les 4
Summary
# Gegevensbeschermingsprincipes onder de AVG
De AVG stelt strikte beginselen vast waaraan elke verwerking van persoonsgegevens moet voldoen, waarbij de verantwoordelijke de plicht heeft om de naleving van deze principes aan te tonen.
### 1.1 De kernprincipes van gegevensbescherming (Artikel 5 AVG)
Artikel 5 van de AVG legt de fundamentele beginselen uiteen waaraan elke verwerking van persoonsgegevens moet voldoen. Deze principes zijn de hoeksteen van de gegevensbescherming en vormen de basis voor de verantwoordelijkheden van de verwerkingsverantwoordelijke.
#### 1.1.1 Rechtmatigheid, eerlijkheid en transparantie (Artikel 5, lid 1, sub a AVG)
De verwerking van persoonsgegevens is alleen rechtmatig indien en voor zover aan ten minste één van de volgende voorwaarden is voldaan:
* **Toestemming van de betrokkene**: De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
* **Kenmerken van geldige toestemming**:
* **Vrijelijk gegeven**: De betrokkene moet een werkelijke en vrije keuze hebben en mag geen nadelige gevolgen ondervinden bij het weigeren of intrekken van toestemming. Machtsongelijkheid (bijvoorbeeld tussen overheid en burger, werkgever en werknemer, of onderwijsinstelling en student) kan vrije toestemming belemmeren en vereist een beoordeling per geval.
* **Specifiek**: Toestemming moet gericht zijn op een of meer specifieke doeleinden. Het akkoord gaan met algemene voorwaarden van een dienst mag niet vermengd worden met toestemming voor de verwerking van persoonsgegevens.
* **Geïnformeerd**: De betrokkene moet informatie ontvangen van de verwerkingsverantwoordelijke om te begrijpen waarvoor toestemming wordt gegeven.
* **Ondubbelzinnig**: Toestemming moet blijken uit een duidelijke verklaring of een duidelijke bevestigende actie die de wil van de betrokkene aangeeft om in te stemmen met de verwerking van persoonsgegevens. Stilzwijgen, vooraf aangekruiste vakjes of inactiviteit zijn geen geldige toestemming.
* **Intrekking van toestemming**: Betrokkenen moeten hun toestemming te allen tijde kunnen intrekken, waarbij het intrekken van toestemming even eenvoudig moet zijn als het geven ervan.
* **Toestemming van kinderen**: Voor diensten die rechtstreeks aan kinderen worden aangeboden, is toestemming van kinderen ouder dan 16 jaar vereist. Indien het kind jonger is dan 16 jaar (dit kan door lidstaten worden verlaagd tot 15, 14 of 13 jaar, maar nooit onder de 13 jaar), is toestemming van de ouder of voogd vereist, waarbij de verwerkingsverantwoordelijke redelijke inspanningen moet leveren om te verifiëren dat deze toestemming daadwerkelijk is verkregen van de houder van het ouderlijk gezag.
* **Contractuele noodzaak**: Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het sluiten van een overeenkomst. Het begrip "noodzakelijk" wordt strikt geïnterpreteerd; activiteiten die niet objectief noodzakelijk zijn voor de dienstverlening, zoals personalisatie van aanbiedingen op basis van kijkgedrag, kunnen niet op deze grondslag rusten en vereisen toestemming.
* **Wettelijke verplichting**: Verwerking is noodzakelijk voor de naleving van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. De wettelijke basis moet duidelijk de te verzamelen gegevens specificeren.
* **Vitale belangen**: Verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een ander natuurlijk persoon. Dit principe is van toepassing wanneer persoonsgegevens verwerkt worden om belangen te beschermen die essentieel zijn voor iemands leven.
* **Publiek belang / uitoefening van openbaar gezag**: Verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak die is toevertrouwd aan de verwerkingsverantwoordelijke in het kader van de uitoefening van openbaar gezag. Er moet een duidelijke wettelijke basis zijn die de verwerking autoriseert.
* **Gerechtvaardigde belangen**: Verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de grondrechten en -vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, zwaarder wegen, met name wanneer de betrokkene een kind is. Een afweging (balanceringstest) tussen deze belangen is vereist en de verwerkingsverantwoordelijke moet dit kunnen aantonen.
**Eerlijkheid** is een overkoepelend beginsel dat inhoudt dat persoonsgegevens niet op een manier mogen worden verwerkt die onrechtvaardig nadelig, discriminerend, onverwacht of misleidend is voor de betrokkene. Dit principe is met name belangrijk bij een machtsongelijkheid tussen de verwerkingsverantwoordelijke en de betrokkene.
**Transparantie** (Artikel 5, lid 1, sub a, in combinatie met Artikelen 12-14 AVG) vereist dat informatie en communicatie met betrekking tot de verwerking van persoonsgegevens beknopt, transparant, begrijpelijk en goed toegankelijk moet zijn, geformuleerd in duidelijke en eenvoudige taal, met name wanneer deze informatie aan kinderen wordt verstrekt. De informatie moet schriftelijk of op andere wijze, zoals elektronisch of mondeling, worden verstrekt en is doorgaans kosteloos.
> **Tip:** Zorg ervoor dat de informatie over gegevensverwerking altijd gemakkelijk te vinden is, bijvoorbeeld via een duidelijk gemarkeerde link naar het privacybeleid. Gebruik formats zoals FAQ's, gelaagde privacyverklaringen of contextuele pop-ups om de toegankelijkheid te verbeteren.
#### 1.1.2 Doelbinding (Artikel 5, lid 1, sub b AVG)
Persoonsgegevens mogen alleen worden verwerkt voor welbepaalde, expliciete en legitieme doeleinden. Gegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden.
* **Compatibiliteitstest**: De AVG voorziet in een compatibiliteitstest om te beoordelen of een nieuw verwerkingsdoel verenigbaar is met het oorspronkelijke doel.
* **Uitzonderingen**: Verdere verwerking voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden is toegestaan, mits deze in overeenstemming is met artikel 89 AVG en passende technische en organisatorische maatregelen zijn getroffen.
* **Voorbeeld**: Gegevens die oorspronkelijk voor marketingdoeleinden zijn verzameld en vervolgens worden gebruikt voor kredietwaardigheidsevaluatie, schendt het principe van doelbinding wanneer de verandering van doel niet gerechtvaardigd kan worden volgens artikel 6, lid 4 AVG.
#### 1.1.3 Gegevensminimalisatie (Artikel 5, lid 1, sub c AVG)
Persoonsgegevens moeten adequaat, ter zake dienend en beperkt zijn tot wat noodzakelijk is in verhouding tot de doeleinden waarvoor zij worden verwerkt.
* **Proportionaliteit**: Dit principe weerspiegelt de proportionaliteit; er mag niet meer gegevens worden verzameld dan strikt noodzakelijk is.
* **Voorbeeld**: Het verzamelen van bankrekeningnummers van alle studenten voor studiebeursbetalingen, terwijl slechts een beperkt aantal studenten daadwerkelijk een beurs ontvangt, is niet noodzakelijk en schendt het principe van gegevensminimalisatie.
* **Rechtspraak**: De toepassing van alle verzamelde gegevens voor gerichte advertentiedoeleinden zonder beperking in tijd of type gegevens is niet proportioneel en niet toegestaan.
#### 1.1.4 Nauwkeurigheid (Artikel 5, lid 1, sub d AVG)
Persoonsgegevens moeten nauwkeurig zijn en, waar nodig, worden bijgewerkt. Onjuiste gegevens moeten onverwijld worden gewist of gecorrigeerd. Dit principe sluit nauw aan bij het recht op rectificatie (artikel 16 AVG).
> **Example:** Als u verhuist, kunt u de verwerkingsverantwoordelijke verzoeken uw adres in de database bij te werken.
#### 1.1.5 Opslagbeperking (Artikel 5, lid 1, sub e AVG)
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. De verwerkingsverantwoordelijke moet bewaartermijnen vaststellen voor het wissen of periodiek beoordelen van de gegevens.
* **Uitzonderingen**: Gegevens mogen langer worden bewaard voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden, mits voldaan wordt aan artikel 89, lid 1 AVG en passende waarborgen worden getroffen.
#### 1.1.6 Integriteit en vertrouwelijkheid (Artikel 5, lid 1, sub f AVG)
Persoonsgegevens moeten op een zodanige manier worden verwerkt dat een adequate beveiliging ervan is gewaarborgd, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit vereist het toepassen van passende technische en organisatorische maatregelen, zoals bepaald in artikel 32-34 AVG, inclusief de melding van datalekken.
### 1.2 Data protection by design en by default (Artikel 25 AVG)
Deze beginselen zijn aanvullend op de kernprincipes en vereisen een proactieve integratie van gegevensbescherming in alle stadia van verwerking.
* **Data protection by design**: Verwerkingsverantwoordelijken moeten passende technische en organisatorische maatregelen nemen om de beginselen van gegevensbescherming effectief toe te passen wanneer zij een verwerkingsactiviteit ontwerpen. Dit houdt in dat rekening wordt gehouden met principes als opslagbeperking en gegevensminimalisatie vanaf het begin van het ontwerpproces.
* **Example:** Een online boekhandel die zowel fysieke boeken als e-books verkoopt, moet in het systeemontwerp borgen dat alleen de noodzakelijke gegevens voor elk type aankoop worden verzameld.
* **Data protection by default**: Verwerkingsverantwoordelijken moeten passende technische en organisatorische maatregelen implementeren om te waarborgen dat, standaard, alleen persoonsgegevens die voor elk specifiek verwerkingsdoel noodzakelijk zijn, worden verwerkt.
* **Example:** In zorginstellingen mogen standaard alleen die medewerkers toegang hebben tot medische gegevens voor wie dit noodzakelijk is voor hun functie.
### 1.3 Verantwoordingsplicht (Artikel 5, lid 2 AVG)
De verwerkingsverantwoordelijke is verantwoordelijk voor en moet kunnen aantonen dat hij voldoet aan de beginselen van gegevensbescherming. Dit principe, ook wel bekend als accountability, houdt in dat de verwerkingsverantwoordelijke proactief maatregelen moet nemen en de naleving moet kunnen bewijzen. Dit omvat ook de naleving van de beginselen van data protection by design en by default.
---
# Rechtmatigheid van gegevensverwerking
Dit deel van de studiehandleiding behandelt de diverse wettelijke grondslagen die de verwerking van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG) toelaten, inclusief de criteria en voorwaarden waaraan elke grondslag moet voldoen.
## 2. Rechtmatigheid van gegevensverwerking
Gegevensverwerking is enkel rechtmatig indien en voor zover aan ten minste één van de volgende grondslagen wordt voldaan. De verantwoordelijke is verantwoordelijk voor en moet de naleving van deze beginselen kunnen aantonen. In tegenstelling tot eerdere regelgeving is er geen voorafgaande machtiging van de gegevensbeschermingsautoriteit meer vereist, maar moet de verantwoordelijke wel de naleving kunnen bewijzen.
### 2.1 De zes wettelijke grondslagen voor gegevensverwerking
#### 2.1.1 Toestemming (artikel 6, lid 1, sub a AVG)
Toestemming is een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige blijk van de wil van de betrokkene, waarmee deze door middel van een verklaring of een duidelijke actieve handeling instemt met de verwerking van persoonsgegevens die op hem betrekking hebben. De verantwoordelijke moet deze toestemming kunnen bewijzen en de betrokkene moet de toestemming te allen tijde kunnen intrekken.
* **Vrijelijk gegeven:** De betrokkene moet een daadwerkelijke vrije keuze hebben en de toestemming mogen weigeren of intrekken zonder nadelige gevolgen. Machtsongelijkheid tussen de betrokkene en de verantwoordelijke kan de vrijheid van toestemming belemmeren. Dit geldt met name bij een machtsverschil tussen overheid en burger, zorgverlener en patiënt, werkgever en werknemer, en onderwijsinstelling en student. In dergelijke situaties kan het moeilijk zijn om te spreken van vrije toestemming.
* **Specifiek:** De toestemming moet gekoppeld zijn aan één of meerdere specifieke doeleinden waarvoor de gegevens worden verwerkt. Het vermengen van toestemming voor gegevensverwerking met bijvoorbeeld de aanvaarding van algemene voorwaarden is niet toegestaan. Voor een nieuw verwerkingsdoel is nieuwe toestemming vereist.
* **Geïnformeerd:** De betrokkene moet voldoende informatie ontvangen van de verantwoordelijke om te begrijpen waar hij toestemming voor geeft. De gegevensbeschermingsverklaring moet toegankelijk zijn.
* **Ondubbelzinnig:** Toestemming moet blijken uit een duidelijke actieve handeling. Stilzwijgen, vooraf aangekruiste vakjes of inactiviteit (zoals het louter voortzetten van websitegebruik) gelden niet als geldige toestemming.
> **Tip:** De verantwoordelijke moet het proces voor het verkrijgen van toestemming zorgvuldig ontwerpen en kunnen bewijzen dat aan alle criteria is voldaan.
##### 2.1.1.1 Toestemming van kinderen (artikel 8 AVG)
Voor informatie-websites die rechtstreeks aan een kind worden aangeboden (apps, games, sociale media) geldt dat een kind toestemming kan geven indien het ouder is dan zestien jaar. Lidstaten kunnen deze leeftijd verlagen naar vijftien, veertien of dertien jaar, maar niet lager dan dertien. Indien het kind jonger is, is toestemming van de ouderlijke verantwoordelijke vereist. De verantwoordelijke moet redelijke inspanningen leveren om te verifiëren dat de toestemming is gegeven door de houder van het ouderlijk gezag.
* **Fragmentatie:** De mogelijkheid voor lidstaten om de leeftijd vast te leggen, leidt tot fragmentatie binnen de EU.
> **Voorbeeld:** Een online gameplatform kan een leeftijd van dertien jaar hanteren, terwijl een ander platform zestien jaar eist, afhankelijk van de nationale wetgeving.
#### 2.1.2 Noodzakelijk voor de uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG)
Verwerking van persoonsgegevens is rechtmatig indien deze noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om stappen te ondernemen op verzoek van de betrokkene voorafgaand aan het sluiten van een overeenkomst.
* **Noodzakelijkheid:** Het begrip "noodzakelijk" wordt strikt geïnterpreteerd door autoriteiten. Verwerkingen die niet objectief noodzakelijk zijn voor de dienstverlening, zoals gepersonaliseerde suggesties of advertenties, kunnen niet op deze grondslag steunen. Hiervoor is doorgaans toestemming vereist.
> **Voorbeeld:** Het verwerken van het adres van een klant is noodzakelijk voor de levering van een product dat online is gekocht. Het opvragen van de postcode om de beschikbaarheid van een dienst te controleren voorafgaand aan een contract, valt hier ook onder.
#### 2.1.3 Wettelijke verplichting (artikel 6, lid 1, sub c AVG)
Verwerking is rechtmatig indien deze noodzakelijk is voor de naleving van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. De grondslag hiervoor ligt in het Unierecht of het lidstatelijk recht waaraan de verwerkingsverantwoordelijke onderworpen is.
> **Voorbeeld:** Een bank die identiteitsdocumenten vraagt bij het openen van een rekening, omdat de nationale wetgeving vereist dat zij haar klanten identificeert om fraude of witwassen te voorkomen.
#### 2.1.4 Vitale belangen (artikel 6, lid 1, sub d AVG)
Verwerking is rechtmatig indien deze noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een ander natuurlijk persoon. Dit betreft belangen die essentieel zijn voor iemands leven.
> **Voorbeeld:** Een ziekenhuis dat de gezondheidsgegevens op de mobiele telefoon van een bewusteloze patiënt controleert bij opname op de spoedeisende hulp.
#### 2.1.5 Openbaar belang of uitoefening van openbaar gezag (artikel 6, lid 1, sub e AVG)
Verwerking is rechtmatig indien deze noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak die is toevertrouwd aan de verwerkingsverantwoordelijke in het kader van de uitoefening van openbaar gezag.
> **Voorbeeld:** De verwerking van persoonsgegevens door de belastingdienst voor de aangifte via Tax-on-web, of het verwerken van vingerafdrukken op een elektronische identiteitskaart.
#### 2.1.6 Gerechtvaardigde belangen (artikel 6, lid 1, sub f AVG)
Verwerking is rechtmatig indien deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de grondrechten en -vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, zwaarder wegen, met name wanneer de betrokkene een kind is.
* **Balansafweging:** De verantwoordelijke moet een zorgvuldige afweging maken tussen zijn eigen belangen en de belangen, rechten en vrijheden van de betrokkene. Dit vereist het beoordelen van de aard en bron van de belangen, de impact op de betrokkene en de redelijke verwachtingen van de betrokkene.
* **Transparantie:** Bij het beroepen op deze grondslag moet de verantwoordelijke dit vermelden in het privacybeleid en informeren over de uitgevoerde belangenafweging.
> **Voorbeeld:** Preventie van fraude wordt vaak als gerechtvaardigd belang beschouwd. Direct marketing kan onder omstandigheden ook, maar niet voor zeer gepersonaliseerde of intrusieve advertenties, waarvoor toestemming vereist is.
> **Tip:** De Europese Gegevensbeschermingsraad (EDPB) heeft richtlijnen uitgebracht over de verwerking van persoonsgegevens op basis van gerechtvaardigde belangen, die gedetailleerde handvatten bieden voor deze beoordeling.
### 2.2 Overige belangrijke beginselen gerelateerd aan rechtmatigheid
Naast de specifieke wettelijke grondslagen, zijn er overkoepelende beginselen die de rechtmatigheid van gegevensverwerking mede bepalen:
#### 2.2.1 Fair, transparant en loyaal (artikel 5, lid 1, sub a AVG)
Gegevensverwerking moet eerlijk, transparant en loyaal gebeuren. Dit betekent dat persoonsgegevens niet mogen worden verwerkt op een manier die onrechtmatig discriminerend, onverwacht of misleidend is voor de betrokkene.
> **Voorbeeld:** Een beslissing van de Ierse Gegevensbeschermingsautoriteit tegen TikTok benadrukte dat "dark patterns" die kinderen aanzetten tot het openbaar houden van hun profielen, in strijd zijn met het beginsel van eerlijkheid.
#### 2.2.2 Transparantie (artikel 5, lid 1, sub a AVG jo. artikelen 12-14 AVG)
Betrokkenen moeten duidelijk geïnformeerd worden over de verwerking van hun persoonsgegevens. Deze informatie moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn, in duidelijke en eenvoudige taal, met name wanneer deze gericht is op kinderen.
* **Inhoud van de informatie:** De verantwoordelijke moet informatie verstrekken over de identiteit van de verantwoordelijke, de doeleinden van de verwerking, de wettelijke grondslag, de bewaartermijn, de ontvangers van de gegevens en de rechten van de betrokkene.
* **Toegankelijkheid:** De informatie moet gemakkelijk te vinden zijn, bijvoorbeeld via duidelijke links naar het privacybeleid, vragenlijsten, of "just-in-time" pop-ups.
* **Taalgebruik:** Het gebruik van duidelijke en eenvoudige taal is cruciaal. Een privacyverklaring die enkel in het Engels beschikbaar is voor Nederlandstalige gebruikers, kan een schending zijn.
#### 2.2.3 Gegevensverwerking enkel voor gespecificeerde, expliciete en legitieme doeleinden (doelbinding, artikel 5, lid 1, sub b AVG)
Persoonsgegevens mogen enkel worden verwerkt voor welbepaalde, expliciet omschreven en legitieme doeleinden. Verdere verwerking die onverenigbaar is met die doeleinden, is niet toegestaan, tenzij er sprake is van uitzonderingen voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden.
> **Voorbeeld:** Gegevens verzameld voor marketingdoeleinden mogen niet zomaar worden gebruikt voor kredietwaardigheidsevaluatie, aangezien deze doelen onverenigbaar kunnen zijn.
#### 2.2.4 Gegevensminimalisatie (artikel 5, lid 1, sub c AVG)
De persoonsgegevens die worden verwerkt, moeten adequaat, ter zake dienend en beperkt zijn tot wat noodzakelijk is in verhouding tot de doeleinden waarvoor zij worden verwerkt.
> **Voorbeeld:** Een school die bankrekeningnummers van alle studenten verzamelt om studietoelagen uit te betalen, terwijl slechts een klein aantal studenten een toelage ontvangt, schendt dit beginsel.
#### 2.2.5 Nauwkeurigheid (artikel 5, lid 1, sub d AVG)
Persoonsgegevens moeten nauwkeurig zijn en, waar nodig, worden bijgewerkt. Onjuiste gegevens moeten onverwijld worden gewist of gecorrigeerd. Dit principe is nauw verbonden met het recht op rectificatie.
#### 2.2.6 Opslagbeperking (artikel 5, lid 1, sub e AVG)
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Er moeten termijnen worden vastgesteld voor het wissen of periodiek beoordelen van de noodzaak van de gegevensopslag, tenzij er sprake is van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden.
#### 2.2.7 Integriteit en vertrouwelijkheid (artikel 5, lid 1, sub f AVG)
Verwerking moet plaatsvinden op een zodanige wijze dat een adequate beveiliging van de persoonsgegevens is gewaarborgd, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen.
#### 2.2.8 Gegevensbescherming via ontwerp en standaard (artikel 25 AVG)
* **Ontwerp:** Verwerkingsverantwoordelijken moeten passende technische en organisatorische maatregelen nemen die zijn ontworpen om de beginselen van gegevensbescherming effectief toe te passen. Dit betekent dat bij het ontwerpen van een verwerkingssysteem al rekening gehouden moet worden met beginselen zoals opslagbeperking en gegevensminimalisatie.
* **Standaard:** Verwerkingsverantwoordelijken moeten passende technische en organisatorische maatregelen implementeren om te waarborgen dat standaard alleen persoonsgegevens worden verwerkt die voor elk specifiek verwerkingsdoel noodzakelijk zijn.
> **Voorbeeld:** Bij een online boekhandel die zowel fysieke als digitale boeken verkoopt, moet het systeem zo ontworpen zijn dat alleen de noodzakelijke gegevens voor elk type aankoop worden verzameld. Bij zorginstellingen mogen standaard alleen degenen die toegang nodig hebben tot medische gegevens, deze kunnen inzien.
---
# Rechten van betrokkenen onder de AVG
Dit hoofdstuk behandelt de diverse rechten die natuurlijke personen hebben met betrekking tot hun persoonsgegevens, zoals het recht op informatie, inzage, rectificatie, wissing, beperking van de verwerking, gegevensoverdraagbaarheid, bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming. De praktische uitoefening en de bijbehorende procedures komen ook aan bod.
### 3.1 Algemene principes van gegevensbescherming
De AVG rust op een aantal kernprincipes die verwerkingsverantwoordelijken te allen tijde moeten respecteren. Deze principes zijn de basis voor rechtmatige en eerlijke gegevensverwerking.
#### 3.1.1 De kernprincipes van artikel 5 AVG
De verwerkingsverantwoordelijke is verantwoordelijk voor en moet kunnen aantonen dat hij voldoet aan de volgende gegevensbeschermingsprincipes:
* **Rechtmatigheid, eerlijkheid en transparantie:** Verwerking is alleen rechtmatig indien aan minstens één van de wettelijke grondslagen is voldaan. De verwerking moet eerlijk en transparant zijn voor de betrokkene.
* **Doelbinding:** Persoonsgegevens mogen alleen worden verzameld voor welomschreven, expliciete en rechtmatige doeleinden en mogen niet verder worden verwerkt op een wijze die daarmee onverenigbaar is.
* **Gegevensminimalisatie:** De persoonsgegevens moeten toereikend, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
* **Juistheid:** Persoonsgegevens moeten juist en, waar nodig, up-to-date zijn. Onjuiste gegevens moeten onverwijld worden gewist of gecorrigeerd.
* **Opslagbeperking:** Persoonsgegevens mogen niet langer dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, worden bewaard. Er moeten termijnen worden vastgesteld voor het wissen of periodiek beoordelen van de gegevens.
* **Integriteit en vertrouwelijkheid:** Persoonsgegevens moeten op een passende manier worden beveiligd, onder meer tegen ongeoorloofde of onrechtmatige verwerking, en tegen onopzettelijk verlies, vernietiging of beschadiging, door gebruikmaking van passende technische of organisatorische maatregelen.
* **Verantwoording (accountability):** De verwerkingsverantwoordelijke is verantwoordelijk voor en moet kunnen aantonen dat hij voldoet aan de beginselen van de AVG. Dit omvat ook 'data protection by design' en 'data protection by default'.
> **Tip:** 'Data protection by design' betekent dat bij het ontwerpen van gegevensverwerkingsactiviteiten rekening moet worden gehouden met gegevensbeschermingsbeginselen. 'Data protection by default' houdt in dat standaard alleen de noodzakelijke persoonsgegevens worden verwerkt voor elk specifiek doel.
#### 3.1.2 Wettelijke grondslagen voor verwerking (artikel 6 AVG)
De verwerking van persoonsgegevens is alleen rechtmatig indien er ten minste één van de volgende grondslagen van toepassing is:
* **Toestemming van de betrokkene (artikel 6(1)(a) AVG):** Toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn, en door een duidelijke bevestigende handeling worden gegeven. De betrokkene moet zijn toestemming te allen tijde kunnen intrekken, wat even gemakkelijk moet zijn als het geven ervan. Machtsongelijkheid kan vrije toestemming belemmeren.
* Voor informatie-diensten aangeboden aan kinderen geldt een specifieke leeftijd (vanaf 16 jaar, door lidstaten te verlagen tot 13 jaar). Onder die leeftijd is ouderlijke toestemming vereist.
* **Noodzakelijkheid voor de uitvoering van een overeenkomst (artikel 6(1)(b) AVG):** De verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is, of om op verzoek van de betrokkene stappen te ondernemen vóór het sluiten van een overeenkomst. Het begrip 'noodzakelijk' wordt strikt geïnterpreteerd.
* **Noodzakelijkheid voor de naleving van een wettelijke verplichting (artikel 6(1)(c) AVG):** De verwerkingsverantwoordelijke heeft een wettelijke verplichting om bepaalde persoonsgegevens te verwerken.
* **Noodzakelijkheid ter bescherming van vitale belangen (artikel 6(1)(d) AVG):** De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen.
* **Noodzakelijkheid voor de vervulling van een taak van algemeen belang of van een taak in uitoefening van openbaar gezag (artikel 6(1)(e) AVG):** De verwerking is noodzakelijk voor taken die in het algemeen belang worden uitgevoerd of waarbij openbaar gezag wordt uitgeoefend.
* **Noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde (artikel 6(1)(f) AVG):** De verwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de belangen of de grondrechten en -vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, zwaarder wegen. Er moet een zorgvuldige afweging plaatsvinden.
> **Voorbeeld:** Een webshop vraagt uw adres om een gekocht product te leveren. Dit valt onder de grondslag van contractuitvoering. Het gebruik van uw gegevens voor gepersonaliseerde aanbiedingen vereist in de meeste gevallen toestemming.
#### 3.1.3 Eerlijkheid en Transparantie
* **Eerlijkheid:** Verwerking mag niet plaatsvinden op een manier die onredelijk nadelig, onrechtmatig discriminerend, onverwacht of misleidend is voor de betrokkene. Dit is vooral belangrijk bij een machtsongelijkheid tussen de verwerkingsverantwoordelijke en de betrokkene.
* **Transparantie (artikel 5(1)(a) en artikelen 12-14 AVG):** Informatie en communicatie met betrekking tot de verwerking van persoonsgegevens moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn, en in duidelijke en eenvoudige taal worden geformuleerd.
> **Tip:** Zorg ervoor dat uw privacybeleid duidelijk is, gemakkelijk te vinden is en de informatie bevat die vereist is onder de artikelen 13 en 14 AVG. Vermijd juridische of technische jargon waar mogelijk.
### 3.2 Rechten van betrokkenen
Natuurlijke personen hebben diverse rechten met betrekking tot hun persoonsgegevens om controle uit te oefenen over hun informatie. Deze rechten zijn essentieel voor de implementatie van de AVG.
#### 3.2.1 Het recht op informatie (artikel 12, 13 en 14 AVG)
Betrokkenen hebben het recht om geïnformeerd te worden over de verwerking van hun persoonsgegevens. Dit moet op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier gebeuren, in duidelijke en eenvoudige taal.
* **Wanneer gegevens van de betrokkene zelf worden verkregen (artikel 13 AVG):** Informatie moet worden verstrekt op het moment van de gegevensverzameling. Dit omvat onder andere de identiteit en contactgegevens van de verwerkingsverantwoordelijke, de doeleinden, de rechtsgrond, de ontvangers, en de bewaartermijn.
* **Wanneer gegevens niet van de betrokkene zelf zijn verkregen (artikel 14 AVG):** Informatie moet binnen een redelijke termijn na verkrijging van de gegevens, en uiterlijk één maand na verkrijging, worden verstrekt. Naast de informatie onder artikel 13 moet ook de bron van de gegevens worden vermeld.
> **Voorbeeld:** Een website die persoonsgegevens verzamelt, moet een duidelijk privacybeleid hebben dat gemakkelijk toegankelijk is en uitlegt welke gegevens worden verzameld, waarom, hoe lang ze worden bewaard en welke rechten de gebruiker heeft.
#### 3.2.2 Het recht van inzage (artikel 15 AVG)
Betrokkenen hebben het recht om bevestiging te krijgen dat er persoonsgegevens over hen worden verwerkt, en om inzage te krijgen in die gegevens. Dit recht omvat ook informatie over de verwerkingsdoeleinden, categorieën van gegevens, ontvangers, bewaartermijnen, en de rechten van de betrokkene.
* **Componenten van het recht van inzage:**
1. Bevestiging of gegevens worden verwerkt.
2. Toegang tot de persoonsgegevens zelf.
3. Informatie over de verwerking (doel, categorieën, ontvangers, bewaartermijn, rechten, waarborgen bij doorgifte naar derde landen).
* De verwerkingsverantwoordelijke moet een kopie van de gegevens verstrekken, hetzij op schrift (papier), per e-mail, of via een self-service tool indien beschikbaar.
> **Voorbeeld:** U kunt Facebook vragen welke gegevens zij over u hebben verzameld. De omvang van de informatie die u ontvangt, kan aanzienlijk zijn.
#### 3.2.3 Het recht op rectificatie (artikel 16 AVG)
Betrokkenen hebben het recht om onjuiste persoonsgegevens betreffende hen zonder onredelijke vertraging te laten rectificeren. Ook hebben zij het recht om onvolledige persoonsgegevens te laten aanvullen, bijvoorbeeld door een aanvullende verklaring te verstrekken.
> **Voorbeeld:** Als uw adres onjuist is in een klantenbestand, kunt u de verwerkingsverantwoordelijke vragen dit te corrigeren.
#### 3.2.4 Het recht op wissing ('recht op vergetelheid') (artikel 17 AVG)
Betrokkenen kunnen verzoeken om wissing van hun persoonsgegevens indien:
* De gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld.
* De verwerking onrechtmatig plaatsvindt.
* De betrokkene toestemming intrekt en er geen andere rechtsgrond is.
* De betrokkene bezwaar maakt tegen de verwerking (zie recht op bezwaar) en er geen dwingende redenen zijn voor de verwerking.
* Er een wettelijke verplichting tot wissing bestaat.
* Het gaat om gegevens van minderjarigen die instemden met een online dienst.
De verwerkingsverantwoordelijke kan de wissing echter weigeren, bijvoorbeeld om redenen van vrijheid van meningsuiting, archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, statistische doeleinden, de instelling, uitoefening of onderbouwing van een rechtsvordering, of naleving van een wettelijke verplichting.
#### 3.2.5 Het recht op beperking van de verwerking (artikel 18 AVG)
Betrokkenen kunnen de verwerkingsverantwoordelijke verzoeken de verwerking van hun persoonsgegevens te beperken in bepaalde situaties, zoals:
* Wanneer de juistheid van de persoonsgegevens wordt betwist.
* Wanneer de verwerking onrechtmatig is en de betrokkene wissing verwerpt.
* Wanneer de gegevens niet langer nodig zijn voor de verwerkingsdoeleinden, maar de betrokkene ze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
* Wanneer de betrokkene bezwaar heeft gemaakt tegen de verwerking in afwachting van de beoordeling of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
Tijdens de beperking mogen de gegevens, behalve voor opslag, alleen met toestemming van de betrokkene, voor rechtsvorderingen, of voor bescherming van rechten van een andere natuurlijke of rechtspersoon worden verwerkt.
#### 3.2.6 Het recht op gegevensoverdraagbaarheid (artikel 20 AVG)
Dit recht geldt wanneer de verwerking is gebaseerd op toestemming of de uitvoering van een overeenkomst, en geautomatiseerd wordt verwerkt. Betrokkenen hebben het recht om hun persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te verkrijgen en door te geven aan een andere verwerkingsverantwoordelijke, tenzij dit de rechten en vrijheden van anderen schaadt.
#### 3.2.7 Het recht van bezwaar (artikel 21 AVG)
Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens op gronden die verband houden met hun specifieke situatie, met name wanneer de verwerking gebaseerd is op gerechtvaardigde belangen of openbaar belang. De verwerkingsverantwoordelijke mag de gegevens dan niet meer verwerken, tenzij hij dwingende gerechtvaardigde gronden kan aanvoeren die zwaarder wegen dan de belangen van de betrokkene.
* **Direct marketing:** Bij verwerking voor direct marketingdoeleinden heeft de betrokkene te allen tijde het recht bezwaar te maken. De gegevens mogen dan niet meer voor die doeleinden worden gebruikt.
#### 3.2.8 Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (artikel 22 AVG)
Er geldt een algemeen verbod op volledig geautomatiseerde besluitvorming (inclusief profilering) die juridische gevolgen heeft voor de betrokkene of hem/haar op een vergelijkbare manier significant treft, tenzij er uitzonderingen van toepassing zijn.
* **Uitzonderingen:**
* De beslissing is noodzakelijk voor de sluiting of uitvoering van een overeenkomst.
* De beslissing is toegestaan bij Uniewet of lidstatelijke wetgeving die passende waarborgen bevat.
* De beslissing is gebaseerd op de uitdrukkelijke toestemming van de betrokkene.
* Bij het toepassen van uitzonderingen moeten maatregelen worden genomen om de rechten en vrijheden van de betrokkene te waarborgen, waaronder het recht op menselijke tussenkomst, het recht om zijn standpunt kenbaar te maken en het recht om de beslissing aan te vechten.
* Bij verwerking van bijzondere categorieën gegevens (zoals gezondheidsgegevens) is uitdrukkelijke toestemming of een substantieel openbaar belang vereist, met passende waarborgen.
> **Voorbeeld:** Een algoritme dat automatisch beslist of u een lening krijgt, mag geen juridisch of significant effect hebben zonder menselijke tussenkomst, tenzij een van de uitzonderingen van toepassing is en passende waarborgen worden geboden.
### 3.3 Uitoefening van de rechten
#### 3.3.1 Procedures en termijnen
Verwerkingsverantwoordelijken moeten het voor betrokkenen gemakkelijk maken om hun rechten uit te oefenen. Verzoeken moeten zonder onredelijke vertraging en in ieder geval binnen één maand na ontvangst worden afgehandeld. In geval van complexiteit of een groot aantal verzoeken kan deze termijn met twee maanden worden verlengd, mits de betrokkene hiervan op de hoogte wordt gesteld. Als er geen actie wordt ondernomen, moet de betrokkene hiervan onverwijld en uiterlijk binnen één maand op de hoogte worden gesteld, inclusief de mogelijkheid om een klacht in te dienen bij de toezichthoudende autoriteit en beroep aan te tekenen bij de rechter.
#### 3.3.2 Kosten en identiteitsverificatie
Het verstrekken van informatie en het faciliteren van rechten is in principe gratis. Bij kennelijk ongegronde of buitensporige verzoeken kan echter een redelijke vergoeding voor administratieve kosten worden gevraagd, of kan de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Bij twijfel over de identiteit van de aanvrager mag de verwerkingsverantwoordelijke aanvullende informatie opvragen om de identiteit te verifiëren, met inachtneming van het principe van gegevensminimalisatie.
> **Tip:** Zorg voor duidelijke procedures en getraind personeel om aanvragen van betrokkenen efficiënt en correct af te handelen. Er zijn sjablonen beschikbaar om betrokkenen te helpen bij het formuleren van hun verzoeken.
---
## Veelgemaakte fouten om te vermijden
- Bestudeer alle onderwerpen grondig voor examens
- Let op formules en belangrijke definities
- Oefen met de voorbeelden in elke sectie
- Memoriseer niet zonder de onderliggende concepten te begrijpen
Glossary
| Term | Definition |
|------|------------|
| AVG (Algemene Verordening Gegevensbescherming) | Een verordening van de Europese Unie die de regels voor de verwerking van persoonsgegevens en de bescherming van de privacy van individuen harmoniseert binnen alle lidstaten. Het verving de Richtlijn 95/46/EG en trad in werking op 25 mei 2018. |
| Verwerkingsverantwoordelijke | De natuurlijke of rechtspersoon, openbare instantie, dienst of ieder ander orgaan die, alleen of samen met anderen, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt. |
| Verwerker | De natuurlijke of rechtspersoon, openbare instantie, dienst of ieder ander orgaan die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. |
| Gegevensbeschermingsbeginselen | De fundamentele regels waaraan de verwerking van persoonsgegevens moet voldoen, waaronder rechtmatigheid, eerlijkheid, transparantie, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, integriteit en vertrouwelijkheid. |
| Rechtmatigheid | De voorwaarde dat persoonsgegevens alleen mogen worden verwerkt indien daarvoor ten minste één specifieke wettelijke grondslag bestaat, zoals toestemming, contractuele noodzaak, wettelijke verplichting, vitale belangen, openbaar belang of legitieme belangen. |
| Toestemming | Een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene, waarmee deze aan de hand van een verklaring of een duidelijk bevestigende gedraging, ermee instemt dat zijn persoonsgegevens worden verwerkt voor een of meer specifieke doeleinden. |
| Contractuele noodzaak | De voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het sluiten van een overeenkomst. |
| Wettelijke verplichting | De voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is voor de naleving van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, zoals bepaald door het Unierecht of het lidstaat het recht waaraan de verwerkingsverantwoordelijke onderworpen is. |
| Vitale belangen | De voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is ter bescherming van een belang dat essentieel is voor het leven van de betrokkene of van een ander natuurlijk persoon. |
| Openbaar belang | De voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een taak die wordt uitgevoerd in het kader van het algemeen belang of in de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. |
| Legitieme belangen | De voorwaarde dat de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen of de fundamentele rechten en vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, zwaarder wegen. |
| Eerlijkheid | Een overkoepelend beginsel dat inhoudt dat persoonsgegevens niet mogen worden verwerkt op een manier die onrechtvaardig schadelijk, onrechtmatig discriminerend, onverwacht of misleidend is voor de betrokkene. |
| Transparantie | Het beginsel dat informatie en communicatie met betrekking tot de verwerking van persoonsgegevens beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk moet zijn, geformuleerd in duidelijke en eenvoudige taal. |
| Doelbinding | Het beginsel dat persoonsgegevens alleen mogen worden verzameld voor welbepaalde, expliciete en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden, met uitzondering van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. |
| Gegevensminimalisatie | Het beginsel dat persoonsgegevens adequaat, relevant en beperkt moeten zijn tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. |
| Nauwkeurigheid | Het beginsel dat persoonsgegevens nauwkeurig moeten zijn en, waar nodig, up-to-date moeten worden gehouden; onjuiste gegevens moeten onverwijld worden gewist of gecorrigeerd. |
| Opslagbeperking | Het beginsel dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. |
| Integriteit en vertrouwelijkheid | Het beginsel dat persoonsgegevens op een passende wijze moeten worden beveiligd, inclusief bescherming tegen ongeoorloofde of onwettige verwerking, toevallig verlies, vernietiging of beschadiging, door gebruikmaking van passende technische of organisatorische maatregelen. |
| Data protection by design en by default | De principes waarbij gegevensbescherming vanaf het begin wordt ingebouwd in systemen en processen (by design) en waarbij standaardinstellingen de privacy maximaliseren (by default). |
| Rechten van betrokkenen | De rechten die natuurlijke personen hebben met betrekking tot de verwerking van hun persoonsgegevens, zoals het recht op inzage, rectificatie, wissing, beperking van de verwerking, gegevensoverdraagbaarheid en bezwaar. |
| Recht op inzage | Het recht van de betrokkene om van de verwerkingsverantwoordelijke uitsluitsel te krijgen of persoonsgegevens die hem aanbelangen worden verwerkt, en om toegang te krijgen tot die gegevens, alsmede tot aanvullende informatie over de verwerking. |
| Recht op rectificatie | Het recht van de betrokkene om zonder onredelijke vertraging de rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. |
| Recht op vergetelheid (wissing) | Het recht van de betrokkene om zonder onredelijke vertraging de gegevens waarover de verwerkingsverantwoordelijke beschikt te laten wissen, onder bepaalde voorwaarden. |
| Recht op beperking van de verwerking | Het recht van de betrokkene om van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen, indien aan bepaalde voorwaarden is voldaan. |
| Recht op gegevensoverdraagbaarheid | Het recht van de betrokkene om de hem betreffende persoonsgegevens, die hij verstrekt heeft aan een verwerkingsverantwoordelijke, in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen. |
| Recht van bezwaar | Het recht van de betrokkene om zich in bepaalde situaties te verzetten tegen de verwerking van zijn persoonsgegevens. |
| Geautomatiseerde individuele besluitvorming | Besluitvorming op basis van uitsluitend geautomatiseerde verwerking, inclusief profilering, die juridische of anderszins significante gevolgen heeft voor de betrokkene. |
| Profilering | Elke vorm van geautomatiseerde verwerking van persoonsgegevens die ertoe strekt bepaalde persoonlijke aspecten te evalueren, met name aan de hand van factoren zoals beroepskeuze, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen. |