AVG terminologie

Op deze pagina worden begrippen uit de AVG uitgelegd. Wanneer woorden vetgedrukt worden vermeld, dan worden deze hier ook toegelicht.

A

Adequaatheidsbesluit

Wanneer je vanuit Nederland persoonsgegevens wilt doorgeven aan een land buiten het toepassingsgebied van de AVG (een derde land), dan mag dit alleen wanneer dit derde land voldoende bescherming biedt. Dat is onder andere het geval wanneer de Europese Commissie (EC) een adequaatheidsbesluit heeft genomen voor dat land. De EC stelt dan vast dat de gegevensbescherming in het betreffende land van een vergelijkbaar niveau is als de AVG.

Algemene Verordening Gegevensbescherming

Een Europese verordening met regels voor het verwerken van persoonsgegevens. Ook wel: de privacywet. De Algemene Verordening Gegevensbescherming (AVG) geldt in de Europese Economische Ruimte: alle landen van de Europese Unie plus Liechtenstein, Noorwegen en IJsland. In het Engels spreek je van de General Data Protection Regulation ofwel GDPR.

Anoniem/anonimisering

Gegevens zijn anoniem, wanneer deze op geen enkele wijze te herleiden zijn tot een persoon, ook niet met aanvullende gegevens. Wanneer het gaat om anonieme data, dan is de AVG niet van toepassing. De AVG is immers alleen van toepassing als het om persoonsgegevens gaat.

Anonimisering is overigens wél een vorm van verwerken van persoonsgegevens. Voordat de gegevens anoniem waren, ging het namelijk om persoonsgegevens. Door middel van een bepaalde handeling, het anonimiseren, worden de gegevens anoniem. Elke handeling met persoonsgegevens is een verwerking van persoonsgegevens.

Anonimisering is iets anders dan pseudonimisering.

AP

Zie: Autoriteit Persoonsgegevens

Autoriteit Persoonsgegevens

De Nederlandse toezichthouder op de AVG en de UAVG. Ook wel: AP.

AVG

Zie: Algemene Verordening Gegevensbescherming

B

BCR

Zie: Binding Corporate Rules

Betrokkene

Een geïdentificeerde of identificeerbare natuurlijke persoon. De persoon wiens persoonsgegevens worden verwerkt.

BEwaartermijn

In de AVG staan geen concrete bewaartermijnen van persoonsgegevens opgenomen. Deze moet je zelf vaststellen. Daarbij moet worden gelet op hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. De gegevens mogen niet langer worden bewaard dan noodzakelijk. 

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn. Deze worden extra beschermd door de AVG. In beginsel mogen deze gegevens niet worden verwerkt. Het gaat om de volgende gegevens:

Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt, tenzij je je kunt beroepen op één van de grondslagen voor het verwerken van 'gewone' persoonsgegevens én op één van de uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens. De uitzonderingen zijn:

  1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens;
  2. De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van jou of de betrokkene (op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht; op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
  3. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven;
  4. Je verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienst of vakbondsgebied werkzaam is. Het gaat om gegevens van (oud)leden of personen met wie regelmatig contact is gerelateerd aan de doelstelling en de gegevens worden verwerkt voor gerechtvaardigde activiteiten en met passende waarborgen;
  5. Je verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt;
  6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen;
  7. De verwerking is noodzakelijk voor een zwaarwegend algemeen belang (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
  8. De verwerking is noodzakelijk voor doeleiinden  van preventieve of (arbeids)geneeskundige aard, zoals het beoordelen van arbeidsgeschiktheid enóf het verstrekken van gezondheidszorg (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
  9. De verwerking is noodzakelijk voor de volksgezondheid (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
  10. De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag). 

Binding Corporate Rules

Een instrument binnen internationale organisaties of multinationals waarin waarborgen worden vastgelegd voor de bescherming van persoonsgegevens bij doorgifte naar derde landen.

D

Dataminimalisatie

Dit is een beginsel uit de AVG, dat inhoudt dat je niet meer persoonsgegevens mag verwerken dan nodig. Vraag je dus altijd af: hebben we deze persoonsgegevens écht nodig?

Stel je voor, je koopt iets in een webshop. Daar moet je jouw adresgegevens invullen, maar bijvoorbeeld ook geslacht. Je adresgegevens zijn nodig om het gekochte product toe te zenden, maar is geslacht ook nodig? Is de verwerking daarvan noodzakelijk voor het doel van de gegevensverwerking? Als dat niet het geval is, dan voldoe je ook niet aan het beginsel van dataminimalisatie.

Data protection impact assessment

Ook wel: DPIA. In de AVG wordt dit de gegevensbeschermingseffectbeoordeling (GBEB) genoemd. De DPIA is een instrument om voorafgaand aan een verwerking van persoonsgegevens de privacyrisico’s daarvan in kaart te brengen, om vervolgens maatregelen te kunnen nemen om die risico’s te verkleinen. Wanneer de verwerking waarschijnlijk een hoog privacyrisico oplevert, moet je een DPIA uitvoeren. In sommige gevallen is het uitvoeren van een DPIA verplicht.

Door middel van een pre-DPIA kun je beoordelen of een DPIA noodzakelijk is.

Denk je dat dit het geval is? Neem dan contact op met de FG.

Data protection officer

Zie: Functionaris gegevensbescherming

Data subject

Engels voor betrokkene.

Data transfer agreement

In bepaalde situaties moeten er persoonsgegevens worden uitgewisseld met een partij buiten de UT. In sommige gevallen is een verwerkersovereenkomst nodig, maar dit is niet altijd het geval. Wanneer geen verwerkersovereenkomst nodig is, kan het toch verstandig zijn om een data transfer agreement af te sluiten om goede afspraken te maken over een veilige omgang met de persoonsgegevens.

Derde land

Derde landen zijn landen buiten de Europese Economische Ruimte (EER). De EER omvat alle landen binnen de Europese Unie plus Noorwegen, Liechtenstein en IJsland.

Persoonsgegevens mogen alleen naar een derde land worden doorgegeven wanneer dat derde land voldoende bescherming biedt. Dat kan op basis van een adequaatheidsbesluit, passende waarborgen, binding corporate rules of specifieke uitzonderingen.

Doel/doeleinde

Persoonsgegevens mogen slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Van belang is om voorafgaand aan het verwerken van persoonsgegevens de doeleinden daarvan te formuleren en vast te leggen.  Mocht het onmogelijk zijn om op voorhand de doeleinden voor de persoonsgegevensverwerkingen welbepaald te omschrijven, dan mag je – bij uitzondering – de doeleinden, waarvoor je persoonsgegevens verwerkt voor het wetenschappelijk onderzoek, ook op een meer algemeen niveau omschrijven. Overleg in voorkomend geval met de PCP van je faculteit/dienst of de FG.

DPIA

Zie: Data protection impact assessment

DPO

Zie: Functionaris gegevensbescherming

F

FG

Zie: Functionaris gegevensbescherming

Functionaris gegevensbescherming

De functionaris gegevensbescherming (FG; in het Engels: data protection officer/DPO) houdt toezicht op de toepassing en naleving van de AVG en adviseert hierover.

G

GBEB

Zie: Data Protection Impact Assessment

GDPR

Engels voor AVG

Gegevensbeschermingseffectbeoordeling

Zie: Data Protection Impact Assessment

General Data Protection Regulation

Engels voor Algemene Verordening Gegevensbescherming

Gezamenlijk verwerkingsverantwoordelijke

Er is sprake van gezamenlijk verwerkingsverantwoordelijken, wanneer je samen met een andere partij het doel en middelen van de verwerking vaststelt. 

Grondslag

Persoonsgegevens mogen uitsluitend op rechtmatige wijze worden verwerkt en dat is alleen het geval wanneer de verwerking op een grondslag kan worden gebaseerd. De AVG kent zes grondslagen, welke hier verder worden toegelicht:

P

Passende waarborgen

Wanneer persoonsgegevens worden doorgegeven naar een derde land, kan dit worden gebaseerd op passende waarborgen. Dat kan met standard contractual clauses, een goedgekeurde gedragscode of via een certificeringsmechanisme.

PCP

Zie: Privacy contactpersoon

Persoonsgegevens

Alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon.

Pre-DPIA

Instrument om te helpen beoordelen of een DPIA moet worden uitgevoerd. Je vindt de pre-DPIA hier.

PRIVACY by default

Privacy by default is een onderdeel van privacy by design en vereist dat de standaardinstellingen van een dienst of product zo privacy-vriendelijk mogelijk zijn ingesteld.

PRIVACY by design

Privacy by design betekent dat er bij het ontwerpen van een dienst of product al rekening wordt gehouden met privacy met het doel om de bescherming van persoonsgegevens te optimaliseren. Er wordt bijvoorbeeld rekening gehouden met dataminimalisatie en bewaartermijnen

Privacy contactpersoon

Binnen elke faculteit en dienst van de UT is minimaal één privacy contactpersoon (PCP) aangesteld. PCP's adviseren binnen hun eigen eenheid over privacy en informatiebeveiliging en zijn binnen de eenheid het eerste aanspreekpunt. Hier vind je wie binnen jouw faculteit/dienst PCP is.

PRIVACY statement/privacyverklaring

Wanneer je persoonsgegevens verwerkt, dienen betrokkenen hierover voorafgaand aan die verwerking te worden geïnformeerd. Dit kun je doen door middel van een privacy statement/privacyverklaring. Hierin moet in ieder geval de volgende informatie worden opgenomen:

De informatie moet transparant en in duidelijke en eenvoudige taal worden gegeven.

Pseudonimisering

Wanneer persoonsgegevens worden gepseudonimiseerd, kunnen deze niet meer aan een specifieke betrokkene worden gekoppeld, zonder dat er aanvullende gegevens worden gebruikt. Voorbeelden hiervan zijn hashing en encryptie. Pseudonieme gegevens zijn persoonsgegevens.

R

RECHTen van betrokkenen

Als jouw persoonsgegevens worden verwerkt, heb je bepaalde rechten omtrent die persoonsgegevens. Op deze pagina kun je meer informatie vinden.

Rechtsgrond

Zie: Grondslag

REgister van verwerkingen

De UT is verplicht een register bij te houden waarin staat opgenomen welke verwerkingen er binnen de UT plaatsvinden. Voor onderzoek kun je gebruik maken van deze tool. Is er sprake van een andere verwerking die moet worden opgenomen in het register? Neem dan contact op met de FG

S

SCC

Zie: standard contractual clauses

Secundaire verwerking

Zie: Verdere verwerking

Standard contractual clauses

Ook wel SCC. Een door de Europese Commissie goedgekeurd modelcontract om veilig persoonsgegevens door te geven naar en derde land.

Subverwerker

Een partij die namens de verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

T

Toestemming

Eén van de zes grondslagen uit de AVG. De betrokkene kan toestemming geven om de persoonsgegevens te verwerken. Zie hier welke eisen de AVG aan deze grondslag stelt. 

U

UAVG

Zie: Uitvoeringswet AVG

Uitvoeringswet AVG

De AVG is rechtstreeks toepasselijk in Nederland. Op sommige gebieden laat de AVG ruimte voor nationale keuzes bij de uitvoering van de AVG. Deze zijn ingevuld in de UAVG.

V

Verdere verwerking

Ook wel: secundaire verwerking. Het gaat hierbij om een verwerking van persoonsgegevens die door de reeds in een eerder stadium voor een ander doel zijn verzameld (de primaire verwerking). Verdere verwerking is toegestaan wanneer dat verenigbaar is met het doel waarvoor de gegevens in eerste instantie zijn verzameld. Of dit het geval is, hangt af van de volgende criteria:

Verdere verwerking met het oog op wetenschappelijk onderzoek moet als een met de primaire doeleinden verenigbare rechtmatige verwerking worden beschouwd.

Is de primaire verwerking gebaseerd op toestemming? Dan is de toestemming verleend specifiek voor die verwerking. Verdere verwerking is dan niet toegestaan. Daarvoor moet separaat toestemming worden gegeven.

Wanneer de betrokkene toestemming geeft tot de verdere verwerking of de organisatie is wettelijk verplicht om de betreffende persoonsgegevens verder te verwerken, dan is dit in beginsel toegestaan (je moet nog wel aan de overige vereisten uit de AVG voldoen).

Indien verdere verwerking is toegestan, is geen afzonderlijke grondslag vereist.

Verwerken/verwerking

Alles wat met persoonsgegevens kan worden gedaan geldt als verwerking.

Verwerker

Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verwerkersovereenkomst

Wanneer een organisatie als verwerkingsverantwoordelijke een andere partij opdracht geeft om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken, moet een verwerkersovereenkomst worden afgesloten. In een verwerkersovereenkomst wordt onder andere beschreven om welke (categorieën) persoonsgegevens en (categorieën) betrokkenen het gaat, hoe lang de persoonsgegevens worden bewaard, een omschrijving van de technische en organisatorische maatregelen en of er subverwerkers worden ingeschakeld.

De UT gebruikt een standaard verwerkersovereenkomst, gebaseerd op het model van SURF. Heb je een verwerkersovereenkomst nodig of moet een verwerkersovereenkomst worden beoordeeld? Neem dan contact op met je PCP of de FG.

Verwerkingsgrondslag

Zie: Grondslag

VERWERKINGSregister

Zie: Register van verwerkingen

Verwerkingsverantwoordelijke

Degene die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.