Op deze pagina worden begrippen uit de AVG uitgelegd. Wanneer woorden vetgedrukt worden vermeld, dan worden deze hier ook toegelicht.
A
Adequaatheidsbesluit
Wanneer je vanuit Nederland persoonsgegevens wilt doorgeven aan een land buiten het toepassingsgebied van de AVG (een derde land), dan mag dit alleen wanneer dit derde land voldoende bescherming biedt. Dat is onder andere het geval wanneer de Europese Commissie (EC) een adequaatheidsbesluit heeft genomen voor dat land. De EC stelt dan vast dat de gegevensbescherming in het betreffende land van een vergelijkbaar niveau is als de AVG.
Algemene Verordening Gegevensbescherming
Een Europese verordening met regels voor het verwerken van persoonsgegevens. Ook wel: de privacywet. De Algemene Verordening Gegevensbescherming (AVG) geldt in de Europese Economische Ruimte: alle landen van de Europese Unie plus Liechtenstein, Noorwegen en IJsland. In het Engels spreek je van de General Data Protection Regulation ofwel GDPR.
Anoniem/anonimisering
Gegevens zijn anoniem, wanneer deze op geen enkele wijze te herleiden zijn tot een persoon, ook niet met aanvullende gegevens. Wanneer het gaat om anonieme data, dan is de AVG niet van toepassing. De AVG is immers alleen van toepassing als het om persoonsgegevens gaat.
Anonimisering is overigens wél een vorm van verwerken van persoonsgegevens. Voordat de gegevens anoniem waren, ging het namelijk om persoonsgegevens. Door middel van een bepaalde handeling, het anonimiseren, worden de gegevens anoniem. Elke handeling met persoonsgegevens is een verwerking van persoonsgegevens.
Anonimisering is iets anders dan pseudonimisering.
AP
Zie: Autoriteit Persoonsgegevens
Autoriteit Persoonsgegevens
De Nederlandse toezichthouder op de AVG en de UAVG. Ook wel: AP.
AVG
Zie: Algemene Verordening Gegevensbescherming
B
BCR
Zie: Binding Corporate Rules
Betrokkene
Een geïdentificeerde of identificeerbare natuurlijke persoon. De persoon wiens persoonsgegevens worden verwerkt.
BEwaartermijn
In de AVG staan geen concrete bewaartermijnen van persoonsgegevens opgenomen. Deze moet je zelf vaststellen. Daarbij moet worden gelet op hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. De gegevens mogen niet langer worden bewaard dan noodzakelijk.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn. Deze worden extra beschermd door de AVG. In beginsel mogen deze gegevens niet worden verwerkt. Het gaat om de volgende gegevens:
- Persoonsgegevens waaruit ras of etnische afkomst blijkt;
- Persoonsgegevens waaruit politieke opvattingen blijken;
- Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
- Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
- Gegevens over iemands gezondheid;
- Gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- Genetische gegevens;
- Biometrische gegevens met het oog op de unieke identificatie van een persoon.
Bijzondere persoonsgegevens mogen in beginsel niet worden verwerkt, tenzij je je kunt beroepen op één van de grondslagen voor het verwerken van 'gewone' persoonsgegevens én op één van de uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens. De uitzonderingen zijn:
- Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens;
- De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van jou of de betrokkene (op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht; op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven;
- Je verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienst of vakbondsgebied werkzaam is. Het gaat om gegevens van (oud)leden of personen met wie regelmatig contact is gerelateerd aan de doelstelling en de gegevens worden verwerkt voor gerechtvaardigde activiteiten en met passende waarborgen;
- Je verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt;
- De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen;
- De verwerking is noodzakelijk voor een zwaarwegend algemeen belang (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
- De verwerking is noodzakelijk voor doeleiinden van preventieve of (arbeids)geneeskundige aard, zoals het beoordelen van arbeidsgeschiktheid enóf het verstrekken van gezondheidszorg (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
- De verwerking is noodzakelijk voor de volksgezondheid (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag);
- De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden (op deze uitzondering kun je je alleen beroepen als in de Nederlandse wet staat dat dit mag).
Binding Corporate Rules
Een instrument binnen internationale organisaties of multinationals waarin waarborgen worden vastgelegd voor de bescherming van persoonsgegevens bij doorgifte naar derde landen.
D
Dataminimalisatie
Dit is een beginsel uit de AVG, dat inhoudt dat je niet meer persoonsgegevens mag verwerken dan nodig. Vraag je dus altijd af: hebben we deze persoonsgegevens écht nodig?
Stel je voor, je koopt iets in een webshop. Daar moet je jouw adresgegevens invullen, maar bijvoorbeeld ook geslacht. Je adresgegevens zijn nodig om het gekochte product toe te zenden, maar is geslacht ook nodig? Is de verwerking daarvan noodzakelijk voor het doel van de gegevensverwerking? Als dat niet het geval is, dan voldoe je ook niet aan het beginsel van dataminimalisatie.
Data protection impact assessment
Ook wel: DPIA. In de AVG wordt dit de gegevensbeschermingseffectbeoordeling (GBEB) genoemd. De DPIA is een instrument om voorafgaand aan een verwerking van persoonsgegevens de privacyrisico’s daarvan in kaart te brengen, om vervolgens maatregelen te kunnen nemen om die risico’s te verkleinen. Wanneer de verwerking waarschijnlijk een hoog privacyrisico oplevert, moet je een DPIA uitvoeren. In sommige gevallen is het uitvoeren van een DPIA verplicht.
Door middel van een pre-DPIA kun je beoordelen of een DPIA noodzakelijk is.
Denk je dat dit het geval is? Neem dan contact op met de FG.
Data protection officer
Zie: Functionaris gegevensbescherming
Data subject
Engels voor betrokkene.
Data transfer agreement
In bepaalde situaties moeten er persoonsgegevens worden uitgewisseld met een partij buiten de UT. In sommige gevallen is een verwerkersovereenkomst nodig, maar dit is niet altijd het geval. Wanneer geen verwerkersovereenkomst nodig is, kan het toch verstandig zijn om een data transfer agreement af te sluiten om goede afspraken te maken over een veilige omgang met de persoonsgegevens.
Derde land
Derde landen zijn landen buiten de Europese Economische Ruimte (EER). De EER omvat alle landen binnen de Europese Unie plus Noorwegen, Liechtenstein en IJsland.
Persoonsgegevens mogen alleen naar een derde land worden doorgegeven wanneer dat derde land voldoende bescherming biedt. Dat kan op basis van een adequaatheidsbesluit, passende waarborgen, binding corporate rules of specifieke uitzonderingen.
Doel/doeleinde
Persoonsgegevens mogen slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Van belang is om voorafgaand aan het verwerken van persoonsgegevens de doeleinden daarvan te formuleren en vast te leggen. Mocht het onmogelijk zijn om op voorhand de doeleinden voor de persoonsgegevensverwerkingen welbepaald te omschrijven, dan mag je – bij uitzondering – de doeleinden, waarvoor je persoonsgegevens verwerkt voor het wetenschappelijk onderzoek, ook op een meer algemeen niveau omschrijven. Overleg in voorkomend geval met de PCP van je faculteit/dienst of de FG.
DPIA
Zie: Data protection impact assessment
DPO
Zie: Functionaris gegevensbescherming
F
FG
Zie: Functionaris gegevensbescherming
Functionaris gegevensbescherming
De functionaris gegevensbescherming (FG; in het Engels: data protection officer/DPO) houdt toezicht op de toepassing en naleving van de AVG en adviseert hierover.
G
GBEB
Zie: Data Protection Impact Assessment
GDPR
Engels voor AVG.
Gegevensbeschermingseffectbeoordeling
Zie: Data Protection Impact Assessment
General Data Protection Regulation
Engels voor Algemene Verordening Gegevensbescherming.
Gezamenlijk verwerkingsverantwoordelijke
Er is sprake van gezamenlijk verwerkingsverantwoordelijken, wanneer je samen met een andere partij het doel en middelen van de verwerking vaststelt.
Grondslag
Persoonsgegevens mogen uitsluitend op rechtmatige wijze worden verwerkt en dat is alleen het geval wanneer de verwerking op een grondslag kan worden gebaseerd. De AVG kent zes grondslagen, welke hier verder worden toegelicht:
- betrokkene heeft toestemming gegeven;
- verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
- verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
- verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- verwerking is noodzakelijk voor de vervulling vaneen taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
- verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.
P
Passende waarborgen
Wanneer persoonsgegevens worden doorgegeven naar een derde land, kan dit worden gebaseerd op passende waarborgen. Dat kan met standard contractual clauses, een goedgekeurde gedragscode of via een certificeringsmechanisme.
PCP
Zie: Privacy contactpersoon
Persoonsgegevens
Alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon.
Pre-DPIA
Instrument om te helpen beoordelen of een DPIA moet worden uitgevoerd. Je vindt de pre-DPIA hier.
PRIVACY by default
Privacy by default is een onderdeel van privacy by design en vereist dat de standaardinstellingen van een dienst of product zo privacy-vriendelijk mogelijk zijn ingesteld.
PRIVACY by design
Privacy by design betekent dat er bij het ontwerpen van een dienst of product al rekening wordt gehouden met privacy met het doel om de bescherming van persoonsgegevens te optimaliseren. Er wordt bijvoorbeeld rekening gehouden met dataminimalisatie en bewaartermijnen.
Privacy contactpersoon
Binnen elke faculteit en dienst van de UT is minimaal één privacy contactpersoon (PCP) aangesteld. PCP's adviseren binnen hun eigen eenheid over privacy en informatiebeveiliging en zijn binnen de eenheid het eerste aanspreekpunt. Hier vind je wie binnen jouw faculteit/dienst PCP is.
PRIVACY statement/privacyverklaring
Wanneer je persoonsgegevens verwerkt, dienen betrokkenen hierover voorafgaand aan die verwerking te worden geïnformeerd. Dit kun je doen door middel van een privacy statement/privacyverklaring. Hierin moet in ieder geval de volgende informatie worden opgenomen:
- Contactgegevens van de verwerkingsverantwoordelijke en FG;
- De doeleinden en rechtsgrond van de verwerking;
- wanneer gerechtvaardigd belang als rechtsgrond wordt gebruikt: om welk belang gaat het en waarom weegt dit belang zwaarder dan de privacy van betrokkenen?
- De (categorieën van) ontvangers van de persoonsgegevens;
- Worden de persoonsgegevens doorgegeven buiten de EU of naar een internationale organisatie en zo ja, op welke juridische grond?
- De bewaartermijn van de gegevens;
- De rechten van de betrokkene;
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd te kunnen intrekken;
- Dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens;
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
- Of gebruik wordt gemaakt van geautomatiseerde besluitvorming, inclusief profilering;
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.
De informatie moet transparant en in duidelijke en eenvoudige taal worden gegeven.
Pseudonimisering
Wanneer persoonsgegevens worden gepseudonimiseerd, kunnen deze niet meer aan een specifieke betrokkene worden gekoppeld, zonder dat er aanvullende gegevens worden gebruikt. Voorbeelden hiervan zijn hashing en encryptie. Pseudonieme gegevens zijn persoonsgegevens.
R
RECHTen van betrokkenen
Als jouw persoonsgegevens worden verwerkt, heb je bepaalde rechten omtrent die persoonsgegevens. Op deze pagina kun je meer informatie vinden.
Rechtsgrond
Zie: Grondslag
REgister van verwerkingen
De UT is verplicht een register bij te houden waarin staat opgenomen welke verwerkingen er binnen de UT plaatsvinden. Voor onderzoek kun je gebruik maken van deze tool. Is er sprake van een andere verwerking die moet worden opgenomen in het register? Neem dan contact op met de FG.
S
SCC
Zie: standard contractual clauses
Secundaire verwerking
Zie: Verdere verwerking
Standard contractual clauses
Ook wel SCC. Een door de Europese Commissie goedgekeurd modelcontract om veilig persoonsgegevens door te geven naar en derde land.
Subverwerker
Een partij die namens de verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.
T
Toestemming
Eén van de zes grondslagen uit de AVG. De betrokkene kan toestemming geven om de persoonsgegevens te verwerken. Zie hier welke eisen de AVG aan deze grondslag stelt.
U
UAVG
Zie: Uitvoeringswet AVG
Uitvoeringswet AVG
De AVG is rechtstreeks toepasselijk in Nederland. Op sommige gebieden laat de AVG ruimte voor nationale keuzes bij de uitvoering van de AVG. Deze zijn ingevuld in de UAVG.
V
Verdere verwerking
Ook wel: secundaire verwerking. Het gaat hierbij om een verwerking van persoonsgegevens die door de reeds in een eerder stadium voor een ander doel zijn verzameld (de primaire verwerking). Verdere verwerking is toegestaan wanneer dat verenigbaar is met het doel waarvoor de gegevens in eerste instantie zijn verzameld. Of dit het geval is, hangt af van de volgende criteria:
- Wat is het verband tussen de doeleinden waarvoor de persoonsgegevens primair zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking?
- Wat is het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de UT betreft?
- Wat is de aard van de persoonsgegevens? Worden er bijvoorbeeld bijzondere en/of strafrechtelijke persoonsgegevens dan wel het BSN verwerkt?
- Wat zijn de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen?
- Heeft de UT passende waarborgen getroffen? Voorbeelden zijn:
- Versleutelen van persoonsgegevens;
- Pseudonimiseren – of zelfs anonimiseren – van persoonsgegevens;
- Maatregelen met betrekking tot de toegang tot de gegevens en geheimhouding;
- Maatregelen ten aanzien van de presentatie van de uitkomsten van het onderzoek;
- Maatregelen treffen om zo min mogelijk persoonsgegevens te verwerken dan strikt noodzakelijk is met het oog op de gerechtvaardigde doeleinden waarvoor het onderzoek wordt uitgevoerd (beginsel van dataminimalisatie).
Verdere verwerking met het oog op wetenschappelijk onderzoek moet als een met de primaire doeleinden verenigbare rechtmatige verwerking worden beschouwd.
Is de primaire verwerking gebaseerd op toestemming? Dan is de toestemming verleend specifiek voor die verwerking. Verdere verwerking is dan niet toegestaan. Daarvoor moet separaat toestemming worden gegeven.
Wanneer de betrokkene toestemming geeft tot de verdere verwerking of de organisatie is wettelijk verplicht om de betreffende persoonsgegevens verder te verwerken, dan is dit in beginsel toegestaan (je moet nog wel aan de overige vereisten uit de AVG voldoen).
Indien verdere verwerking is toegestan, is geen afzonderlijke grondslag vereist.
Verwerken/verwerking
Alles wat met persoonsgegevens kan worden gedaan geldt als verwerking.
Verwerker
Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerkersovereenkomst
Wanneer een organisatie als verwerkingsverantwoordelijke een andere partij opdracht geeft om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken, moet een verwerkersovereenkomst worden afgesloten. In een verwerkersovereenkomst wordt onder andere beschreven om welke (categorieën) persoonsgegevens en (categorieën) betrokkenen het gaat, hoe lang de persoonsgegevens worden bewaard, een omschrijving van de technische en organisatorische maatregelen en of er subverwerkers worden ingeschakeld.
De UT gebruikt een standaard verwerkersovereenkomst, gebaseerd op het model van SURF. Heb je een verwerkersovereenkomst nodig of moet een verwerkersovereenkomst worden beoordeeld? Neem dan contact op met je PCP of de FG.
Verwerkingsgrondslag
Zie: Grondslag
VERWERKINGSregister
Zie: Register van verwerkingen
Verwerkingsverantwoordelijke
Degene die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.