toezichthouders van de verschillende lidstaten met elkaar samenwerken. Wanneer een organisatie vestigingen heeft in meerdere lidstaten of gegevens verwerkt van personen die gevestigd zijn in een andere lidstaat, heeft de organisatie volgens het zogenoemde één-loket-mechanisme (beter bekend als ‘one stop shop’) te maken met één leidende autoriteit, namelijk de toezichthoudende autoriteit van de lidstaat waarin de hoofdvestiging zich bevindt (Schermer et al., 2018, p. 89).

“Wanneer de verwerking wordt uitgevoerd door een concern met hoofdkantoor in de EU, wordt ervan uitgegaan dat de vestiging binnen deze groep die voor het algemeen beheer instaat, ook de locatie is waar de beslissingen met betrekking tot de verwerking van persoonsgegevens worden genomen. Deze vestiging zal dan ook als de hoofdvestiging voor de groep worden beschouwd, tenzij wanneer beslissingen over de doelstellingen van en de middelen voor de verwerking door een andere vestiging worden genomen.” (Groep gegevensbescherming artikel 29, 2017a, p. 9). De one stop shop regel geldt dus wel voor concerns, terwijl de hoogte van de boetes afhankelijk is van de omzet van de specifieke onderneming binnen het concern.

1.12.5.  Het Europese Comité voor de gegevensbescherming

Het Europese Comité voor de gegevensbescherming bestaat uit de voorzitters van de toezichthouders van de lidstaten en de Europese toezichthouder, European Data Protection Supervisor (EDPS) (Schermer et al., 2018, p. 89). Het Europese Comité voor de gegevensbescherming is de vervanger van de huidige Artikel 29-werkgroep (art. 94 lid 2). De taak van dit comité is het toezien op een uniforme toepassing van de AVG tussen de verschillende lidstaten, door middel van adviezen, richtsnoeren, aanbevelingen en best practices (Schermer et al., 2018, p. 89). Wanneer een geschil optreedt tussen toezichthouders uit verschillende landen, wordt een dergelijk geschil opgeschaald naar het Europese Comité voor de gegevensbescherming.

 

1.13.      Doorgiften naar buiten de EU

In artikel 44 – 50 beschrijft de Verordening de “doorgiften van persoonsgegevens aan derde landen of internationale organisaties.” Als gevolg van globalisering en het internet is er steeds vaker sprake van doorgiften van gegevens naar landen buiten de Europese Unie. Een doorgifte wordt ook gezien als een verwerking. Volgens de Verordening is dit alleen toegestaan “als het door de Verordening geboden beschermingsniveau niet wordt ondermijnd.” (Schermer et al., 2018, p. 84) Doorgiften aan derde landen zijn uitsluitend toegestaan indien deze adequaat zijn bevonden, als er passende waarborgen worden toegepast of als een van de generieke uitzonderingen van toepassing is.

1.13.1.  Adequaatheidsbeslissing

De Europese Commissie heeft een lijst opgesteld met landen die een adequaat niveau van gegevensbescherming hanteren. Dat wil zeggen dat het niveau gelijk is aan dat van de Verordening. Doorgiften naar deze landen is toegestaan, mits aan alle overige regels van de AVG is voldaan (Vermissen et al., 2017, p. 83). Een adequaatheidsbeslissing kan, behalve voor landen, ook gelden voor sectoren of regio’s.

1.13.2.  Passende waarborgen

Hieronder staat een viertal maatregelen beschreven die contractpartijen volgens artikel 46 lid 2 kunnen nemen om een voldoende hoog gegevensbeschermingsniveau te bieden (Schermer et al., 2018, p. 85; Vermissen et al., 2017, p. 85).

  1. Publieke organisaties kunnen ook gebruik maken van juridisch bindende afspraken, zoals een overeenkomst of verdrag. (sub a).
  2. Internationale concerns kunnen bindende bedrijfsvoorschriften vastleggen (sub b).
  3. Er kan gekozen worden om standaard contractbepalingen te hanteren, welke door de Europese Commissie of de toezichthouder zijn vastgesteld. Hiermee kunnen de contractpartijen een passend beschermingsniveau borgen (sub c & d).
  4. Een andere passende maatregel is het gebruiken van een goedgekeurde gedragscode (sub e) of via een privacycertificering (sub f).

1.13.3.  Bindende bedrijfsvoorschriften

Bindende bedrijfsvoorschriften, beter bekend als Binding Corporate Rules (BCRs), zijn privacygedragscodes die een internationaal concern zichzelf op kan leggen. Deze BCRs dienen juridisch bindend en handhaafbaar te zijn voor alle ondernemingen binnen een concern (art. 47 lid 1 sub a). Daarnaast moeten BCRs volgens artikel 47 lid 1 sub b “betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens”.

In artikel 47 lid 2 staan veertien elementen die ten minste in de BCRs moeten worden vastgelegd.

1.13.4.  Generieke uitzonderingen

Als geen van de bovenstaande opties toepasbaar zijn, bestaat er volgens artikel 49 lid 1 een zevental uitzonderingen om toch persoonsgegevens te mogen uitwisselen met landen buiten de EU. Zelfs als geen van deze uitzonderingen van toepassing zijn, kunnen doorgiftes volgens de laatste alinea van artikel 49 lid 1 toegestaan zijn als de doorgifte:

  • niet repetitief is;
  • een beperkt aantal betrokkenen betreft;
  • noodzakelijk is voor dwingend gerechtvaardigd belang dat zwaarder weegt dan het belang van de betrokkene;
  • alle risico’s van de doorgifte zijn beoordeeld en passende maatregelen zijn genomen;
  • aan de leidende toezichthouder wordt gemeld;
  • aan de betrokkene wordt gemeld, inclusief het belang van de doorgifte.

 

1.14.      Gedragscodes en certificering

1.14.1.  Gedragscodes

Artikel 40 van de AVG bevordert het opstellen van gedragscodes. In een gedragscode, welke wordt opgesteld door vertegenwoordigers van een bepaalde sector, staan regels over de omgang met persoonsgegevens. Organisaties binnen de branche kunnen zich aansluiten bij de gedragscode (Autoriteit Persoonsgegevens, z.d.-k).

Een gedragscode moet goedgekeurd worden door de Autoriteit Persoonsgegevens. De AP keurt een gedragscode goed als deze in overeenstemming is met de AVG, als deze voldoende passende waarborgen biedt en als deze concreter is dan de AVG (Autoriteit Persoonsgegevens, z.d.-k).

1.14.2.  Certificering

Artikel 42 van de AVG stimuleert het opstellen van certificeringsmechanismen, waarmee een organisatie kan aantonen dat zij handelt in overeenstemming met de AVG, ongeacht of de organisatie verwerkingsverantwoordelijke of verwerker is. Certificeringen kunnen worden afgegeven door certificeringsorganen, de toezichthouder of door het Comité (WP29) voor Europese certificeringen.

 

Biblliografie

Autoriteit Persoonsgegevens. (z.d.-a). Algemene informatie AVG. Geraadpleegd op 10 januari 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

Autoriteit Persoonsgegevens. (z.d.-b). Wat zijn persoonsgegevens? Geraadpleegd op 7 februari 2018, van https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens

Autoriteit Persoonsgegevens. (z.d.-c). Mag u persoonsgegevens verwerken? Geraadpleegd op 7 februari 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken

Autoriteit Persoonsgegevens. (z.d.-d). Rechten van betrokkenen. Geraadpleegd op 5 februari 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen

Autoriteit Persoonsgegevens. (z.d.-e). Verantwoordingsplicht. Geraadpleegd op 8 februari 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht

Autoriteit Persoonsgegevens. (z.d.-f). Big data en profiling. Geraadpleegd op 8 februari 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling

Autoriteit Persoonsgegevens. (z.d.-g). Artikel 29-werkgroep. Geraadpleegd op 26 maart 2018, van https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/internationale-samenwerking/artikel-29-werkgroep

Autoriteit Persoonsgegevens. (z.d.-h). Compliance check. Geraadpleegd op 12 maart 2018, van https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/compliance-check

Autoriteit Persoonsgegevens. (z.d.-i). Sollicitaties. Geraadpleegd op 30 april 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/sollicitaties

Autoriteit Persoonsgegevens. (z.d.-j). Beveiliging van persoonsgegevens. Geraadpleegd op 22 april 2018, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens

Autoriteit Persoonsgegevens. (z.d.-k). Gedragscodes. Geraadpleegd op 22 mei 2018, van https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gedragscodes

Centrum informatiebeveiliging en privacybescherming (CIP). (z.d.-a). Over CIP. Geraadpleegd op 12 maart 2018, van https://www.cip-overheid.nl/over-cip/

Centrum informatiebeveiliging en privacybescherming (CIP). (z.d.-b). Kennispartners. Geraadpleegd op 26 maart 2018, van https://www.cip-overheid.nl/kennispartners/

Centrum informatiebeveiliging en privacybescherming (CIP). (z.d.-c). Participanten. Geraadpleegd op 26 maart 2018, van https://www.cip-overheid.nl/participanten/

Centrum informatiebeveiliging en privacybescherming (CIP). (z.d.-d). Gegevensbescherming. Geraadpleegd op 12 maart 2018, van     https://www.cip-overheid.nl/category/producten/gegevens-bescherming/

Centrum informatiebeveiliging en privacy (CIP). (z.d.-e). Privacy Self Assessment (PriSA) v3.4. Geraadpleegd op 5 maart 2018, van http://www.cip-overheid.nl/wp-content/uploads/2018/04/CIP-PriSA-individueel-v3_5_leeg.xlsx

Centrum informatiebeveiliging en privacy (CIP). (z.d.-f). Self assessment tool privacy volwassenheid (PriSA) – management toelichting. Geraadpleegd op 5 maart 2018, van http://www.cip-overheid.nl/wp-content/uploads/2018/04/PriSa-management-en-workshop-informatie-v3.pdf

Centrum informatiebeveiliging en privacy (CIP). (z.d.-g). PriSA toelichting voor de gebruiker. Geraadpleegd op 5 maart 2018, van http://www.cip-overheid.nl/wp-content/uploads/2018/04/PriSA-gebruikers-toelichting-Indiv-v3.pdf

De Heer, J., & Ridderbeekx, E. (2018, 1 mei). NOREA Guide Privacy Control Framework. Geraadpleegd op 1 mei 2018, van https://www.norea.nl/download/?id=4160

De Vries, H., Gerrits, I., Damen, E., Ter Wal, P., Beem, E., & Recourt, P. (2018). Privacy Proof HR: De handleiding om privacy binnen uw organisatie te waarborgen. Bussum, Nederland: Gezond in Bedrijf.

Dumas, M. (2018, 10 oktober). Fundamentals of Business Process Management: A Quick Introduction to Value-Driven Process Thinking. Geraadpleegd op 17 mei 2018, van https://www.slideshare.net/MarlonDumas/fundamentals-of-business-process-management-a-quick-introduction-to-valuedriven-process-thinking

Groep gegevensbescherming artikel 29. (2017a). Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) (wp243). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Groep gegevensbescherming artikel 29. (2017b). Richtlijnen inzake het recht op gegevensoverdraagbaarheid (wp242). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233

Groep gegevensbescherming artikel 29. (2017c). Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker (wp244). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235

Groep gegevensbescherming artikel 29. (2017d). Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679 (wp248). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

Groep gegevensbescherming artikel 29. (2017e). Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (wp253). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611237

Groep gegevensbescherming artikel 29. (2017f). Guidelines on Personal data breach notification under Regulation 2016/679 (wp250). Geraadpleegd van http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052

Het Europees Parlement, & De Raad van de Europese Unie. (2016). Verordening (EU) 2016/679. Geraadpleegd van http://eur-lex.europa.eu/eli/reg/2016/679/oj

Kartner, F. (2017, 20 juli). Voor- en nadelen van een interne of externe functionaris gegevensbescherming. Geraadpleegd op 14 februari 2018, van https://ictrecht.nl/2017/06/20/voordelen-nadelen-interne-externe-functionaris-gegevensbescherming/

Koers, M., De Bruijn, R., Bekker, G., & CIP-domeingroep Privacy. (2017, 2 november). Grip op Privacy: Privacy Volwassenheidsmodel. Geraadpleegd op 12 maart 2018, van https://www.cip-overheid.nl/wp-content/uploads/2018/01/20171102-Privacy-Volwassenheidsmodel-v3_0_9.pdf

Koers, M., Werkgroep PB2AVG, Domeingroep Privacy, De Bruijn, R., & Breeman, J. (2017, 16 oktober). Grip op Privacy: de Privacy Baseline. Geraadpleegd op 12 maart 2018, van https://www.cip-overheid.nl/wp-content/uploads/2018/03/20171030-Privacy-Baseline-v3_1.pdf

Ministerie van Justitie en Veiligheid. (2017). AVG@JenV: Privacy Dashboard: 6 KPI’s en Aandachtspunten. Geraadpleegd van https://www.rijksoverheid.nl/documenten/publicaties/2017/07/24/privacy-dashboard

Nederlands Normalisatie-instituut (NEN). (z.d.). NEN, normalisatie en normen. Geraadpleegd op 29 maart 2018, van https://www.nen.nl/Over-NEN.htm

Nederlands Normalisatie-instituut (NEN). (2012, januari). NEN-ISO/IEC 29100 (en). Geraadpleegd op 29 maart 2018, van https://www.nen.nl/NEN-Shop/Norm/NENISOIEC-291002012-en.htm

Nederlandse Overheid Referentie Architectuur (NORA). (2018, 5 april). SIVA-methode. Geraadpleegd op 23 april 2018, van https://www.noraonline.nl/wiki/SIVA-methode

Pandit, H., O’Sullivan, D., & Lewis, D. (2018). GDPR Data Interoperability Model. Geraadpleegd van http://harshp-media.s3.amazonaws.com/research/publications/2018_conference_GDPR_data_interoperability_model.pdf

Privacy Management Partners, & Key2Control. (2017). Grip op de AVG: Werkboek. Deventer, Nederland: Wolters-Kluwer.

Priviteers. (z.d.). [Homepage]. Geraadpleegd op 2 april 2018, van https://privit8.nl/

Ridderbeekx, E. (2017, 22 november). Naar een nieuw Privacy Control Framework (PCF). Geraadpleegd op 8 maart 2018, van https://www.norea.nl/download/?id=3653

Rijksoverheid. (z.d.). Nederlands Normalisatie Instituut (NEN). Geraadpleegd op 29 maart 2018, van https://www.rijksoverheid.nl/contact/contactgids/nederlands-normalisatie-instituut-nen

Rijksoverheid. (2018, 29 maart). [Rijks ICT-dashboard/Projecten/AVG]. Geraadpleegd op 12 mei 2018, van https://www.rijksictdashboard.nl/projecten/493791

Riskworld. (2015, 7 augustus). Risicomatrix en risico heatmaps. Geraadpleegd op 3 april 2018, van https://riskworld.nl/kennis/methoden-technieken/risicomatrix-risico-heatmaps

Schermer, B. W., Hagenauw, D., & Falot, N. (2018). Handleiding Algemene verordening gegevensbescherming (AVG). Geraadpleegd van https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

Siemers, K. (2017a, 19 juli). De AVG in Beeld: het BSN. Geraadpleegd op 7 februari 2018, van https://www.pmpartners.nl/bsn/

Siemers, K. (2017b, 8 juni). De AVG in Beeld: Recht van inzage. Geraadpleegd op 14 maart 2018, van https://www.pmpartners.nl/recht-op-inzage/

Smile. (z.d.). Online software voor grip op privacy. Geraadpleegd op 7 april 2018, van https://www.smile.nl/software/privacy-suite/tarieven-privacy-suite/

Talen, R. (2017, 31 oktober). De positie en plichten van de verwerker onder de AVG. Geraadpleegd op 15 februari 2018, van https://ictrecht.nl/2017/10/31/de-positie-en-plichten-van-de-verwerker-onder-de-avg/

Tewarie, W. (2015, 5 oktober). SIVA-methode voor de ontwikkeling van auditreferentiekaders. Geraadpleegd op 23 april 2018, van https://isaca.nl/dmdocument/Presentatie%20SIVA%20en%20toepassingen%20ISACA%20Roudtable%20(5okt)%20def%20(ToJos%20Maas).pdf

Van den Ende, D. (2018, 16 februari). De e-Privacy Verordening, een korte update. Geraadpleegd op 29 mei 2018, van De e-Privacy Verordening, een korte update

Vermissen, K., Terstegge, J., & Krijgsman, N. (2017). Grip op de AVG: De nieuwe privacywet voor niet-juristen. Deventer, Nederland: Wolters Kluwer.