Begrippenlijst m.b.t. de AVG

De Algemene verordening gegevensbescherming brengt een aantal nieuwe begrippen en definities met zich mee. Onderstaand vindt u een begrippenlijst van deze termen.

Richtlijn Gegevensbescherming

De Europese Richtlijn 95/46/EC bestuurt het verwerken van de persoonsgegevens in de EU en zal nu worden vervangen door de AVG vanaf 25 mei 2018. De Verordening introduceert minimale normen, welke geïmplementeerd hadden moeten zijn door afzonderlijke wetgeving in elke EU lidstaat. Dit gaf de lidstaten de optie het toepassingsgebied van de Richtlijn uit te breiden of bestaande hogere normen te behouden, of te besluiten niet het volledige voordeel van afwijkingen te nemen, welke de verschillende gegevensbeschermingsnormen toepasselijk over Europa verklaren. Het kan online worden gevonden: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_nl.pdf 

AVG

De Algemene verordening gegevensbescherming (AVG) werd aangenomen als Verordening (EU) 2016/679 van het Europese Parlement en van de Raad op 27 april 2016.

In tegenstelling tot de Richtlijn is de AVG bedoeld om rechtstreeks toepasselijk is in elke EU lidstaat zonder de noodzaak voor het invoeren van wetgeving, en om een raamwerk te creëren waarbinnen meer gedetailleerde regels kunnen worden gemaakt. Dit harmoniseert de wetgeving over Europe [zie Territoriale toepassingsgebied]. Bijvoorbeeld, het vereiste de DPA op de hoogte te stellen [zie GBA] of nieuwe verwerking word afgeschaft (behalve in een beperkt aantal gevallen) en worden vervangen door een verplichting om alle processen te documenteren. Verwerkingsverantwoordelijke [zie Verwerkingsverantwoordelijke] en -verwerkers [zie gegevensverwerker] dienen overeen te stemming te bereiken over hun onderlinge verantwoordelijkhedenanders, zij worden gezamenlijk en zwaar aansprakelijk. De Verordening kan online worden gevonden: http://eur-lex.europa.eu/legal-content/NL/TXT/ 

e-Privacy Richtlijn

De e-Privacy Richtlijn was eerst aangenomen als Richtlijn 2002/58/EC van het Europese Parlement en van de Raad. Het bestuurt momenteel de privacy-rechten toepasselijk op elektronische communicatietechnologie en inhoud. De Richtlijn kan online worden: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do 

e-Privacy Verordening

Volgend op het aannemen van de AVG, the e-Privacy Verordening zal worden gereviseerd om te voldoen met de AVG en adresseert de technische innovaties gecreëerd sinds de invoering van de laatste amendement van de Richtlijn in 2009. Een ontwerpvoorstel van de Verordening getiteld “Richtlijn over Privacy en Elektronische Communicatie” was vrijgegeven op 10 januari 2017. De Verordening zal toepasselijk zijn op elke leverancier van elektronische communicatiediensten of tot elke entiteit dat elektronische communicatiegegevens verwerkt. Het zal gevolgen hebben op de manier waar organisaties elektronisch interacteren met EU inwoners, user tracking inbegrepen, gegevensverzameling in gebruikersapparaten, en direct marketing. Het ontwerpvoorstel van de Verordening en gerelateerde documenten kan online worden gevonden: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications 

EDPS

De Europese Toezichthouder voor gegevensbescherming (EDPS) is opgericht in 2004 met het doel zijnde dat EU intituten en instanties te waarborgen dat de rechten van mensen op privacy gerespecteerd worden wanneer hun persoonsgegevens worden verwerkt. In z’n hoofdfuncties, houdt de EDPS

  1. toezicht op de verwerking van persoonsgegevens van de EU administraties om compliance te waarborgen met de privacy-regels, handelt klachten af, en voert onderzoeken uit; en
  2. adviseert EU instituten en instanties op alle aspecten van het verwerken van persoonsgegevens en gerelateerd beleid en gerelateerde wetgeving.

Artikel 29-werkgroep

De Artikel29-werkgroep ("artikel 29 WP") is een niet regelgevende gegevensbeschermend adviesorgaan. De belangrijkste functie is om deskundig advies te leveren en aanbevelingen te doen aan de lidstaten en het publiek ten aanzien van bescherming van persoonsgegevens. De instantie zelf bestaat uit vertegenwoordigers uit de EU’ nationale autoriteiten gegevensbescherming, De Europese Toezichthouder voor gegevensbescherming (“EDPS”), en de Europese Raad. Het is getransformeerd in de “Europese Raad voor gegevensbescherming” (“EDPB”) onder de AVG.

EDPB

De Europese Raad voor gegevensbescherming vervangt de Artikel 29 werkgroep, en hun functie zal inhouden om de consistentie te waarborgen in de toepassing van de AVG, het adviseren van de Europese Commissie, accrediteren van toezichthoudende instanties, en opinies geven ten aanzien van concept besluiten van toezichthoudende autoriteiten.

Functionaris Gegevensbescherming (FG)

De benoeming van een Functionaris voor de Gegevensbescherming is verplicht indien:

  1. verwerking wordt uitgevoerd door een publieke autoriteit; of
  2. de “kernactiviteiten” van een verwerkings-verantwoordelijke of vereist “de reguliere en systematische monitoring van datasubjects op een grote schaal,” of bestaat uit het verwerken van speciale categorieën van gegevens of gegevens over criminele veroordelingen “op een grote schaal.”

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bijzondere persoonsgegevens

De AVG refereert aan gevoelige persoonsgegevens als “speciale categorieën van persoonsgegevens.” De speciale categorieën van persoonsgegevens omvatten ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijk opvattingen, lidmaatschap van een vakbond, seksuele gerichtheid, en gezondheid, genetische en biometrische gegevens waar verwerkt tot een uniek te identificeren individu. Persoonsgegevens gerelateerd tot criminele veroordelingen en overtredingen zijn niet inbegrepen, maar verglijkbare waarborgen zijn hier van toepassing.

Verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Beperken van de verwerking

Het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.

Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

Pseudonimisering

Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Bestand

Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

Verwerkingsverantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Verantwoording

Verantwoording (accountability) is het vermogen compliance aan te tonen met de AVG. De Verordening verklaart expliciet dat dit de verantwoordelijkheid is van de organisatie. Teneinde compliance aan te tonen, moeten afdoende technische en organisatorische maatregelen zijn geïmplementeerd. Best practice-instrumenten zoals de gevensbeschermingseffectbeoordeling (DPIA of PIA) en ontwerp van gegevensbescherming zijn in bepaalde omstandigheden wettelijk vereist.

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Ontvanger

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk 4.5.2016 L 119/33 Publicatieblad van de Europese Unie NL persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.

Derde

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Betrokkene (of datasubject)

Een betrokkene of datasubject is een natuurlijk persoon van wie u als organisatie persoonsgegevens verwerkt. Voorbeelden van een betrokkene kunnen een individu, een klant, een potentiële klant, een werknemer, een contactpersoon, etc. zijn.

Toestemming (van de betrokkene)

Elke “vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige” indicatie van de wensen van het individu bij welke het datasubject, of door een verklaring of door een heldere actieve handeling, te kennen geeft in te stemmen met de persoonsgegevens verbonden aan hen om te worden verwerkt voor een of meerder doelen.

De actieve handeling, of een positieve opt-in, betekent dat de toestemming niet kan worden afgeleid van stilte, voor aangekruiste hokjes, of inactiviteit. Het dient eveneens afgescheiden te zijn van de voorwaarden, en een eenvoudige wijze van herroepen hebben. Publieke autoriteiten en werknemers zullen bijzondere aandacht moeten schenken aan het feit dat de toestemming vrijelijk is gegeven.

De bestaande toestemming hoeft niet automatisch te worden vernieuwd in de voorbereiding op de AVG, maar ze dienen aan de AVG-norm te voldoen als het gaat om specifiek zijnde, granulair, helder, opt-in, gedegen gedocumenteerd, en makkelijk te herroepen. Indien niet, verander uw toestemmings- mechanismen en zoek een AVG GDPR-compliant toestemming, of een alternatief om toe te stemmen.

Gevensbeschermingseffectbeoordeling (DPIA)

De AVG beschikt over een nieuwe verplichting rond de verwerkingsverantwoordelijken en gegevensverwerker een gevensbeschermingseffectbeoordeling uit te voeren (ook bekend als een Data Protection Impact Assessment, of Privacy Impact Assessment (PIA)) alvorens het uitvoeren van enige verwerking dat een specifiek gegevensrisico toont door z'n aard, toepassingsgebied, of doelen.

Inbreuk in verband met persoonsgegevens

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Genetische gegevens

Persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.

Biometrische gegevens

Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.

Gegevens over gezondheid

Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

Hoofdvestiging

  1. met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
  2. met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten.

Vertegenwoordiger

Een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening.

Onderneming

Een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.

Concern

Een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend.

Bindende bedrijfsvoorschriften (Binding Corporate Rules, of BCR)

Beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen.

Toezichthoudende autoriteit

Een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie; 4.5.2016 L 119/34 Publicatieblad van de Europese Unie NL.

Autoriteit Persoonsgegevens (AP)

De Nederlandse toezichthoudende autoriteit.

Betrokken toezichthoudende autoriteit

Een toezichthoudende autoriteit (zoals de Autoriteit Persoonsgegevens) die betrokken is bij de verwerking van persoonsgegevens omdat:

  1. de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd;
  2. de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of
  3. bij die toezichthoudende autoriteit een klacht is ingediend.

One-stop-shop

Indien een bedrijf is gevestigd in meer dan een lidstaat, dan zal het een “bevoegde autoriteit,” bepaald door de plaats of z’n “hoofdvestiging” in de EU hebben. Een toezichthoudende autoriteit die niet een bevoegde autoriteit is kan ook een wetgevende rol hebben, bijvoorbeeld waar verwerking gevolgen heeft voor datasubjects in het land waar de toezichthoudende autoriteit de nationale autoriteit is.

Grensoverschrijdende verwerking

Verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of

Verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.

Relevant en gemotiveerd bezwaar

Een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie.

Dienst van de informatiemaatschappij

Een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU2015/1535) van het Europees Parlement en de Raad (1).

Internationale organisatie

Een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen. Begripsomschrijvingen uit de definitieve tekst van de Algemene Verordening Gegevensbescherming (AVG), mei 2016.

 

Wilt u hier meer van weten neem dan vrijblijvend contact met ons op.