Doelbinding gegevensverwerking

Uit NORA Online
ISOR:Doelbinding gegevensverwerking
Ga naar: navigatie, zoeken

 

De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
  • Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden.
  • De Privacy Baseline krijgt een nieuwe versie.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Uitvoering
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Het uitgangspunt van doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. is, dat gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd mag verzamelen zonder een precieze doel-omschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. 'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven.


Criterium

De verwerkingsverantwoordelijke heeft van alle verzamelingen en verwerkingen van persoonsgegevens tijdig, welbepaald en uitdrukkelijk omschreven:
  • de doeleinden, en:
  • de rechtvaardigingsgronden voor:
  1. de verdere verwerking op grond van de verenigbaarheid met de oorspronkelijke gerechtvaardigde doeleinden;
  2. de geautomatiseerde besluitvorming;
  3. bijzondere persoonsgegevens;
  4. de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten;
  5. het nationaal identificerend nummer;
  6. de persoonsgegevens ten behoeve van wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belang.

Doelstelling

Het doel van 'Doelbinding gegevensverwerking' is om te waarborgen dat persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen worden verzameld en (verder) verwerkt voor gerechtvaardigde doeleinden.

Risico

Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 5; 6; 9; 10; 22; 23 en Uitvoeringswet Avg Art. 22; 23; 24; 25; 26; 27; 28; 29; 30 en 31

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_U.01.01.01tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is welbepaald en uitdrukkelijk omschreven nog vóórdat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd-verwerking begint en wordt niet tijdens het verzamelproces of het verwerkingsproces vastgesteld of gewijzigdAVG art. 5 lid 1 en overweging 50..Tijdig welbepaald en uitdrukkelijk omschreven, voorafgaand aan begin van de verwerking
PRIV_U.01.01.02tijdig, welbepaald en uitdrukkelijk omschrevenVan alle gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn de rechtmatige gronden en de doeleinden van de verzameling en verwerking welbepaald en uitdrukkelijk omschreven en gerechtvaardigdAVG art. 5 lid 1b..Tijdig welbepaald en uitdrukkelijk omschreven, rechtmatigheid en doelmatigheid
PRIV_U.01.01.03tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is zodanig vastgelegd (welbepaald) dat het een kader biedt waaraan getoetst kan worden of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd noodzakelijk zijn voor het doel en bij verdere verwerking of de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd verenigbaar zijn met het oorspronkelijke doelAVG art. 6 lid 4..Tijdig welbepaald en uitdrukkelijk omschreven verenigbaarheid met oorspronkelijke doel
PRIV_U.01.01.04tijdig, welbepaald en uitdrukkelijk omschrevenHet doel is uitdrukkelijk omschreven, dus niet te vaag of te ruim, maar nauwkeurig, specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.Tijdig welbepaald en uitdrukkelijk omschreven, SMART
PRIV_U.01.02.01de doeleindenDe persoonsgegevens zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking, ook wel data minimalisatie genoemd).Doeleinden, toereikend, ter zake dienend en beperkt
PRIV_U.01.02.02de doeleindenDe verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaanAVG art. 6 lid 1.:
  1. de betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun wettelijke taken.
  7. De rechtsgrond voor de verwerking moet worden vastgesteld bij het recht dat op de verwerkingsverantwoordelijke van toepassing isAVG art. 6 lid 3..
Doeleinden, rechtmatig
PRIV_U.01.02.03de doeleindenPersoonsgegevens moeten behoorlijk en transparant worden verwerkt ten opzichte van de betrokkeneAVG art. 5. De AVG is niet van toepassing op de persoonsgegevens van overleden personen (Avg overweging 27).

Hiertoe:

  1. dient de gegevensverwerking transparant te zijn (U.02, §2.2.2) en U.05 (§2.2.5).
  2. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd juist te zijn en zo nodig te worden bijgewerkt (U.03. §2.2.3).
  3. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd passend te worden beveiligd (U.04, §2.2.4).
  4. dienen de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd niet langer dan noodzakelijk te worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren is (U.06, §2.2.6).
Doeleinden, behoorlijk en transparant
PRIV_U.01.03.01verdere verwerkingDe verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld is alleen mogelijk, wanneer:
  • de verdere verwerking verenigbaar is met het doel waarvoor de persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aanvankelijk zijn verzameld en de verwerkingsverantwoordelijke bij de beoordeling van de verenigbaarheid onder meer rekening houdt metAVG art. 6 lid 4.:
    1. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
    2. het kader waarin de persoonsgegevens zijn verzameld, met name wat betreft de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke;
    3. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerktAVG art. 9. en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerktAVG art. 10.;
    4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
    5. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. Of:
  • de verdere verwerking plaatsvindt op basis van de toestemming van betrokkene; Of:
  • wanneer de verdere verwerking berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt.
  • Verdere verwerking i.r.t. ander doelen dan dat waarvoor de persoonsgegevens zijn verzameld is
    PRIV_U.01.03.02verdere verwerkingWanneer de verwerkingsverantwoordelijke een verdere verwerking voorneemt moet de verwerkingsverantwoordelijke de betrokkene nog vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken (zie U.05, §2.2.5). Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld, omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrektAVG overweging 61..Voornemens voor verdere verwerking
    PRIV_U.01.04.01geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats waaruit ras of etnische afkomst blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedtUitvoeringswet AVG art. 22.:
    1. met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is;
    2. met het doel personen van een bepaalde etnische of culturele minderheids-groep een bevoorrechte positie toe te kennen teneinde feitelijke nadelen verband houdende met de grond ras of etnische afkomst op te heffen of te verminderen en slechts indien:
      1. dit voor dat doel noodzakelijk is;
      2. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep behoort als bedoeld in de aanhef van onderdeel b, en:
      3. de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.
    Bijzondere persoonsgegevens, m.b.t. ras of etnische afkomst
    PRIV_U.01.04.02geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats waaruit politieke opvattingen blijkt, tenzij:
    • aan /04.09 is voldaan, of:
    • de verwerking geschiedt met het oog op de eisen die met betrekking tot politieke opvattingen in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescollegesUitvoeringswet AVG art. 30..
    Bijzondere persoonsgegevens, m.b.t. politieke opvattingen
    PRIV_U.01.04.03geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats waaruit religieuze of levensbeschouwelijke overtuigingen blijkt, tenzij:
  • aan /04.09 is voldaan, of:
  • de verwerking geschiedt door instellingen, voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaaktUitvoeringswet AVG art. 29.. Hierbij worden ook geen persoons-gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd aan derden verstrekt zonder toestemming van de betrokkene.
  • Bijzondere persoonsgegevens, m.b.t. religieuze of levensbeschouwende overtuigingen
    PRIV_U.01.04.04geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats waaruit het lidmaatschap van een vakbond blijkt, tenzij aan /04.09 is voldaan.Bijzondere persoonsgegevens, m.b.t. lidmaatschap vakbond
    PRIV_U.01.04.05geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, tenzij:
  • voldaan is aan /04.09Uitvoeringswet AVG art. 24., of:
  • een zwaarwegend geneeskundig belang prevaleert, of:
  • de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek en de betrokkene uitdrukkelijke toestemming heeft gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.
  • Bijzondere persoonsgegevens, m.b.t. genetische gegevens
    PRIV_U.01.04.06geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats van biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met het oog op de unieke identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon, tenzij:
  • voldaan is aan /04.09, of:
  • de verwerking geschiedt met het oog op de identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derdeUitvoeringswet AVG art. 26. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..
  • Bijzondere persoonsgegevens, m.b.t. biometrische gegevens
    PRIV_U.01.04.07geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid, tenzij:
  • voldaan is aan /04.0, of:
  • dit noodzakelijk is met het oog op redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijden-de gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen. In die situatie worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding hiertoe zijn verplicht. Indien de verwerkingsverantwoordelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudings¬plicht rust, is hij verplicht tot geheimhouding van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
  • Bijzondere persoonsgegevens, m.b.t. gezondheidsgegevens
    PRIV_U.01.04.08geautomatiseerde besluitvormingEr vindt geen verwerking van persoonsgegevens plaats met betrekking tot iemands seksuele gedrag of seksuele gerichtheid, tenzij aan /04.09 is voldaan De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd, biometrische gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over gezondheid handhaven of invoeren..Bijzondere persoonsgegevens, m.b.t. sexueel gedrag of gerichtheid
    PRIV_U.01.04.09geautomatiseerde besluitvormingIndien wel de in /04.01 - /04.08 genoemde verwerkingen plaats vindt is aan één van de onderstaande voorwaarden voldaan :
    1. betrokkene heeft toestemming gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat;
    2. de verwerking is noodzakelijk voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht en socialezekerheidsrecht en sociale beschermingsrecht (zie ook /04.10);
    3. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene;
    4. de verwerking wordt verwerkt door een rechtspersoon zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
    5. de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn openbaar gemaakt;
    6. de verwerking is noodzakelijk voor de instelling, uitoefening of verdediging van een rechtsvordering;
    7. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Uniewetgeving of nationale wetgeving, mits evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene (zie ook /04.10);
    8. de verwerking is noodzakelijk voor doelen van preventieve of arbeidsgenees-kunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, voor het verstrekken van gezondheidszorg of sociale diensten, op grond van Unie-wetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid (zie ook /04.10);
    9. de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid op grond van Uniewetgeving of nationale wetgeving waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of:
    10. de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelenAVG art. 89 lid 1., op grond van Uniewetgeving of nationale wetgeving, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
    Bijzondere persoonsgegevens, m.b.t. voorwaarden aan de verwerking
    PRIV_U.01.04.10geautomatiseerde besluitvormingDe voorwaarden b, g en h van /04.09 zijn niet van toepassing als de verwerking geschiedt doorUitvoeringswet AVG art. 23.:
  • hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is;
  • verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voor zover dat noodzakelijk is voor:
    1. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, of:
    2. de uitvoering van de overeenkomst van verzekering;
  • scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
  • een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de gecertificeerde instelling, bedoeld in artikel 1.1 van de Jeugdwet en de rechtspersoon, bedoeld in artikel 256 eerste lid of artikel 302 tweede lid van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;
  • Onze Minister voor zover dat in verband js met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk;
  • bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:
    1. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene, of:
    2. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
  • Bijzondere persoonsgegevens, m.b.t. noodzakelijke uitzonderingen
    PRIV_U.01.04.11geautomatiseerde besluitvormingHet verbod om bijzondere persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is vanuit het algemeen belang (punt g) niet van toepassing indienUitvoeringswet AVG art. 28.:
  • dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
  • de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerkt door de Autoriteit of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, of:
  • dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij het verlenen van ontheffing beperkingen en voorschriften opleggen. Hierbij wordt de evenredigheid met het nagestreefde doel gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens geëerbiedigd en worden passende en specifieke maatregelen getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
  • Bijzondere persoonsgegevens, m.b.t. verplichtingen of algemeen belang
    PRIV_U.01.05.01strafrechtelijke veroordelingen en strafbare feitenPersoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (inclusief een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerktUitvoeringswet AVG art. 31.:
  • als de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd;
  • als de verwerkingsverantwoordelijke deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten eigen behoeve verwerkt :
    1. ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren, of:
    2. ter bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn;
  • indien deze ten behoeve van derden worden verwerkt:
    1. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
    2. door een verwerkingsverantwoordelijke die tevens rechtspersoon is en in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of:
    3. door een verwerkingsverantwoordelijke die hiervoor toestemming heeft verkregen van de Autoriteit.
  • Strafrechtelijke veroordelingen en strafbare feiten
    PRIV_U.01.05.02strafrechtelijke veroordelingen en strafbare feitenDe verwerking vindt alleen plaats onder toezicht van de overheid of indien de verwerking is toegestaan bij wet- en regelgeving die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheidAVG art. 10..Strafrechtelijke veroordelingen en strafbare feiten, eisen aan de verwerking
    PRIV_U.01.05.03strafrechtelijke veroordelingen en strafbare feitenDe verwerking van de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over personeel in dienst van de verwerkingsverantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsradenUitvoeringswet AVG art. 31 lid 2..Strafrechtelijke veroordelingen en strafbare feiten, i.r.t. de OR
    PRIV_U.01.05.04strafrechtelijke veroordelingen en strafbare feitenHet verbod om persoonsgegevens te verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor de doeleinden waarvoor deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd worden verwerktUitvoeringswet AVG art. 31 lid 3..Strafrechtelijke veroordelingen en strafbare feiten, verwerking voor de doeleinden waarvoor deze gegevens worden verwerkt.
    PRIV_U.01.05.05strafrechtelijke veroordelingen en strafbare feitenDe verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen is toegestaan indien dit geschied door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaadUitvoeringswet AVG art. 31 lid 4..Strafrechtelijke veroordelingen en strafbare feiten, t.b.v. verwerkingsverantwoordelijken bij noodzakelijke verwerking
    PRIV_U.01.06.01nationaal identificerend nummerHet bepalen van een nummer dat ter identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. van een persoon bij wet is voorgeschreven wordt slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet bepaaldUitvoeringswet AVG art. 44.:
  • Overheidsorganen kunnen bij het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruik maken van het burgerservicenummer (BSN), zonder dat daarvoor nadere regelgeving vereist is.
  • Het burgerservicenummer (BSN) als uniek persoonsnummer voldoet aan artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb).
  • Voor instellingen die geen beroep kunnen doen op Wabb art. 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Zo geldt bijvoorbeeld voor de zorgsector de Wet gebruik burgerservicenummer in de Zorg en moeten banken het BSN gebruiken voor uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd met de Belastingdienst. Daarnaast zijn andere identificerende nummers in gebruik, bijvoorbeeld het onderwijsnummer, dat overeenkomt met het burgerservice¬nummer, tenzij de deelnemer geen burgerservicenummer heeft.
  • Nationaal identificerend nummer
    PRIV_U.01.07.01geautomatiseerde besluitvormingEen betrokkene wordt niet onderworpen aan een geautomatiseerde individuele besluitvorming, tenzij het besluit:
  • noodzakelijk is voor de totstandkoming of de uitvoering van een overeen-komst tussen de betrokkene en een verwerkingsverantwoordelijke, of:
  • is toegestaan bij de wet- en regelgeving die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of:
  • berust op de uitdrukkelijke toestemming van de betrokkene.
  • Geautomatiseerde besluitvorming, geen geautomatiseerde individuele besluitvorming tenzij
    PRIV_U.01.07.02geautomatiseerde besluitvormingIn de bij punten a) en c) in /07.01 bedoelde gevallen heeft de verwerkingsverant-woordelijke passende maatregelen getroffen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.Geautomatiseerde besluitvorming, m.b.t. rechten en vrijheden en gerechtvaardigde belangen van de betrokkene
    PRIV_U.01.07.03geautomatiseerde besluitvormingBij de bij punten a) en c) in /07.01 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens, tenzij /04.01 punt a) of g), van toepassing is en passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.Geautomatiseerde besluitvorming i.r.t. bijzondere categorieën van persoonsgegevens
    PRIV_U.01.08.01wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangDe verwerking van (bijzondere) persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek en archivering in het algemeen belang vindt plaats zover Invulling van art. 9 lid 2j. Uitvoeringswet Avg art. 27.:
  • het onderzoek een algemeen belang dient;
  • de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is;
  • het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, en:
  • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
  • Eisen aan het verwerken van (bijzondere) persoonsgegevens
    PRIV_U.01.08.02wetenschappelijk of historisch onderzoek met een statistisch oogmerk en archivering in het algemeen belangVerwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of archivering vindt alleen plaats, als passende technische en organisatorische maat-regelen zijn getroffen om de rechten en vrijheden van de betrokkene te beschermen:
    • het waarborgen van de doelbindingHet principe dat iemand (persoon of organisatie) alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.AVG art. 5 lid 1b. (bijvoorbeeld door pseudonimisering), en:
    • de betrokkene niet meer kan worden geïdentificeerdAVG art. 5 lid 1e..
    Eisen aan het verwerken van persoonsgegevens