In onze kennisbank geven we u informatie over allerlei onderwerpen. Klik op één van de vier hoofdonderwerpen om door te gaan voor alle informatie. Of klik op één van de linkjes om direct naar dat onderwerp te gaan.
Handvest van de Grondrechten en de Grondwet
Privacy is een grondrecht. Dat staat in het Europese Handvest van de Grondrechten en onze Nederlandse Grondwet. Het is een voorwaarde om vrij te zijn in wie je bent en wat je doet.
Algemene verordening gegevensbescherming
In de Algemene verordening gegevensbescherming (AVG) staan de belangrijkste regels voor organisaties die persoonsgegevens verwerken. Dit is een Europese wet. In de Uitvoeringswet AVG heeft Nederland nog extra regels gesteld.
Richtlijn gegevensbescherming bij rechtshandhaving en Wet politiegegevens
Voor de politie, bijzondere opsporingsdiensten, buitengewone opsporingsambtenaren (boa’s) en justitie geldt de Richtlijn gegevensbescherming bij rechtshandhaving (RGR). Dit is een Europese richtlijn. Nederland heeft deze omgezet in:
ePrivacy Richtlijn en de Telecommunicatiewet
De ePrivacy Richtlijn is een Europese richtlijn die in Nederland is omgezet in de Telecommunicatiewet. Ongevraagd commerciële e-mails sturen, mensen telefonisch commercieel benaderen en het plaatsen van cookies is gebonden aan regels. Deze regels staan in de Telecommunicatiewet.
De richtlijn en Telecommunicatiewet worden vervangen door de Europese ePrivacy Verordening als aanvulling op de AVG. Wanneer deze wet in werking gaat treden is nog niet duidelijk.
Verwerkt uw organisatie gevoelige persoonsgegevens of politiegegevens? Als deze gegevens in verkeerde handen vallen, dan kunnen de gevolgen voor klanten of medewerkers groot zijn. Dan is een DPIA verplicht.
Een DPIA is een onderbouwing van de verwerking van persoons- of politiegegevens: mag het, welke gegevens, hoe, wie en is het goed beveiligd. Het laat zien wat de risico’s zijn en welke verbeteringen nog nodig zijn. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.
Een DPIA is verplicht als de verwerking van persoons- of politiegegevens een hoog risico kan opleveren voor de personen van wie de gegevens zijn. Er is bijvoorbeeld een hoog risico als:
Het is verplicht om een register bij te houden met alle verwerkingen (processen) van persoons- en politiegegevens. In dit register van verwerkingsactiviteiten staan onder andere het doel van de verwerkingen, de grondslag, categorieën van betrokkenen en persoonsgegevens, derden ontvangers, bewaartermijn en beveiligingsmaatregelen.
Organisaties mogen persoonsgegevens alleen verwerken als ze hiervoor een grondslag hebben. Er zijn zes mogelijke grondslagen:
1. Taak van algemeen belang
Bij deze grondslag verwerken organisaties persoonsgegevens omdat dit noodzakelijk is op basis van wetgeving of voor de uitoefening van het openbaar gezag. Voor overheidsorganisaties is deze grondslag vaak van toepassing omdat ze een bij wet geregelde taak uitvoeren (publieke taak).
2. Overeenkomst
Bij deze grondslag verwerken organisaties persoonsgegevens omdat dit noodzakelijk is voor de uitvoering van een overeenkomst. Denk hierbij aan een arbeidsovereenkomst, koop- of huurovereenkomst.
3. Wettelijke verplichting
Bij deze grondslag verwerken organisaties persoonsgegevens omdat dit noodzakelijk is om gehoor te geven aan een wettelijke verplichting. Denk hierbij aan het aanleveren van persoonsgegevens bij de belastingdienst of het CBS of het bijhouden van een register van arbeidsongevallen.
4. Vitale belangen
Bij deze grondslag verwerken organisaties persoonsgegevens omdat het noodzakelijk is om de vitale belangen van een persoon te beschermen. Bijvoorbeeld bij een ongeval of (natuur)rampen.
5. Gerechtvaardigd belang
Bij deze grondslag verwerken organisaties persoonsgegevens omdat dit noodzakelijk is voor een gerechtvaardigde belang van de organisatie. Hier moet een zorgvuldige afweging worden gemaakt of het gerechtvaardigd belang van de organisatie zwaarder weegt dan de inbreuk op de privacy van de persoon.
6. Toestemming
Bij deze grondslag mogen organisaties persoonsgegevens verwerken omdat ze hier toestemming voor hebben van de persoon van wie de gegevens zijn.
De grondslag toestemming moet een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Het moet voldoen aan de volgende voorwaarden:
Er mag geen sprake zijn van een machtsverhouding. Tussen de overheid en burger of werkgever en werknemer is daar al snel sprake van.
Mensen hebben rechten als organisaties hun persoonsgegevens verwerken. Het doel is dat iedereen controle kan houden over hun persoonsgegevens.
Recht op inzage
Personen kunnen om een overzicht vragen van de gegevens die een organisatie van ze heeft, waarom, waar ze vandaan komen, welke partijen ze hebben ontvangen en hoe lang we ze bewaren.
Recht op aanpassen, aanvullen en verwijderen
Als persoonsgegevens niet juist, compleet of nodig zijn, dan kunnen personen organisaties vragen om aan te passen of te verwijderen.
Recht op beperking
Personen kunnen organisaties vragen om hun gegevens tijdelijk niet te gebruiken:
zolang het verzoek om aanpassen of verwijderen van de gegevens of het bezwaar nog niet is afgerond.
als de organisatie de persoons- of politiegegevens eigenlijk moet verwijderen, maar de persoon dit niet wil.
Recht op overdragen
Personen kunnen organisaties vragen om hun digitale gegevens over te dragen aan de persoon zelf of een andere organisatie. Dit kan alleen als de organisatie gegevens van de persoon verwerkt onder de grondslag toestemming of overeenkomst.
Recht op bezwaar of klacht indienen
Personen hebben het recht om bezwaar te maken tegen het gebruik van hun persoonsgegevens. Ook kunnen ze een klacht in dienen bij de Autoriteit Persoonsgegevens.
Recht op menselijke blik bij besluiten
Mensen die een geautomatiseerd besluit van een organisatie hebben ontvangen, kunnen vragen om een nieuw besluit die door een persoon wordt genomen.
Personen hebben recht op duidelijke uitleg over hoe een organisatie omgaat met hun persoonsgegevens. Deze informatie moet toegankelijk zijn en makkelijk te begrijpen.
Organisaties moeten minimaal informatie geven over:
Bij een datalek zijn persoonsgegevens:
zonder dat dit de bedoeling was.
Het is verplicht om datalekken te registreren in een intern register. Ernstige datalekken moeten organisaties melden binnen 72 uur bij de Autoriteit Persoonsgegevens (AP). Ook de personen van wie de gegevens zijn, moeten worden geïnformeerd over wat er is gebeurd.
Een datalek is ernstig als het nadelige gevolgen kan hebben voor de personen. De kans hierop is groot als het gaat om bijzondere of strafrechtelijke gegevens of er een risico is op discriminatie, reputatieschade, identiteitsfraude, financiële schade.
Wil uw organisatie persoonsgegevens delen met een ontvanger buiten de Europese Economische Ruimte (EER)? Dan is een niveau aan bescherming nodig die gelijkwaardig is aan die in de EER. Een DTIA is een onderzoek of de persoonsgegevens gelijkwaardig beschermd zijn of dat er extra maatregelen nodig zijn om de privacyrisico’s te beperken.
NIS2-richtlijn en Cyberbeveiligingswet
De Network and Information Security Directive (NIS2-richtlijn) heeft als doel de informatiebeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Deze Europese richtlijn wordt in Nederland omgezet naar de Cyberbeveiligingswet.
De Cyberbeveiligingswet geldt voor (middel)grote organisaties waarbij uitval van hun diensten kan zorgen voor maatschappelijke en economische ontwrichting.
Valt uw organisatie onder de Cyberbeveiligingswet? Dan zijn dit de belangrijkste verplichtingen:
ISO 27001 en ISO 27002
Loopt uw organisatie risico’s als de informatiebeveiliging niet op orde is? Dan kunt u ervoor kiezen om de internationale beveiligingsnormen ISO 27001 en 27002 te implementeren.
Baseline Informatiebeveiliging Overheid
Binnen de overheid is een normenkader voor informatiebeveiliging afgesproken waar overheidsorganisaties aan moeten voldoen. Dit is de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op de ISO 27001 en 27002.
NEN 7510
De NEN 7510 is een normenkader voor informatiebeveiliging waar zorgaanbieders aan moeten voldoen. Dit staat in het Besluit elektronische gegevensverwerking door zorgaanbieders. De NEN 7510 is een Nederlandse norm gebaseerd op de ISO 27001.
Artificial intelligence (AI) biedt kansen voor innovatie en economische ontwikkeling. Onverantwoorde inzet van AI kan leiden tot discriminatie, beperkingen van onze vrijheden, misleiding en uitbuiting van mensen. Daarom is de Europese verordening artificial intelligence (AI-verordening) in augustus 2024 in werking getreden.
De AI-verordening heeft als doel dat organisaties AI op een verantwoorde en transparante manier ontwikkelen en inzetten en daarmee het vertrouwen in AI vergroten.
In een overgangsperiode tot en met augustus 2030 moeten organisaties zorgen dat ze aan de AI-verordening voldoen. Voor overheidsorganisaties die nu al werken met AI-systemen, gelden de verplichtingen in 2030 met terugwerkende kracht.
De verplichtingen in de AI-verordening zijn afhankelijk van het risiconiveau van een AI-systeem. Sommige AI-systemen zijn vanaf februari 2025 verboden omdat de risico’s onacceptabel hoog zijn. Bij hoog risico AI-systemen is het vanaf januari 2026 verplicht om te zorgen voor:
Overheidsorganisaties moeten een Impact Assessment Mensenrechten en Algoritmes (IAMA) uitvoeren. Met een IAMA worden de risico’s in kaart gebracht en of er genoeg is gedaan om risico’s te beperken.
Laag risico AI-systemen hebben geen onacceptabele en hoge risico’s. Voor deze AI-systemen gaat een transparantieverplichting gelden. Voor AI-systemen met persoonsgegevens is ook de privacywetgeving van toepassing.
Ontwikkelt, verkoopt of gebruikt uw organisatie AI-systemen? Als een AI-systeem hoge risico’s met zich meebrengt voor de gezondheid, veiligheid, grondrechten of het milieu, dan wordt een IAMA verplicht. Met een IAMA worden de risico’s in kaart gebracht en of er genoeg is gedaan om de risico’s te beperken. Een IAMA wordt ook wel een ‘Fundamental Rights Impact Assessment’ (FRIA) genoemd.
Artificial intelligence (AI) of kunstmatige intelligentie zijn computersystemen die menselijke intelligentie nabootsen. Deze systemen zijn goed in snel verzamelen en analyseren van gegevens en patronen herkennen. Op basis daarvan kunnen ze besluiten nemen, voorspellingen doen of inhoud genereren.
Ontwikkelt, verkoopt of gebruikt uw organisatie AI-systemen? Dan geldt de AI-verordening. Vaak worden er ook persoonsgegevens verwerkt. Dan is ook de privacywetgeving van toepassing.
Innovatie en technologie is belangrijk voor organisaties. Digitale ethiek gaat over het afwegen of er voldoende rekening is gehouden met de maatschappelijke en publieke waarden en de innovatie en nieuwe technologie verantwoord ingezet kan worden.
Hiermee worden onbedoelde vooroordelen, onjuiste conclusies, discriminatie en afhankelijkheid voorkomen.
Maatschappelijke waarden zijn bijvoorbeeld duurzaamheid, gezondheid, veiligheid, economie en dienstverlening. Publieke waarden zijn bijvoorbeeld autonomie, persoonlijke levenssfeer, rechtvaardigheid, vertrouwen.
Zet uw organisatie in op nieuwe technologie en digitalisering die impact kan hebben voor maatschappelijke en publieke waarden? Met een EIA kunt u deze waarden en effecten hierop in kaart brengen en ethisch verantwoorde beslissingen nemen.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.