U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te verwerken.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Het kan daarbij gaan om het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.
Als verwerker moet u een verwerkersovereenkomst hebben. Met een verwerkersovereenkomst kunt u verantwoorden dat u persoonsgegevens mag verwerken en op welke manier. U kunt zich dan beroepen op de grondslag van de verwerkingsverantwoordelijke. U moet de persoonsgegevens passend beveiligen.
Check of u persoonsgegevens mag verwerken
u moet toestemming hebben van de persoon om wie het gaat. het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen. het is nodig om een wettelijke verplichting na te komen.
Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”); de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
Regels AVG
U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Zowel een verwerkingsverantwoordelijke als een verwerker zal een register van verwerkingsactiviteiten moeten bijhouden. Een dergelijk register hoeft in beginsel niet bijgehouden te worden als de organisatie minder dan 250 personeelsleden heeft, maar hierop is meteen weer een belangrijke uitzondering van toepassing.
Bepaalde organisaties mogen uw persoonsgegevens verwerken. Maar alleen als daar een goede reden voor is. Of als u daar zelf toestemming voor heeft gegeven. Onder verwerken valt verzamelen, vastleggen, ordenen en bewaren van uw gegevens.
Ja, een organisatie kan uw persoonsgegevens verstrekken als dat voor u van vitaal belang is. Bijvoorbeeld bij een dringende medische noodzaak. Een overheidsorganisatie mag uw persoonsgegevens verstrekken als dat noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak.
Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel 'grondslag' hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat. Er zijn 6 grondslagen in de AVG.
Denk aan NAW-gegevens, geboortedatum, burgerservicenummer (BSN), relatienummer, e-mail-adres, rekeningnummer, telefoonnummer etc. Ook gegevens die in combinatie tot een persoon te herleiden zijn, zijn van belang.
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Uitvoeren van een overeenkomst
Dan kan de organisatie uw persoonsgegevens aan anderen geven voor de uitvoering van die overeenkomst. Zo kan een telecombedrijf uw persoonsgegevens aan een postbedrijf geven. Bijvoorbeeld om een mobiele telefoon bij u thuis te laten bezorgen.
Dat houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en 'afgedwongen' kan worden.
Artikel 4.11) AVG definieert een geldige toestemming als: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.
Bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) zijn de volgende persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens ...
Verplichtingen AVG
Uw patiënten hebben van tevoren recht op heldere informatie over wat u met hun persoonsgegevens gaat doen en waarom. Regels voor het werken met toestemming van de patiënt. U moet kunnen aantonen dat u daadwerkelijk toestemming van uw patiënt heeft gekregen.