4. L&T_2025-26_Privacy and Data Protection I.pptx

# Het recht op privacy en gegevensbescherming in het digitale tijdperk Dit hoofdstuk verkent de evolutie en interpretatie van het recht op privacy en gegevensbescherming in de context van moderne technologieën, inclusief de juridische basis en relevante jurisprudentie. ### 1.1 Inleiding tot privacy en gegevensbescherming Technologieën die het gedrag van mensen traceren en volgen, kunnen een "chilling effect" hebben, waarbij individuen uit voorzorg bepaalde activiteiten of locaties vermijden. Dit geldt ook voor het gebruik van technologieën zoals gezichtsherkenning op openbare plaatsen, waar burgers nog steeds een zekere mate van privacy mogen verwachten. Biometrische data, zoals vingerafdrukken op identiteitskaarten, worden als zeer persoonlijk beschouwd en vereisen strikte regelgeving. > **Tip:** De perceptie van privacy evolueert mee met generaties en culturen, wat van invloed is op de vragen die gesteld worden bij het gebruik van nieuwe technologieën. Het argument "ik heb niets te verbergen" wordt ontkracht door te stellen dat dit gelijkstaat aan het negeren van het recht op vrije meningsuiting omdat men niets te zeggen heeft. De mate waarin privacy belangrijk wordt gevonden, is sterk gekoppeld aan het vertrouwen van de bevolking in de overheid. Het recht op privacy is een breed concept dat de individuele en persoonlijke sfeer beschermt, inclusief thuis, communicatie, gedachten, gevoelens, seksualiteit en beelden. Gegevensbescherming, daarentegen, richt zich op de (geautomatiseerde) verwerking van persoonsgegevens en het beheersen van de informatiestroom over zichzelf. Hoewel er overlap is, omvat gegevensbescherming ook informatie die niet direct verband houdt met privacy, maar wel binnen het toepassingsgebied van regels voor gegevensverwerking valt. ### 1.2 Juridische basis van privacy en gegevensbescherming Internationaal zijn de volgende instrumenten relevant: * **Verenigde Naties:** * Artikel 12 van de Universele Verklaring van de Rechten van de Mens. * Artikel 17 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten. * **Raad van Europa:** * Artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM): Dit artikel garandeert het recht op respect voor het privé- en gezinsleven, de woning en de correspondentie. Inmenging door overheidsinstanties is enkel toegestaan onder specifieke, wettelijk vastgelegde voorwaarden, en indien noodzakelijk in een democratische samenleving voor nationale veiligheid, openbare veiligheid, economisch welzijn, voorkoming van wanordelijkheden of criminaliteit, of bescherming van gezondheid of moraal, of rechten en vrijheden van anderen. * De jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) heeft bevestigd dat de bescherming van persoonsgegevens van fundamenteel belang is voor het recht op privacy (Artikel 8 EVRM). Zaken betreffende digitale technologieën en privacy vallen onder dit artikel. > **Voorbeeld:** In de zaak S en Marper v. Verenigd Koninkrijk oordeelde het EHRM dat de bescherming van persoonsgegevens van fundamenteel belang is voor het recht op privé- en gezinsleven. * **Conventie 108 inzake de bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (1981, herzien in 2018):** Dit is het eerste juridisch bindende internationale instrument op het gebied van gegevensbescherming. Het geldt voor zowel de publieke als de private sector en introduceert principes en verplichtingen voor gegevensbeheerders en rechten voor de betrokkenen. Deze conventie staat open voor niet-lidstaten van de Raad van Europa, wat leidt tot harmonisatie van regels. * **Europese Unie:** * Artikel 7 van het Handvest van de Grondrechten van de Europese Unie: Respect voor het privé- en gezinsleven, de woning en de communicatie. * Artikel 8 van het Handvest van de Grondrechten van de Europese Unie: Respect voor persoonsgegevens. Deze gegevens moeten eerlijk worden verwerkt, voor specifieke doeleinden en met toestemming of een andere wettelijke basis. Iedereen heeft recht op inzage en rectificatie van gegevens. * Artikel 52 lid 1 van het Handvest: Beperkingen op rechten en vrijheden moeten bij wet zijn voorzien, de essentie van de rechten respecteren en, met inachtneming van het proportionaliteitsbeginsel, noodzakelijk zijn voor legitieme doelstellingen van algemeen belang of ter bescherming van de rechten en vrijheden van anderen. > **Tip:** De specifieke bepalingen inzake de bescherming van persoonsgegevens in het EU-Handvest onderstrepen het verband tussen gegevensbescherming en fundamentele rechten. ### 1.3 Nationale wetgeving en EU-regelgeving * **Europese Unie:** * **Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming - AVG / GDPR):** Deze verordening heeft directe werking in alle EU-lidstaten en reguleert de verwerking van persoonsgegevens door EU-instellingen, organen en bedrijven, evenals bedrijven buiten de EU die persoonsgegevens van EU-burgers verwerken. * **Doelstellingen:** Bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name hun recht op bescherming van persoonsgegevens, en het vrije verkeer van persoonsgegevens binnen de Unie. * **Materiële reikwijdte (art. 2 AVG):** Van toepassing op de verwerking van persoonsgegevens, geheel of gedeeltelijk geautomatiseerd, en op persoonsgegevens die deel uitmaken van of bestemd zijn om deel uit te maken van een bestand. De AVG is niet van toepassing op activiteiten van lidstaten betreffende nationale veiligheid, of op verwerking door natuurlijke personen in het kader van een uitsluitend persoonlijke of huishoudelijke activiteit ("huishoudelijke uitzondering"). Sociale media activiteit kan wel onder de AVG vallen. * **Territoriale reikwijdte (art. 3 AVG):** * Verwerking in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de EU. * Verwerking van persoonsgegevens van betrokkenen in de EU door een niet in de EU gevestigde verwerkingsverantwoordelijke of verwerker, gerelateerd aan het aanbieden van goederen of diensten, of het monitoren van gedrag binnen de EU. * Verwerking door een niet in de EU gevestigde verwerkingsverantwoordelijke waar het recht van een lidstaat van toepassing is krachtens internationaal publiekrecht. * **E-privacy richtlijn:** Reguleert privacy en gegevensverwerking in communicatie. * **Law Enforcement Directive:** Reguleert gegevensverwerking door politie en justitie bij het onderzoeken van misdrijven. * **België:** * Artikel 22 van de Belgische Grondwet. * Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Data Protection Act): Deze wet bevat specifieke bepalingen die in lijn lopen met de AVG, inclusief regels voor gevoelige gegevens en de leeftijd waarop kinderen toestemming kunnen geven voor gegevensverwerking. > **Tip:** De AVG is een verordening, wat betekent dat deze rechtstreeks van toepassing is in alle lidstaten zonder dat deze nationaal moet worden omgezet. Dit vermindert juridische fragmentatie en vergroot de rechtszekerheid. ### 1.4 Persoonsgegevens en niet-persoonsgegevens * **Persoonsgegevens (art. 4.1 AVG):** Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene'). Een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificatie­middel of een of meer factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit. * De AVG is niet van toepassing op persoonsgegevens van overleden personen, tenzij nationale wetgeving dit regelt. * De AVG is niet van toepassing op rechtspersonen. * Identificatie kan direct of indirect plaatsvinden, waarbij alle middelen die redelijkerwijs waarschijnlijk kunnen worden gebruikt, in aanmerking worden genomen, inclusief de kosten en tijd die nodig zijn voor identificatie, rekening houdend met beschikbare technologie. Het hoeft niet dat alle identificerende informatie bij één persoon berust. * Inferred data, zoals een kredietscore gebaseerd op bankgegevens, wordt ook beschouwd als persoonsgegevens. * **Gepseudonimiseerde gegevens:** Persoonsgegevens die zodanig zijn verwerkt dat zij niet meer aan een specifieke betrokkene kunnen worden toegeschreven zonder het gebruik van aanvullende gegevens. Deze aanvullende gegevens worden apart bewaard en beveiligd. Pseudonimisering wordt niet altijd als anoniem beschouwd; indien identificatie nog steeds redelijkerwijs mogelijk is met aanvullende informatie, valt dit onder de AVG. * **Anonieme gegevens:** Informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon, of op zodanige wijze anoniem is gemaakt dat de betrokkene niet (meer) identificeerbaar is. De AVG is hierop niet van toepassing. * **Bijzondere categorieën van persoonsgegevens (gevoelige gegevens):** Gegevens die een verhoogde bescherming vereisen, zoals ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens voor unieke identificatie, en gegevens over gezondheid, seksueel leven of seksuele geaardheid. * De verwerking van deze gegevens is in principe verboden (art. 9.1 AVG), tenzij aan specifieke uitzonderingen wordt voldaan (art. 9.2 AVG), zoals expliciete toestemming, bescherming van vitale belangen, of wetenschappelijk onderzoek. * Lidstaten kunnen aanvullende voorwaarden en beperkingen stellen voor de verwerking van genetische, biometrische of gezondheidsgegevens. > **Voorbeeld:** Gezichtsherkenning en vingerafdrukverificatie zijn voorbeelden van biometrische gegevens die, indien gebruikt voor unieke identificatie, onder de bijzondere categorieën vallen. * **Niet-persoonsgegevens:** Gegevens die niet vallen onder de definitie van persoonsgegevens. Deze vallen buiten de reikwijdte van de AVG, maar worden wel gereguleerd door andere EU-regelgeving, zoals de Verordening (EU) 2018/1807 inzake een kader voor het vrije verkeer van niet-persoonsgegevens in de Europese Unie. Dit omvat geaggregeerde en geanonimiseerde datasets voor big data-analyse. ### 1.5 Gegevensbeschermingsactoren De AVG definieert verschillende rollen die cruciaal zijn voor de naleving van de regels: * **Betrokkene (Data subject):** Een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt. Betrokkenen hebben diverse rechten. Kwetsbare groepen, zoals kinderen, ouderen, patiënten en werknemers, genieten specifieke bescherming. * **Verwerkingsverantwoordelijke (Data controller):** De natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst, agentschap of ander lichaam die, alleen of samen met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens vaststelt. Zij zijn verantwoordelijk voor de naleving van de AVG. * Een zoekmachine-operator, zoals Google, kan worden beschouwd als verwerkingsverantwoordelijke voor de gegevens die via de zoekresultaten worden weergegeven. * **Gezamenlijke verwerkingsverantwoordelijken (Joint controllers):** Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen bepalen, stellen zij de verdeling van hun verantwoordelijkheden vast via een overeenkomst. > **Voorbeeld:** Onderzoeksgroepen van twee universiteiten die samen een onderzoeksproject uitvoeren en persoonsgegevens verzamelen, kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken. * **Verwerker (Data processor):** Een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst, agentschap of ander lichaam die persoonsgegevens verwerkt *namens* de verwerkingsverantwoordelijke. Zij bepalen niet de 'hoe' en 'waarom' van de verwerking. * **Sub-verwerker (Sub-processor):** Een andere actor die door de verwerker wordt ingeschakeld om persoonsgegevens te verwerken. De initiële verwerker blijft volledig aansprakelijk voor de naleving van de verplichtingen door de sub-verwerker. > **Tip:** Het correct identificeren van de rol van elke actor is essentieel, aangezien dit bepaalt wie verantwoordelijk is voor welke nalevingsverplichtingen en hoe betrokkenen hun rechten kunnen uitoefenen. Het principe van verantwoordingsplicht (accountability) legt de nadruk op de feitelijke elementen en omstandigheden van de zaak bij het bepalen van deze rollen. --- # Persoonlijke gegevens en niet-persoonlijke gegevens Oké, hier is een gedetailleerde en uitgebreide samenvatting over "Persoonlijke gegevens en niet-persoonlijke gegevens", opgesteld als een examen-klaar studiemateriaal, volledig in het Nederlands en volgens de opgegeven instructies. ## 2. Persoonlijke gegevens en niet-persoonlijke gegevens Dit deel van de studiehandleiding focust op de definities en onderscheidingen tussen persoonlijke en niet-persoonlijke gegevens onder de Algemene Verordening Gegevensbescherming (AVG), inclusief de behandeling van speciale categorieën van gegevens en de implicaties van anonimisering en pseudonimisering. ### 2.1 Definities en onderscheid #### 2.1.1 Persoonlijke gegevens Persoonlijke gegevens zijn gedefinieerd in Artikel 4.1 AVG als "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene')". * **Identificeerbare natuurlijke persoon**: Een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer specifieke factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. * **Breed bereik**: Het concept van persoonlijke gegevens is breed en niet beperkt tot informatie die als 'gevoelig' of 'privé' wordt beschouwd. Het kan alle soorten informatie omvatten. * **Voorbeelden**: Foto's, persoonlijke meningen en inzichten, biometrische gegevens, locatiegegevens, administratieve documenten, belastinggegevens. * **Identificatiecriteria**: Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen die redelijkerwijs waarschijnlijk zullen worden gebruikt, zoals het uitkiezen, hetzij door de verwerkingsverantwoordelijke of door een ander persoon, om de natuurlijke persoon direct of indirect te identificeren. Hierbij worden objectieve factoren in aanmerking genomen, zoals de kosten en de tijd die nodig is voor identificatie, rekening houdend met de beschikbare technologie op het moment van verwerking en technologische ontwikkelingen. * **Indirecte identificatie**: Het is niet vereist dat alle informatie die de identificatie van de betrokkene mogelijk maakt, in handen is van één persoon. De noodzaak van aanvullende informatie om een betrokkene te identificeren, verhindert niet dat de gegevens als persoonlijke gegevens worden geclassificeerd. #### 2.1.2 Niet-persoonlijke gegevens Niet-persoonlijke gegevens vallen buiten het toepassingsgebied van de AVG. De verwerking van niet-persoonlijke gegevens wordt echter wel gereguleerd op een bepaald niveau, zoals vastgelegd in Verordening (EU) 2018/1807 betreffende een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie. * **Voorbeelden**: Geaggregeerde en geanonimiseerde datasets die worden gebruikt voor big data-analyses, gegevens over precisielandbouw die helpen bij het monitoren en optimaliseren van het gebruik van pesticiden en water, en gegevens over onderhoudsbehoeften voor industriële machines. #### 2.1.3 Anonimisering versus pseudonimisering * **Anonieme gegevens**: Gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonlijke gegevens die op zodanige wijze anoniem zijn gemaakt dat de betrokkene niet meer identificeerbaar is. De AVG is niet van toepassing op anonieme informatie. * **Gepseudonimiseerde gegevens**: Persoonlijke gegevens die zodanig zijn verwerkt dat zij niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder gebruikmaking van aanvullende gegevens, mits deze aanvullende gegevens afzonderlijk worden bewaard en aan technische en organisatorische maatregelen zijn onderworpen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden toegeschreven. Gepseudonimiseerde gegevens worden beschouwd als persoonlijke gegevens onder de AVG, omdat ze, met behulp van aanvullende informatie, nog steeds kunnen worden herleid tot een natuurlijke persoon. * **Belangrijk**: Niet elke vorm van gepseudonimiseerde data wordt in alle gevallen als persoonlijke data beschouwd. Indien de pseudonimisering de identificatie van de betrokkene effectief verhindert voor anderen dan de verwerkingsverantwoordelijke, kan de AVG niet van toepassing zijn op deze specifieke data. > **Tip:** Het onderscheid tussen anonimiseren en pseudonimiseren is cruciaal. Anonieme gegevens zijn volledig buiten de AVG-toepassing, terwijl gepseudonimiseerde gegevens onder de AVG vallen, maar wel met extra beschermingsmaatregelen kunnen worden behandeld. ### 2.2 Speciale categorieën van persoonsgegevens (Gevoelige gegevens) Bepaalde persoonlijke gegevens worden aangemerkt als 'speciale categorieën van persoonsgegevens', ook wel 'gevoelige gegevens' genoemd. Deze gegevens vereisen een verhoogde bescherming en zijn onderworpen aan striktere regels. * **Waarom extra bescherming?**: Deze gegevens zijn bijzonder gevoelig in relatie tot fundamentele rechten en vrijheden, zoals het risico op discriminatie. * **Verwerking is verboden (algemene regel)**: Artikel 9.1 AVG stelt dat de verwerking van deze gegevens in beginsel verboden is. * **Uitzonderingen (Artikel 9.2 AVG)**: Er zijn een beperkt aantal specifieke omstandigheden waaronder de verwerking van deze gevoelige gegevens toch wettelijk is toegestaan. Deze omvatten onder andere: * Expliciete toestemming van de betrokkene. * Verwerking die noodzakelijk is voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten op het gebied van het arbeidsrecht, sociaal zekerheidsrecht en sociale bescherming. * Bescherming van de vitale belangen van de betrokkene of van een ander persoon, wanneer de betrokkene fysiek of juridisch niet in staat is toestemming te geven. * Verwerking door een stichting, vereniging of een andere instantie zonder winstoogmerk met een politiek, filosofisch, religieus of vakbondsperspectief, op voorwaarde dat de verwerking plaatsvindt op het grondgebied van een lidstaat en onder passende waarborgen. * Gegevens die de betrokkene kennelijk openbaar heeft gemaakt. * Verwerking die noodzakelijk is voor de vaststelling, uitoefening of verdediging van een recht in rechte. * Verwerking die noodzakelijk is om redenen van zwaarwegend algemeen belang, zoals in de volksgezondheid of voor archiveringsdoeleinden in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. * Preventieve of beroepsgeneeskunde, medische beoordelingen, het verstrekken van gezondheidszorg of sociale zorg, of het beheer van gezondheidszorgstelsels en -diensten. * **Lidstaten kunnen aanvullende voorwaarden stellen**: De AVG biedt lidstaten de mogelijkheid om verdere voorwaarden en beperkingen te handhaven of in te voeren voor de verwerking van genetische gegevens, biometrische gegevens of gegevens betreffende gezondheid (Artikel 9.4 AVG). * **Belgische wetgeving**: Artikel 5 van de Belgische Wet Bescherming Persoonsgegevens specificeert dat bij de verwerking van genetische, biometrische of gezondheidsgegevens, gegevensbeheerders aanvullende maatregelen moeten nemen, zoals het specificeren wie toegang heeft tot de gegevens, het bijhouden van een lijst van categorieën van personen met toegang, en het waarborgen van geheimhoudingsplicht voor aangewezen personen. #### 2.2.1 Biometrische gegevens Biometrische gegevens zijn een speciale categorie van persoonsgegevens die voortvloeien uit specifieke technische verwerkingen met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon, die de unieke identificatie van die natuurlijke persoon mogelijk maken of bevestigen. * **Voorbeelden van fysieke/fysiologische biometrische identificatietechnieken**: Gezichtsherkenning, vingerafdrukverificatie, irisscanning, stem- en spraakherkenning. * **Voorbeelden van gedragsbiometrische identificatietechnieken**: Toetstypenanalyse, handschriftherkenning, ganganalyse (loopgedrag), bliktracking (oogbewegingen). * **Juridische implicaties**: Verwerking van biometrische gegevens, vooral met behulp van technologie zoals gezichtsherkenning, wordt als bijzonder ingrijpend beschouwd en kan een inbreuk vormen op het recht op eerbiediging van het privéleven, tenzij aan strikte voorwaarden is voldaan. > **Voorbeeld:** Het gebruik van gezichtsherkenningstechnologie om demonstranten te identificeren en te arresteren, zelfs op openbare plaatsen, kan in strijd zijn met het recht op privacy, vooral als de actie geen gevaar oplevert voor de openbare orde en een 'chilling effect' kan hebben op het recht op vrije meningsuiting en vergadering. ### 2.3 Implicaties van anonimisering en pseudonimisering * **Anonimisering**: Wanneer gegevens effectief zijn geanonimiseerd, waardoor individuen niet meer identificeerbaar zijn, valt dit buiten het toepassingsgebied van de AVG. Dit biedt een sterke juridische zekerheid voor organisaties die dergelijke data gebruiken. * **Pseudonimisering**: Gegevens die zijn gepseudonimiseerd, vallen nog steeds onder de AVG. Echter, de verwerking van gepseudonimiseerde gegevens kan, in vergelijking met niet-gepseudonimiseerde gegevens, leiden tot verminderde risico's voor de betrokkenen. Dit kan in sommige gevallen een factor zijn bij het voldoen aan de verplichtingen onder de AVG, zoals het principe van gegevensminimalisatie. * De effectiviteit van pseudonimisering hangt af van de specifieke context, de beschikbare middelen voor her-identificatie en de gescheiden bewaring van aanvullende informatie. ### 2.4 Relatie met privacyrecht Het recht op privacy, zoals verankerd in internationale verdragen en Europese wetgeving, is nauw verbonden met de bescherming van persoonlijke gegevens. * **Fundamenteel recht**: Het recht op privacy wordt beschouwd als fundamenteel voor de menselijke waardigheid en autonomie. Staten kunnen zich hierin niet zomaar mengen, tenzij aan specifieke en uitzonderlijke voorwaarden is voldaan, met inachtneming van proportionaliteit en veiligheidsmaatregelen. * **Rechtspraak EHRM**: Het Europees Hof voor de Rechten van de Mens (EHRM) heeft herhaaldelijk bevestigd dat de bescherming van persoonlijke gegevens van fundamenteel belang is voor het recht op eerbiediging van het privéleven (Artikel 8 EVRM). Zaken met betrekking tot digitale technologieën, zoals massasurveillance of het gebruik van biometrische gegevens, vallen onder dit toepassingsgebied. > **Tip:** Beschouw de AVG niet enkel als een juridisch document, maar ook als een instrument dat de fundamentele rechten van individuen beschermt in het digitale tijdperk. Een goed begrip van de definities en categorieën van gegevens is essentieel voor de correcte toepassing ervan. --- # Gegevensbeschermingsactoren en hun rollen Hieronder volgt een samenvatting van het onderwerp "Gegevensbeschermingsactoren en hun rollen", bedoeld als studiemateriaal voor een examen. ## 3. Gegevensbeschermingsactoren en hun rollen Dit onderwerp ontrafelt de verschillende actoren die een rol spelen binnen het domein van gegevensbescherming, en analyseert hun specifieke verantwoordelijkheden en rechten. ### 3.1 Functionele concepten in gegevensbescherming Het is cruciaal om te begrijpen hoe verschillende entiteiten worden geclassificeerd binnen de context van gegevensbescherming, aangezien hun kwalificatie bepaalde verplichtingen en rechten met zich meebrengt. Deze classificaties zijn gebaseerd op de functionele rol die zij spelen in de verwerking van persoonsgegevens. #### 3.1.1 De gegevensbetrokkene (Data subject) De **gegevensbetrokkene** is, gedefinieerd binnen het kader van persoonsgegevens, een **geïdentificeerde of identificeerbare natuurlijke persoon**. Dit zijn de individuen wiens persoonsgegevens worden verwerkt. * **Rechten:** Gegevensbetrokkenen beschikken over een reeks rechten met betrekking tot hun persoonsgegevens. * **Kwetsbare groepen:** Bepaalde gegevensbetrokkenen worden als kwetsbaarder beschouwd en verdienen daarom specifieke bescherming. Dit geldt met name voor kinderen, die zich mogelijk minder bewust zijn van de risico's, gevolgen en waarborgen die gepaard gaan met de verwerking van hun persoonsgegevens. Ook ouderen, patiënten en werknemers kunnen als kwetsbare groepen worden aangemerkt. > **Tip:** Bij het analyseren van situaties waarbij gegevensbetrokkenen betrokken zijn, is het belangrijk om na te gaan of er sprake is van kwetsbare groepen, aangezien dit kan leiden tot aanvullende beschermingsmaatregelen. #### 3.1.2 De gegevensbeheerder (Data controller) Volgens Artikel 4.7 van de AVG is de **gegevensbeheerder** de **natuurlijke of rechtspersoon, het openbaar gezag, de dienst, agentschap of ander lichaam die, alleen of samen met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens bepaalt**. * **Doel en middelen:** Gegevensbeheerders bepalen het specifieke doel waarvoor persoonsgegevens worden verwerkt en de manier waarop deze verwerking plaatsvindt. * **Rechtspersoon als beheerder:** Indien een rechtspersoon of organisatie persoonsgegevens verwerkt, wordt deze entiteit beschouwd als de gegevensbeheerder, en niet een individueel persoon of een specifieke afdeling binnen die organisatie. * **Zoekmachines als beheerder:** De activiteit van een zoekmachine, die informatie publiceert, indexeert, tijdelijk opslaat en beschikbaar stelt, wordt beschouwd als 'verwerking van persoonsgegevens'. De operator van de zoekmachine wordt in dat geval aangemerkt als de 'gegevensbeheerder'. > **Voorbeeld:** Een online winkel die persoonsgegevens verzamelt om bestellingen te verwerken en marketingcampagnes te voeren, is de gegevensbeheerder. #### 3.1.3 Gezamenlijke gegevensbeheerders (Joint controllers) Artikel 26.1 van de AVG stelt dat **wanneer twee of meer beheerders gezamenlijk de doeleinden en middelen voor de verwerking bepalen, zij gezamenlijke beheerders zijn**. * **Verdeling van verantwoordelijkheden:** Gezamenlijke beheerders moeten de verdeling van hun respectieve verantwoordelijkheden vastleggen middels een overeenkomst tussen hen. * **Voorbeelden van gezamenlijke beheerders:** * Een reisbureau, luchtvaartmaatschappij en hotelketen die samen een pakketreis aanbieden (met gegevensuitwisseling voor marketing en verwerking). * Een religieuze gemeenschap, zoals Jehovah's Getuigen, en hun leden die huis-aan-huis bezoeken afleggen, waarbij persoonsgegevens worden verzameld. #### 3.1.4 De gegevensverwerker (Data processor) Artikel 4.8 van de AVG definieert een **gegevensverwerker** als ‘**een natuurlijke of rechtspersoon, het openbaar gezag, de dienst, agentschap of ander lichaam die persoonsgegevens verwerkt namens de beheerder**’. * **Onderscheidende kenmerken:** 1. **Afzonderlijke entiteit:** De verwerker is een entiteit die losstaat van de beheerder. De beheerder heeft (delen van) de verwerking gedelegeerd aan een externe organisatie. 2. **Verwerking namens de beheerder:** De verwerker verwerkt persoonsgegevens ten behoeve van de beheerder en onder diens instructies. * **Voorbeelden van gegevensverwerkers:** * Een gespecialiseerd bedrijf in HR-administratie. * Een cloudopslagprovider. * Survey software zoals Qualtrics, gebruikt voor het uitvoeren van elektronische enquêtes. > **Tip:** Een gegevensverwerker bepaalt niet de "hoe" en "waarom" van de gegevensverwerking; deze worden bepaald door de gegevensbeheerder. #### 3.1.5 De sub-verwerker (Sub-processor) De AVG voorziet in de mogelijkheid voor een gegevensverwerker om een andere actor in te schakelen voor de verwerking van persoonsgegevens. Deze actor kan worden geclassificeerd als een **sub-verwerker**. * **Toestemming van de beheerder:** Volgens Artikel 28.2 van de AVG mag de verwerker geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke machtiging van de beheerder. * **Verantwoordelijkheid:** De oorspronkelijke verwerker blijft volledig aansprakelijk jegens de beheerder voor de naleving van de verplichtingen door de sub-verwerker (Artikel 28.4 AVG). Het uitbesteden van verwerkingen aan andere verwerkers ontslaat de oorspronkelijke verwerker dus niet van zijn verplichtingen. #### 3.1.6 Ontvanger en Derde partij (Recipient and Third party) * **Ontvanger:** Een ontvanger is de natuurlijke of rechtspersoon, het openbaar gezag, de dienst, agentschap of een ander lichaam tot wie de persoonsgegevens worden verstrekt, al dan niet een derde partij. * **Derde partij:** Een derde partij is een natuurlijke of rechtspersoon, het openbaar gezag, de dienst, agentschap of een ander lichaam, **niet zijnde de betrokkene, de beheerder, de verwerker en de sub-verwerker**, noch de personen die onder rechtstreeks gezag van de beheerder of verwerker gemachtigd zijn om persoonsgegevens te verwerken. ### 3.2 Verantwoordelijkheid en naleving De kwalificatie als gegevensbeheerder of gegevensverwerker is van groot belang omdat deze bepaalt wie verantwoordelijk is voor de naleving van verschillende regels inzake gegevensbescherming en hoe gegevensbetrokkenen hun rechten kunnen uitoefenen. * **Verantwoordelijkheidsbeginsel (Principle of accountability):** De beheerder is verantwoordelijk voor en moet de naleving van de beginselen inzake de verwerking van persoonsgegevens (zoals vermeld in Artikel 5 AVG) kunnen aantonen. Dit omvat de feitelijke elementen en omstandigheden van de zaak. * **Contractuele afspraken:** De verwerking van persoonsgegevens moet worden beheerst door een contract of een andere juridische akte die bindend en schriftelijk is. * **Selectie van verwerkers:** Beheerders mogen alleen verwerkers inschakelen die voldoende waarborgen bieden om passende technische en organisatorische maatregelen te implementeren. Bij de selectie van een verwerker wordt rekening gehouden met de deskundigheid, betrouwbaarheid, middelen en naleving van gedragscodes of certificeringsmechanismen van de verwerker. > **Tip:** Het correct identificeren van de rol van elke actor (beheerder, verwerker) is essentieel om de verantwoordelijkheden binnen een gegevensverwerkingsproces correct toe te wijzen en te voldoen aan de nalevingsvereisten. ### 3.3 Case study: Onderzoeksproject met jongeren **Situatie:** Onderzoeksgroepen van twee universiteiten werken samen aan een project over de impact van socialemediagebruik op de mentale gezondheid van jongeren tussen 18 en 25 jaar. Ze gebruiken Qualtrics, een software voor enquêtes, en de verzamelde gegevens worden opgeslagen op de platformen van een van de universiteiten. De onderzoeksresultaten worden gedeeld via publicaties. * **Gegevensbetrokkene:** De jongeren tussen 18 en 25 jaar die de enquête invullen. * **Gegevensbeheerder:** Beide universiteiten worden beschouwd als gezamenlijke beheerders, aangezien zij samen de doeleinden en middelen van de verwerking bepalen. * **Gegevensverwerker:** Qualtrics, de survey software. Gezien de gevoeligheid van de data met betrekking tot mentale gezondheid, moeten de universiteiten ervoor zorgen dat de verwerking in overeenstemming is met Artikel 9.2 van de AVG en een beleid opstellen voor "persoonsgegevensverwerking". --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Recht op privacy | Het recht van een individu om zijn persoonlijke levenssfeer, huis en communicatie te beschermen tegen ongeoorloofde inmenging door de overheid of andere entiteiten. Dit omvat ook de controle over de verspreiding van informatie over zichzelf. | | Gegevensbescherming | Het concept dat de verwerking van persoonlijke gegevens reguleert om de privacy van individuen te waarborgen. Het omvat regels en principes voor het verzamelen, gebruiken, bewaren en delen van persoonlijke informatie. | | Chilling effect | Een fenomeen waarbij individuen hun gedrag aanpassen of bepaalde activiteiten vermijden uit angst voor surveillance of repercussies, wat de vrijheid van meningsuiting en vergadering kan beperken. | | Biometrische data | Persoonlijke gegevens die voortkomen uit specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een natuurlijk persoon, die de unieke identificatie van die natuurlijke persoon mogelijk maken of bevestigen, zoals vingerafdrukken of gezichtsherkenning. | | Persoonlijke gegevens | Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identifier zoals een naam, identificatienummer, locatiegegevens, online identifier of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon. | | Niet-persoonlijke gegevens | Gegevens die niet betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat bijvoorbeeld geaggregeerde en geanonimiseerde datasets. | | Gevoelige gegevens (speciale categorieën van persoonsgegevens) | Bepaalde soorten persoonlijke gegevens die een verhoogde bescherming vereisen vanwege hun gevoeligheid, zoals gegevens betreffende ras, etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, of gegevens betreffende gezondheid, seksueel leven of seksuele geaardheid. | | Anonimisering | Het proces waarbij persoonlijke gegevens dusdanig worden verwerkt dat de betrokken persoon niet meer identificeerbaar is. Geanonimiseerde gegevens vallen buiten de reikwijdte van de GDPR. | | Pseudonimisering | De verwerking van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder de gegevens van aanvullende informatie te gebruiken, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden toegeschreven. Pseudonimiseerd materiaal wordt nog steeds als persoonlijke gegevens beschouwd onder de GDPR. | | Gegevensbeheerder (Controller) | De natuurlijke of rechtspersoon, het openbaar gezag, agentschap of een ander lichaam dat, alleen of in samenwerking met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens bepaalt. | | Gegevensverwerker (Processor) | Een natuurlijke of rechtspersoon, het openbaar gezag, agentschap of een ander lichaam dat persoonsgegevens verwerkt namens de gegevensbeheerder. | | Betrokkene (Data subject) | De natuurlijke persoon op wie de persoonsgegevens betrekking hebben; een geïdentificeerde of identificeerbare natuurlijke persoon. | | Verordening | Een juridisch bindende wetgevende akte die in de gehele Europese Unie rechtstreeks van toepassing is, zonder dat deze in nationaal recht hoeft te worden omgezet. | | Directe werking | Het principe dat EU-wetgeving (zoals verordeningen) automatisch van kracht wordt in alle lidstaten zonder dat nationale implementatie nodig is. |