les 3

# De impact van digitale technologieën op het recht op privacy en gegevensbescherming Digitale technologieën hebben een ingrijpende invloed op het recht op privacy en gegevensbescherming, wat een complex juridisch en maatschappelijk debat vereist binnen bestaande en nieuwe wettelijke kaders. ## 1. De context van digitale technologieën en privacy ### 1.1 Technologische ontwikkelingen en privacy-implicaties Verschillende digitale technologieën, die zowel door overheden als door particulieren worden ingezet, roepen significante vragen op met betrekking tot het recht op privacy en gegevensbescherming. #### 1.1.1 Automatische Nummerplaatherkenning (ANPR) ANPR-systemen, oorspronkelijk bedoeld voor verkeershandhaving zoals snelheidscontroles, kunnen ook worden gebruikt voor bredere doeleinden die ingrijpend kunnen zijn voor de privacy. Voorbeelden omvatten het monitoren van de bewegingen van burgers, zoals het controleren op het verblijf op niet-toegestane locaties tijdens de coronapandemie. #### 1.1.2 Gezichtsherkenningstechnologie Gezichtsherkenningstechnologie kan nuttig zijn voor opsporingsdoeleinden, zoals het identificeren van vermiste kinderen of criminelen. Echter, de wijdverbreide toepassing ervan heeft een aanzienlijke impact op het recht op privacy. Het gebruik ervan, zelfs voor minder ernstige vergrijpen, kan een afschrikkend effect hebben op fundamentele rechten zoals vrijheid van meningsuiting en vergadering. > **Voorbeeld:** De zaak Glukhin tegen Rusland, waarbij de Europese Commissie voor de Rechten van de Mens (ECRM) oordeelde dat het gebruik van gezichtsherkenning om een demonstrant te identificeren en te arresteren, een schending was van artikel 8 EVRM, omdat het niet noodzakelijk was in een democratische samenleving en geen indruk maakte van een dringende sociale behoefte. #### 1.1.3 Slimme apparaten en dataverzameling Smartwatches en andere slimme apparaten verzamelen vaak gezondheidsgerelateerde gegevens. De toegang tot deze gegevens door derden, zoals verzekeringsmaatschappijen, kan leiden tot hogere premies. Diensten die locatiegegevens bijhouden of delen, zoals kaarttoepassingen, kunnen potentieel ook constante monitoring van gebruikerslocaties door de provider mogelijk maken. #### 1.1.4 Particulier gebruik van bewakingstechnologie Het gebruik van camera's in privéomgevingen, zoals studentenhuizen, valt ook onder de privacyregelgeving. De Belgische Gegevensbeschermingsautoriteit (GBA) heeft boetes opgelegd voor het plaatsen van camera's in gemeenschappelijke ruimtes zoals keukens en gangen van studentenhuizen. ### 1.2 Het concept "niets te verbergen" Het argument "ik heb niets te verbergen" wordt vaak gebruikt om inbreuken op privacy te rechtvaardigen. Dit standpunt wordt echter bekritiseerd omdat het de intrinsieke waarde van privacy miskent. Privacy is een fundamenteel recht dat verband houdt met menselijke waardigheid, autonomie en persoonlijke identiteit. > **Tip:** Vergelijk het argument "niets te verbergen" met het argument "niets te zeggen" met betrekking tot vrijheid van meningsuiting. Zonder privacy is er geen ruimte voor persoonlijke ontwikkeling en zelfexpressie. #### 1.2.1 Definitie van privacy Privacy omvat de individuele en persoonlijke sfeer, inclusief het huis, communicatie, gedachten, gevoelens, seksualiteit en beelden. Het omvat ook de controle over de verspreiding van informatie over zichzelf. ### 1.3 De relatie tussen privacy en gegevensbescherming Hoewel privacy en gegevensbescherming nauw met elkaar verbonden zijn, zijn ze niet identiek. * **Privacy** betreft het recht op respect voor het privé- en gezinsleven, de woning en de correspondentie, en de vrijheid om gedachten en overtuigingen te uiten. Het impliceert dat de overheid toestemming van een rechter nodig heeft om iemands huis te onderzoeken en dat men niet gedwongen kan worden persoonlijke gedachten te delen. * **Gegevensbescherming** daarentegen stelt regels op voor het gebruik van persoonsgegevens. Het gaat niet altijd direct over het privéleven, maar over de manier waarop gegevens worden verwerkt en de rechten die betrokkenen hebben. ## 2. Wettelijke kaders voor privacy en gegevensbescherming ### 2.1 Internationale en Europese rechtsinstrumenten #### 2.1.1 Verenigde Naties * **Artikel 12 Universele Verklaring van de Rechten van de Mens:** Garandeert het recht op privacy. * **Artikel 17 International Covenant on Civil and Political Rights (ICCPR):** Bevestigt het recht op privacy en stelt dat niemand willekeurig mag worden gehinderd in zijn privé- en gezinsleven, woning of briefwisseling. Overheidsingrijpen is alleen toegestaan onder specifieke wettelijke voorwaarden. #### 2.1.2 Raad van Europa * **Artikel 8 Europees Verdrag voor de Rechten van de Mens (EVRM):** Beschermt het recht op respect voor privé- en gezinsleven, woning en correspondentie. Interventie door publieke autoriteiten is alleen toegestaan indien dit wettelijk voorzien is en noodzakelijk is in een democratische samenleving voor nationale veiligheid, openbaar belang, voorkoming van wanordelijkheden of criminaliteit, bescherming van gezondheid of moraal, of bescherming van de rechten en vrijheden van anderen. > **Tip:** Het Europees Hof voor de Rechten van de Mens (EHRM) heeft herhaaldelijk benadrukt dat de bescherming van persoonsgegevens van fundamenteel belang is voor het genot van het recht op privé- en gezinsleven (artikel 8 EVRM). * **Verdrag 108 van de Raad van Europa (Verdrag ter bescherming van de mens ten opzichte van de automatische verwerking van persoonsgegevens):** Dit is het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming, opgesteld in 1981 en herzien in 2018. Het geldt voor de automatische verwerking van persoonsgegevens in zowel de publieke als de private sector en introduceert basisprincipes, verplichtingen voor verwerkingsverantwoordelijken en rechten voor betrokkenen. Het staat open voor niet-leden van de Raad van Europa en bevordert harmonisatie. #### 2.1.3 Europese Unie * **Artikel 7 Handvest van de Grondrechten van de Europese Unie:** Garandeert het recht op respect voor privé- en gezinsleven, woning en communicatie. * **Artikel 8 Handvest van de Grondrechten van de Europese Unie:** Garandeert het recht op bescherming van persoonsgegevens. Deze gegevens moeten eerlijk worden verwerkt voor specifieke doeleinden, op basis van toestemming of een andere wettelijke grondslag. Betrokkenen hebben recht op inzage en rectificatie, onder controle van een onafhankelijke autoriteit. * **Artikel 52 Handvest van de Grondrechten van de Europese Unie:** Stelt dat beperkingen op grondrechten bij wet moeten zijn voorzien, de essentie van het recht respecteren, en proportioneel en noodzakelijk zijn voor een legitiem doel. ##### 2.1.3.1 Primaire EU-wetgeving (Verordeningen) * **Algemene Verordening Gegevensbescherming (AVG/GDPR):** De AVG is een verordening (direct toepasbaar in alle lidstaten) die de bescherming van persoonsgegevens reguleert. Het is van toepassing op de verwerking van persoonsgegevens, tenzij er sprake is van nationale veiligheidsactiviteiten, gemeenschappelijk buitenlands en veiligheidsbeleid, of zuiver persoonlijke of huishoudelijke activiteiten (de 'huishoudelijke uitzondering'). De AVG heeft een brede territoriale reikwijdte, waardoor ook niet-EU-bedrijven die diensten aanbieden aan EU-burgers of hun gedrag monitoren binnen de EU, eraan gebonden zijn. > **Tip:** De AVG is een cruciaal instrument voor het begrijpen van de juridische vereisten rondom digitale technologieën en privacy. Zorg ervoor dat je de kernbegrippen, principes, rechten en plichten kent. * **Doelstellingen van de AVG (Artikel 3):** * Bescherming van de grondrechten en -vrijheden van natuurlijke personen, met name het recht op bescherming van persoonsgegevens. * Bevordering van het vrije verkeer van persoonsgegevens binnen de Unie. * **Materiële werkingssfeer (Artikel 2):** De AVG is van toepassing op de (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens die deel uitmaken van of bestemd zijn om deel uit te maken van een gegevensbestand. Activiteiten met betrekking tot nationale veiligheid, gemeenschappelijk buitenlands en veiligheidsbeleid, en zuiver persoonlijke of huishoudelijke activiteiten zijn uitgesloten. * **Territoriale werkingssfeer (Artikel 3):** De AVG is van toepassing op de verwerking door een verwerkingsverantwoordelijke of verwerker met een vestiging in de EU, ongeacht waar de verwerking plaatsvindt. Ook is de AVG van toepassing op verwerkers of verwerkingsverantwoordelijken buiten de EU die persoonsgegevens van EU-ingezetenen verwerken in verband met het aanbieden van goederen of diensten, of het monitoren van hun gedrag binnen de EU. * **Verordening 2018/1725:** Specifieke regels voor de verwerking van persoonsgegevens door EU-instellingen en -organen. ##### 2.1.3.2 Secundaire EU-wetgeving * **Wetshandhavingsrichtlijn (Law Enforcement Directive):** Reguleert de verwerking van gegevens door politie- en justitiële autoriteiten. * **E-privacyverordening:** Regelt privacy en de verwerking van gegevens in elektronische communicatie. #### 2.1.4 Nationale wetgeving * **Belgische Grondwet:** Artikel 22 beschermt het recht op eerbiediging van het privéleven. * **Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Data Protection Act):** Implementeert de AVG en bevat specifieke bepalingen voor onder andere gevoelige gegevens, de leeftijd waarop kinderen toestemming kunnen geven, en journalistieke activiteiten. ### 2.2 Toezichthoudende autoriteiten en adviesorganen * **Artikel 29 Werkgroep / European Data Protection Board (EDPB):** Deze organen geven richtlijnen en adviezen over de interpretatie en toepassing van de AVG, wat essentieel is gezien de soms algemene formulering van de wet. ## 3. Kernbegrippen in de gegevensbescherming (AVG) ### 3.1 Persoonsgegevens #### 3.1.1 Definitie van persoonsgegevens (Artikel 4.1 AVG) Persoonsgegevens zijn "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene')". Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, online-identificator of een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon. > **Belangrijk:** De AVG is niet van toepassing op persoonsgegevens van overleden personen. Lidstaten kunnen hierover eigen regels opstellen. De AVG is ook niet van toepassing op rechtspersonen. #### 3.1.2 Identificeerbaarheid Identificeerbaarheid betekent dat de informatie, zelfs als deze versnipperd is, kan worden gebruikt om een persoon te herkennen. Hierbij wordt rekening gehouden met alle redelijkerwijs beschikbare middelen, inclusief technologische ontwikkelingen en de kosten en tijd die nodig zijn voor identificatie. De identiteit hoeft niet bij één persoon bekend te zijn; informatie uit verschillende bronnen kan gecombineerd worden. > **Voorbeeld:** Een kentekenplaat is op zichzelf beperkt informatief, maar in combinatie met andere gegevens kan het tot identificatie van een persoon leiden. > **Zaak Breyer v Bundesrepublik Deutschland:** Het Hof stelde dat het niet vereist is dat alle identificerende informatie in handen is van één persoon om van persoonsgegevens te kunnen spreken. #### 3.1.3 Anonimisering en pseudonimisering * **Anonieme gegevens:** Gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, of die zodanig zijn geanonimiseerd dat de betrokkene niet meer (of niet langer) identificeerbaar is. De AVG is hierop niet van toepassing. * **Pseudonieme gegevens:** Persoonsgegevens die zodanig worden verwerkt dat zij niet meer aan een specifieke betrokkene kunnen worden toegeschreven zonder dat er aanvullende informatie wordt gebruikt. Deze aanvullende informatie wordt apart bewaard en beveiligd. Pseudonieme gegevens worden nog steeds beschouwd als persoonsgegevens en vallen onder de AVG, hoewel ze een verhoogd beschermingsniveau genieten. > **Zaak EDPS v SRB:** Het Hof oordeelde dat gepseudonimiseerde gegevens, afhankelijk van de omstandigheden, de betrokkene effectief onherkenbaar kunnen maken voor anderen dan de verwerkingsverantwoordelijke. Dit kan betekenen dat ze in specifieke gevallen buiten de scope van de AVG vallen, maar dit is niet de algemene regel. > **Zaak OC v Commission:** De notie 'indirect' in artikel 4(1) AVG betekent dat informatie niet direct iemand hoeft te identificeren, en het is niet noodzakelijk dat alle identificerende informatie bij één persoon berust. #### 3.1.4 Bijzondere categorieën van persoonsgegevens (gevoelige gegevens) Dit zijn persoonsgegevens die zo nauw verbonden zijn met de persoon dat ze extra bescherming vereisen. Verwerking is in principe verboden, tenzij aan strikte uitzonderingen wordt voldaan. * **Definitie:** Persoonsgegevens die voortvloeien uit specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon, die unieke identificatie van die natuurlijke persoon mogelijk maken of bevestigen. * **Voorbeelden van biometrische gegevens:** * **Fysieke/fysiologische identificatie:** Gezichtsherkenning, vingerafdrukherkenning, irisscans, stem- en spraakherkenning. * **Gedragsmatige identificatie:** Toetspatroon analyse (keystroke analysis), handschriftherkenning, loopanalyse (gait analysis), oogbewegingsanalyse (gaze analysis). * **Uitzonderingen op het verbod (Artikel 9.2 AVG):** Expliciete toestemming, wetgeving inzake arbeid, sociale zekerheid, bescherming van vitale belangen, organisaties zonder winstoogmerk met een politiek, filosofisch, religieus of vakbondsdoel, gegevens die door de betrokkene manifest openbaar zijn gemaakt, juridische claims, substantiële redenen van algemeen belang, preventieve of beroepsgeneeskunde, volksgezondheid, archivering in het algemeen belang, wetenschappelijk/historisch onderzoek, statistische doeleinden. * **Aanvullende voorwaarden door lidstaten (Artikel 9.4 AVG):** Lidstaten kunnen aanvullende voorwaarden en beperkingen stellen voor de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid. > **Voorbeeld:** Artikel 5 van de Belgische Data Protection Act stelt aanvullende eisen aan de verwerking van genetische, biometrische of gezondheidsgegevens, zoals het specificeren van wie toegang heeft tot de gegevens en het waarborgen van vertrouwelijkheid. ### 3.2 Niet-persoonsgegevens Gegevens die niet onder de definitie van persoonsgegevens vallen, zoals geaggregeerde en geanonimiseerde datasets voor big data-analyse, vallen buiten de AVG. Deze data vallen echter wel onder andere regelgeving, zoals de Verordening (EU) 2018/1807 inzake een kader voor het vrije datatransport binnen de EU. De EU-datastrategie en initiatieven zoals de Data Governance Act en de Data Act streven naar het creëren van een interne markt voor data en het faciliteren van datadeling. ## 4. Data protection actors (actoren in gegevensbescherming) De AVG definieert verschillende actoren met specifieke rechten en plichten. Het correct identificeren van deze actoren is cruciaal voor de naleving van de regelgeving. ### 4.1 Betrokkene (Data Subject) * **Definitie (Artikel 4.1 AVG):** De geïdentificeerde of identificeerbare natuurlijke persoon van wie persoonsgegevens worden verwerkt. * **Rechten:** Betrokkenen hebben diverse rechten onder de AVG (zie verder hoofdstuk 12). * **Kwetsbare groepen:** Kinderen, patiënten, werknemers en ouderen worden beschouwd als kwetsbare groepen die specifieke bescherming nodig hebben vanwege hun mogelijke minderheid van de risico's, gevolgen en waarborgen. ### 4.2 Verwerkingsverantwoordelijke (Data Controller) * **Definitie (Artikel 4.7 AVG):** De natuurlijke of rechtspersoon, publieke instantie, dienst of ander orgaan die, alleen of samen met anderen, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt. * **Verantwoordelijkheid:** De verwerkingsverantwoordelijke is primair verantwoordelijk voor de naleving van de AVG en moet kunnen aantonen dat de principes van gegevensbescherming worden nageleefd (beginsel van verantwoordingsplicht). > **Zaak Google Spain v AEPD:** Een zoekmachinoperator die informatie publiceert, indiceert, opslaat en beschikbaar stelt op het internet, wordt beschouwd als verwerkingsverantwoordelijke voor de persoonsgegevens die deze informatie bevat. #### 4.2.1 Gezamenlijke verwerkingsverantwoordelijken (Joint Controllers) * Wanneer twee of meer verwerkingsverantwoordelijken samen de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken (Artikel 26.1 AVG). Hun verantwoordelijkheden moeten worden vastgelegd in een onderlinge regeling, doorgaans een schriftelijk contract. > **Voorbeeld:** Twee universiteiten die samenwerken aan een onderzoeksproject door middel van elektronische enquêtes. ### 4.3 Verwerker (Data Processor) * **Definitie (Artikel 4.8 AVG):** De natuurlijke of rechtspersoon, publieke instantie, dienst of ander orgaan die persoonsgegevens verwerkt *namens* de verwerkingsverantwoordelijke. * **Kenmerken:** * Een afzonderlijke entiteit ten opzichte van de verwerkingsverantwoordelijke. * Verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke en onder diens instructies. * **Voorbeeld:** Een gespecialiseerd bedrijf in HR-administratie, een cloudopslagprovider. #### 4.3.1 Sub-verwerker (Sub-processor) * Een verwerker kan een andere entiteit inschakelen om persoonsgegevens te verwerken, die dan als sub-verwerker kwalificeert. De initiële verwerker blijft volledig aansprakelijk voor de naleving van de verplichtingen door de sub-verwerker. Dit mag alleen met voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. ### 4.4 Ontvanger en Derde Partij (Recipient and Third Party) * **Ontvanger:** Een natuurlijke of rechtspersoon, publieke instantie, dienst of ander orgaan aan wie de persoonsgegevens worden verstrekt, al dan niet een derde. * **Derde Partij:** Iedere natuurlijke of rechtspersoon, publieke instantie, dienst of ander orgaan, *niet zijnde* de betrokkene, de verwerkingsverantwoordelijke, de verwerker of de sub-verwerker. ### 4.5 Verantwoordingsplicht (Accountability Principle) De verwerkingsverantwoordelijke is verantwoordelijk voor en moet de naleving van de beginselen inzake de verwerking van persoonsgegevens (artikel 5 AVG) kunnen aantonen. Dit omvat zowel feitelijke elementen als de specifieke omstandigheden van de zaak. > **Tip:** De kwalificatie van de actoren is cruciaal. De verantwoordingsplicht rust primair op de verwerkingsverantwoordelijke. > **Voorbeeld Case:** Twee universiteiten werken samen aan een onderzoeksproject met behulp van online enquêtes (Qualtrics). De respondenten (jonge mensen) zijn de betrokkenen. De universiteiten, die gezamenlijk de doelen en middelen bepalen, zijn de gezamenlijke verwerkingsverantwoordelijken. Qualtrics, die de enquête software levert, is de verwerker. De data wordt opgeslagen op het platform van een van de universiteiten. --- # Persoonsgegevens en niet-persoonsgegevens onder de GDPR Dit onderwerp verkent de definities van persoonsgegevens en niet-persoonsgegevens zoals uiteengezet in de Algemene Verordening Gegevensbescherming (AVG), met aandacht voor identificeerbaarheid, gevoelige gegevens en specifieke categorieën van gegevens. ### 2.1 Definitie van persoonsgegevens Volgens de AVG is een **persoonsgegeven** "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene')". Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. * De AVG is **niet van toepassing** op de persoonsgegevens van **overleden personen**. Lidstaten kunnen hierover wel specifieke regels opstellen. * De AVG is **niet van toepassing** op **rechtspersonen**. **Identificeerbaarheid** betekent dat, zelfs als niet alle informatie om iemand exact te kennen aanwezig is, de informatie in combinatie met andere stukken wel tot identificatie kan leiden. Dit kan direct of indirect gebeuren. Er wordt rekening gehouden met alle middelen die redelijkerwijs waarschijnlijk zullen worden gebruikt om de natuurlijke persoon te identificeren, inclusief de beschikbare technologie en de kosten en tijd die nodig zijn voor identificatie. Het is niet vereist dat alle identificerende informatie in handen is van één persoon om als persoonsgegeven te worden beschouwd. > **Tip:** De reikwijdte van persoonsgegevens is breed en omvat potentieel allerlei soorten informatie, niet beperkt tot gevoelige of privé-informatie. **Voorbeelden van persoonsgegevens:** * Fysieke kenmerken * Biometrische gegevens * Locatiegegevens * Administratieve documenten * Belastinggegevens * Foto's * Persoonlijke opvattingen en meningen #### 2.1.1 Geanonimiseerde en gepseudonimiseerde gegevens * **Geanonimiseerde gegevens**: Informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. De AVG is hierop **niet van toepassing**. Dit zijn gegevens die zodanig zijn verwerkt dat de betrokkene niet meer identificeerbaar is. * **Gepseudonimiseerde gegevens**: Persoonsgegevens die zodanig zijn verwerkt dat zij niet meer aan een specifieke betrokkene kunnen worden toegeschreven zonder gebruikmaking van aanvullende gegevens. Deze aanvullende gegevens worden apart bewaard en onderworpen aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden toegeschreven. Gepseudonimiseerde gegevens worden beschouwd als persoonsgegevens en vallen dus **onder de AVG**. > **Tip:** Hoewel gepseudonimiseerde gegevens nog steeds als persoonsgegevens worden beschouwd, verkleint pseudonimisering het risico op identificatie aanzienlijk en kan het een passende maatregel zijn ter naleving van de AVG. #### 2.1.2 Gevoelige gegevens (bijzondere categorieën van persoonsgegevens) Bepaalde persoonsgegevens worden aangemerkt als 'bijzondere categorieën van persoonsgegevens' of 'gevoelige gegevens'. Deze vereisen een verhoogde bescherming en zijn onderworpen aan strengere regels, omdat ze bijzonder gevoelig zijn in relatie tot grondrechten en vrijheden, zoals het risico op discriminatie. * **Algemene regel (artikel 9.1 AVG)**: De verwerking van deze gegevens is in beginsel **verboden**. * **Uitzonderingen (artikel 9.2 AVG)**: Er zijn specifieke, beperkte omstandigheden waarin de verwerking van gevoelige gegevens wel is toegestaan. Dit omvat onder andere: * Expliciete toestemming van de betrokkene. * Noodzakelijk voor werkgelegenheid en sociale zekerheid. * Bescherming van vitale belangen. * Verwerking door een stichting of vereniging zonder winstoogmerk met een politiek, filosofisch, religieus of vakbondsdoel. * Gegevens die de betrokkene zelf openbaar heeft gemaakt. * Noodzakelijk voor de vaststelling, uitoefening of verdediging van rechtsvorderingen. * Redenen van zwaarwegend openbaar belang. * Gezondheidszorg en doeleinden van openbaar belang op het gebied van volksgezondheid. * Archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Lidstaten kunnen aanvullende voorwaarden en beperkingen opleggen voor de verwerking van genetische gegevens, biometrische gegevens of gegevens betreffende gezondheid (artikel 9.4 AVG). **Biometrische gegevens** worden gedefinieerd als persoonsgegevens die voortvloeien uit specifieke technische verwerkingen met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon, waardoor die persoon uniek kan worden geïdentificeerd of de identificatie ervan kan worden bevestigd. **Voorbeelden van biometrische gegevens:** * Gezichtsherkenning * Vingerafdrukverificatie * Iris-scanning * Stem- en spraakherkenning (fysiek/fysiologisch) * Toetsaanslag-analyse (keystroke analysis) * Handschriftanalyse * Galoop-analyse (gait analysis) * Kijkgedrag-analyse (gaze analysis) (gedragskenmerken) > **Voorbeeld:** In België legt de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens specifieke aanvullende voorwaarden op voor de verwerking van genetische, biometrische of gezondheidsgegevens, zoals het specificeren wie toegang heeft tot de gegevens en het aanhouden van een lijst van bevoegde personen die gebonden zijn aan een geheimhoudingsplicht. ### 2.2 Niet-persoonsgegevens **Niet-persoonsgegevens** vallen niet onder de AVG. Dit betreft informatie die niet herleidbaar is tot een geïdentificeerde of identificeerbare natuurlijke persoon. De verwerking van niet-persoonsgegevens is onderworpen aan Verordening (EU) 2018/1807 betreffende een kader voor het vrije verkeer van niet-persoonsgegevens in de Europese Unie. Deze verordening is bedoeld om een interne markt voor gegevens te creëren, wat de concurrentiekracht van de EU wereldwijd moet vergroten en innovatie moet stimuleren. **Voorbeelden van niet-persoonsgegevens:** * Geaggregeerde en geanonimiseerde datasets voor big data-analyse. * Gegevens over precisielandbouw (bv. monitoringsgegevens voor pesticiden en watergebruik). * Gegevens over onderhoudsbehoeften van industriële machines. > **Tip:** De EU-strategie voor gegevens richt zich op het creëren van een efficiënte markt voor zowel persoonsgegevens (via de AVG) als niet-persoonsgegevens (via verordeningen zoals 2018/1807), met initiatieven als de Data Governance Act en de Data Act om data-sharing te faciliteren en economische waarde uit data te halen. ### 2.3 Uitzonderingen op de AVG De AVG is van toepassing op de verwerking van persoonsgegevens die geheel of gedeeltelijk geautomatiseerd is, of op niet-geautomatiseerde gegevens die deel uitmaken van of bestemd zijn om deel uit te maken van een bestand. Er zijn echter uitzonderingen: * **Activiteiten met betrekking tot nationale veiligheid of gemeenschappelijk buitenlands en veiligheidsbeleid**: Deze vallen buiten de reikwijdte van de AVG en worden op nationaal niveau gereguleerd. * **Huishoudelijke uitzondering**: De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijk persoon in het kader van een **puur persoonlijke of huishoudelijke activiteit**. Dit omvat bijvoorbeeld correspondentie en het bijhouden van adressen voor persoonlijke doeleinden, of het maken van opnames met een actiecamera voor persoonlijk entertainment thuis. Het is hierbij cruciaal dat de gegevens niet gedeeld worden met een onbeperkt aantal personen of bestemd zijn om publiekelijk toegankelijk te worden gemaakt. > **Voorbeeld:** Het opnemen van een fietstocht met een actiecamera voor persoonlijk gebruik en het bekijken van de beelden thuis valt onder de huishoudelijke uitzondering. Als de beelden echter op sociale media worden geplaatst en toegankelijk zijn voor een breed publiek, dan valt dit waarschijnlijk niet meer onder deze uitzondering en kan de AVG van toepassing zijn. ### 2.4 Pseudonimisering vs. Anonimisering Het is belangrijk het verschil te begrijpen tussen anonimisering en pseudonimisering: * **Anonimisering** verwijdert alle identificeerbare elementen volledig, waardoor de gegevens niet meer naar een persoon herleidbaar zijn. De AVG is hier niet van toepassing. * **Pseudonimisering** vervangt directe identificators door een pseudoniem. Hoewel de persoon niet direct identificeerbaar is, blijft herleiding mogelijk met behulp van aanvullende informatie. De AVG is wél van toepassing op gepseudonimiseerde gegevens, maar pseudonimisering wordt beschouwd als een effectieve beveiligingsmaatregel die de bescherming van persoonsgegevens verhoogt. > **Tip:** Pseudonimisering kan een belangrijke rol spelen bij het voldoen aan de AVG, met name voor onderzoeksdoeleinden en statistische analyses, omdat het de risico's voor betrokkenen verkleint zonder de bruikbaarheid van de gegevens volledig teniet te doen. --- # Gegevensbeschermingsactoren en hun verantwoordelijkheden Dit hoofdstuk introduceert de verschillende actoren binnen gegevensbescherming, zoals de gegevensbeheerder, de gegevensverwerker en het gegevensobject, en hun bijbehorende verantwoordelijkheden, met nadruk op de principes van verantwoording onder de AVG. ## 3. Gegevensbeschermingsactoren en hun verantwoordelijkheden Binnen de context van gegevensbescherming is het cruciaal om de verschillende actoren te identificeren en te begrijpen, aangezien hun rol en status bepalen welke verantwoordelijkheden zij dragen met betrekking tot de verwerking van persoonsgegevens. Deze actoren en hun functies zijn fundamenteel voor de naleving van de Algemene Verordening Gegevensbescherming (AVG). ### 3.1 Het gegevensobject (data subject) Het gegevensobject, ook wel 'data subject' genoemd, is de natuurlijke persoon wiens persoonsgegevens worden verwerkt. Dit concept is direct gekoppeld aan de definitie van persoonsgegevens in de AVG. * **Definitie:** Volgens Artikel 4.1 van de AVG is een gegevensobject 'iedere geïdentificeerde of identificeerbare natuurlijke persoon'. Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. * **Belangrijke opmerkingen:** * De AVG is niet van toepassing op persoonsgegevens van overleden personen. Lidstaten kunnen hierover wel eigen regels opstellen. * De AVG is niet van toepassing op rechtspersonen. * **Identificeerbaarheid:** Een persoon wordt als identificeerbaar beschouwd, zelfs als niet alle benodigde informatie om die persoon exact te identificeren direct beschikbaar is. Door informatie te combineren, kan de identiteit achterhaald worden. Factoren die hierbij een rol spelen zijn onder andere de kosten en de tijd die nodig is voor identificatie, rekening houdend met de beschikbare technologie. * **Kwetsbare gegevensobjecten:** Sommige gegevensobjecten worden als kwetsbaarder beschouwd en verdienen specifieke bescherming. Dit geldt met name voor kinderen, die zich mogelijk minder bewust zijn van de risico's en hun rechten. Ook ouderen, patiënten en werknemers kunnen als kwetsbare groepen worden aangemerkt, vaak door een machtsongelijkheid in de relatie met de verwerker. ### 3.2 De gegevensbeheerder (data controller) De gegevensbeheerder is de actor die de doelen en middelen van de verwerking van persoonsgegevens vaststelt. * **Definitie:** Volgens Artikel 4.7 van de AVG is een gegevensbeheerder 'de natuurlijke of rechtspersoon, het openbaar gezag, de dienst, het agentschap of een ander lichaam dat, alleen of samen met anderen, de verwerkingsdoeleinden en de middelen voor de verwerking van persoonsgegevens vaststelt'. * **Verantwoordelijkheden:** * De gegevensbeheerder is primair verantwoordelijk voor de naleving van de AVG. Dit omvat het waarborgen van de principes van gegevensverwerking zoals uiteengezet in Artikel 5 van de AVG. * Zij moeten kunnen aantonen dat zij voldoen aan de principes van gegevensbescherming. * **Gezamenlijke gegevensbeheerders (Joint controllers):** Wanneer twee of meer beheerders gezamenlijk de doelen en middelen van de verwerking vaststellen, worden zij beschouwd als gezamenlijke beheerders. Zij dienen de verdeling van hun respectieve verantwoordelijkheden vast te leggen in een schriftelijke overeenkomst. * **Voorbeelden:** * Een zoekmachine die informatie van het internet indexeert, opslaat en beschikbaar stelt, wordt beschouwd als gegevensbeheerder met betrekking tot de verwerking van persoonsgegevens die deze informatie bevat. * Een reisbureau dat gegevens deelt met een luchtvaartmaatschappij en een hotelketen voor pakketreizen kan worden beschouwd als gezamenlijke gegevensbeheerder. * Een gemeenschap van Jehova's Getuigen en haar leden kunnen gezamenlijke beheerders zijn. ### 3.3 De gegevensverwerker (data processor) De gegevensverwerker verwerkt persoonsgegevens namens de gegevensbeheerder. * **Definitie:** Artikel 4.8 van de AVG definieert een gegevensverwerker als 'een natuurlijke of rechtspersoon, het openbaar gezag, de dienst, het agentschap of een ander lichaam dat persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke'. * **Kenmerken:** * De verwerker is een aparte entiteit ten opzichte van de beheerder. * De verwerker verwerkt persoonsgegevens ten behoeve van de beheerder en onder diens instructies. * **Verantwoordelijkheden:** * De verwerker moet passende technische en organisatorische maatregelen implementeren om de gegevens te beschermen. * De verwerking door de verwerker moet worden beheerst door een contract of een andere juridische akte die bindend en schriftelijk is. * De verwerker moet rekening houden met factoren zoals deskundigheid, betrouwbaarheid, middelen en naleving van gedragscodes of certificeringsregelingen. * **Voorbeelden:** * Een bedrijf gespecialiseerd in personeelsadministratie. * Een cloudopslagprovider. * Survey software zoals Qualtrics, die wordt gebruikt voor het uitvoeren van enquêtes namens onderzoeksinstellingen. #### 3.3.1 De sub-verwerker (sub-processor) Een sub-verwerker is een andere actor die door de gegevensverwerker wordt ingeschakeld om persoonsgegevens te verwerken. * **Voorwaarden:** De gegevensverwerker mag geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke machtiging van de beheerder. * **Aansprakelijkheid:** De initiële gegevensverwerker blijft volledig aansprakelijk jegens de beheerder voor de prestaties van de sub-verwerker. Uitbesteding van verwerkingsactiviteiten ontslaat de gegevensverwerker niet van zijn verplichtingen onder de wetgeving inzake gegevensbescherming. ### 3.4 Principes van Verantwoording (Accountability) Het principe van verantwoording, zoals uiteengezet in Artikel 5 van de AVG, is cruciaal en houdt in dat de gegevensbeheerder verantwoordelijk is voor en kan aantonen dat hij voldoet aan de beginselen van gegevensverwerking. Dit principe bepaalt wie verantwoordelijk is voor de naleving van de verschillende regels inzake gegevensbescherming en hoe gegevenssub jecten hun rechten kunnen uitoefenen. De kwalificatie van de actoren (beheerder, verwerker) is hierbij essentieel. > **Tip:** Het correct identificeren van de rol van elke actor (gegevensbeheerder, gegevensverwerker, sub-verwerker) is de eerste stap om te begrijpen wie welke verantwoordelijkheden draagt en hoe de naleving van de AVG gewaarborgd moet worden. #### 3.4.1 Toepassing in de praktijk (Voorbeeld) Een onderzoeksproject waarbij twee universiteiten samenwerken aan elektronische enquêtes voor jongeren over de impact van sociale media op hun mentale gezondheid. De gegevens worden verwerkt via survey software (Qualtrics) en opgeslagen op het platform van een van de universiteiten. * **Gegevensobjecten:** De respondenten van de enquête (de jongeren). * **Gegevensbeheerders:** Beide universiteiten, aangezien zij gezamenlijk het onderzoek opzetten en de doelen en middelen van de verwerking bepalen. * **Gegevensverwerker:** Qualtrics, aangezien zij de service leveren voor het uitvoeren van de enquête en de gegevensverwerking namens de universiteiten faciliteren. Qualtrics bepaalt niet de doelen of middelen, maar voert de verwerking uit op instructie van de beheerders. > **Tip:** De Europese Gegevensbeschermingsraad (EDPB) biedt richtlijnen en hulpmiddelen, zoals stroomdiagrammen, die kunnen helpen bij het correct kwalificeren van verschillende actoren en hun rollen in de gegevensbescherming. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | ANPR | Automatische nummerplaatherkenning (Automatic Number Plate Recognition); een technologie die oorspronkelijk werd gebruikt voor het detecteren van snelheids- en verkeersovertredingen, maar ook voor andere doeleinden kan worden ingezet, zoals het monitoren van bewegingen tijdens beperkingen. | | Gegevensbescherming | Een juridisch en technisch raamwerk dat regels stelt voor het verzamelen, verwerken, opslaan en delen van persoonsgegevens om de privacy van individuen te waarborgen en misbruik te voorkomen. | | Privacy | Het recht van een individu op respect voor het privé- en familieleven, de woning en de correspondentie. Het omvat de individuele en persoonlijke sfeer, inclusief huis, communicatie, gedachten, gevoelens, seksualiteit en beelden. | | Persoonsgegevens | Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene'). Een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identifier zoals een naam, identificatienummer, locatiegegevens, online identifier of specifieke factoren van fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit. | | Gevoelige gegevens (Speciale categorieën van persoonsgegevens) | Bepaalde persoonsgegevens die vanwege hun aard bijzonder gevoelig zijn voor fundamentele rechten en vrijheden, zoals gegevens over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens betreffende gezondheid, seksueel gedrag of seksuele geaardheid. | | Pseudonimisering | Een verwerkingsmethode waarbij persoonsgegevens zodanig worden verwerkt dat zij niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder de hulp van aanvullende gegevens, mits deze aanvullende gegevens apart worden bewaard en onderworpen zijn aan technische en organisatorische maatregelen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden toegeschreven. | | Data controller (Gegevensbeheerder) | De natuurlijke persoon of rechtspersoon, het openbaar gezag, agentschap of een ander lichaam dat, alleen of samen met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens vaststelt. | | Data processor (Gegevensverwerker) | De natuurlijke persoon of rechtspersoon, het openbaar gezag, agentschap of een ander lichaam dat persoonsgegevens verwerkt namens de gegevensbeheerder, en wel onder diens instructies. | | Data subject (Betrokkene) | De natuurlijke persoon op wie de persoonsgegevens betrekking hebben. Dit zijn de individuen wiens persoonlijke gegevens worden verwerkt en die bepaalde rechten hebben met betrekking tot die gegevens. | | GDPR (AVG) | De Algemene Verordening Gegevensbescherming (General Data Protection Regulation) is een verordening van de Europese Unie die regels stelt voor de bescherming van persoonsgegevens en de privacy van individuen binnen de Europese Economische Ruimte. | | Niet-persoonsgegevens | Gegevens die niet direct of indirect betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kunnen geaggregeerde, geanonimiseerde datasets of gegevens zijn die geen persoonlijk verband hebben. |