Er zijn veel wetten die zien op de bescherming van de privacy. De belangrijkste privacywetten zijn de volgende:
- Algemene verordening gegevensbescherming (AVG);
- Uitvoeringswet Algemene verordening gegevensbescherming (UAVG);
- Wet politiegegevens (Wpg);
- Wet justitiële en strafvorderlijke gegevens (Wjsg);
- Kieswet;
- Wet basisregistratie personen (Wet BRP);
– Cookiewet.
Wat is de Algemene verordening gegevensbescherming?
In de AVG staan regels met betrekking tot het verwerken van persoonsgegevens. De AVG is een Europese verordening en staat binnen Europa bekend als de General Data Protection Regulation (GDPR). De AVG geldt voor overheidsinstellingen, niet-gouvernementele organisatie (ngo’s) en bedrijven die persoonsgegevens verwerken en bijhouden. De AVG heeft als doelen het beschermen van persoonsgegevens en het waarborgen van het vrije verkeer van gegevens.
Wat zijn persoonsgegevens?
In de AVG is bepaald dat persoonsgegevens alle gegevens zijn die betrekking hebben op de identiteit van een persoon of herleid kan worden tot de identiteit van een persoon. De informatie moet direct over de natuurlijke persoon gaan of naar deze persoon te zijn herleiden. Voorbeelden van persoonsgegevens zijn:
- voor- en achternamen;
- adres;
- geboortedatum;
- rijbewijs, paspoort, ID-kaart (of kopieën ervan);
- rekeningnummers (of kopie van bankpas);
- e-mailadressen;
- telefoonnummers;
- vingerafdrukken.
Gegevens van bedrijven, zoals de naam en het adres van een bedrijf, vallen niet onder de AVG.
Wat zijn bijzondere persoonsgegevens?
De wet kent ook zogenoemde bijzondere persoonsgegevens. Deze bijzondere persoonsgegevens worden door de wet extra beschermd en mogen alleen verwerkt worden als hier een wettelijke uitzondering voor is. Voorbeelden van bijzondere persoonsgegevens zijn:
- ras of etnische afkomst;
- politieke opvattingen;
- religieuze of levensbeschouwelijke overtuigingen;
- lidmaatschap van een vakbond;
- gezondheid;
- seksuele voorkeur en seksueel gedrag;
- genetische gegevens;
- biometrische gegevens.
Een voorbeeld van een wettelijke uitzondering om toch bijzondere persoonsgegevens te verwerken is wanneer de betrokken persoon uitdrukkelijk toestemming heeft gegeven om deze gegevens te verwerken.
Wat zijn strafrechtelijke persoonsgegevens?
Strafrechtelijke persoonsgegevens geven informatie over het strafrechtelijke verleden van iemand. Deze strafrechtelijke persoonsgegevens worden, net als de bijzondere persoonsgegevens, door de wet extra beschermd. In principe is het verboden om deze persoonsgegevens te verwerken, tenzij er een uitzondering is.
Voorbeelden van strafrechtelijke persoonsgegevens zijn:
- strafrechtelijke veroordelingen;
- aan iemand opgelegde veiligheidsmaatregelen in verband met strafrechtelijke feiten;
- strafrechtelijke feiten waarvan iemand wordt verdacht;
- aan iemand opgelegd verbod in verband met hinderlijk gedrag van die persoon.
Het verbod op het verwerken van strafrechtelijke persoonsgegevens is strenger dan het verbod op het verwerken van bijzondere persoonsgegevens. Strafrechtelijke persoonsgegevens mogen alleen worden verwerkt onder toezicht van de overheid.
Wat wordt verstaan onder het verwerken van persoonsgegevens?
Onder het verwerken van persoonsgegevens wordt onder andere het volgende verstaan:
- ordenen;
- vastleggen;
- verzamelen;
- opslaan;
- structureren;
- bijwerken of wijzigen;
- raadplegen;
- opvragen;
- gebruiken;
- verspreiden of op een andere manier ter beschikking stellen;
- verstrekken door middel van doorzending;
- combineren;
- wissen of vernietigen;
- afschermen.
Het begrip verwerken van persoonsgegevens wordt dus ontzettend ruim opgevat. Concrete voorbeelden van het verwerken van persoonsgegevens zijn het beheren van personeelsbestanden en het versnipperen van een kopie van een identiteitsbewijs.
Het verwerken van persoonsgegevens voor persoonlijk gebruik, denk hierbij aan het bijhouden van adressen van je familie, valt niet onder de AVG.
Wat regelt de Algemene verordening gegevensbescherming?
In de AVG staan zes grondslagen op basis waarvan persoonsgegevens mogen worden verzameld:
- De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens;
- De verwerking van de persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst;
- Degene die de persoonsgegevens moet verwerken is daartoe wettelijk verplicht;
- De verwerking van de persoonsgegevens is noodzakelijk om vitale belangen te beschermen;
- De verwerking van de persoonsgegevens is noodzakelijk in het kader van het algemene belang of de uitoefening van het openbaar gezag;
- De verwerking van de persoonsgegevens is noodzakelijk om gerechtvaardigde belangen te behartigen.
Daarnaast zijn in de AVG ook nog zes rechten opgenomen van personen wiens persoonsgegevens worden verwerkt. Dit zijn de volgende rechten:
- Recht op inzage; jij mag een kopie opvragen van de persoonsgegevens die een bepaald bedrijf verwerkt.
- Recht op vergetelheid; in sommige situaties heb je het recht op het wissen van jouw persoonsgegevens. Denk hierbij aan situaties waarin de organisatie jouw gegevens niet meer nodig heeft of wanneer jij jouw toestemming om jouw persoonsgegevens te verwerken, hebt ingetrokken.
- Recht op rectificatie en aanvulling; jij hebt het recht om jouw gegevens te (laten) wijzigen of aan te vullen.
- Recht op overdracht; jij hebt het recht om jouw persoonsgegevens over te dragen aan een andere partij.
- Recht op bezwaar; jij mag bezwaar maken tegen het gebruiken van je persoonsgegevens.
- Recht op duidelijke informatie; het moet voor jou duidelijk zijn hoe en welke persoonsgegevens worden verwerkt.
Welke verplichtingen hebben organisaties die persoonsgegevens verwerken?
Organisaties die persoonsgegevens verwerken moeten (kunnen) aantonen dat zij voldoen aan de privacyregels. Zij hebben een verantwoordingsplicht. Hierbij zijn enkele verplichte maatregelen van belang:
- Het bijhouden van een verwerkingsregister;
- Het bijhouden van een register met datalekken;
- Het kunnen aantonen dat door de betrokkene toestemming is gegeven voor gegevensverwerking;
- Het uitvoeren van een Data Protection Impact Assessment bij het verwerken van persoonsgegevens met een hoog risico;
- Het onderbouwen waarom wel of niet is gekozen voor een functionaris gegevensbescherming.
Daarnaast wordt bedrijven onder andere aangeraden om een gedragscode te schrijven en een ICT-beleid omtrent persoonsgegevens in te stellen, maar dit is niet verplicht.
Wat is een functionaris gegevensbescherming?
Een functionaris gegevensbescherming kan worden aangesteld binnen een organisatie om toezicht te houden om de naleving van de AVG binnen deze organisatie. Dit toezicht moet wel op een onafhankelijke manier gebeuren.
Wat regelt de Uitvoeringswet Algemene verordening gegevensbescherming?
De Algemene verordening gegevensbescherming (AVG) is een Europese verordening. Deze verordening heeft rechtstreekse werking in de landen die lid zijn bij de Europese Unie. De rechtstreekse werking van de verordening houdt in dat de regels van de verordening niet omgezet hoeven te worden naar Nederlandse regels. De regels zijn rechtstreeks van toepassing in Nederland. In de AVG is wel op sommige punten ruimte gelaten om keuzes te maken op nationaal niveau. Deze keuzes zijn ingevuld in de Uitvoeringswet Algemene verordening gegevensbescherming.
Voorbeeld: In artikel 51 van de AVG is bepaald dat elk land dat deelneemt aan de verordening een of meer onafhankelijke overheidsinstanties moet instellen die verantwoordelijk zijn voor het toezicht op het toepassen van de AVG. In artikel 6 van de UAVG heeft Nederland vervolgens vastgelegd dat er een Autoriteit persoonsgegevens is die deze taak heeft.
Wat is de Autoriteit persoonsgegevens (AP)?
De Autoriteit persoonsgegevens is de Nederlandse overheidsinstantie die onafhankelijk verantwoordelijk is voor het toezicht op het toepassen van de AVG in Nederland. De AP heeft verschillende taken:
- Toezicht houden op de naleving van de regels die in de AVG staan;
- Afhandelen van klachten over de verwerking van persoonsgegevens;
- Adviseren over nieuwe wet- en regelgeving die gaat over het verwerken van persoonsgegevens;
- Voorlichten over, informatie verstrekken over en verantwoorden van hun bezigheden;
- Samenwerken met andere Europese privacytoezichthouders;
- Waarborgen van de juiste taakvervulling.
Wat regelt de Wet politiegegevens?
De Wet politiegegevens regelt de bescherming en de verwerking van persoonsgegevens door de Nationale Politie, de Koninklijke marechaussee en de Rijksrecherche. De politie gebruikt namelijk allerlei soorten persoonsgegevens om haar taken goed te kunnen uitvoeren. De politie kan deze gegevens gebruiken om bijvoorbeeld daders van strafbare feiten op te sporen.
Wat regelt de Wet justitiële en strafvorderlijke gegevens?
De Wet justitiële en strafvorderlijke gegevens regelt het verwerken van deze gegevens in persoonlijke dossiers en voor de verklaring omtrent gedrag (VOG). Ook justitie maakt namelijk gebruik van persoonsgegevens om daders van strafbare feiten op te sporen, deze te vervolgen en vervolgens de zaken af te doen. Daarnaast worden de persoonsgegevens ook verwerkt door justitie om een VOG al dan niet af te kunnen geven. Een VOG is een officieel document waarin staat dat je geen verleden hebt met justitie of politie dat belangrijk kan zijn voor het werk dat je wil gaan doen.
Wat regelt de Wet basisregistratie personen?
De Wet basisregistratie personen regelt het gebruiken, opnemen, wijzigen en verstrekken van persoonsgegevens van de inwoners van Nederland door bijvoorbeeld gemeenten. In deze wet is bijvoorbeeld geregeld dat de gegevens in de basisregistratie personen (BRP) niet openbaar zijn. Alleen organisaties die een maatschappelijke taak hebben kunnen de nodige gegevens uit de BRP krijgen.
Wat is de basisregistratie personen (BRP)?
De basisregistratie personen bevat persoonsgegevens van alle inwoners van Nederland en van personen die Nederland hebben verlaten. Gemeenten houden deze gegevens bij en passen deze aan als jij bijvoorbeeld trouwt, verhuist of een kind krijgt. De persoonsgegevens die in de BRP staan worden voor altijd bewaard.
Hoe kan ik er voor zorgen dat een organisatie mijn persoonsgegevens niet meer gebruikt?
Je kunt aan een organisatie vragen jouw persoonsgegevens niet meer te gebruiken door het recht van bezwaar. Dit kan in twee situaties, namelijk bij:
- Direct marketing: als je klant bent bij een organisatie mag deze organisatie jou reclamepost sturen zonder dat je daar toestemming voor hebt gegeven. Als je deze post niet wilt ontvangen, kun je hier bezwaar tegen maken.
- Specifieke situatie: je kan ook bezwaar maken tegen het gebruik van jouw persoonsgegevens vanwege jouw bijzondere persoonlijke omstandigheden.
Een organisatie moet jou op tijd wijzen op het feit dat jij het recht hebt om bezwaar te maken.
Een andere optie om te zorgen dat een organisatie jouw persoonsgegevens niet meer gebruikt, is het recht van vergetelheid. In een aantal gevallen kun je de organisatie vragen jouw persoonsgegevens te wissen.
- De gegevens zijn niet meer nodig voor het doel waarvoor de organisatie deze heeft verzameld en/of verwerkt.
- Jij hebt jouw toestemming om je gegevens te gebruiken ingetrokken.
- De organisatie houdt zich niet aan de regels bij het gebruik van jouw gegevens.
- De wettelijk bepaalde bewaartermijn is verlopen.
- Jouw gegevens of die van je kind(eren) zijn via een app of website verzameld toen je jonger was dan 16 jaar.
Je kan de organisatie vragen jouw gegevens te verwijderen door het sturen van een brief. In deze brief moet je duidelijk vermelden dat het om een klacht gaat en waar je het precies niet mee eens bent. Organisaties hebben voor klachten over privacy vaak een speciaal e-mailadres of postadres. Deze kun je vinden in de privacyverklaring van de organisatie. Je kunt een voorbeeldbrief vinden op de website van de Autoriteit persoonsgegevens. Als de organisatie geen gehoor geeft of je komt er niet samen uit, dan kun je een klacht indienen bij de Autoriteit persoonsgegevens.
Hoe dien ik een klacht in als mijn privacy wordt geschonden?
Als je het idee hebt dat jouw privacy is geschonden of dat jouw persoonsgegevens op een verkeerde manier worden verwerkt, kun je een klacht indienen bij de Autoriteit persoonsgegevens. Het is wel belangrijk dat je eerst contact opneemt met de organisatie die jouw persoonsgegevens verwerkt of jouw privacy schendt. Als dat niets oplevert, kun je een klacht indienen bij de Autoriteit persoonsgegevens. Er kan onderscheid worden gemaakt tussen twee soorten klachten:
- Klachten waarbij je de Autoriteit persoonsgegevens informeert over een mogelijke privacyschending; een zogeheten tip.
- Klachten over de verwerking van jouw eigen persoonsgegevens.
Als je twijfelt of je een klacht wil of kan melden bij de Autoriteit persoonsgegevens kun je ook eerst contact opnemen met het Informatie- en Meldpunt Privacy van de Autoriteit persoonsgegevens.
Tip
Je kan een tip geven aan de Autoriteit persoonsgegevens als je het idee hebt dat een organisatie persoonsgegevens op een verkeerde manier verwerkt. De tip kan gaan over je eigen persoonsgegevens of over die van anderen. Je kan een tip anoniem indienen. De tip zal niet leiden tot een individueel onderzoek, maar wordt gebruikt om onderzoeks- en beleidskeuzes te maken.
Klacht
Je kan een klacht indienen bij de Autoriteit persoonsgegevens over jouw eigen persoonsgegevens als je het idee hebt dat jouw persoonsgegevens op een verkeerde manier zijn of worden verwerkt. Je kan alleen een klacht indienen als:
- de klacht over jouw eigen persoonsgegevens gaat of je bent gemachtigd om namens iemand anders een klacht in te dienen;
- je het goed vindt dat de Autoriteit persoonsgegevens jouw gegevens gebruikt om contact op te nemen met de organisatie waarover jouw klacht gaat.
Als je niet aan deze voorwaarden voldoet, kun je geen klacht indienen, maar wel een tip geven.
Eerst klacht indienen bij organisatie zelf
De Autoriteit persoonsgegevens kijkt bij het ontvangen van jouw klacht eerst of je wel een klacht hebt ingediend bij de organisatie zelf. Als je dit niet hebt gedaan, dan behandelt de Autoriteit persoonsgegevens jouw klacht niet. Als de organisatie na vier weken nog niet heeft gereageerd of als je niet tevreden bent met de reactie, dan kun je een klacht indienen bij de Autoriteit persoonsgegevens. Daarnaast moet je bij de klacht ook bewijs meesturen dat je contact heb gehad met de organisatie waarover je een klacht indient. Doe je dit niet, dan neemt de Autoriteit persoonsgegevens jouw klacht niet in behandeling. Als jouw klacht over een besluit van een bestuursorgaan gaat, dan moet je eerst bezwaar maken tegen dit besluit of naar de bestuursrechter gaan om beroep in te stellen. Als er al een juridische procedure loopt, dan neemt de Autoriteit persoonsgegevens jouw klacht meestal ook niet in behandeling.
Klik hier voor het meldingsformulier om een klacht in te dienen.
Wat doet de Autoriteit persoonsgegevens met mijn klacht?
De Autoriteit persoonsgegevens bekijkt alle tips en klachten en beoordeelt deze inhoudelijk. Bij een tip krijg je geen reactie op wat de Autoriteit persoonsgegevens er mee heeft gedaan.
Bij het behandelen van een klacht kijkt de Autoriteit persoonsgegevens wat de beste aanpak is. Dit is afhankelijk van de situatie en hierbij wordt gezocht naar de meest snelle en effectieve oplossing. De Autoriteit persoonsgegevens kan praktisch advies aan jou geven over hoe je het probleem zelf kan oplossen, maar kan bijvoorbeeld ook een waarschuwingsbrief sturen aan de betreffende organisatie.
De Autoriteit persoonsgegevens neemt een klacht niet in behandeling als deze niet onder de AVG valt of als je niet voldoet aan de voorwaarden voor het indienen van een klacht. Daarnaast kan niet elke klacht worden onderzocht en daarom gebruikt de Autoriteit persoonsgegevens criteria om te bepalen welke klachten zij wel en niet onderzoekt en behandelt.
De Autoriteit persoonsgegevens neemt in ieder geval drie maanden na het indienen van je klacht contact met jou op over de voortgang van de behandeling van jouw klacht.
Als je een klacht hebt ingediend over een internationale organisatie dan kan de Autoriteit persoonsgegevens jouw klacht samen met andere Europese toezichthouders behandelen. Dit kan ervoor zorgen dat het langer duurt totdat jouw klacht is afgehandeld.
Cookies worden op websites gebruikt om gegevens op te slaan voor een volgend bezoek aan dezelfde website. Denk hierbij aan het opslaan van jouw inloggegevens. Cookies worden daarnaast ook gebruikt voor andere doeleinden. Wanneer een website jou als gebruiker herkent, worden de eerder verzamelde gegevens van jou bekeken. Op basis daarvan krijg jij gepersonaliseerde advertenties te zien. Er zijn verschillende soorten cookies:
- Noodzakelijke cookies: deze zijn nodig om een website of app goed te laten functioneren. Noodzakelijke cookies worden ook wel functionele of technische cookies genoemd. Voor het gebruik hiervan is geen toestemming van jou nodig. Veel van deze cookies verdwijnen namelijk vanzelf als je de website verlaat.
- Analytische cookies: deze worden gebruikt om bijvoorbeeld bezoekersstatistieken bij te houden. Ook voor deze cookies is geen toestemming nodig, omdat deze vaak weinig tot geen gevolgen hebben voor jouw privacy.
- Tracking cookies: door deze cookies kan jij worden gevolgd en kan een gebruikersprofiel worden opgesteld. Deze cookies hebben wel gevolgen voor jouw privacy en daarom is hiervoor toestemming nodig.
Alleen de website of app die de cookie heeft geplaatst, kan deze lezen.
Wat is de Cookiewet?
Met de Cookiewet is de Telecommunicatiewet gewijzigd. De wet heeft als doel de internetter controle te geven over de cookies. Er is alleen toestemming vereist voor cookies die gevolgen hebben voor jouw privacy. Dit geldt voornamelijk voor tracking cookies: cookies die jou volgen als jij verschillende websites bezoekt. Hierdoor verzamelen websites en apps steeds meer informatie over jou om bijvoorbeeld advertenties te laten zien van producten waar jij eerder naar zocht.
Een website of app moet jou altijd informeren over de cookies die zij gebruikt. Dit geldt ook voor cookies waarvoor jij geen toestemming hoeft te geven. Als jij voor het eerst een website bezoekt, zul jij dus altijd een duidelijke melding krijgen met de vraag of jij wel of geen toestemming geeft voor het gebruik van cookies.
