ISOR/totaaltabel

• De AP houdt een openbaar register bij van FG's.
• Eisen aan de FG:
  • Bereikbaarheid. Een concern kan één FG benoemen, op voorwaarde dat de FG vanuit elke vestiging makkelijk te contacteren is. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan met inachtneming van hun organisatiestructuren en omvang één FG worden aangewezen voor verschillende dergelijke instanties of organen.
  • Voor een of meerdere organisaties. De FG kan optreden voor verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
  • Professionele kwaliteiten. De FG wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. Hij moet bijvoorbeeld over toereikende kennis beschikken van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Hij moet betrouwbaar zijn en het vermogen hebben alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. Hij moet met name de volgende taken kunnen vervullen:
    • Informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken over hun verplichtingen uit hoofde van de AVG en andere wettelijke gegevensbeschermingsbepalingen;
    • Toezien op het naleven van de AVG, van andere wettelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
    • Desgevraagd verstrekken van advies met betrekking tot de DPIA en het toezien op de uitvoering daarvan;
    • Samenwerken met de AP;
    • Optreden als contactpunt voor de AP inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging ten behoeve van de gegevensbeschermingseffectbeoordeling (DPIA - zie PRIV_B.03 Risicomanagement, Privacy by Design en de DPIA) en waar passend, overleg plegen over enige andere aangelegenheid.
    • Naar behoren rekening houden met de aan verwerkingen verbonden risico's en met de aard, de omvang, de context en de verwerkingsdoeleinden.
  • Positie. De FG kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of de taken op grond van een dienstverleningsovereenkomst verrichten. De FG vervult zijn taken in onafhankelijkheid waarbij de verwerkingsverantwoordelijke de FG ondersteunt om de taken naar behoren uit te kunnen voeren. Dit betekent onder meer dat hem daartoe de benodigde menskracht en middelen ter beschikking worden gesteld. De FG geniet ontslagbescherming voor de wijze waarop hij invulling geeft aan de taakuitvoering. De FG is in het algemeen met betrekking tot de uitvoering van zijn taken binnen de geldende wetgeving gehouden tot geheimhouding of vertrouwelijkheid. Hij heeft in het bijzonder ook een geheimhoudingsplicht ten aanzien van hetgeen hem of haar op grond van een klacht of een verzoek van een betrokkene is bekend geworden, tenzij de betrokkene toestemt in bekendmaking^{UAVG Art. 39}.
  • Andere Taken. De FG kan andere taken en plichten vervullen. Deze taken of plichten mogen niet tot een belangenconflict leiden.

Met het begrip 'doorgifte naar landen buiten de EU' wordt gedoeld op het ter kennis brengen van de gegevens aan een persoon of organisatie die zich bevindt buiten de rechtsmacht van een van de landen van de Unie. Het gaat daarbij om:

1. Het gebruik van gegevens binnen concernverband, indien onderdelen van een concern zich binnen en buiten de EU bevinden; bindende bedrijfsvoorschriften zijn dan van toepassing.
2. De verstrekking aan derden die zich buiten de EU bevinden;
3. Het ter beschikking stellen van de gegevens aan derden buiten de EU;
4. Het verzamelen van gegevens door landen buiten de EU.

De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De Avg mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de Avg door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van de Avg valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt^{AVG overweging 19.}.

• Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen^{AVG overweging 34}.
• Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens^{AVG Art. 4 lid 14}.
• Foto's worden niet systematisch beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken^{AVG overweging 51}.

• AVG Art. 87 geeft een grondslag om bij lidstatelijk recht specifieke voorwaarden te stellen aan de verwerking van een nationaal identificatienummer. UAVG Art. 46 regelt het gebruik van wettelijk voorgeschreven nummers. Dit artikel bepaalt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. In feite is dit een kapstokbepaling op basis waarvan in andere wetten invulling kan worden gegeven aan dergelijke nummers.
• De Mvt zegt erover: "Aldus is een afweging op het niveau van de formele wet in beginsel gegarandeerd. Er is met andere woorden voor gekozen om op dit punt geen delegatie door de formele wetgever toe te staan en eventuele andere gebruiksdoeleinden dienen derhalve door de formele wetgever zelf te worden vastgesteld. Wel is het op grond van het tweede lid mogelijk om bij algemene maatregel van bestuur andere gevallen aan te wijzen waarin een persoonsnummer mag worden gebruikt. Ook bestaat hier voor verdere verwerking van een dergelijk nummer dus geen ruimte voor een eigen afweging van de verwerkingsverantwoordelijke." ^{Mvt UAVG toelichting bij Art 46}. En: "Uit een oogpunt van bescherming van de persoonlijke levenssfeer is het noodzakelijk geacht om aan het gebruik van identificatienummers beperkingen te stellen. Vast staat immers dat persoonsnummers de koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen".
• Mvt bij de Gdi, pag. 15, onder Verwerking persoonsgegevens: "Wettelijke grondslag is tenslotte noodzakelijk vanwege het feit, dat in het kader van authenticatie sprake is van de verwerking van persoonsgegevens, waaronder het bsn, door publieke en private partijen". Het wetsvoorstel voorziet in de benoeming van 'bij authenticatie betrokken erkende diensten' die werkzaamheden uitoefenen die verband houden met een veilige en betrouwbare authenticatie in het publieke domein https://www.tweedekamer.nl/kamerstukken/wetsvoorstellen/detail?cfg=wetsvoorsteldetails&qry=wetsvoorstel%3A34972.
• Voor de overheid is het gebruik van een uniek persoonsnummer, het burgerservicenummer (BSN), geregeld in Wabb Art. 10. Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep kunnen doen op Wabb Art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevens met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservicenummer tenzij de deelnemer geen burgerservicenummer heeft.

1. De rechtmatigheid van verwerking door de verwerkingsverantwoordelijke;
2. De types verwerkte gegevens;
3. De betrokkenen;
4. De entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;
5. De doelbinding;
6. De opslagperioden, en:
7. De verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX van de AVG.

• Met betrekking tot onderdelen 3 en 5 geldt dat het Nederlands recht moet beantwoorden aan een doelstelling van algemeen belang en evenredig moet zijn met het nagestreefde gerechtvaardigde doel^{AVG Art. 6}.
• Bij onderdeel 6 is voor de overheid van belang dat dit onderdeel niet geldt voor overheidsinstanties in het kader van de uitoefening van hun taak. Overheidsinstanties zullen bij het uitoefenen van hun taak geen gebruik kunnen maken van de grondslag 'gerechtvaardigd belang', maar zullen voor dit gebruik moeten kunnen aangeven dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Dit geldt niet voor zover de overheidsinstantie 'typisch bedrijfsmatige handelingen' verricht waarbij persoonsgegevens worden verwerkt, zoals de verwerking van persoonsgegevens die noodzakelijk is voor de beveiliging van overheidsgebouwen. Voor handelingen die buiten de uitoefening van de wettelijke taak vallen mag wel een grondslag worden aangenomen in het gerechtvaardigd belang van de organisatie. De overheid onderscheidt zich hierin niet wezenlijk van een private partij^{AVG overweging 47}.

• "Verdere verwerking" ziet in de AVG op alle verwerkingen van persoonsgegevens voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Dit kan verwerking door een en dezelfde verwerkingsverantwoordelijke zijn, maar kan ook de basis zijn voor verstrekking van gegevens aan een andere verwerkingsverantwoordelijke.
• Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met^{AVG overweging 50}:
  • Een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking;
  • Het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan;
  • De aard van de persoonsgegevens;
  • De gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en:
  • Passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
• De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (doelbinding).
• Verdere verwerking voor zuiver commerciële doelstellingen, zoals het gericht kunnen aanbieden van reclame, kan niet hierop worden gebaseerd. Dat kan alleen met uitdrukkelijke toestemming van de betrokkene.
• Mogelijkheid #1 voor verdere verwerking is 'verenigbaarheid'. De verwerkingsverantwoordelijke mag gegevens verder verwerken voor een ander doel mits dat andere doel verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld^{AVG Art. 5 lid 1b}. De verwerkingsverantwoordelijke moet dit zelf vaststellen. Ook verdere verwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden blijft mogelijk op voorwaarde dat passende waarborgen voor de bescherming van de persoonsgegevens van de betrokkenen, bijvoorbeeld pseudonimisering^{AVG overweging 159, over de scope van 'wetenschappelijk of historisch onderzoek'}.
• Mogelijkheid #2 voor verdere verwerking is gebaseerd op de toestemming van de betrokkene, ook wanneer deze niet verenigbaar is met het doel van de oorspronkelijke verwerking van persoonsgegevens. De aanvaardbaarheid van verdere verwerking op basis van toestemming is in zekere zin een vanzelfsprekendheid. Met de toestemming komt immers tot uitdrukking dat betrokkene zelf de inbreuk op de persoonlijke levenssfeer, die plaatsvindt bij de verwerking van persoonsgegevens, niet bezwaarlijk acht. De toestemming dient wel expliciet en vrijelijk te worden gegeven^{AVG Art. 7 en 8}. De verwerkingsverantwoordelijke hoeft in geval van toestemming niet te toetsen aan het vereiste van verenigbaarheid.
• Mogelijkheid #3 voor verdere verwerking is gebaseerd op de wet- en regelgeving die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de bedoelde doelstellingen. De verdere verwerking hoeft ook in dat geval niet verenigbaar te zijn met het oorspronkelijke doel waarvoor de gegevens zijn verzameld en de verwerkingsverantwoordelijke hoeft dan ook niet te toetsen aan het vereiste van verenigbaarheid^{AVG Art. 6, tweede deel lid 4}. De verdere verwerking door de verwerkingsverantwoordelijke is dan gebaseerd op de lidstaatrechtelijke bepaling (een specifieke wettelijke bepaling dus). Gaat het om de nationale veiligheid? Dan valt volgens de Mvt verder verwerken onder het regime van Wpg/Wjsg of de Wet op de inlichtingen en veiligheidsdiensten (Wiv). In andere gevallen moet de verwerkingsverantwoordelijke het verder verwerken toetsen (en motiveren/documenteren) aan de criteria om verenigbaarheid vast te stellen zoals weergegeven onder U.01.02.02.
• Als de verdere verwerking wordt verricht op basis van mogelijkheid 3, doordat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of als de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dan dient de verwerking een grondslag te hebben in het wettelijke recht. De AVG schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang, dan wel voor een taak in het kader van de uitoefening van het openbaar gezag.
• Het moet ook het Nederlands recht zijn dat het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van de AVG, waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en van specificaties voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het wettelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke, die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon moet zijn, of een privaatrechtelijke persoon moet zijn, zoals een beroepsvereniging, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten^{AVG overweging 45}.
• De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd als zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan als de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen^{AVG overweging 46}.
• Specifieke uitzonderingsgronden zijn de volgende:^{AVG Art. 23}:

1. De nationale veiligheid;
2. Landsverdediging;
3. De openbare veiligheid;
4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;
9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
10. De inning van civielrechtelijke vorderingen.

• Persoonsgegevens over gezondheid zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven^{AVG Art. 4 lid 15}.
  Deze gegevens hebben betrekking op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostiek^{AVG overweging 35}.
• Bijzondere categorieën persoonsgegevens, die betere bescherming vergen, mogen alleen voor gezondheidsdoeleinden worden verwerkt als dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel. Dit geldt met name bij:
  • Het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheer autoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheerinformatie en het algemeen nationaal en lokaal toezicht op:
    • Het gezondheidszorgstelsel, of:
    • Het stelsel van sociale diensten.
  • Bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten en grensoverschrijdende gezondheidszorg.
  • Voor doeleinden inzake gezondheidsbeveiliging, bewaking en -waarschuwing, of:
  • Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden op basis van het wettelijk recht die aan een doelstelling van algemeen belang moet voldoen, alsook:
  • Voor studies van algemeen belang op het gebied van de volksgezondheid.
    
    
• Derhalve moet de AVG voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het wettelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen.
• Het moet de lidstaten worden toegestaan andere voorwaarden te handhaven of in te voeren, waaronder beperkingen met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid. Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze persoonsgegevens, dan mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie^{AVG overweging 53}.
• Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient "volksgezondheid" overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers of verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerkt^{AVG overweging 54}.

• De betrokkene hoeft zijn persoonsgegevens pas te verstrekken als hij de informatie van de verantwoordelijke heeft ontvangen.
• Ook bij het verder verwerken voor een ander doel dan waarvoor de gegevens in eerste instantie zijn verzameld, moet de betrokkene nu actief door de verwerkingsverantwoordelijke geïnformeerd worden^{AVG Art. 14 lid 4}.

• Het verzamelen en verwerken van persoonsgegevens 'uitsluitend omdat dat in de toekomst misschien wel handig kan zijn', is als doel niet voldoende welbepaald en daarom onrechtmatig.
• Gegevens mogen voor meerdere doelen verzameld en verwerkt worden (zie https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming pag. 35). Voor al deze doelen afzonderlijk geldt dat ze tijdig moeten worden vastgesteld, gerechtvaardigd zijn en welbepaald en uitdrukkelijk zijn omschreven.
• Een voldoende SMART omschrijving houdt in:

1. Specifiek: de doelstelling is eenduidig;
2. Meetbaar: er zijn meetbare/observeerbare voorwaarden waardoor het doel bereikt kan worden;
3. Acceptabel: het doel is acceptabel voor de doelgroep en/of management en iemand neemt zijn verantwoordelijkheid voor het juist realiseren van dit doel;
4. Realistisch: de doelstelling is haalbaar;
5. Tijdgebonden: er is bepaald wanneer (in de tijd) het doel bereikt moet zijn.

De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. De Avg mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig de Avg door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad. De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van de Avg valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt^{AVG overweging 19.}.

• Telecommunicatiewet: heeft eigen meldingsverplichting bij datalekken^{Telecommunicatiewet Art. 11.3a}.
• UAVG 42 luidt "Artikel 34 van de verordening is niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht". AVG Art. 34 betreft de meldplicht aan betrokkenen. Financiële ondernemingen moeten dus wél aan AP melden maar niet aan de betrokkenen. De financiële sector kent een eigen zorgplicht jegens betrokkenen.
• De volgende specifieke uitzonderingsgronden worden gesteld^{AVG Art. 23 lid 1}:
  1. De nationale veiligheid;
  2. De landsverdediging;
  3. De openbare veiligheid;
  4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
  5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
  6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
  7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
  8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten (a) tot en met (e) en punt (g) bedoelde gevallen;
  9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
  10. De inning van civielrechtelijke vorderingen.
• De wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste^{AVG Art. 23 lid 2}:
  1. De doeleinden van de verwerking of van de categorieën van verwerking;
  2. De categorieën persoonsgegevens;
  3. Het toepassingsgebied van de ingevoerde beperkingen;
  4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
  5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
  6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
  7. De risico's voor de rechten en vrijheden van de betrokkenen, en:
  8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
• De AVG geldt ook voor verwerkingsverantwoordelijken en verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
• Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten^{AVG overweging 18}.

• De 'nodige maatregelen' zijn die maatregelen die in redelijkheid van de verwerkingsverantwoordelijke kunnen worden verwacht. Wat in redelijkheid kan worden verwacht hangt af van de soort gegevens, de stand van de techniek en de kosten die met de maatregelen gepaard gaan. Het zorg dragen voor juistheid en nauwkeurigheid van de persoonsgegevens is daarmee een inspanningsverplichting voor de verwerkingsverantwoordelijke en geen resultaatverplichting. Van de genomen maatregelen is aangetoond dat onderzocht en beoordeeld is dat deze maatregelen toereikend zijn. Voorbeelden van nodige maatregelen zijn:

1. Het inregelen van de (technische) mogelijkheid om te kunnen corrigeren;
2. Het vaststellen en bekrachtigen wanneer en door wie de periodieke controles op de juistheid, nauwkeurigheid, actualiteit, volledigheid en correct gebruik van de gegevens plaatsvinden en door wie de persoonsgegevens - indien nodig - gecorrigeerd worden;
3. Het identificeren en beperken van personen en afdelingen die toegang hebben tot de persoonsgegevens, waarbij tevens zekerheid wordt verkregen over de wijze waarop de juistheid van gegevens bij toegang is gewaarborgd en dat de gegevens niet voor andere doeleinden worden gebruikt dan voor de vereiste doelstelling;
4. Het identificeren en beperken van partijen aan wie persoonsgegevens mogen worden verstrekt, waarbij tevens zekerheid wordt verkregen over de wijze waarop de juistheid van de gegevens bij verstrekking is gewaarborgd en dat de gegevens niet voor andere doeleinden worden gebruikt dan de vereiste doelstelling;
5. Het identificeren van de gevolgen van het onjuist gebruik van persoonsgegevens en of hoe deze gevolgen kunnen worden ondervangen;
6. Het bij aanstellen van een verwerker:
   1. Aantonen dat is onderzocht en beoordeeld dat de desbetreffende verwerker, gelet op de aard van de werkzaamheden en de daaraan gekoppelde privacyrisico's, voldoende kwaliteit biedt;
   2. De geheimhoudingsplicht is geborgd, door deze vast te stellen en vast te leggen in de verwerkersovereenkomst.

• Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, dan mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen, in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan, of: weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen^{AVG Art. 12 lid 5.}.

• T.b.v. het aantonen van het passend zijn van de maatregelen kan gebruik gemaakt worden van een goedgekeurde gedragscode^{AVG Art. 24 lid 3.}.
• Het beschikken over passende maatregelen kan worden aangetoond met behulp van certificering van de verwerking^{AVG Art. 42.}.

• De verantwoordelijke heeft adequate organisatorische maatregelen genomen om de gegevens te beveiligen en kan dat aantonen. Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens, zoals toekenning en deling van de verantwoordelijkheden, bevoegdheden, instructies, trainingen, calamiteitenplannen en geheimhoudingsplichten. Een goede manier om dit te borgen en aan te tonen is het opstellen en actueel houden van een beveiligingsplan.
• De AVG spreekt in plaats van een beveiligingsplan over Bindende bedrijfsvoorschriften: "de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden.
• Ten behoeve van privacy hoeft geen separaat beveiligingsplan gemaakt te worden; als extra beveiligingsmaatregelen genomen moeten worden om persoonsgegevens te bescherming, kan dit worden opgenomen in het reguliere beveiligingsplan. Ook de Richtsnoeren van de AP over het beveiligen van persoonsgegevens kan geïmplementeerd worden in het reguliere beveiligingsplan.
• Het beveiligingsplan bevat bijvoorbeeld informatie over:

1. Welke technische, organisatorische en fysieke beveiligingsmaatregelen genomen zijn
2. Welk normenstelsel de organisatie volgt;
3. Op welke wijze de eventuele aanwijzingen (richtsnoeren, beleidsregels) van de AP over het beveiligen van persoonsgegevens ingeregeld zijn;
4. Hoe geheimhouding van de medewerkers geregeld is;
5. Welke acties de verantwoordelijke verwerker neemt bij datalekken;
6. Hoe de verwerker zich periodiek verantwoordt over de nakoming van afspraken;
7. Hoe controle op de naleving van de beveiligingsmaatregelen is ingeregeld;
8. Het geven van instructies en trainingen over de manier waarop persoonsgegevens beschermd worden;
9. Een calamiteitenplan (of: het calamiteitenplan zelf);
10. Het cyclisch inregelen van beveiliging als onderdeel van de dagelijkse praktijk van de organisatie, zodat de beveiligingsmaatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie;
11. De opname van de technische en organisatorische maatregelen in de verwerkersovereenkomst, met voortdurende controle op de uitvoering ervan en direct ingrijpen als daar niet aan wordt voldaan;
12. De periodieke toetsing van maatregelen en aanpassing als ze niet meer voldoende bescherming bieden;
13. De toekenning en deling van de verantwoordelijkheden en bevoegdheden met de omgang van persoonsgegevens;
14. Het benoemen van een algehele verantwoordelijke binnen de organisatie voor het opstellen, implementeren en handhaven van het beveiligingsbeleid.

• De verantwoordelijkheden van de verwerkingsverantwoordelijken kunnen ook in de wet- en regelgeving zijn vastgelegd.
• Voor het uitoefenen van de rechten door betrokkenen kan een contactpunt worden aangewezen. Ook kan de betrokkene zijn rechten uit hoofde van de Avg tot en jegens iedere verwerkingsverantwoordelijke uitoefenen^{AVG art. 26 lid 3}
• Voorbeelden van regelingen zijn te vinden op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu#welke-modelcontracten-zijn-er-voor-doorgifte-naar-een-derde-land-5524

• Indien aan de persoonsgegevens gekoppelde gegevens van belang zijn om langer te worden bewaard, dan dienen de persoonsgegevens zodanig te worden geanonimiseerd dat het daarna niet meer mogelijk is deze geanonimiseerde gegevens weer herleidbaar te maken ^{Handleiding voor verwerkers van persoonsgegevens - Handleiding van de Wbp, Ministerie van Justitie, 2002, p.126}.

• Privacy Enhancing Technologies (PET) is een gangbare verzamelnaam voor een aantal technieken voor privacybescherming die kunnen worden toegepast. Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens en daarmee ook niet langer een onderwerp voor de AVG ^{Borking, J., Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies, Kluwer, Den Haag, 2010. CBP: Richtsnoeren voor het beveiligen van persoonsgegevens, 2013, p.13.}.
• Een verwante techniek is pseudonimisering. De AVG definieert pseudonimisering als: "het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, op voorwaarde dat deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld^{AVG Art. 4 lid 5}.
• Bij het toepassen van pseudonimisering moeten de aanvullende gegevens, die gebruikt worden om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard.
• De uitdrukkelijke invoering van pseudonimisering genoemd in de AVG is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten^{AVG Art. 4 lid 5}. Na pseudonimisering blijft de AVG van toepassing.
• Bijzondere aspecten in dit verband zijn:
  • Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist^{AVG overweging 39.}.
  • De verwerkingsverantwoordelijke dient, met name met betrekking tot online-diensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt^{AVG overweging 64.}.

• Bij het bepalen van de kans wordt rekening houdend met de aard, de context, de omvang en de verwerkingsdoeleinden.
• De vertegenwoordiger is gevestigd in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt of wier gedrag wordt geobserveerd.
• De vertegenwoordiger is door de verwerkingsverantwoordelijke of de verwerker gemachtigd om naast hem of in zijn plaats te worden benaderd.
• Het aanwijzen van een vertegenwoordiger doet niet af aan de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen.

• In het beleid is vastgesteld en bekrachtigd op welke wijze sectorspecifieke wetgeving wordt uitgevoerd. Verschillende sectorspecifieke wetten stellen nadere regels aan de gegevensverwerkingen in specifieke sectoren, bijvoorbeeld de Telecommunicatiewet en Wet BRP.
• Bij overlapping gaan de bijzondere regels van de sectorspecifieke regels vóór op de algemene regels van de AVG. Als in sectorspecifieke wetgeving niets is bepaald, dan gelden de algemene regels van de AVG.

• De maatregelen zijn passend voor de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van natuurlijke personen. Hierbij wordt rekening houdend met^{AVG Art. 24 lid 1}:
  • De aard;
  • De omvang;
  • De context, en:
  • Het doel van de verwerking.
• Bij het bepalen van wat passend is wordt rekening gehouden met de waarschijnlijkheid en de ernst van de risico's, met name waar de verwerking^{AVG Overweging 75} kan leiden tot:
  • Discriminatie,
  • Identiteitsdiefstal of -fraude,
  • Financiële verliezen,
  • Reputatieschade,
  • Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens,
  • Het ongeoorloofd ongedaan maken van pseudonimisering, of:
  • Enig ander aanzienlijk economisch of maatschappelijk nadeel; of wanneer:
  • Betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
  • Persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
  • Persoonlijke aspecten worden geëvalueerd om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen teneinde persoonlijke profielen op te stellen of te gebruiken;
  • Persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt;
  • De verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

• De documentatie is actueel en accuraat en kan op verzoek onmiddellijk worden overlegd. De documentatie bevat zelf geen persoonsgegevens.
• Bij het documenteren wordt gebruik gemaakt van de registratie van verwerkingsactiviteiten zoals bedoeld in PRIV_U.02: Register van verwerkingsactiviteiten). Het advies is om de documentatie van datalekken binnen deze registratie bij te houden. Hiermee wordt dubbele opslag en dubbel beheer van informatie over de gegevensverwerkingen voorkomen.

• Het gaat in de AVG om twee verschillende meldplichten: er is een meldplicht aan de AP, en een meldplicht aan de betrokkene, op wiens persoonsgegevens een inbreuk is gemaakt.
• Voor uitzonderingsgronden zie PRIV_C.03.04.01: Uitzondering op meldplicht aan AP.

• De volgende specifieke uitzonderingsgronden worden gesteld ^{AVG Art. 23 lid 2 en UAVG Art. 41 lid 1}:

1. De nationale veiligheid;
2. De landsverdediging;
3. De openbare veiligheid;
4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten (1) tot en met (5) en punt (7) bedoelde gevallen;
9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
10. De inning van civielrechtelijke vorderingen.

• Bij de toepassing van de uitzonderingsgronden houdt de verwerkingsverantwoordelijke rekening met in ieder geval, voor zover van toepassing :

1. De doeleinden van de verwerking of van de categorieën van verwerking;
2. De categorieën persoonsgegevens;
3. Het toepassingsgebied van de ingevoerde beperkingen;
4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
7. De risico's voor de rechten en vrijheden van de betrokkenen; en
8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.

• Indien een verwerking wordt verricht door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden kunnen worden gebruikt, kan de verwerkingsverantwoordelijke het recht op inzage buiten toepassing laten.

Toelichting

→ Voorwoord

→ Inleiding/leeswijzer

→ Aanvullende informatie

→ Baseline format

→ Privacyprincipes en -normen gesorteerd op conformiteitsindicator