Begrippen privacy
Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (‘AVG’) is een Europese wet die de bescherming van persoonsgegevens regelt.
Uitvoeringswet Algemene Verordening Gegevensbescherming
De AVG biedt op een heel aantal punten ruimte om specifieke bepalingen op te nemen of uitzondering te maken. In Nederland zijn deze specifieke bepalingen vastgelegd in de Uitvoeringswet Algemene Verordening Gegevensbescherming (‘UAVG’).
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving.
Functionaris Gegevensbescherming
De Functionaris voor Gegevensbescherming (FG) houdt intern toezicht op en adviseert over de toepassing en naleving van de AVG door de organisatie. Ook is de FG het aanspreekpunt voor de betrokkene en houdt de FG zich bezig met het creëren van bewustwording. De TU Delft heeft een FG, Erik van Leeuwen.
Persoonsgegevens
Een persoonsgegeven wordt omschreven als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Een persoon wordt als identificeerbaar beschouwd als hij direct of indirect kan worden geïdentificeerd aan de hand van één of meerdere gegevens, bijvoorbeeld NAW-gegevens, e-mailadres, geboortedatum en woonadres.
Grofweg kan men ervan uit gaan dat alle gegevens die op een levend persoon betrekking hebben en het mogelijk maken om deze persoon te identificeren, dan wel uniek te onderscheiden van andere personen, een persoonsgegeven zijn.
Gevoelige persoonsgegevens
Een aantal persoonsgegevens worden als gevoelige persoonsgegevens beschouwd. Dit zijn bijvoorbeeld financiële gegevens, locatiegegevens, gegevens met betrekking tot kinderen of andere kwetsbare groepen. (Klik hier voor de volledige lijst) Voor het verwerken van deze persoonsgegevens is het belangrijk dat er extra waarborgen worden getroffen om te garanderen dat ze in overeenstemming met de AVG worden verwerkt.
Bijzondere persoonsgegevens en strafrechtelijke gegevens
Naast gewone persoonsgegevens kent de AVG een strenger regime met betrekking tot bijzondere persoonsgegevens. Het uitgangspunt is dat voor het verwerken van deze gegevens een verwerkingsverbod geldt. Uitsluitend wanneer er een uitzondering in de AVG of de uitvoeringswet AVG is opgenomen, mogen deze gegevens in sommige gevallen alsnog verwerkt worden. Als bijzondere persoonsgegevens worden aangemerkt gegevens die betrekking hebben op iemands godsdienst, ras, gezondheid, seksuele leven, politieke voorkeur, lidmaatschap van een vakvereniging en genetische en biometrische gegevens. In de AVG is de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen ook aan een apart regime onderworpen.
Verwerking
Bij een verwerking moet worden gedacht aan alle handelingen die men met persoonsgegevens kan verrichten. Denk hierbij aan opslaan, verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken et cetera.
Betrokkene
Degene waarvan de persoonsgegevens verwerkt worden.
Verwerker
De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder dienst rechtstreeks gezag te staan. Dit is de leverancier waaraan een dienst wordt uitbesteedt (denk aan beheer, clouddienst, salarisverwerking )
Verwerkersovereenkomst
Een overeenkomst of andere bindende rechtshandeling waarin afspraken met de verwerker worden gemaakt over de verwerking.
Verwerkingsverantwoordelijke
De partij (persoon of organisatie) die doel en middelen van het verwerken van persoonsgegevens bepaalt. Dus de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt. De TU Delft is in de meeste gevallen verwerkingsverantwoordelijke voor de verwerkingen die binnen haar organisatie plaatsvinden. Denk bijvoorbeeld aan het verwerken van studentgegevens om onderwijs te kunnen geven of het verwerken van alumni gegevens om contact te onderhouden met alumni. Er kan sprake zijn van éen of meerdere verwerkingsverantwoordelijke. Gezamenlijke verwerkingsverantwoordelijken komen bijvoorbeeld voor in samenwerkingsverbanden in onderzoek.
Grondslagen
De AVG bepaalt dat persoonsgegevens alleen mogen worden verwerkt als hiervoor een grondslag kan worden gevonden in artikel 6 AVG.
De grondslagen zijn:
- De toestemming van de betrokkene; Persoonsgegevens mogen worden verwerkt als de betrokkene hiervoor toestemming heeft gegeven. Om te spreken van geldige toestemming, moet de toestemming aan een aantal voorwaarden voldoen. De toestemming moet vrij zijn, specifiek en geïnformeerd en ondubbelzinnig. Deze grondslag gebruik je als de overige gronden niet gelden; je moet wel uitdrukkelijk(!) toestemming vragen.
- Noodzakelijk voor de uitvoering van een overeenkomst: Persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, zoals ter uitvoering van de arbeidsovereenkomst. Persoonsgegevens mogen ook worden verwerkt als dit noodzakelijk is om op verzoek van de betrokkene vóór, dus in de precontractuele fase, de sluiting van een overeenkomst maatregelen te nemen . Bijv. arbeidsovereenkomst, PhD agreement, overeenkomst volgen onderwijs, overeenkomst sportabonnement etc
- Noodzakelijk om te voldoen aan een wettelijke plicht; Gegevens mogen ook verwerkt worden om te voldoen aan een wettelijke plicht. Om verwerkingen van persoonsgegevens op deze grondslag te kunnen baseren, moet het niet mogelijk zijn om aan de plicht te voldoen zonder dat er persoonsgegevens worden verwerkt. Een wettelijke plicht is bijvoorbeeld dat werknemers verplicht zijn een kopie paspoort te bewaren van hun personeel op grond van de Wet op de loonbelasting. Administratie wordt gevoerd o.g.v. wettelijke verplichting bijv. belastingwetgeving, wet op ondernemingsraden (het gaat hier om wettelijke taken die niet specifiek aan de TUD als organisatie zijn opgedragen, maar voor alle organisaties kunnen gelden)
- Noodzakelijk om de vitale belangen te beschermen; Als dit noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, mogen persoonsgegevens worden verwerkt; deze grondslag mag alleen worden gebruikt wanneer de verwerking niet op een andere grondslag kan worden gebaseerd. Denk hierbij aan een situatie waarin hulpverleners persoonsgegevens moeten verwerken om acuut dringend noodzakelijke medische hulp aan de betrokkene te verlenen. Niet van toepassing bij de TUD; indien zaak van leven of dood-ambulance, brandweer etc.
- Noodzakelijk voor een taak van algemeen belang of voor de uitoefening van het openbaar gezag; Persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de vervulling van een taak in het algemeen belang of als het noodzakelijk is voor de uitoefening van het openbaar gezag dat aan de verantwoordelijke is opgedragen. De taak moet zijn opgedragen bij wet, waarin ook het doel van de verwerking moet staan. Denk hierbij aan de Wet op het hoger onderwijs en wetenschappelijk onderzoek. De taak dient in de wet (specifiek) opgedragen te zijn aan de TUD; in de Wet op Hoger onderwijs en Wetenschappelijk onderzoek (WHW) is TUD aangewezen als onderwijsinstelling.
- Noodzakelijk ter behartiging van het gerechtvaardigd belang. Persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verwerkingsverantwoordelijke of een derde, mits de belangen, rechten en vrijheden van de betrokkene(n) niet zwaarder wegen. Let op: de TU Delft kan geen beroep doen op deze grondslag in het kader van de uitoefening van haar taken. Uitsluitend gebruiken bij verwerkingen die alle organisaties (zowel publieke- als privaatrechtelijke) verrichten, bijvoorbeeld bij bedrijfsvoering activiteiten. Het gaat dan met name over verwerkingen die nodig zijn voor de bedrijfsvoering zoals identificatie voor toegang gebouwen of systemen.