Algemene voorwaarden & Privacy
Algemene voorwaarden
​
Dit is een paragraaf. Klik hier om je eigen tekst toe te voegen.
Privacy
​
Bescherming van persoonsgegevens & privacy
​
De bescherming van de privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Algemene Verordening Gegevensbescherming (AVG), in het dagelijks spraakgebruik ook wel 'privacywet' genoemd.
Regels op het gebied van mailings, spam en cookies staan vermeld in de Telecommunicatiewet.
Algemene Verordening Gegevensbescherming (AVG)
De AVG werd effectief van kracht op 25 mei 2018. Daarmee werden de onderlinge verschillen in privacy in de Europese landen grotendeels gelijkgetrokken. Nederland kende al de Wet Meldplicht Datalekken die met betrekking tot datalekken in grote lijnen dezelfde bepalingen kent als de AVG.
De AVG bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens.
Wanneer geldt de Algemene Verordening Gegevensbescherming?
De AVG is niet op elke verwerking van persoonsgegevens van toepassing. Zo geldt de AVG niet voor de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen, of een lijst met adressen en telefoonnummers van vrienden en familie.
Daarnaast is toepasselijkheid van de AVG uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.
Wat is een persoonsgegeven?
Persoonsgegevens zijn alle gegevens die iets zeggen over een persoon. Wanneer een persoonsgegeven -al of niet in combinatie met andere gegevens- iemand kan identificeren zonder een bijzondere inspanning te leveren, dan is de privacy in het geding. Hierbij kun je denken aan naam- en adresgegevens.
Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.
Of er sprake is van een persoonsgegeven wordt mede bepaald door de context. Het beroep van iemand is een persoonsgegeven, maar op zich geeft het geen mogelijkheid om iemand te identificeren. Het beroep kernfysicus in combinatie met andere gegevens kan iemand wel identificeren. Als we weten dat de kernfysicus op een Waddeneiland woont, weten we om wie het gaat.
Wat is een bijzonder persoonsgegeven?
Naast gewone persoonsgegevens zijn er bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere persoonsgegevens vallen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke opvattingen of het lidmaatschap van een vakbond blijken. Ook vallen hieronder genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Er zijn gegevens die niet onder de categorie bijzondere persoonsgegevens vallen, maar door hun gevoeligheid wel een aparte status hebben, zoals strafrechtelijke gegevens en BSN.
​
Wanneer is er sprake van verwerking van persoonsgegevens?
Onder verwerking wordt verstaan elke geautomatiseerde handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt. Een praktisch voorbeeld: een helpdeskmedewerker die gegevens van een klant inziet, verwerkt al persoonsgegevens.
Algemene regels voor verwerking persoonsgegevens
​
-
Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
-
Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven.
-
Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn.
Een voorbeeld uit de praktijk is het maken van een kopie paspoort.
Maar: het bekijken van een identiteitsbewijs ter controle of het tijdelijk innemen ervan valt niet onder verwerking van persoonsgegevens.
Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.
Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden
Naast bovengenoemde algemene regels geldt dat de gegevensverwerking is gerechtvaardigd als het verwerkingsdoel gebaseerd is op minimaal één van de zes rechtsgrondslagen die in de Verordening worden gegeven.
Dit zijn die grondslagen:
-
De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn toestemming gegeven. Deze toestemming dient vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. In dit verband wordt ook wel over geïnformeerde toestemming of informed consent gesproken.
Voor de verwerking van persoonsgegevens van een kind jonger dan 16 jaar (in Nederland) is toestemming van een ouder of wettelijk vertegenwoordiger noodzakelijk. Een organisatie moet een redelijke inspanning verrichten om die toestemming te controleren. -
Uitvoering overeenkomst
De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
-
Wettelijke verplichting
De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.
-
Vitaal belang
De gegevensverwerking is noodzakelijk om een vitaal belang te beschermen van de betrokkenen, of van een andere natuurlijk persoon. Het gaat hierbij vaak over gezondheid.
-
Publiekrechtelijke taak
De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
-
Gerechtvaardigd belang
De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt (of van een derde aan wie de gegevens worden verstrekt). Dit betekent dat degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van de betrokken persoon. Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens, en dus met minder inbreuk op de privacy van de betrokkene.
Het is dus niet altijd nodig om toestemming te hebben van de betrokkenen.
Verwerking risicovolle persoonsgegevens
Sinds 6 november 2017 hoeft een organisatie bij de Autoriteit Persoonsgegevens niet meer te melden dat er persoonsgegevens verwerkt worden. Dit was vooruitlopend op een zelfde bepaling in de AVG.
Als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen moet een data protection impact assessment (DPIA) worden uitgevoerd. Als uit de DPIA blijkt dat de verwerking een hoog risico oplevert, en er door de organisatie geen maatregelen genomen (kunnen) worden om het risico te beperken, dan moet de AP worden geraadpleegd. Deze voorafgaande raadpleging van de AP moet plaatsvinden voordat de verwerking begint.
Het exporteren van persoonsgegevens: doorgifte
Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing.
Zie de pagina doorgifte persoonsgegevens
Wat zijn de rechten van betrokkenen?
De privacywetgeving richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.
-
Inzagerecht
Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt.
-
Rectificatie en aanvulling
Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking.
-
Beperking van verwerking
Dit betreft het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.
-
Recht op menselijke tussenkomst bij besluiten
Betrokkenen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat voor hen serieuze gevolgen heeft. Hieronder valt ook profilering. Gebruikte algoritmes kunnen mensen ten onrechte selecteren of juist uitsluiten, tussenkomst van een mens kan de procedure een andere wending geven.
-
Recht op dataportabiliteit
Het ontvangen van persoonsgegevens (overdraagbaarheid) in een algemeen leesbaar, digitaal formaat van de organisatie die deze gegevens heeft opgeslagen. Hiermee kunnen mensen hun gegevens eenvoudig overdragen aan een andere leverancier. In de praktijk zal het digitale formaat vaak xml of json zijn.
Zie ook: dataportabiliteit volgens de AVG -
Vergeetrecht
Onder specifieke voorwaarden heeft iemand het recht de persoonsgegevens van hem die bij een organisatie zijn opgeslagen te laten wissen (bijvoorbeeld omdat ze verouderd zijn of niet meer relevant).
De verantwoordelijke voor deze persoonsgegevens heeft in dat geval de plicht om derden, aan wie hij de gegevens heeft verstrekt, te verzoeken deze gegevens eveneens te wissen. -
Recht op bezwaar maken tegen verwerking / recht van verzet
Iemand kan een organisatie vragen om zijn of haar persoonsgegevens niet meer te gebruiken. Dit kan op basis van speciale, persoonlijke redenen zijn of als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden.
Zie de uitgebreide toelicht van de AP: rechten van betrokkenen
Toezicht op naleving AVG
De Autoriteit Persoonsgegevens (AP) is de toezichthouder voor verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.
Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de privacywetgeving, en advies hierover te geven. Deze functionaris wordt ook wel Data Protection Officer genoemd.
Meldplicht datalekken
Onderdeel van de AVG is een regeling over de meldplicht voor datalekken. De meldingen moeten worden gedaan bij de AP en, in bepaalde gevallen, aan de betrokken personen. Voor meer informatie zie: datalekken
​
Bijhouden van zwarte lijst: privacyinbreuk?
Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een verwerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.
​
Privacy in de pers - Edward Snowden
Het lijkt inmiddels lang geleden, maar deze gebeurtenis was het begin van privacy awareness:
In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple.
In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan.
Lees meer hierover bij Wikipedia.
PRISM kan gezien worden als een opvolger van ECHELON.
In dit verband moeten we ook CISA noemen, een wet die in oktober 2015 in Amerika werd aangenomen. CISA maakt het mogelijk dat bedrijven informatie delen met de overheid, om daarmee o.a. cyberaanvallen te voorkomen. Deze wet gaat ervan uit dat de overheid meer kennis heeft dan de afzonderlijke bedrijven waardoor die bedrijven beter beschermd zouden zijn. Bedrijven kunnen -op vrijwillige basis- grote hoeveelheden persoonlijke gegevens van gebruikers delen met de overheid.
​
Verwijdering van accountgegevens op internet
Op de website van Bits of Freedom is veel informatie te vinden over privacy(rechten) op internet. De Suicide Machine is hulpmiddel om je gegevens te verwijderen van Facebook, LinkedIn en Twitter. Men spreekt in dit kader van ontvrienden.
Sinds de komst van de AVG is elke organisatie verplicht gehoor te geven aan jouw -redelijke- verzoek tot verwijdering van gegevens.
Google kent al sinds april 2013 een optie om een account te verwijderen. Deze mogelijkheid is bij de instellingen te vinden onder Accountactiviteit of Inactiviteitsvoorkeuren. Daarmee is te bepalen na hoeveel tijd van inactiviteit een Google account(s) worden verwijderd.
In juni 2015 introduceerde Google een website waarop de instellingen van een gebruiker / betrokkene in te zien zijn, voor alle diensten van Google: Mijn account. Ook wel Google's Privacy Check genoemd.
Microsoft heeft een soortgelijk dienst: Privacy Instellingen
Verwijderen uit zoekresultaten - recht van vergetelheid
Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan in dit verband (C-131/12). Het betrof een Spanjaard die nadelen ondervond van een krantenartikel uit 1998 over gedwongen verkoop van zijn bezittingen. Hof bepaalde dat Google de link naar deze gegevens op zijn verzoek moest verwijderen. Let wel: de oorspronkelijke gegevens uit de krant blijven bewaard. Er vindt dus geen 'geschiedvervalsing' plaats.
Met de uitspraak van het Europese Hof wordt in zijn algemeenheid de mogelijkheid geschapen om een zoekmachine te vragen om bepaalde koppelingen naar webpagina's met gegevens over personen te verwijderen.
De genoemde uitspraak gaf tevens aan dat Google zich aan de Europese privacyregels moet houden, ook al vindt de verwerking van Europese persoonsgegevens plaats in de Verenigde Staten. Als gevolg van het genoemde arrest heeft Google het in mei 2014 mogelijk gemaakt om een verzoek in te dienen om informatie uit de zoekresultaten te verwijderen.
Lees meer hierover bij Google: verwijdering uit zoekresultaten
En Google's algemene verwijderingsbeleid.
Andere zoekmachines zijn ook gehouden aan dit arrest. Lees meer hierover op de pagina over vergeetrecht
​
Zoekmachines en privacy
Zoekmachines slaan uw voorkeuren en zoekopdrachten op om ervoor te zorgen dat zoekresultaten steeds relevanter worden. Dat betekent dat de gevonden resultaten beter voldoen aan uw behoeften en dat geplaatste advertenties steeds beter aansluiten op uw profiel. Als je cookies van zoekmachines verwijdert gaat veel informatie verloren. Een deel van de opgebouwde informatie blijft bewaard op de servers van de zoekmachines.
Wanneer je niet wilt dat de zoekmachines informatie van en over jou opslaan, dan is DuckDuckGo een alternatief. Deze zoekmachine bewaart geen gegevens over gebruikers en waar ze naar zoeken. Wanneer een overheidsdienst data opeist van DuckDuckGo, is er geen identificeerbare data om door te geven.
DuckDuckGo zoekmachine
Een Nederlands alternatief is de zoekmachine Start Page die feitelijk fungeert als een filter tussen Google en de gebruiker. Het filter anonimiseert de zoekopdrachten.
​
Privacy statement - Privacyverklaring
Het is een wettelijke verplichting om klanten of (website)bezoekers duidelijk te informeren welke gegevens over hen verzameld worden en met welk doel dat gebeurt. Veel bedrijven en websites hanteren een privacyverklaring, ook wel privacy statement of privacy notice genoemd, om de klanten of gebruikers te informeren hoe wordt omgegaan met hun persoonsgegevens. Houd er rekening mee dat een privacy statement in de loop van de tijd gewijzigd kan worden.
Een bedrijf moet ook zijn personeel informeren over hoe persoonsgegevens van werknemers worden verwerkt. Dit staat in een interne privacyverklaring. Het verdient aanbeveling om in de privacyverklaring op de website van het bedrijf te melden hoe wordt omgegaan met de gegevens van sollicitanten.
​
Het belang van privacy
Niet iedereen maakt zich druk over zijn of haar privacy. Daarom twee voorbeelden die aangeven dat we niet alles moeten delen.
Wanneer je foto's verstuurd met een app op je mobiel worden deze bij de ontvanger opgeslagen. Als andere apps op dat apparaat bij het installeren vragen om toegang tot de aanwezige foto's en dat mogen, krijgen ze toegang tot alle foto's. Wat die apps vervolgens doen met jouw privéfoto's is ongewis.
Niet iedereen maakt zich druk over zijn of haar privacy ("ik heb toch niets te verbergen"). Daarom enkele voorbeelden die aangeven dat we niet alles moeten delen. Wanneer je foto's verstuurt met een app op je mobiel worden deze bij de ontvanger opgeslagen. Als andere apps op het apparaat van de ontvanger bij het installeren om toegang tot de aanwezige foto's vragen, en die krijgen, hebben ze daarmee ook toegang tot de door jou opgestuurde foto's. Wat die apps vervolgens doen met jouw privéfoto's is ongewis.
[red.: dat schreven we enkele jaren geleden. Inmiddels kunnen apps razendsnel de inhoud van jouw foto's herkennen -zonder gps-locatie- en zo bepalen waar je geweest bent en met wie je contact hebt gehad.]
Bij het gebruik van de emoticons en likes in Facebook geef je veel informatie over jezelf prijs. De soort emoticon in combinatie met het onderwerp geeft Facebook een enorm inzicht in jou als persoon, zeker in de loop van de tijd. Facebook gebruikt de hiermee opgebouwde profielen -samen met bijvoorbeeld de websites die je hebt bezocht- om gerichte advertenties mogelijk te maken. Uiteindelijk weet Facebook meer over jou dan je familie en vrienden.
Ongemerkt kun je persoonlijke gegevens prijsgeven. Zet je bijvoorbeeld een foto van je vliegticket op social media? Wist je dat daarin je naam, adres, telefoonnummer en meer opgeslagen zijn? Gooi ook niet zo maar een boarding pass weg: welke info bevat een boarding pass (EN).
Niet geheel overtuigd van het nut van privacy? Lees dan Je hebt wel iets te verbergen