Privacy

De Europese Algemene Verordening Gegevensbescherming- belangrijkste definities met zinvolle verduidelijkingen

news item photo

De nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) – beter gekend als “GDPR” of “General Data Protection Regulation” – zal een niet te onderschatten impact hebben op uw organisatie. Om een correcte inschatting te kunnen maken van de impact op uw organisatie, is een goede kennis en een juist begrip van enkele kernbegrippen onontbeerlijk.

Daarom hebben we voor u de 26 definities, opgenomen in de “GDPR” (ref. Artikel 4 van de AVG/ GDPR[1]) even op een rijtje gezet. Waar nuttig verduidelijken we deze begrippen:

1) "Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Concreet: Voorbeelden van persoonsdata zijn (niet limitatief) een naam, een foto, een e-mail adres (zowel privé als professioneel), vingerafdrukken, maar eveneens ook IP adressen, cookies en gepseudonimiseerde data.

Concreet: Data die niet als persoonsdata beschouwd worden (limitatief) zijn data die verwerkt worden door een individu in het kader van persoonlijke / huishoudelijke activiteiten (vb. lijst van telefoonnummers / e-mail adressen van privé contacten in je privé GSM of privé e-mail applicatie), persoonsdata gerelateerd aan overleden personen, data die verwerkt worden in het kader van de nationale veiligheid en geanonimiseerde data.

2) "Verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés. Voorbeelden zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Concreet: Als departementshoofd een dossier bijhouden in uw bureaukast over het functioneren van uw personeelsleden, is ook een verwerking van persoonsgegevens. In praktijk is het de bedoeling om zulke data zoveel mogelijk op 1 plaats te centraliseren (bv. bij de Personeelsdienst), waarbij het inzage- / schrijfrecht beperkt wordt tot geautoriseerd personeel (waaronder het betreffende departementshoofd).

3) "beperken van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.

Concreet: De geest van de AVG/ GDPR zegt ons dat de verwerking van persoonsdata beperkt dient te worden tot het hoogstnoodzakelijke. Dit geldt niet alleen voor het type persoonsdata, maar ook voor het type verwerking en voor de verwerkingsperiode.

4) "Profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

Concreet: Verzekeringsmaatschappijen analyseren “big data” over o.a. autobestuurders om tot een juiste prijszetting te komen. Dit zal in de toekomst ook nog kunnen, maar waarschijnlijk enkel op voorwaarde dat:

  • ofwel expliciete toestemming verkregen is van de persoon wiens persoonsdata gebruikt worden;
  • ofwel de gebruikte persoonsdata geanonimiseerd of gepseudonimiseerd worden.

5) "Pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Concreet: Het verschil tussen het anonimiseren van persoonsdata (buiten toepassingsgebied GDPR) en het pseudonimiseren van persoonsdata (binnen toepassingsgebied GDPR) situeert zich in het begrip (on)omkeerbaarheid. Mits de juiste sleutel, kunnen gepseudonimiseerde data terug “ontgrendeld” en leesbaar worden en bijgevolg terug getraceerd worden naar het individu. Dit laatste is bij geanonimiseerde data niet meer mogelijk.

6) "Bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

7) "Verwerkingsverantwoordelijke": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

8) "Verwerker": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Concreet: Vaak doen ondernemingen voor de salarisadministratie beroep op een sociaal secretariaat. In dit geval is de onderneming de verwerkingsverantwoordelijke vermits ze de doelstelling en middelen bepaalt. Het sociaal secretariaat treedt op als verwerker: zij zullen de salarisberekeningen uitvoeren en de uitkomst van de berekeningen aan de onderneming, de verwerkings-verantwoordelijke,  bezorgen.

9) "Ontvanger": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek in overeenstemming met het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.

10) "Derde": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Concreet: Bepaalde publieke veiligheidsdiensten hebben het recht om in het kader van een gerechtelijk onderzoek, zonder toestemming van de betrokkene – beter gekend als “data subject” - bepaalde data te verzamelen en te analyseren (vb. telefoontap toegestaan mits toestemming van de rechterlijke macht).

11) "Toestemming" van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Concreet: In tegenstelling tot de huidige wetgeving, zal een impliciete toestemming niet langer voldoende zijn om tot de verwerking van persoonsdata over te gaan. Vooraf aangekruiste vakjes bij het vragen van toestemming, is niet langer toegelaten: de betrokkene moet zelf het vakje kunnen aankruisen (of de mogelijkheid hebben om het leeg te laten).

12) "Inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

13) "Genetische gegevens": persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon.

14) "Biometrische gegevens": persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens.

15) "Gegevens over gezondheid": persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

16) "Hoofdvestiging":

  • Met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
  • Met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten.

17) "Vertegenwoordiger": een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening.

Concreet: Indien een onderneming geen vestiging heeft in de Europese Unie maar wel persoonsdata verwerkt van betrokkenen die in de EU gevestigd zijn (als gegevensverantwoordelijke of als gegevensverwerker), dan kan deze onderneming een vertegenwoordiger aanduiden met kennis van zaken van de GDPR, om de onderneming in het kader van de GDPR te vertegenwoordigen in de Europese Unie.

18) "Onderneming": een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.

19) "Concern": een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend.

20) "Bindende bedrijfsvoorschriften": beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen.

Concreet: Indien een EU onderneming die internationaal actief is en persoonsdata uitwisselt met vestigingen van hetzelfde bedrijf in landen waar de regelgeving geen zelfde niveau van bescherming van persoonsdata voorziet, moet de onderneming bedrijfsvoorschriften opstellen m.b.t. het transfereren van persoonsdata tussen deze bedrijfsgroep.

21) "Toezichthoudende autoriteit": een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie.

Concreet: De “Privacycommissie” in België, de “Autoriteit Persoonsgegevens” in Nederland, de “Commission nationale de l'informatique et des libertés” (CNIL) in Frankrijk, ...

22) "Betrokken toezichthoudende autoriteit" - een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat:

  • de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd;
  • de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of
  • bij die toezichthoudende autoriteit een klacht is ingediend.

23) "Grensoverschrijdende verwerking":

  • verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of
  • verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.

24) "Relevant en gemotiveerd bezwaar": een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico's die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie.

25) "Dienst van de informatiemaatschappij": een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad.

26) "Internationale organisatie": een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.

Zo, nu we de bovenvermelde definities en verduidelijkingen in het achterhoofd hebben, kunnen we dieper ingaan op de meer concrete gevolgen van de AVG/ GDPR. Dit doen we in onze volgende GDPR gerelateerde publicaties.

Indien u bijkomende vragen heeft over dit artikel of andere AVG/ GDPR gerelateerde vragen, aarzel dan niet om contact op te nemen met ons.

Frederik Vervoort (Gecertificeerd Data Protection Officer)- 15 juni 2017

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
share: