• No results found

Implementatie van de AVG

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Implementatie van de AVG"

Copied!
67
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 67 pagina )

Hele tekst

(1)

I M P L E M E N T A T I E V A N D E A V G :

D E P R A K T I S C H E A A N P A K

| AUTEUR: J. SCHEEPERS | STUDENTNUMMER:408183 | OPDRACHTGEVER: VAN RAAM VARSSEVELD | AFSTUDEERDOCENT: J.C. DE HEER | PRAKTIJKCOACH: J. BEENES

S O C I A A L J U R I D I S C H E D I E N S T V E R L E N I N G

H O G E S C H O O L S A X I O N D E V E N T E R

AALTEN, JUNI 2018

(2)

2

Informatiepagina

Implementatie van de AVG: De praktische aanpak

Auteur: J. Scheepers

Studentnummer: 408183

Opdrachtgever: Van Raam Varsseveld

Praktijkcoach: J. Beenes

Afstudeerdocent: J.C. de Heer

Sociaal Juridische Dienstverlening

Hogeschool Saxion Deventer

(3)

3

Samenvatting

In het kader van mijn studie Sociaal Juridische Dienstverlening is onderstaand onderzoek uitgevoerd. Het onderwerp van dit onderzoek is de Algemene Verordening

Gegevensbescherming (AVG), de nieuwe privacywetgeving. De onderzoeksvraag welke centraal staat in dit onderzoek is:

“Welke wijzigingen brengt de Algemene Verordering Gegevensbescherming, welke per 25 mei 2018 van toepassing is, met zich mee en op welke wijze moet of kan Van Raam zich hierop voorbereiden op het gebied van het verwerken van persoonsgegevens van eindgebruikers die gebruik maken van de elektrische fietsen van Van Raam?”.

Om antwoord te kunnen geven op deze onderzoeksvraag is er een aantal deelvragen opgesteld welke stuk voor stuk een deel van deze onderzoeksvraag beantwoorden.

Sinds de bekendmaking van de inwerkingtreeding van de AVG per 25 mei 2016 worden alle bedrijven en organisaties die persoonsgegevens ‘verwerken’ van klanten, personeel of andere personen uit de Europese Unie verplicht te voldoen aan de voorwaarden die de AVG hier aan stelt voordat de wetgeving wordt toegepast op 25 mei 2018. Uit dit onderzoek is gebleken dat snel sprake is van ‘verwerking’ van persoonsgegevens, dit met het gevolg dat erg veel

bedrijven en organisaties deze verplichting opgelegd hebben gekregen. Zo is er al sprake van verwerking van persoonsgegevens indien een offerte, factuur of een (digitale) nieuwsbrief wordt verstuurd. Ook het bijhouden van afspraken van klanten, contactgegevens van klanten of personeelsinformatie is ‘verwerken’ van persoonsgegevens.

Voor dit onderzoek is bij de ICT-afdeling van Van Raam onderzocht in hoeverre sprake is van verwerking van persoonsgegevens. Om dit onderzoek af te kaderen is onderzocht welke (persoons)gegevens worden verzameld middels een app die eindgebruikers van een

elektrische Van Raam fiets kunnen gebruiken. Aan de hand van een afgenomen interview met de verwerker van persoonsgegevens van Van Raam is in kaart gebracht welke

persoonsgegevens worden verwerkt, vervolgens is onderzocht van welke aard deze persoonsgegevens zijn. De resultaten hiervan zijn te vinden onder deelvraag één.

Logischerwijs is na de uitkomst van deelvraag 1 onderzocht op welke wijze deze

persoonsgegevens worden verwerkt. Deze vraag richt zich vooral op de manier waarop aan betrokkenen (eindgebruikers waarvan persoonsgegevens worden verwerkt) wordt

medegedeeld dat er persoonsgegevens worden verwerkt. Er moet sprake zijn van een

grondslag waarop de verwerking van persoonsgegevens is gebaseerd. Bij Van Raam is dit de grondslag toestemming. Om deze grondslag te kunnen verantwoorden moet bij het vragen van toestemming aan de betrokkene aan een aantal voorwaarden worden voldaan. Verder moeten er buiten de verwerking van persoonsgegevens om een aantal zaken op orde zijn. Er moet een verwerkersovereenkomst zijn tussen de verwerker van persoonsgegevens en de

verwerkingsverantwoordelijke die de verwerker de opdracht geeft de persoonsgegevens te verwerken. In deze verwerkersovereenkomst is er een aantal zaken die in ieder geval aan bod moeten komen, dit is uitgewerkt in deelvraag 3. Daarnaast moeten de verwerker en de

verwerkingsverantwoordelijke een verwerkingsregister bijhouden, hierin is opgenomen welke persoonsgegevens worden verwerkt en met welke grondslag deze worden verwerkt. Naast die twee criteria moet er nog een aantal worden opgenomen in het verwerkingsregister. Ook moet er een beleidsplan zijn opgesteld voor de meldplicht datalekken zodat duidelijk is wat er moet gebeuren indien er een datalek heeft plaatsgevonden.

(4)

4 In sommige gevallen moet er een Data Protection Impact Assessment (DPIA) worden

uitgevoerd. Dit DPIA moet in kaart brengen wat het effect van de beoogde

verwerkingsactiviteiten op de bescherming van de persoonsgegevens is. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare risico’s inhouden. Het DPIA is een instrument om van voorgenomen regelgeving of projecten waarbij

persoonsgegevens worden verwerkt, de effecten voor betrokkenen op een gestructureerde en gestandaardiseerde wijze in kaart te brengen en te beoordelen. Dit is in deelvraag drie nader uitgewerkt.

In deelvraag drie is de uitkomst van deelvraag twee naast de wetgeving van de AVG gelegd. Er is kritisch gekeken naar de verschillen tussen beide. Zo is het veel voorgekomen dat Van Raam met hun huidige werkwijze aan een aantal voorwaarden van de AVG voldoet, maar er voor het overgrote deel toch voorwaarden zijn waaraan nog niet wordt voldaan. De wetgeving is per artikel uitgewerkt zodat deze scriptie naderhand als naslagwerk kan dienen wanneer Van Raam wil weten waarop een bepaalde aanbeveling op gebaseerd is. Er is kritisch gekeken naar bepaalde artikelen, zo is het voorgekomen dat er artikelen zijn die op verschillende manieren te interpreteren zijn of waar de Autoriteit Persoonsgegevens nog geen

verduidelijking heeft gegeven. Om dit op te lossen is een interview afgenomen met een medewerker van de Autoriteit Persoonsgegevens. Dit interview geeft die betreffende artikelen duidelijkheid. Dit onderzoek eindigt met een adviesrapport welke bestaat uit een totaal van tien stappen. Dit adviesrapport geeft stapsgewijs weer welke aanpassingen Van Raam moet gaan doen om te kunnen voldoen aan de AVG, en waarom deze aanpassingen moeten worden gedaan. Zo is er een aantal producten opgesteld waar Van Raam enkel een aantal aanvullingen hoeft te doen waarna zij deze producten kunnen gebruiken om te voldoen aan de

verantwoordingsplicht die de AVG hen heeft opgelegd. Ook is er uitgelegd waarom een nieuwe privacyverklaring, een verwerkingsregister en een verwerkersovereenkomst is opgesteld, deze producten zijn als bijlage toegevoegd. In het adviesrapport wordt veel verwezen naar de artikelen van de AVG waarop de stappen zijn gebaseerd zodat begrijpelijk wordt waarom bepaalde wijzigingen moeten plaatsvinden.

(5)

5

Voorwoord

Voor u ligt een onderzoek uitgevoerd door Jaap Scheepers tijdens de opleiding tot Sociaal Juridisch Dienstverlener aan de Saxion Hogeschool te Deventer. De opdrachtgever voor dit onderzoek is Van Raam. Tijdens mijn studie ging mijn interesse vooral uit naar het

maatschappelijke en sociale aspect van de opleiding. Om de uitdaging met mijzelf aan te gaan is gekozen voor het onderzoeken van een erg actueel juridisch vraagstuk. Doordat het

onderzoek is uitgevoerd bij Van Raam heb ik dit ervaren als een leuk en leerzaam afstudeertraject. De koppeling van mijn interessegebied ‘de fietsenwereld’ aan mijn

toekomstig werkveld het sociaal-juridische domein is een erg prettige combinatie geweest om dit juridische onderzoek uit te voeren. Het onderwerp voor dit onderzoek is erg actueel en bijna ieder bedrijf of organisatie heeft er mee te maken, waardoor het erg interessant was om dit onderwerp onder de loep te nemen en ‘eigen te maken’.

Zonder de hulp van een aantal mensen zou ik niet in staat zijn geweest dit onderzoek uit te voeren en tot een mooi geheel kunnen brengen. Daarom wil ik allereerst mijn begeleider vanuit Van Raam (Rubus Software) Jeroen Beenes bedanken voor zijn kritische blik, de gegeven adviezen en zijn ruimdenkendheid. Daarnaast bedank ik Jeroen Beenes, Jan-Willem Boezel, Marjolein Boezel en Ronald Ruesink voor de mogelijkheid die ze mij hebben

geboden dit afstudeeronderzoek binnen Van Raam te mogen uitvoeren.

Verder wil ik Coen de Heer bedanken voor zijn adviezen, feedback en flexibiliteit.

Tot slot wil ik alle overige partijen bedanken die tijd vrij hebben kunnen maken om een aantal vragen te kunnen beantwoorden voor dit onderzoek.

Jaap Scheepers

(6)

6

Inhoudsopgave

Hoofdstuk 1: Aanleiding, achtergrond, doelstelling, probleemstelling en onderzoeksvragen ... 8

§ 1.1 Aanleiding, achtergrond en doelstelling ... 8

§ 1.2 Probleemstelling ... 9

§ 1.3 Onderzoeksvragen ... 11

Hoofdstuk 2: Juridisch kader ... 12

Hoofdstuk 3: Onderzoeksmethoden ... 14

§ 3.1 Methoden en vraagtypen ... 14

§ 3.2 Gekozen onderzoeksmethoden ... 14

§ 3.3 Onderzoeksmethoden gekoppeld aan de onderzoeksvragen ... 14

Hoofdstuk 4: Deelvragen ... 17

§ 4.1 Deelvraag 1: Welke persoonsgegevens en van welke aard zijn de persoonsgegevens die Van Raam momenteel verwerkt? ... 17

§ 4.1.1 Worden er gegevens verwerkt? ... 17

§ 4.1.2 Worden er persoonsgegevens verwerkt? ... 17

§ 4.1.2 Aard persoonsgegevens ... 19

§ 4.1.3 Gegevens die Van Raam verwerkt voor het gebruikersprofiel ... 23

§ 4.1.4 Gegevens die Van Raam verwerkt tijdens het fietsen ... 24

§ 4.1.5 Aard persoonsgegevens Van Raam ... 24

§ 4.1.6 Conclusie deelvraag 1 ... 25

§ 4.2 Deelvraag 2: Op welke wijze verwerkt Van Raam momenteel persoonsgegevens van eindgebruikers die gebruik maken van een elektrische fiets van Van Raam? ... 26

§ 4.2.1 Uitleg verwerking ... 26

§ 4.2.2 Huidige privacyverklaring van Van Raam ... 26

§ 4.2.3 Verwerkersovereenkomst ... 27

§ 4.2.4 Meldplicht datalekken ... 28

§ 4.2.5 Beveiliging ... 28

§ 4.2.6 Conclusie deelvraag 2 ... 28

§ 4.3 Deelvraag 3: Wat moet Van Raam concreet doen om te voldoen aan de voorwaarden die de AVG stelt aan het verwerken van persoonsgegevens zodat Van Raam na de toepassing van de AVG geheel voldoet aan de voorwaarden die de AVG hier aan stelt? ... 29

§ 4.3.1 Beginselen inzake verwerking van persoonsgegevens ... 29

(7)

7

§ 4.3.3 Voorwaarden voor toestemming ... 31

§ 4.3.4 Transparantie ... 32

§ 4.3.5 Rechten van betrokkenen ... 32

§ 4.3.6 Verplichtingen verwerkingsverantwoordelijke en verwerker ... 34

§ 4.3.7 Conclusie deelvraag 3 ... 39

Adviesrapport ... 40

Literatuurlijst ... 47

Bijlagen ... 49

Bijlage 1 Interview verwerker persoonsgegevens Van Raam ... 49

Bijlage 2 Interview Autoriteit Persoonsgegevens ... 51

Bijlage 3 Verwerkingsactiviteitenregister ... 55

Bijlage 4 Privacyverklaring ... 58

(8)

8

Hoofdstuk 1: Aanleiding, achtergrond, doelstelling,

probleemstelling en onderzoeksvragen

§ 1.1 Aanleiding, achtergrond en doelstelling

Van Raam is fabrikant van unieke aangepaste fietsen. De specialisaties van Van Raam zijn driewielfietsen, scootmobielfietsen, tandems, duofietsen, rolstoelfietsen,

rolstoeltransportfietsen, en lage instapfietsen ofwel comfortfietsen. De Van Raam fietsen zijn allemaal ook als elektrische fiets leverbaar. Deze fietsen worden geleverd aan zorgaanbieders en tweewielerzaken, dit zijn er op jaarbasis om en nabij zesduizend.1 De fietsen welke

voorzien zijn van een elektrisch systeem zijn te koppelen aan een app voor op een mobiele telefoon. Middels deze app vraagt Van Raam eenmalig toestemming voor het opvragen van diverse gegevens waaronder gegevens over het gebruik van de fiets, persoonsgegevens en locatiegegevens. Dit gebeurt middels een zogenaamd Internet Of Things platform (IOT). De elektrische fietsen van Van Raam zijn zogenaamde IOT apparaten. De controller van de fiets wordt door middel van een telefoon in verbinding gebracht met het internet en kan op die manier gegevens doorspelen. Een apparaat wordt een IOT apparaat zodra het IOT platform er voor zorgt dat apparaten via een chip of volgsysteem verbonden zijn met het internet. Dit biedt producenten als consumenten oneindig veel mogelijkheden.2 Doordat de elektrische fiets van Van Raam een IOT apparaat is kan Van Raam persoonsgegevens en locatiegegevens van eindgebruikers opvragen. Daarnaast kan Van Raam ook zien hoe de fiets gebruikt wordt, denk hierbij aan wanneer er wordt gefietst en hoeveel kilometer wordt gefietst. De app geeft

anderzijds een eindgebruiker de mogelijkheid om te bekijken welke routes zij hebben gefietst en wat de status van de accu.

Van Raam kan momenteel alleen de fietsgegevens opvragen indien de gebruiker gebruik maakt van de app. Wellicht willen zij in de toekomst overgaan op het verzamelen van

gegevens zonder het gebruik van de app zodat zij van alle gebruikers van een elektrische Van Raam fiets gegevens kunnen verzamelen. Dit is nu niet het geval omdat er nu een groot deel is die wel gebruikt maakt van een elektrische Van Raam fiets maar geen gebruikt maakt van de app en dus geen gegevens overdraagt aan Van Raam. Van Raam wil dit met als doel om met deze gegevens in kaart te kunnen brengen waar mogelijk productverbetering nodig of mogelijk is. Dit kan Van Raam door in te zien hoe een fiets gefietst wordt, waar het meest gefietst wordt, wanneer gefietst wordt, hoe ver er gemiddeld gefietst wordt en hoeveel kilometer er gemiddeld met één acculading gefietst kan worden.3

Per 25 mei 2018 moet de AVG wetgeving in Nederland toegepast worden, deze wetgeving is in 25 mei 2016 in werking getreden. Deze wetgeving is de opvolger van de Wet Bescherming Persoonsgegevens in Nederland. Het doel van de verordening is om twee belangen te

waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie. De invoering van deze wetgeving brengt voor Van Raam veel veranderingen met zich mee op het gebied van gegevensverwerking.4

1 Van Raam 2018.

2 Kamer van Koophandel 2014. 3 Van Raam 2018.

(9)

9

Doelstelling

Van Raam verwerkt per 25 mei 2018 gegevens op rechtmatige-, behoorlijke- en transparante wijze. De verwerking van gegevens is gebonden aan specifieke verzameldoelen en de

gegevens zijn ter zake dienend en beperkt tot wat noodzakelijk is. De gegevens zijn juist, worden niet langer bewaard dan nodig en zijn goed beveiligd en blijven vertrouwlijk.

§ 1.2 Probleemstelling

Op basis van de beschreven doelstelling is de volgende probleemstelling geformuleerd:

“Welke wijzigingen brengt de Algemene Verordering Gegevensbescherming, welke per 25 mei 2018 van toepassing is, met zich mee en op welke wijze moet of kan Van Raam zich hierop voorbereiden op het gebied van het verwerken van persoonsgegevens van eindgebruikers die gebruik maken van de elektrische fietsen van Van Raam?”

Uit deze probleemstelling dienen verschillende begrippen te worden afgebakend: - Algemene Verordening Gegevensbescherming;

- verwerken van persoonsgegevens; - eindgebruikers;

- elektrische fietsen van Van Raam.

Algemene Verordening Gegevensbescherming (AVG)

Per 25 mei 2018 moet de AVG in Nederland toegepast worden, deze wetgeving is in 25 mei 2016 in werking getreden. Er is dus een periode van twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Deze AVG is de opvolger van de Wet Bescherming Persoonsgegevens in Nederland. Het doel van de

verordening is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie. De invoering van deze wetgeving brengt voor Van Raam veel veranderingen met zich mee op het gebied van gegevensverwerking. 5

Verwerken van persoonsgegevens

Uit het interview welke is afgenomen met de verwerker van persoonsgegevens voor Van Raam is gebleken dat Van Raam diverse persoonsgegevens verwerkt en verzamelt middels een app, die zij de eindgebruikers aanbieden die in het bezit zijn van een elektrische fiets van Van Raam, ter verbetering van productieproces, verbetering van de accu, en geeft anderzijds eindgebruikers inzicht in de door hun gefietste routes en status van de accu. Ook verwerkt Van Raam deze gegevens om gerichter te kunnen marketen doordat klanten in kaart worden gebracht (zie Bijlage 1).

(10)

10

Eindgebruiker

Van Raam levert fietsen aan twee verschillende groepen, dit zijn zorgaanbieders en fietsenwinkels. Van Raam levert fietsen niet direct aan eindgebruikers. Wanneer we het hebben over de term eindgebruikers geeft de Engelse term ‘end user’ hier een duidelijkere beschrijving voor. Techterms omschrijft de term end user als volgt: “The term is based on the idea that the "end goal" of a software or hardware product is to be useful to the consumer. To simplify, the end user is the person who uses the software or hardware after it has been fully developed, marketed, and installed”.6 Een eindgebruikers is volgens deze uitleg dus de

persoon die het product in gebruik neemt nadat deze volledig ontwikkeld en verkocht is. In het geval van Van Raam dus de persoon die een fiets in gebruik neemt nadat deze is

ontwikkeld door Van Raam, en verkocht is of verstrekt is door een fietsenwinkel of zorgaanbieder.

Elektrische fietsen van Van Raam

Uit een interview met de verwerker van Persoonsgegevens voor Van Raam (zie Bijlage 1), is gebleken dat het merendeel van de door Van Raam geleverde fietsen elektrisch is uitgevoerd, dit is om en nabij 85%. Wanneer een eindgebruiker een elektrische fiets van Van Raam in zijn/haar bezit heeft, dan heeft hij/zij de mogelijkheid om een app te downloaden die gekoppelt kan worden aan de accu van de fiets. Wanneer een eindgebruiker gebruik wil maken van de app, moet hij/zij akkoord gaan met de door Van Raam genoemde voorwaarden. Wanneer toestemming wordt gegeven voor de gestelde voorwaarden door Van Raam bij het installeren van de app, pas dan kan Van Raam diverse persoonsgegevens opvragen. Dit gebeurt middels een zogenaamd Internet Of Things platform (IOT). De elektrische fietsen van Van Raam zijn zogenaamde IOT apparaten. De software in de accu van de fiets staat in verbinding met het internet en kan op die manier gegevens doorspelen. De Kamer van Koophandel schrijft dat er sprake is van een IOT apparaat indien het IOT platform er voor zorgt dat objecten via een chip of volgsysteem verbonden zijn met het internet.7 Dit biedt producenten als consumenten oneindig veel mogelijkheden. Doordat de elektrische fiets van Van Raam een IOT apparaat is kan Van Raam persoonsgegevens en locatiegegevens van eindgebruikers opvragen. Daarnaast kan Van Raam ook zien hoe de fiets gebruikt wordt, denk hierbij aan wanneer er wordt gefietst en hoeveel kilometer wordt gefietst. De app geeft

anderzijds een eindgebruiker de mogelijkheid om te bekijken welke routes zij hebben gefietst en wat de status van de accu is.8

6 Techterms z.d.

7 Kamer van Koophandel 2014. 8 Van Raam 2018.

(11)

11

§ 1.3 Onderzoeksvragen

Naar aanleiding van de probleemstelling zijn hierbeneden drie onderzoeksvragen geformuleerd die antwoord moeten gaan geven op de probleemstelling.

1. Welke persoonsgegevens en van welke aard zijn de persoonsgegevens die Van Raam momenteel verwerkt en die Van Raam in de toekomst mogelijk wil gaan verwerken? 2. Op welke wijze verwerkt Van Raam momenteel persoonsgegevens van eindgebruikers

die gebruik maken van een elektrische fiets van Van Raam?

3. Wat moet Van Raam doen om te voldoen aan de voorwaarden die de AVG stelt aan het verwerken van persoonsgegevens zodat Van Raam na de toepassing van de AVG geheel voldoet aan de voorwaarden die de AVG hiervoor stelt?

(12)

12

Hoofdstuk 2: Juridisch kader

Voor dit onderzoek is informatie geraadpleegd die te vinden is op Kluwer Navigator. Kluwer

Navigator bevat alle geldende wetten, Koninklijke Besluiten en Ministeriële regelingen,

volledige teksten van rechterlijke uitspraken (jurisprudentie) en volledige teksten en

bibliografische gegevens van juridische- en fiscale literatuur.9 De bronnen die in het juridisch kader beschreven zijn bakenen het gehele onderzoek af. De informatie welke geraadpleegd is aan de hand van de beschreven bronnen zijn voldoende om antwoord te kunnen geven op de opgestelde deelvragen.

Belangrijke artikelen van de Algemene Verordening Gegevensbescherming (AVG)

Op Kluwer Navigator is in artikel 1 van de AVG te lezen dat het onderwerp en de doelstelling van de AVG bestaat uit de volgende 3 punten:

1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije

verkeer van persoonsgegevens.

2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

3. Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.

Nu staan in deze 3 punten erg veel termen die uitleg behoeven, bijvoorbeeld wanneer iets een persoonsgegeven is en wanneer we kunnen spreken van verwerking. Artikel 4 van de AVG geeft antwoord op deze vragen. In dat artikel worden alle begrippen die uitleg behoeven gedefinïeerd. Zo wordt de term persoonsgegeven omschreven als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Deze definïeringen zijn van belang tijdens dit onderzoek zodat bijvoorbeeld te toetsen is of een bepaald gegeven dat door Van Raam verwerkt wordt wel of geen persoonsgegeven is. Artikel 5 van de AVG beschrijft de

beginselen waaraan moet worden voldaan om persoonsgegevens te mogen verwerken. Artikel 6 van de AVG gaat over de rechtmatigheid van de verwerking van de persoonsgegevens. Volgens dat artikel is verwerking van persoonsgegevens rechtmatig indien de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. Verwerken van persoonsgegevens zonder toestemming is mogelijk, als er een dringende noodzaak voor is. Artikel 9 van de AVG beschrijft wat bijzondere

categorieën van persoonsgegevens zijn en wanneer deze wel of niet verwerkt mogen worden. Artikel 15 van de AVG beschrijft dat een betrokkene het recht heeft om van de organisatie uitsluitsel te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens en om inzage te verkrijgen van die gegevens. Daarnaast heeft de betrokkene volgens artikel 17 van

(13)

13 de AVG het recht op vergetelheid. Dat wil zeggen dat ze het recht hebben zich te laten

verwijderen uit databases, tenzij legitieme wettelijke vereisten dit voorkomen. Artikel 20 van de AVG beschrijft het recht op dataportabiliteit en persoonsgegevens in standaardformaat. Dit betekent dat de betrokkene het recht heeft om zijn persoonsgegevens in een

gestructureerde, gangbare en machine-leesbare vorm te verkrijgen en moet zijn data kunnen meenemen naar een andere dienst. Ook geeft het de betrokkene het recht dat de

persoonsgegevens (indien dit technisch mogelijk is) rechtstreeks van de ene naar de andere dienst worden doorgezonden.10

Tevens wordt middels de website www.eur-lex.europa.eu de overwegingen van de AVG geraadpleegd. Deze overwegingen zijn een soort toelichtingen op de bepalingen en zijn onderdeel van de AVG. De overwegingen geven de theorieën voor en de toelichting bij de verschillende artikelen. De overwegingen geven cruciale details voor de uitleg van de artikelen.11 In de praktijk worden daarom de artikelen samen met de overwegingen gelezen.

Ministerie van Justitie en Veiligheid

Verder is als bron de handleiding Algemene Verordening Gegevensbescherming gebruikt, deze is opgesteld door het Ministerie van Justitie en Veiligheid. Het Ministerie van Justitie en Veiligheid heeft deze handleiding opgesteld en is in het bijzonder bedoeld voor lezers die reeds enigzins op de hoogte zijn van het gegevensbeschermingsrecht en op zoek zijn naar verdere verdieping, om zo binnen een organisatie de maatregelen die de AVG vereist te kunnen implementeren. In deze handleiding wordt beschreven wanneer de AVG op een organisatie van toepassing is, wanneer gegevensverwerking legitiem is, wat de plichten zijn van de verwerkings-verantwoordelijke, wat de plichten zijn van de verwerker, hoe omgegaan moet worden met de rechten van betrokkenen, onder welke voorwaarden gegevens naar het buitenland gestuurd mogen worden en tot slot hoe het toezicht op de naleving is geregeld en wat de consequenties zijn bij niet naleving. De grondslag van deze handleiding zijn de artikelen van de AVG die te vinden zijn op Kluwer Navigator.12

10 Ministerie van Justitie en Veiligheid 2018, p. 81. 11 EUR-Lex 2016.

(14)

14

Hoofdstuk 3: Onderzoeksmethoden

§ 3.1 Methoden en vraagtypen

De probleemstelling en onderzoeksvragen in dit onderzoek bestaan uit een aantal verschillende vraagtypen. Aan deze vraagtypen kunnen onderzoeksmethoden worden verbonden.

Probleemstelling:

“Welke wijzigingen brengt de Algemene Verordering Gegevensbescherming, welke per 25 mei 2018 van toepassing is, met zich mee en op welke wijze moet of kan Van Raam zich hierop voorbereiden op het gebied van het verwerken van persoonsgegevens van eindgebruikers die gebruik maken van de elektrische fietsen van Van Raam?”

Het vraagtype van deze probleemstelling is ontwerpend/adviserend omdat hoofdzakelijk voor Van Raam onderzocht wordt op welke wijze Van Raam zich kan voorbereiden om aan de eisen te voldoen die de AVG stelt aan het verwerken van persoonsgegevens van

eindgebruikers die gebruik maken van elektrische fietsen. Uiteindelijk zal op een adviserende manier antwoord worden geven op de probleemstelling. Omdat de probleemstelling complex is, is deze opgedeeld in een drietal onderzoeksvragen die antwoord moeten gaan geven op de probleemstelling.

§ 3.2 Gekozen onderzoeksmethoden

In onderstaande subparagraaf wordt beschreven welke onderzoeksmethoden gehanteerd zijn om antwoord te kunnen geven op de onderzoeksvragen. Omdat er een kwalitatief onderzoek uitgevoerd is en geen kwantitatief onderzoek is gebruik gemaakt van de onderzoeksmethoden die aansluiten bij het uitvoeren van een kwalitatief onderzoek.

§ 3.3 Onderzoeksmethoden gekoppeld aan de onderzoeksvragen

Semi gestructureerd interview met verwerker van Van Raam

Er is gebruik gemaakt van een semi gestructureerd interview, deze is afgenomen met de verwerker welke persoonsgegevens verwerkt voor Van Raam. Dit interview is afgenomen aan de hand van een aantal onderwerpen die in ieder geval besproken moesten worden tijdens het interview. Hierdoor was er vrijheid vragen te stellen zoals gewenst was en op welke manier op dat moment passend was. Het doel van het interview is om een duidelijk beeld te krijgen welke persoonsgegevens Van Raam verwerkt, in de toekomst mogelijk wil gaan verwerken en op welke wijze ze die gegevens verwerken. Het voordeel aan deze methode is dat

doorgevraagd kan worden waardoor er meer, en meer gedetailleerde informatie naar voren komt. Het komt de validiteit ten goede omdat dit interview op een vrije manier gevoerd kon worden waar ruimte was voor het definiëren van bepaalde begrippen en er ruimte was om door te vragen. Verder is een vragenlijst opgesteld welke ik de verwerker heb voorgelegd. De verkregen antwoorden op de vragen zijn concreet, omdat het hier niet gaat om antwoorden gebaseerd op een mening of een gevoel maar om antwoorden gebaseerd op een werkwijze. Deze werkwijze is niet anders te interpreteren omdat deze enkel op de manier waarop de verwerker deze uitvoert, uit te voeren is, ook dit komt de validiteit ten goede. Het

getranscribeerde interview is te vinden in Bijlage 1. Daarnaast beïnvloed dit natuurlijk ook direct de betrouwbaarheid van het half gestructureerde interview. Wanneer iemand anders de

(15)

15 door mij opgestelde vragenlijst zal voorleggen aan de verwerker die ik wil gaan interviewen is mijn verwachting dat exact dezelfde werkwijze als antwoord naar voren komt. Omdat er voor dit onderzoek een interview wordt afgenomen met maar één persoon bevat de vragenlijst met de concrete antwoorden direct de analyse, deze antwoorden hoeven namelijk niet

gegeneraliseerd of gelabeld te worden omdat het de antwoorden van de verwerker zelf betreffen en deze naar verwachting niet onjuist te interpreteren zijn. Één manier waarop deze wijze van het afnemen van een interview minder betrouwbaar zou kunnen zijn is wanneer iemand anders dit interview afneemt en de vragen anders stelt of anders doorvraagt waardoor andere informatie wordt verstrekt. Toch is de verwachting dat wanneer iemand anders het interview zal afnemen ook dan nog duidelijk zal zijn welke persoonsgegevens Van Raam precies verwerkt en op welke manier zij dat doen. Verder heeft de verwerker als gevolg van dit interview een aantal stukken verstrekt die gebruikt zijn om te bepalen welke gegevens worden verwerkt en op welke wijze die worden verwerkt (grondslag). Deze

onderzoeksmethode is gebruikt om antwoord te kunnen geven op deelvraag 1 en 2.

Semi gestructureerd interview met medewerker Autoriteit Persoonsgegevens

Ook voor het afnemen van dit interview is gekozen voor een semi gestructureerd interview. Zo waren er een aantal onderwerpen die besproken dienden te worden met de Autoriteit Persoonsgegevens om een beter beeld te krijgen van hoe een bepaalde norm in een bepaalde context te plaatsen is. Voor het interview werd afgenomen is er een aantal onderwerpen genoteerd welke aan bod moesten gaan komen. Als voorbeeld de voorafgaande raadpleging en of dit op eigen initiatief moet gebeuren, en in hoeverre enkel een locatiegegeven een persoonsgegeven is. Er is bewust gekozen voor het afnemen van een semi gestructureerd interview zodat er de mogelijk is door te vragen op bepaalde onderwerpen omdat de antwoorden op de onderwerpen niet in te schatten zijn, zo was er de mogelijkheid door te vragen op onverwachte antwoorden die verduidelijking behoefden. Zo heeft het interview meer diepgang gekregen en is naderhand beter te verantwoorden waarom is gekozen voor verwerking met als grondslag toestemming in plaats van de grondslag gerechtvaardigd belang omdat hier goed over is meegedacht door een medewerker van de Autoriteit

Persoonsgegevens. Het afnemen van een interview met de Autoriteit Persoonsgegevens was lastig te noemen. Wegens de drukte was er geen mogelijkheid om het interview in persoon af te nemen, dit moest telefonisch. Verder is er aangegeven dat er bij hele concrete vragen of specifieke situaties een jurist of andere professional ingeschakeld dient te worden, in eerste instantie willen ze dus niet te diep ingaan op de materie. Dit vereist dus ook een andere aanpak om het interview af te nemen. Dit beïnvloed de betrouwbaarheid en validiteit helaas. De resultaten die uit het interview zijn voortgekomen zijn erg bruikbaar geweest voor dit onderzoek, zo heb ik middels het interview bepaalde normen kunnen afbakenen. De manier waarop het interview is afgenomen, dus met een medewerker van de Autoriteit

Persoonsgegevens komt de validiteit ten goede. Helaas was de situatie om het interview af te nemen niet ideaal, denk hierbij aan de voorzichte aanpak die nodig was om vragen te stellen die verduidelijking moeten gaan geven op concrete situaties. Het is maar de vraag of iemand anders dezelfde resultaten zou hebben gekregen omdat iemand anders afgekapt zou kunnen worden wanneer men te snel overgaat op het stellen van vragen betreffende concrete situaties. Bij het afnemen van dit interview zijn eerst wat meer algemene vragen gesteld die steeds iets verder de diepte in gaan. Op dat moment werd het interview niet meer onderbroken en konden steeds concretere vragen worden gesteld omdat de medewerker naar mijn mening het idee had

(16)

16 toch al tijd te hebben gespendeerd aan de voorgaande vragen, echter is dit natuurlijk een speculatie. Maar zo is er een situatie gecreëerd waar toch ruimte was voor het stellen van diepgaande vragen waarbij samen met de medewerker van de Autoriteit Persoonsgegevens de discretionaire ruimte kon worden opgezocht binnen bepaalde artikelen van de AVG.

Praktijkgericht juridisch onderzoek

Als derde onderzoeksmethode is gekozen voor praktijkgericht juridisch onderzoek. Deze methode vormt de basis van dit onderzoek. Er is enkel gebruik gemaakt van wetgeving en deze methode vormt daarmee het juridisch kader van dit onderzoek. Zo zijn de artikelen van de Algemene Verordening Gegevensbescherming gebruikt om te toetsen of de huidige manier van het verwerken van persoonsgegevens door Van Raam voldoet aan de voorwaarden die de wet hier aan stelt. Om deze wetgeving te raadplegen is gebruik gemaakt van Kluwer

Navigator, hier zijn alle geldende wetten, Koninklijke Besluiten en Ministeriële regelingen, volledige teksten van rechterlijke uitspraken (jurisprudentie) en volledige teksten en

bibliografische gegevens van juridische- en fiscale literatuur te vinden. Verder is de

wetgeving gebruikt om te kunnen bepalen van welke aard de persoonsgegevens zijn die Van Raam verwerkt. Omdat het literatuuronderzoek zich richt op wetgeving komt dit de

betrouwbaarheid en validiteit van deze methode ten goede. Er is hier sprake van een zeer actuele en relevante bron en daarnaast is enkel gebruikt gemaakt van primaire juridische bronnen. Van deze wetgeving is niet af te wijken en deze is niet op een andere manier te interpreteren, mede omdat het een primaire bron betreft. Wanneer een artikel moeilijk te plaatsen is wordt gebruikt gemaakt van de in het totaal 173 overwegingen die context geven aan de artikelen. Er is hier sprake van concrete informatie die wederom niet anders

geïnterpreteerd kan worden. Ondanks deze concrete informatie is gebleken dat er toch enige normen niet volledig duidelijk zijn en is interpretatie op verschillende wijzen mogelijk. Om deze normen of begrippen te verduidelijken is telefonisch contact opgenomen met de Autoriteit Persoonsgegevens. De onduidelijke normen of begrippen zijn toegelicht en gekoppeld aan de situatie waarin zij toegepast moeten worden binnen Van Raam zodat de Autoriteit Persoonsgegevens verduidelijk kon geven. De uitkomst hiervan is te vinden in het getranscribeerde interview (zie Bijlage 2). Er is met het gebruik van deze onderzoeksmethode antwoord gegeven op deelvraag 1 en 3. Aan de hand van het literatuuronderzoek is een advies opgesteld omtrent het voldoen aan de voorwaarden die de Algemene Verordening

Gegevensbescherming stelt aan het verwerken van persoonsgegevens.13

(17)

17

Hoofdstuk 4: Deelvragen

§ 4.1 Deelvraag 1: Welke persoonsgegevens en van welke aard zijn de

persoonsgegevens die Van Raam momenteel verwerkt?

§ 4.1.1 Worden er gegevens verwerkt?

Allereerst moet worden vastgesteld of de handelingen die worden verricht met de gegevens ‘verwerkingen’ zijn.

Een verwerking is volgens artikel 4 lid 2 van de AVG elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens. Veel voorkomende bewerkingen zijn: • verzamelen; • vastleggen; • opslaan; • wijzigen; • opvragen; • raadplegen; • gebruiken; • verstrekken; • wissen en vernietigen.

In de praktijk komt het er dus op neer dat een verwerkingshandeling al snel een verwerking van persoonsgegevens in de zin van de Verordening is. In het geval van Van Raam

verzamelen zij gegevens, leggen zij gegevens vast, slaan zij gegevens op, raadplegen zij gegevens enzovoort. We kunnen concluderen dat het hier overduidelijk verwerking van gegevens betreft.14

§ 4.1.2 Worden er persoonsgegevens verwerkt?

De Verordening is niet van toepassing op de verwerking van alle soorten gegevens, maar alleen op de verwerking van persoonsgegevens.

Persoonsgegevens zijn alle gegevens die: 1) betrekking hebben op;

2) een geïdentificeerde, of; 3) identificeerbare;

4) natuurlijke persoon.

Volgens artikel 4 lid 1 van de AVG wordt een natuurlijke persoon op wie de gegevens betrekking hebben de betrokkene genoemd.

1) Gegevens die betrekking hebben op

Wil er sprake zijn van persoonsgegevens dan moeten de gegevens betrekking hebben op een persoon. Met andere woorden: de gegevens moeten over de persoon gaan, ze moeten iets over die persoon zeggen. Wanneer de gegevens niet iets zeggen over een concreet persoon, dan zijn het geen persoonsgegevens. De prijs van een fiets in een fietsfolder van Van Raam is bijvoorbeeld géén persoonsgegeven, want dit gegeven heeft natuurlijk geen betrekking op een persoon. Maar wanneer Van Raam in het orderverwerkingssysteem vastlegt dat ‘Henk Jansen’

(18)

18 de betreffende fiets heeft gekocht voor een bepaalde prijs, dan is er wel sprake van

persoonsgegevens omdat de gegevens over de fiets dan betrekking hebben op Henk Jansen.15

2) Geïdentificeerde

Gegevens hebben alleen betrekking op een natuurlijke persoon wanneer deze geïdentificeerd is of identificeerbaar is. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is. Om de identiteit van een persoon vast te stellen wordt doorgaans gebruik gemaakt van gegevens die een unieke, persoonlijke relatie tot die persoon hebben, zogenaamde ‘identificatoren’. Bij identificatoren kan allereerst worden gedacht aan gegevens zoals een naam, adres en geboortedatum. Deze gegevens zijn in combinatie met elkaar dusdanig uniek voor een bepaalde persoon, dat een persoon op basis ervan met zekerheid of grote waarschijnlijkheid geïdentificeerd kan worden. Deze gegevens worden in het maatschappelijk verkeer normaliter ook gebruikt om personen van elkaar te onderscheiden. We spreken daarom van direct

identificerende gegevens.16

Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe

identificatoren. Denk hierbij aan uiterlijke kenmerken (lengte, postuur en haarkleur), sociale en economische kenmerken (beroep, inkomen of opleiding) en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zichzelf ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. Er wordt daarom gesproken van indirect identificerende gegevens.17

Of iets een persoonsgegeven is, is dus afhankelijk van de vraag of het gegeven of de gegevens die worden verwerkt, in dit geval Van Raam, in staat stellen om iemand direct of indirect te identificeren. Wanneer de persoon nog niet geïdentificeerd is (wat doorgaans het geval is wanneer geen direct identificerende gegevens worden verwerkt) moet bepaald worden of de persoon niet alsnog identificeerbaar is.18

Identificeerbaar

Een persoon is identificeerbaar indien de identiteit nog niet is vastgesteld, maar dit

redelijkerwijs, zonder onevenredige inspanning, wel kan gebeuren. Dit gebeurt meestal op de volgende wijze:

• gegevens worden gekoppeld aan direct identificerende gegevens; of

• gegevens zijn door hun onderlinge combinatie dusdanig uniek dat ze maar op één persoon betrekking kunnen hebben.19

De eerste mogelijkheid is het koppelen van indirect identificerende gegevens aan direct identificerende gegevens. Wanneer bijvoorbeeld een telefoonnummer (indirect identificerend) via een telefoonboek gekoppeld kan worden aan een naam (direct identificerend), dan is het telefoonnummer een persoonsgegeven. Bij de beoordeling of gegevens gekoppeld kunnen worden gaat het niet alleen om de gegevens die de verwerkingsverantwoordelijke in zijn bezit

15 Ministerie van Justitie en Veiligheid 2018, p. 24. 16 Ministerie van Justitie en Veiligheid 2018, p. 24. 17 Ministerie van Justitie en Veiligheid 2018, p. 25. 18 Ministerie van Justitie en Veiligheid 2018, p. 25. 19 Ministerie van Justitie en Veiligheid 2018, p. 25.

(19)

19 heeft. Ook gegevens die bijvoorbeeld via internet openbaar toegankelijk zijn kunnen worden meegewogen in de beslissing of iemand identificeerbaar is.20

De tweede mogelijkheid is dat door een combinatie van gegevens een dusdanig uniek beeld ontstaat dat de gegevens maar op één persoon betrekking kunnen hebben. Een voorbeeld van een dergelijke spontane identificatie is: ‘een 39-jarige mannelijke jurist woonachtig aan de Oxfordlaan te Leiden’. Het is zeer onwaarschijnlijk dat deze combinatie op meer dan één geïdentificeerde persoon betrekking heeft. Bij de beoordeling of er sprake is van

identificeerbaarheid moeten de mogelijkheden van de verwerkingsverantwoordelijke (of een derde) om de identificatie tot stand te brengen worden meegewogen. Het gaat dus niet om de hypothetische mogelijkheid dat gegevens gekoppeld of gecombineerd kunnen worden, maar om de vraag of de verwerkingsverantwoordelijke dit zonder onevenredige inspanning kan. Hierbij speelt ook de hoedanigheid van de verwerkingsverantwoordelijke een belangrijke rol. Niet iedere verwerkingsverantwoordelijke beschikt namelijk over dezelfde middelen,

technologieën en mogelijkheden om een persoon te identificeren. Het kan dus zijn dat een gegeven voor de ene verwerkingsverantwoordelijke wel een persoonsgegeven is, maar voor de andere verwerkingsverantwoordelijke niet.21

Natuurlijke persoon

De Verordening is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Gegevens over organisaties (ondernemingen en dergelijke) zijn géén

persoonsgegevens, omdat zij geen betrekking hebben op een natuurlijke persoon. Dit is slechts anders wanneer de organisatie vereenzelvigd kan worden met een natuurlijke persoon. Zo zegt de omzet van een eenmanszaak iets over het inkomen van de eigenaar van de

eenmanszaak. Wanneer u gegevens verwerkt van personen binnen een organisatie

(bijvoorbeeld medewerkers), dan is er ook sprake van de verwerking van persoonsgegevens. De Verordening is niet van toepassing op overleden personen, omdat dit volgens de wet geen natuurlijke personen meer zijn. Wanneer de gegevens van een overledene iets zeggen over een andere persoon (meer specifiek de nabestaanden) dan kunnen het wel persoonsgegevens zijn, maar dan betreffen ze niet de overledene, maar de andere, levende persoon.22

§ 4.1.2 Aard persoonsgegevens

De AVG maakt in artikel 9 van de AVG een onderscheid tussen ‘gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van

persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele

gerichtheid.23

De verwerking van deze bijzondere categorieën persoonsgegevens is verboden, tenzij er een specifieke uitzondering van toepassing is, of de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking (zie artikel 9 lid 2 sub a AVG). Naast de bijzondere categorieën

20 Ministerie van Justitie en Veiligheid 2018, p. 25. 21 Ministerie van Justitie en Veiligheid 2018, p. 25. 22 Ministerie van Justitie en Veiligheid 2018, p. 25. 23 Ministerie van Justitie en Veiligheid 2018, p. 26.

(20)

20 van persoonsgegevens zijn ook persoonsgegevens van strafrechtelijke aard dusdanig gevoelig dat daar een speciale regeling voor is. De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende

veiligheidsmaatregelen, alsmede persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag, is alleen toegestaan als dat gebeurt onder toezicht van de overheid, of als het specifiek bij wet is geregeld, zo beschrijft artikel 10 AVG.24

Verder is in de handleiding beschreven dat bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard categorieën zijn waarvan in de Verordening is vastgesteld dat zij gezien hun gevoeligheid een speciale regeling behoeven. Maar ook

gegevens die niet ‘bijzonder’ in de zin van de Verordening zijn kunnen volgens de Autoriteit Persoonsgegevens gevoelig zijn. Denk hierbij bijvoorbeeld aan financiële data of

locatiegegevens. De maatregelen die genomen moeten worden om persoonsgegevens te beschermen zijn mede afhankelijk van de gevoeligheid van de gegevens en het risico dat de gegevens kunnen vormen voor de betrokkene bij verkeerd gebruik of misbruik.25

In beginsel mogen bijzondere categorieën van persoonsgegevens niet worden verwerkt, hier rust gezien de gevoelige aard een verwerkingsverbod op. Er zijn hierop wel een aantal uitzonderingen geformuleerd.

Er mag ondanks het verwerkingsverbod toch bijzondere categorieën van persoonsgegevens worden verwerkt wanneer:

• de betrokkene uitdrukkelijke toestemming heeft gegeven;

• de verwerking noodzakelijk is in het kader van de uitvoering van regels op het gebied van arbeids- en sociale zekerheidsrecht;

• de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;

• de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;

• de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

• de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsprekende bevoegdheid;

• de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;

• de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten;

• de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid,

• de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.26

24 Ministerie van Justitie en Veiligheid 2018, p. 26. 25 Ministerie van Justitie en Veiligheid 2018, p. 26. 26 Ministerie van Justitie en Veiligheid 2018, p. 41.

(21)

21 Naast de algemene uitzonderingen op het verwerkingsverbod op bijzondere categorieën van persoonsgegevens, biedt de Uitvoeringswet enkele specifieke uitzonderingen per categorie van bijzondere persoonsgegevens.27

Ras en etnische afkomst

Persoonsgegevens waaruit ras of etnische afkomst blijkt, mogen worden verwerkt in twee specifieke situaties. Allereerst mogen deze persoonsgegevens worden verwerkt met het oog op de identificatie van de betrokkene, maar alleen maar voor zover dit onvermijdelijk is om het gestelde doel te bereiken. Dit is bijvoorbeeld het geval wanneer iemands

paspoortgegevens worden verwerkt ten behoeve van identificatiedoeleinden.

Persoonsgegevens waaruit ras of etnische afkomst blijkt, mogen daarnaast worden verwerkt met het doel personen van een bepaalde etnische of culturele minderheidsgroep een

bevoorrechte positie toe te kennen of feitelijke nadelen op te heffen. In dit geval mogen deze persoonsgegevens alleen maar worden verwerkt als dit noodzakelijk is voor het te behalen doel, die gegevens slechts betrekking hebben op het geboorteland van de betrokkene, diens ouders of grootouders en de betrokkene hier geen schriftelijk bezwaar tegen heeft gemaakt.28

Verwerking gegevens waaruit politieke opvattingen blijken voor vervulling openbare functies

Deze uitzondering op het verwerkingsverbod voor persoonsgegevens waaruit politieke

opvattingen blijken geldt voor situaties waarbij deze gegevens relevant zijn voor de vervulling van functies in bestuursorganen of adviescolleges. Dit speelt met name een rol bij

benoemingen in bepaalde openbare functies, zoals bijvoorbeeld burgemeestersbenoemingen.29

Verwerking van gegevens van religieuze of levensbeschouwelijke aard in het kader van geestelijke verzorging

Deze uitzondering op het verwerkingsverbod voor persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken is bedoeld voor de geestelijke verzorging in of ten behoeve van het leger, gevangenissen, ziekenhuizen, verpleeghuizen en andere

instellingen. Omdat deze instellingen zelf geen religieuze doelstelling hebben is een specifieke uitzondering gecreëerd.30

Genetische gegevens

De uitzondering op het gebruik van genetische gegevens kent twee categorieën: het persoonlijk gebruik en het bovenpersoonlijk gebruik.

De uitzondering van het persoonlijk gebruik ziet op het gebruik van genetische gegevens van een betrokkene wanneer deze door de betrokkene zelf zijn geleverd. Deze uitzondering kan dus niét gebruikt worden om verwerkingen van genetisch materiaal te legitimeren die gericht zijn op andere personen in dezelfde genetische lijn. Het doel is om te voorkomen dat

mogelijke erfelijke informatie (bijvoorbeeld genetische defecten) buiten de betrokken persoon om gebruikt worden.31

27 Ministerie van Justitie en Veiligheid 2018, p. 43. 28 Ministerie van Justitie en Veiligheid 2018, p. 43. 29 Ministerie van Justitie en Veiligheid 2018, p. 44. 30 Ministerie van Justitie en Veiligheid 2018, p. 44. 31 Ministerie van Justitie en Veiligheid 2018, p. 44.

(22)

22 Bovenpersoonlijk gebruik is enkel toegestaan als een zwaarwegend geneeskundig belang prevaleert of de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek dat een algemeen belang dient of ten behoeve van statistiek. Hierbij is de voorwaarde wel dat de betrokkene uitdrukkelijke toestemming heeft gegeven en bij de uitvoering is voorzien in passende waarborgen voor de bescherming van de persoonlijke levenssfeer. Alleen wanneer het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning vergt dan kan deze achterwege blijven.32

Biometrische gegevens

Het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken is niet van toepassing indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Wanneer u deze uitzondering wilt gebruiken moet u dus afwegen of het te beveiligen belang van een dusdanige aard is dat hiervoor biometrie de geëigende methode is.

Gezondheidsgegevens

De Uitvoeringswet kent vijf specifieke uitzonderingsgronden op het verwerkingsverbod voor gezondheidsgegevens.

Ten eerste mogen gezondheidsgegevens worden verwerkt door bestuursorganen,

pensioenfondsen, werkgevers of instellingen die voor hen werkzaam zijn, voor zover de verwerking noodzakelijk is voor: a. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene; of b. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of

arbeidsongeschiktheid.33

Ten tweede mogen gezondheidsgegevens worden verwerkt door scholen wanneer dit noodzakelijk is voor de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheid.34

Ten derde mogen gegevens door reclasseringsinstellingen, bijzondere

reclasseringsambtenaren, de Raad voor de kinderbescherming, gecertificeerde instellingen in de zin van de Jeugdwet en specifiek aangewezen rechtspersonen in het kader van de

uitvoering van de Vreemdelingenwet 2000 worden verwerkt wanneer dit noodzakelijk is voor de uitvoering van de aan hen opgedragen wettelijke taken. Verder mogen

gezondheidsgegevens worden verwerkt door de Minister voor zover de verwerking in verband met de tenuitvoerlegging van vrijheidsbenemende maatregelen noodzakelijk is.35

Ten vierde is het verbod niet van toepassing op hulpverleners en instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, wanneer de verwerking

noodzakelijk is voor de goede behandeling of verzorging van de betrokkene of het beheer van de betreffende instelling of beroepspraktijk.

Tenslotte is het verbod niet van toepassing op verzekeraars en financiële dienstverleners die bemiddelen in verzekeringen voor zover de verwerking noodzakelijk is voor de beoordeling

32 Ministerie van Justitie en Veiligheid 2018, p. 44. 33 Ministerie van Justitie en Veiligheid 2018, p. 44. 34 Ministerie van Justitie en Veiligheid 2018, p. 44. 35 Ministerie van Justitie en Veiligheid 2018, p. 44.

(23)

23 van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft

gemaakt; of de uitvoering van verzekeringsovereenkomst dan wel het assisteren bij het beheer en de uitvoering van de verzekering.

Alle verwerkingen van gezondheidsgegevens die plaatsvinden op basis van de uitzonderingen in de Uitvoeringswet, zijn gehouden aan een geheimhoudingsplicht, ook waar dit niet

voortvloeit uit andere wetten waar de dienstverlener aan onderworpen is.36

Nationaal identificatienummer

Een nationaal identificatienummer is een bij wet vastgesteld uniek nummer. In Nederland is het bekendste nationale identificatienummer het burgerservicenummer (BSN). Deze nummers mogen alleen worden gebruikt voor in de wet voorgeschreven doelen. Voor andere dan in de wet voor deze nummers genoemde doelen is het verwerken ervan niét toegestaan.37

§ 4.1.3 Gegevens die Van Raam verwerkt voor het gebruikersprofiel

Uit een interview met de verwerker van persoonsgegevens voor Van Raam is gebleken dat Van Raam de volgende (persoons)gegevens verwerkt wanneer een betrokkene gebruik maakt van de mobiele app (zie Bijlage 1):

- Emailadres

Het emailadres is voor gebruikers van de app een verplicht gegeven dat ingevuld moet worden. Nadat alle gegevens zijn ingevuld en het account geactiveerd mag worden moet de gebruiker op aanmaken klikken, er wordt dan een bevestiging naar het ingevulde emailadres verzonden om te controleren dat deze persoon daadwerkelijk de persoon is die het account wil aanmaken, pas na het klikken op de link in de bevestigingsmail wordt het account

geactiveerd, dit wordt ‘double opt in’ genoemd.38

- Framenummer van de fiets

Dit gegeven is optioneel bij het aanmaken van een account, maar is wel verplicht wanneer een gebruiker de fiets wil kunnen koppelen aan de app. Van Raam kan met het doorgegeven framenummer zien hoe de fiets is afgeleverd, zo kunnen ze zien met welke aanpassing de fiets en met welk ‘recept’ de fiets is afgeleverd. Met aanpassing wordt gedoeld op een aanpassing aan de fiets ten behoeve van een lichamelijke beperking. Met recept wordt gedoeld op het fietsprogramma waarmee de fiets is afgeleverd, dus een economisch, normaal of sportief fietprogramma. Zodra een fiets bij Van Raam de deur uit gaat wordt alles van de fiets verzameld, denk hierbij aan accunummers en controllernummers en bovengenoemde. Zodra een gebruiker de fiets verbindt met de app en dus zijn framenummer heeft ingevuld, kan Van Raam al deze gegevens aan elkaar koppelen. Ook kunnen gebruikers met de app zelf ‘het recept’ wijzigen met de app. Wanneer dit gewijzigd wordt kan Van Raam dit zien. - Noodnummer

SOS indien je bijvoorbeeld gevallen bent. Zodra je op de knop drukt, wordt een sms verstuurd naar het opgegeven noodnummer met de GPS. Op het moment dat deze functie gebruikt wordt slaat Van Raam dit op, ze slaan dan GPS, telefoonnummer, gebruiker, fiets- en devicenummer op. Van Raam geeft aan dat deze optie ook anoniem gebruikt zou kunnen worden omdat alleen van belang is om te zien hoe vaak het gebruik wordt.

36 Ministerie van Justitie en Veiligheid 2018, p. 44. 37 Ministerie van Justitie en Veiligheid 2018, p. 26. 38 Marketingtermen z.d.

(24)

24 Naast bovengenoemde gegevens verzamelt Van Raam de volgende persoonsgegevens:

- Voornaam - Achternaam - Geslacht - Geboortedatum - Telefoonnummer

- Adres (huisnummer, postcode, plaats, land)

§ 4.1.4 Gegevens die Van Raam verwerkt tijdens het fietsen

Tijdens het fietsen worden om de 5 seconden de volgende gegevens opgeslagen en gecommuniceerd met Van Raam:

- GPSgegevens (locatie) - Type fiets

- Ondersteuningsstand - Snelheid

- Stroom die geleverd wordt - Actuele accuvoltage

- Kracht die wordt uitgeoefend op het pedaal - Omwentelingsnelheid

- Accucapaciteit

- Afgelegde afstand in de standen en in het totaal

- In de toekomst wil Van Raam mogelijk actieradius en directie (vooruit/achteruit) gaan verwerken. Ze kunnen deze gegevens vertalen naar een activiteit, dus een complete route die gefietst is, met als uitkomst wanneer dat is geweest en hoelaat dat is geweest.

§ 4.1.5 Aard persoonsgegevens Van Raam

Uit al het bovenstaande blijkt dat er in totaal 3 soorten persoonsgegevens zijn. Dit zijn ‘normale’ persoonsgegevens, bijzondere categorieën van persoonsgegevens en tot slot gevoelige gegevens. Laatstgenoemde zijn in beginsel niet direct ‘bijzonder’ in de zin van de AVG maar kunnen volgens de Autoriteit Persoonsgegevens toch bijzonder zijn.39 De

maatregelen die genomen moeten worden om ‘gevoelige’ persoonsgegevens te beschermen zijn mede afhankelijk van de gevoeligheid van de gegevens en het risico dat de gegevens kunnen vormen voor de betrokkene bij verkeerd gebruik of misbruik. Alle persoonsgevens die Van Raam verwerkt vallen onder de categorie ‘normale’ persoonsgegevens, met uitzondering van de GPSgegevens (locatie), deze wordt als gevoelig beschouwd en valt daarom onder de categorie gevoelige gegevens en niet onder de categorie bijzondere gegevens. Het verwerken van bijzondere gegevens zijn in beginsel verboden om te verwerken, tenzij er een specifieke uitzondering van toepassing is, of de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking (zie artikel 9 lid 2 sub a AVG). Het verwerken van ‘gevoelige gegevens’ is dus toegestaan zonder dat er een specifieke uitzondering van toepassing is.

(25)

25

§ 4.1.6 Conclusie deelvraag 1

Aan de hand van het interview dat is afgenomen met de verwerker van Van Raam is bepaald welke persoonsgegevens Van Raam verwerkt van eindgebruikers middels de app. Dit is gebleken uit een aantal stukken die de verwerker heeft verstrekt. Vervolgens is aan de hand van wetgeving, stukken die zijn opgesteld door de Autoriteit Persoonsgegevens en door het Ministerie van Justitie en Veiligheid bekeken van welke aard deze persoonsgegevens zijn. De uitkomst hiervan is in het bovenstaande te lezen.

(26)

26

§ 4.2 Deelvraag 2: Op welke wijze verwerkt Van Raam momenteel

persoonsgegevens van eindgebruikers die gebruik maken van een

elektrische fiets van Van Raam?

§ 4.2.1 Uitleg verwerking

Het merendeel van de door Van Raam geleverde fietsen is elektrisch uitgevoerd, dit is om en nabij 85%. Wanneer een eindgebruiker een elektrische fiets van Van Raam in zijn/haar bezit heeft, dan heeft hij/zij de mogelijkheid om een app te downloaden die gekoppelt kan worden aan de controller van de fiets. Wanneer een eindgebruiker gebruik wil maken van de app, moet hij/zij akkoord gaan met de door Van Raam genoemde voorwaarden. Wanneer

toestemming wordt gegeven voor de gestelde voorwaarden in de privacyverklaring van Van Raam bij het installeren van de app, pas dan kan Van Raam diverse persoonsgegevens opvragen. Dit gebeurt middels een zogenaamd Internet Of Things platform (IOT). De

elektrische fietsen van Van Raam zijn dan ook zogenaamde IOT apparaten. De controller van de fiets wordt door middel van een telefoon in verbinding gebracht met het internet en kan op die manier gegevens doorspelen. De Kamer van Koophandel schrijft dat er sprake is van een IOT apparaat indien het IOT platform er voor zorgt dat objecten via een chip of volgsysteem verbonden zijn met het internet. Dit biedt producenten als consumenten oneindig veel

mogelijkheden.40 Doordat de elektrische fiets van Van Raam een IOT apparaat is kan Van Raam persoonsgegevens en locatiegegevens van eindgebruikers opvragen. Daarnaast kan Van Raam ook zien hoe de fiets gebruikt wordt, denk hierbij aan wanneer er wordt gefietst en hoeveel kilometer wordt gefietst. De app geeft anderzijds een eindgebruiker de mogelijkheid om te bekijken welke routes zij hebben gefietst en wat de status van de accu is. Bij het toestemming geven voor de door Van Raam opgestelde voorwaarden in de privacyverklaring geeft een betrokkene Van Raam toestemming om de gegevens te verwerken. De betrokkene moet zelf een vinkje zetten om akkoord te geven.

§ 4.2.2 Huidige privacyverklaring van Van Raam

Van Raam beschrijft in hun privacyverklaring dat ze via hun online diensten

persoonsgegevens verwerken, en ze hier zorgvuldig mee omgaan en zorgvuldig worden verwerkt en beveiligd. Verder wordt beschreven dat Van Raam het verwerken van persoonsgegevens beperkt tot alleen de persoonsgegevens die nodig zijn voor legitieme doeleinden en ze eerst een eindgebruiker vragen uitdrukkelijke toestemming te geven om de persoonsgegevens te mogen verwerken in gevallen waar toestemming is vereist. Van Raam schrijft dat ze passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen en dat ook eisen van partijen (derden) die in opdracht van Van Raam persoonsgegevens verwerken. Tevens wordt beschreven dat Van Raam het recht op inzage, correctie of vergetelheid die een betrokkene heeft respecteert.

(27)

27 Hierop volgt een opsomming van de (persoons)gegevens welke door van Raam worden verwerkt:  E-mailadres;  Naam;  Woonplaats/land;  Geboortedatum;  Geslacht;  Taalkeuze;  Telefoonnummer;

 Informatie over apparatuur waarmee diensten worden gebruikt (merk, type, OS versie);

 Locatiegegevens;

 Informatie over de fiets (framenummer, type, settings/recipe, firmware versie, onderhoudsgegevens van de fiets);

 Fietsgedrag (zoals afgelegde kilometers en gemiddelde snelheid);

 Technische informatie tijdens het fietsen (stroomverbruik, accucapaciteit, accuspanning, ingestelde ondersteuningsstand, kracht).

Er wordt beschreven dat Van Raam deze gegevens verwerkt zodat een betrokkene deze niet telkens opnieuw hoeft in te vullen, en zodat Van Raam het fietsgedrag van de betrokkene in kaart kan brengen en de betrokkene daarover kan adviseren en zodat er met de dealer van de betrokkene gecommuniceerd kan worden.

Verder wordt beschreven dat persoonsgegevens niet zonder toestemming aan derden worden verstrekt, tenzij dat noodzakelijk is in het kader van de uitvoering van de overeenkomst die een betrokkene met Van Raam heeft gesloten of indien dit wettelijk verplicht is. In geval van een vermoeden van fraude of misbruik van diensten van Van Raam, of verzoeken van

overheidsinstanties, kan Van Raam persoonsgegevens aan de bevoegde autoriteiten

overhandigen. Indien een betrokkene daar toestemming voor geeft, kunnen gegevens worden gedeeld met de dealer waar de betrokkene de fiets heeft gekocht of bij andere dealers als die op enige vorm betrokken is geweest bij de betrokkene of bij de fiets van betrokkene met bijvoorbeeld onderhoud, reparaties of advisering. Met behulp van de gegevens van betrokkene kan de betreffende dealer de onderhoudsgegevens bijhouden en de betrokkene adviseren bij het configureren van instellingen.

Er wordt beschreven dat ze gegevens niet langer zullen bewaren dan noodzakelijk om de diensten te kunnen leveren.

§ 4.2.3 Verwerkersovereenkomst

De verwerkingsverantwoordelijke van Van Raam heeft een verwerkersovereenkomst afgesloten met de verwerker van de persoonsgegevens. Deze verwerkersovereenkomst is opgesteld om te voldoen aan de eisen die de Wet Bescherming Persoonsgegevens hier aan stelde. Deze verwerkersovereenkomst behoeft enkele aanpassingen om te kunnen voldoen aan de eisen die de AVG hier aan stelt. Dit wordt bij de beantwoording van deelvraag 3

(28)

28

§ 4.2.4 Meldplicht datalekken

Van Raam heeft een beleidsplan laten opstellen omtrent het melden van datalekken. Deze is opgesteld op 14 maart 2016 en voldoet aan de voorwaarden welke de voorwaarden de AVG hier aan stelt. Hier is onder andere in opgenomen dat een datalek uiterlijk binnen 72 uur gemeldt dient te worden en dat er een overzicht gemaakt moet worden waar gemelde datalekken in opgenomen worden.

§ 4.2.5 Beveiliging

Er is een verbinding via SSL, dit is een end to end encryptie protection. Dit is simpel gezegd een soort verbinding die er voor zorgt dat wanneer er een persoonsgegeven verstuurd wordt van de fiets naar de database, het persoonsgegeven onleesbaar is wanneer deze onderweg is van de fiets naar de database, het persoonsgegeven is pas weer leesbaar op het moment dat deze bij de database is aangekomen.

Wachtwoorden van betrokkenen zijn niet terug te halen in de database, deze database

verbouwd het hele wachtwoord in ‘hash’. Wanneer enkel een ‘hash’ wordt verkregen is deze niet terug te vertalen naar het wachtwoord, dit heet gehashed.

§ 4.2.6 Conclusie deelvraag 2

De huidige privacyverklaring, verwerkersovereenkomst en het beleidsplan datalekken zijn geanalyseerd en vergeleken met de AVG wetgeving om te zien aan welke voorwaarden deze stukken moeten voldoen. Er is hier enkel beschreven en uitgezocht in hoeverre Van Raam momenteel voldoet aan de voorwaarden die de AVG stelt aan het verwerken van

Persoonsgegevens. Ook wordt zo in kaart gebracht aan welke voorwaarden Van Raam nog moet gaan voldoen. Deze voorwaarden zijn meegenomen in deelvraag drie en gekoppeld aan wetgeving.

(29)

29

§ 4.3 Deelvraag 3: Wat moet Van Raam concreet doen om te voldoen aan de

voorwaarden die de AVG stelt aan het verwerken van persoonsgegevens

zodat Van Raam na de toepassing van de AVG geheel voldoet aan de

voorwaarden die de AVG hier aan stelt?

In deze deelvraag worden alle voor Van Raam relevante artikelen van de AVG nader

toegelicht. Na de uitleg van de onderstaande artikelen volgt een adviesrapport welke bestaat uit een totaal van tien stappen. Wanneer Van Raam het stappenplan heeft gevolgd voldoet Van Raam aan de voorwaarden die de AVG stelt aan het verwerken van persoonsgegevens. De uitleg van de artikelen geeft verduidelijking wanneer bijvoorbeeld een bepaalde stap uit het stappenplan niet geheel duidelijk is.

§ 4.3.1 Beginselen inzake verwerking van persoonsgegevens

De Algemene Verordening Gegevensbescherming bevat naast veel regels een aantal algemene beginselen, dit zijn er zes in totaal. Bij iedere verwerking van persoonsgegevens moet worden voldaan aan onderstaande zes beginselen. Vanuit deze zes beginselen ontstaan concrete plichten die met name gericht zijn op documentatie en het afleggen van verantwoording.41

De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (Art. 5 lid 1 sub a AVG)

Uitgangspunt van dit beginsel is dat persoonsgegevens alleen verwerkt mogen worden voor gerechtvaardigde doeleinden. Dit houdt in dat de verwerking noodzakelijk moet zijn met het oog op het bereiken van specifiek in de verordening genoemde doelen, of dat er toestemming is verkregen van degene wiens gegevens worden verwerkt. Wanneer het gerechtvaardigd is om persoonsgegevens te verwerken, dan moet de verwerking daarvan netjes en verantwoord gebeuren. Verder moet duidelijk zijn voor welke doelen persoonsgegevens worden verwerkt en op welke wijze dat gebeurt.42

De verwerking moet gebonden zijn aan specifieke verzameldoelen (Art. 5 lid 1 sub b AVG)

Uitgangspunt van dit beginsel is dat persoonsgegevens alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardige doeleinden. Wanneer gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.43

De persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (Art. 5 lid 1 sub c AVG)

Uitganspunt van dit beginsel is dat persoonsgegevens alleen mogen worden verwerkt indien zij voor het doel toereikend en ter zake dienend zijn. Er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Dit betekent dat gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden verwerkt voor het doel. Er mogen niet te weinig gegevens worden verwerkt omdat er dan mogelijk ten onrechte een onvolledig beeld van een betrokkene kan ontstaan.44

41 Ministerie van Justitie en Veiligheid 2018, p. 21. 42 Ministerie van Justitie en Veiligheid 2018, p. 22. 43 Ministerie van Justitie en Veiligheid 2018, p. 22. 44 Ministerie van Justitie en Veiligheid 2018, p. 22.

Referenties

Download het nu ( PDF - 67 pagina - 1.13 MB )

Outline

Interview Autoriteit Persoonsgegevens

GERELATEERDE DOCUMENTEN

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Loopgroep Ruinen bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Uw persoonsgegevens worden door youCANbe - Centrum Aandacht Nissewaard opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:.. - Gedurende de looptijd

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Psychotherapie Van der Laan bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist (15

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Uw persoonsgegevens worden door Elise Lentjes mantelzorgmakelaar opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:.. - Gedurende de loop@jd van de

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Fysiotherapie Prak2jk Nijdam bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;.. - Vragen om uw

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Persoonsgegevens van patiënten of cliënten worden door Fysio & Manuele Therapie Bos en Lommer verwerkt ten behoeve van de volgende doelstelling(en):.. - Patiëntgegevens

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Uw persoonsgegevens worden door Boshuis Belastingadvies opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:.. - Gedurende de looptijd van de overeenkomst en