AP - Autoriteit Persoonsgegevens
Dit is de toezichthouder binnen Nederland met betrekking tot de uitvoering van de AVG wet (eerder Wbp). Voor meer informatie zie hun website.
AVG - Algemene Verordening Gegevensbescherming
Dit is de Nederlandse vertaling van de Europese wet ‘GDPR’ (General Data Protection Regulation) nclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wbp per 25 mei 2018. Voor meer informatie zie de wetgeving.
Betrokkene(n)
Een geïdentificeerde of identificeerbare natuurlijke persoon waarvan persoonsgegevens worden verwerkt. Een betrokkene wordt ook wel datasubject genoemd.
Bijzondere persoonsgegevens
Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
BSN - Burger Service Nummer
Dit is een door de overheid gehanteerd identificatienummer voor personen. Het BSN heeft een eigen wetgeving omtrent het gebruik en verwerking. Voor meer informatie zie de wetgeving.
Datalek
Dit is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Zie ook meldplicht datalekken in de lijst hieronder.
Derde landen
Dit zijn landen buiten de EU. Deze vallen derhalve buiten het geldingsgebied van de GDPR.
DPIA - Data Protection Impact Assessment
Zie het item PIA hieronder voor een uitleg.
FG - Functionaris Gegevensbescherming
De FG houdt het toezicht binnen een organisatie op de correcte uitvoering van de verwerking volgens de AVG.
Een FG is verplicht bij overheden en publieke organisaties maar ook voor organisaties met meer dan 250 medewerkers en wanneer organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of op grote schaal bijzondere persoonsgegevens verwerken.
Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om dat wel of niet te doen. De FG dient te worden aangemeld bij de Autoriteit Persoonsgegevens. Een FG kan ook ingehuurd worden maar het is van belang dat de FG regelmatig contact heeft met de organisatie (en uitvoerenden binnen de verwerking) en makkelijk bereikbaar is voor alle betrokkenen.
GDPR - General Data Protection Regulation
Dit is de Europese wet waarvan de Nederlandse vertaling AVG, ofwel Algemene Verordening Gegevensbescherming, heet.
Meldplicht datalekken
Dit is de plicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Datalekken worden via het loket aan de AP gemeld. Datalekken dienen binnen 72 uur te worden gemeld aan de AP.
De plicht om datalekken te melden bestaat al sinds 1 januari 2016, onder de oude Wet Bescherming Persoonsgegevens (Wbp),Zie ook Meldplicht Datalekken.
De AVG doet daar nog een schepje bovenop door nog strengere regels op te leggen. Alle datalekken moeten gedocumenteerd worden in uw verwerkingsregister. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Betrokkene(n) hoeven niet altijd geïnformeerd te worden. Ze moeten in ieder geval wel geïnformeerd worden wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor de rechten en vrijheden van de betrokkene(n) zodat zij eventueel voorzorgsmaatregelen kunnen treffen
Opmerking Multitask ICT: Uiteraard is ons online verwerkingsregister voorzien van een module om datalekken goed te registreren. Dat maakt het melden van een datalek aanzienlijk eenvoudiger.
Persoonsgegevens
Alle informatie over betrokkenen die worden verwerkt en die direct of indirect als identificeerbaar wordt beschouwd tot betrokkenen.
Hieronder wordt onder andere verstaan een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van de betrokkene.
Zo zijn bijvoorbeeld NAW gegevens natuurlijk persoonsgegevens, maar ook bijvoorbeeld een email adres, IP adres, telefoonnummers en postcodes met huisnummers. Niet alleen geschreven tekst kan een persoonsgegeven zijn, ook beeld en geluid kunnen persoonsgegevens zijn.
Meer informatie over persoonsgegevens kunt u hier en hier vinden.
Persoonsgegevens van gevoelige aard
Dit zijn persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits-)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
- Bijzondere persoonsgegevens;
- Gegevens over de financiële of economische situatie van de betrokkene;
- Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene;
- Gebruikersnamen, wachtwoorden en andere inloggegevens;
- Gegevens die kunnen worden misbruikt voor (identiteits-)fraude.
PIA - Privacy Impact Assessment
Dit is een Engelse term die (strikt genomen) in de AVG vervangen is door de term DPIA, oftewel Data Protection Impact Assessment. De Nederlandse / Belgische term is ‘gevensbeschermingseffectbeoordeling’ maar dat is zo’n verschrikkelijk woord dat vrijwel niemand dat gebruikt.
Wat een PIA is kunt u hier lezen. Het instrument PIA is niets nieuws, en was bijvoorbeeld al verplicht voor de Rijksoverheid om te gebruiken. Echter, omdat in de AVG veel nadruk ligt op ‘verantwoordelijkheid’ wordt het gebruik van een DPIA vaker verplicht.
Dat gezegd hebbende zullen we meestal over een PIA spreken omdat dat nu eenmaal een meer gangbare term is. Feitelijk wordt in de AVG context dan een DPIA bedoeld.
(D)PIA:
Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een (D)PIA is verplicht voor ‘risicovolle verwerkingen’.
U kunt hier meer over de DPIA lezen.
Profilering
Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens bedoeld om bepaalde persoonsaspecten te relateren aan een individu, of om te analyseren of voorspellen in het bijzonder het presteren van de persoon op het werk, economische situatie, locatie, gezondheid, persoonlijke voorkeuren, betrouwbaarheid, of gedrag.
Subverwerker(s)
Dit is een andere verwerker die door de verwerker wordt ingezet om ten behoeve van de verantwoordelijke specifieke verwerkingsactiviteiten te verrichten. In het kader van de Wbp werd dit een sub-bewerker genoemd.
Verantwoording
Verantwoording komt voort uit de verantwoordingsplicht die in de AVG geregeld is. De AVG legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet.
Verantwoordelijkheid is het vermogen om compliance met de AVG aan te tonen. Dit is dus voor verantwoordelijken en verwerkers verplicht. De verantwoording kan vormgegeven worden door het bijhouden van de verschillende registers:
verwerkingsregister, datalekken, verwerkersovereenkomsten etc.
Opmerking van Multitask ICT: in ons online verwerkingsregister zijn al deze losse registers geïntegreerd. Zo heeft u al uw AVG zaken bij elkaar in één overzichtelijke omgeving.
Verwerken / Verwerking
Een verwerking of een geheel van verwerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
In het kader van de Wbp werd dit een bewerking genoemd.
Verwerker
Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
In het kader van de Wbp werd dit een bewerker genoemd.
Verwerkersovereenkomst
Dit is een overeenkomst tussen verantwoordelijke en verwerker (of verwerker en sub-verwerker) waarin de verantwoordelijkheden en afspraken omtrent de verwerking worden vastgelegd.
De overeenkomst bestaat veelal uit de overeenkomst zelf die de algemene zaken regelt, bijvoorbeeld aansprakelijkheid, plus een bijlage waarin de specifieke kenmerken rondom de verwerking worden benoemd. In andere gevallen is de overeenkomst onderdeel van de algemene voorwaarden van een leverancier.
Meer informatie over een verwerkersovereenkomst vindt u hier.
(Verwerkings-)verantwoordelijke
Dit is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Vindt u dit een informatief artikel?
Tip uw vrienden en relaties!