Dossier GDPR/AVG
Deel 1: Wat zijn precies persoonsgegevens en wanneer mogen deze opgeslagen worden?
Dossier GDPR/AVG

GDPR/AVG deel 1: over persoonsgegevens

Het is u vast niet ontgaan; in mei 2018 gaat de nieuwe Europese privacywet GDPR/AVG in. De rechten en plichten rondom bescherming van persoonsgegevens worden flink uitgebreid en iedere organisatie zal met de nieuwe regels te maken krijgen. Omdat uw en onze dagelijkse werkzaamheden voor een groot deel bestaan uit het verwerken van persoonsgegevens, bereiden we ons goed voor op de invoering. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog geven we een beknopt overzicht van de terminologie en wat er precies verstaan wordt onder ‘persoonsgegevens’.

GDPR in het kort
GDPR staat voor General Data Protection Regulation, in het Nederlands Algemene Verordening Gegevensbescherming (AVG) genoemd. Dit is een wet die erop gericht is om de privacyrechten van personen te versterken en uit te breiden, om organisaties die persoonsgegevens verwerken meer verantwoordelijkheid te geven, en om dezelfde wetgeving te hanteren binnen alle Europese lidstaten. Op 25 mei 2018 gaat de wet in de hele Europese Unie gelden.

Terminologie

GDPR/AVG driehoek betrokkene, verantwoordelijke en verwerker

Wat zijn persoonsgegevens?

Hieronder valt alle informatie die gerelateerd is aan een (geïdentificeerd of identificeerbaar) natuurlijk persoon, maar ook informatie over een rechtspersoon die direct te herleiden is naar een natuurlijk persoon. Bedrijfsgegevens zijn geen persoonsgegevens, tenzij de rechtspersoon hetzelfde is als de natuurlijke persoon, zoals bij een eenmanszaak. Verder hangt het van de context van het gebruik af of het wel of niet gaat om persoonsgegevens. Een IP-adres kan namelijk te herleiden zijn naar een specifiek persoon, tenzij het een adres is dat door veel mensen gebruikt wordt. En een order valt niet onder persoonsgegevens, maar de NAW-gegevens die erop staan wel. Dit is een grijs gebied waarin nu nog geen hard onderscheid te maken valt.

Wanneer mogen persoonsgegevens opgeslagen worden?

Onder de volgende voorwaarden (grondslagen) mogen persoonsgegevens verzameld worden. Geldt geen van deze grondslagen? Dan is opslaan of verwerken van persoonsgegevens niet toegestaan en kan uw organisatie als verantwoordelijke een flinke boete krijgen.

  1. Als de betrokkene expliciet toestemming heeft gegeven, bijvoorbeeld door in een webformulier aan te vinken dat hij akkoord gaat met het privacystatement.
  2. Als het nodig is om een overeenkomst uit te voeren waar de betrokkene onderdeel van is, zoals een (webshop)order voor levering van producten en/of diensten of ander zakelijk contract. Ook het uitvoeren van taken om een toekomstige overeenkomst te kunnen sluiten vallen hieronder, zoals het uitbrengen van een persoonlijke offerte.
  3. Als er een wettelijke verplichting is, ter uitvoering van overheidstaken. Denk aan het sturen van gegevens aan de belastingdienst om uw bedrijfsaangifte te doen.
  4. Om vitale belangen van de betrokkene te beschermen. Als de veiligheid in het geding is, gaat dat boven het recht op privacy.
  5. Ter uitvoering van het algemeen belang of openbaar gezag, zoals politietaken.
  6. Bij gerechtvaardigd belang. In sommige gevallen is het opslaan van persoonsgegevens – zonder toestemming of overeenkomst – voor commerciële doeleinden toegestaan, mits u kunt beargumenteren dat het belang voor de betrokkene groter is dan de ‘schade’ aan de privacy. Dit is een grijs gebied dat pas meer vorm zal krijgen als de wet in werking is getreden.

Waarom is nog niet alles duidelijk?

De GDPR biedt ruimte voor landen om zelf nadere regels te bepalen op een aantal punten. In Nederland zal dit gebeuren in de Uitvoeringswet AVG. Deze is op dit moment nog niet aangenomen. Daarnaast zijn er, zoals met elke wet, twijfelgevallen en uitzonderingen. Wanneer de wet ingaat, zullen specifieke praktijkgevallen voor meer duidelijkheid gaan zorgen.

Lees in deel 2 wat de rechten van de betrokkene zijn wanneer de AVG in werking treedt >

N.B.: Wij hebben ons best gedaan om ons zo goed mogelijk te verdiepen in de nieuwe wetgeving en de regels zo helder mogelijk aan u uit te leggen. Desondanks kan het zijn dat er onverhoopt toch onjuiste of onvolledige informatie in dit artikel is geslopen. Ziet u iets dat niet klopt of niet duidelijk is? Laat het ons weten!

Gerelateerde blogs
14
dec
GDPR/AVG deel 3: plichten van de verantwoordelijke
7
dec
GDPR/AVG deel 2: rechten van de betrokkene
17
aug
SSL certificaat onmisbaar voor webshops
25
okt
Wasstraat voor DDoS-aanvallen op webshops
12
okt
250 Nederlandse webshops gehackt – Logic4 shops zijn veilig
Nieuwsbrief

Blijf altijd op de hoogte van ons laatste nieuws!

Alle blogs over de GDPR/AVG
Zoek door onze site