De AVG is niet van toepassing op: gegevens over overledenen. gegevens over rechtspersonen.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
De AVG noemt dit ook wel het 'recht op vergetelheid'. Is er geen goede reden (meer) voor een organisatie om iemands gegevens nog langer te verwerken? Dan is het belangrijk dat de organisatie deze gegevens wist. Maar let op: het is vaak niet mogelijk om alle gegevens te wissen.
De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Die regels zijn hetzelfde voor heel Europa.
Deze rechten zijn bedoeld om mensen controle te laten houden over hun persoonsgegevens. Mensen hebben bijvoorbeeld het recht om te weten wat een organisatie met hun gegevens doet. En ze kunnen organisaties onder meer vragen om inzage in hun gegevens en om hun gegevens te corrigeren of wissen.
In artikel 10 van de Grondwet is opgenomen dat iedereen recht heeft op eerbiediging van zijn of haar persoonlijke levenssfeer. Dit betekent dat iemands persoonlijke vrijheid niet wordt gehinderd en/of beïnvloed door externe factoren, en dat iemand zelf kan bepalen wie welke informatie over hem of haar verkrijgt.
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Vitaal belang: Je mag informatie delen als dat essentieel is voor iemands leven of gezondheid (of dat van een ander) en die persoon niet om toestemming gevraagd kan worden. Publieke taak/algemeen belang: Je mag informatie delen als dat nodig is voor het uitvoeren van een publieke taak.
Die regels gelden voor alle bedrijven en organisaties die persoonsgegevens van personen in de EU (In dit geval de 27 EU-lidstaten) verwerken, ongeacht of die bedrijven nu in de EU gevestigd zijn, of daarbuiten.
Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de AP moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.
Een betrokkene heeft het recht om van de verwerkingsverantwoordelijke snel rectificatie van hem betreffende onjuiste persoonsgegevens te krijgen. Gelet op de doeleinden van de verwerking kan de betrokkene aanvulling van onvolledige persoonsgegevens eisen. Hiervoor kan hij een aanvullende verklaring verstrekken.
Gevoelige persoonsgegevens
Er zijn meer persoonsgegevens die een hogere impact op de privacy hebben dan gewone persoonsgegevens. Voorbeelden van gevoelige gegevens zijn beoordelingen, financiële gegevens zoals salaris en bankrekeninggegevens.
AVG sluit aan op digitale tijdperk
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe Europese privacywet.
Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens.
U mag persoonsgegevens verstrekken bij een vitaal belang van de betrokkene. Bijvoorbeeld een dringende medische noodzaak. Het is dan wel beter om toestemming te vragen aan de betrokkene. Alleen als dat niet meer mogelijk is, mag u zonder toestemming persoonsgegevens verstrekken.
Geen verwerking persoonsgegevens
Vraagt een organisatie bijvoorbeeld algemene informatie op bij een andere organisatie? Zonder dat de eerste organisatie daarbij persoonsgegevens noemt? En verstrekt de andere organisatie ook geen persoonsgegevens? Dan hoeft er geen sprake te zijn van verwerken.
De sterkste privacywet ter wereld tot nu toe, de GDPR, definieert gevoelige gegevens in artikel 9 onder “bijzondere categorieën van persoonsgegevens”, als: ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van een vakbond.
Een IP-adres is voor wie het adres uitgeeft altijd een persoonsgegeven [4].
Onder directe persoonsgegevens vallen onder andere iemands geboortedatum, voor- en achternaam, geslacht, adres, pasfoto, telefoonnummer, e-mailadres, burgerservicenummer (BSN), bankrekeningnummer en patiëntendossier.
De Algemene Verordening Gegevensbescherming (AVG) maakt onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gevoelige gegevens; de verwerking ervan kan iemands privacy ernstig beïnvloeden. Daarom zijn bijzondere persoonsgegevens extra beschermd door de wet.
Er is sprake van een inbreuk in verband met persoonsgegevens wanneer de gegevens waarvoor uw onderneming/organisatie verantwoordelijk is het onderwerp worden van een beveiligingsincident waardoor de vertrouwelijkheid, beschikbaarheid of integriteit wordt geschonden.
Soms kunnen betrokkenen hun privacyrechten uitoefenen of kunnen ze een voor de schending van hun privacy een schadevergoeding vorderen. Ook is het mogelijk om een klacht in te dienen bij een officiële instantie. In sommige gevallen kan een schending van privacy zelfs strafbaar zijn.
