PRIVACY COMPANY. Overzicht algemene verordening gegevensbescherming april 2016

Transcriptie

1 PRIVACY COMPANY Overzicht algemene verordening gegevensbescherming april

2 Overzicht: Europese algemene verordening gegevensbescherming Dit is een overzicht van de algemene verordening gegevensbescherming (AVG), ook wel Europese privacy verordening (EPV) genoemd, opgesteld door Privacy Company. Privacy Company ondersteunt uw organisatie bij het privacy-compliant maken van uw processen. Wij bieden een breed scala aan diensten; van advies tot onderwijs. Zo kan uw organisatie voldoen aan wet- en regelgeving op het gebied van privacy en loopt u niet langer het risico op hoge boetes. Wij geloven in pragmatische oplossingen die uw medewerkers ook begrijpen. Dus geen ingewikkelde terminologie of lange juridische verhandelingen. We zetten in op structurele oplossingen, waarbij een project niet iedere twee jaar volledig herhaald hoeft te worden omdat de resultaten door de tijd achterhaald zijn. Daarmee bent u ook nog eens goedkoper uit. De volgende algemene opmerkingen zijn van belang: - Deze publicatie is slechts een verkort overzicht van de officiële tekst van de AVG. Er kunnen geen rechten aan deze publicatie worden ontleend. - Een Privacy Impact Assessment (PIA) wordt in de Nederlandstalige versie van de AVG een gegevensbeschermingseffectbeoordeling genoemd. Dit is hetzelfde als een PIA (artikel 35). - De European Data Protection Board (EDPB) wordt in de Nederlandstalige versie van de AVG het Europees Comité voor gegevensbescherming genoemd. - In de nieuwe tekst van de AVG zijn de termen verantwoordelijke en bewerker veranderd in respectievelijk verwerkingsverantwoordelijke en verwerker. Voor de leesbaarheid houden wij echter vast aan de oorspronkelijk termen verantwoordelijke en bewerker. Versie 1.3 april Dit document is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative commons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente versie beschikbaar op 2

3 Inhoudsopgave Hoofdstuk I: Algemene bepalingen... 6 Art. 1 Onderwerp en doelstellingen... 6 Art. 2 Materiële werkingssfeer... 6 Art. 3 Geografisch toepassingsgebied... 6 Art. 4 Definities... 6 Hoofdstuk II: Beginselen... 8 Art. 5 Beginselen inzake de verwerking van persoonsgegevens... 8 Art. 6 Rechtmatigheid van de verwerking... 9 Art. 7 Voorwaarden voor toestemming... 9 Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij... 9 Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens... 9 Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten Art. 11 Verwerking waarvoor identificatie niet is vereist Hoofdstuk III: Rechten van de betrokkene Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten van de betrokkene Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene Art. 15 Recht van inzage Art. 16 Recht op rectificatie Art. 17 Recht op gegevenswissing ("recht op vergetelheid") Art. 18 Recht op beperking van verwerking Art. 19 Notificatie van rectificatie, uitwissing of beperking Art. 20 Recht op overdraagbaarheid van persoonsgegevens Art. 21 Recht van bezwaar/verzet Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering Art. 23 Beperkingen Hoofdstuk IV: De verantwoordelijke en de bewerker Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen Art. 26 Gezamenlijk voor de verwerking verantwoordelijken Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of bewerkers Art. 28 Bewerker Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker Art. 30 Documentatieplicht Art. 31 Medewerking met de toezichthoudende autoriteit Art. 32 Beveiligde verwerking Art. 33 Melden datalek aan de toezichthouder Art. 34 Inlichten van betrokkene over datalek Art. 35 Data Protection Impact Assessment (PIA) Art. 36 Voorafgaande consultatie Art. 37 Aanstelling FG Art. 38 Positie van de FG Art. 39 Taken van de FG Art. 40 Gedragscodes Art. 41 Toezicht op goedgekeurde gedragscodes Art. 42 Certificering Art. 43 Certificeringsinstelling en procedure

4 Hoofdstuk V: Doorgifte van persoonsgegevens naar derde landen of internationale organisaties Art. 44 Algemeen beginsel inzake doorgiften Art. 45 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt Verklaard Art. 46 Doorgiften op basis van passende waarborgen Art. 47 Doorgiften op grond van bindende bedrijfsvoorschriften Art. 48 Ongeautoriseerde doorgiften of verstrekkingen Art. 49 Afwijkingen voor specifieke situaties Art. 50 Internationale samenwerking voor de bescherming van persoonsgegevens Hoofdstuk VI: Onafhankelijke toezichthoudende autoriteiten Art. 51 Toezichthoudende autoriteit Art. 52 Onafhankelijkheid Art. 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit Art. 54 Oprichting van de toezichthoudende autoriteit Art. 55 Competentie Art. 56 Competentie van de hoofdtoezichthouder Art. 57 Taken Art. 58 Bevoegdheden Art. 59 Activiteitenverslag Art. 60 Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende autoriteiten Hoofdstuk VII: Samenwerking en conformiteit Art. 61 Wederzijdse bijstand Art. 62 Gezamenlijke werkzaamheden van de toezichthouder Art. 63 Coherentiemechanisme Art. 64 Advies van het EDPB Art. 65 Geschilbeslechting door de EDPB Art. 66 Spoedprocedure Art. 67 Uitwisseling van informatie Art. 68 Instelling EDPB Art. 69 Onafhankelijkheid EDPB Art. 70 Taken EDPB Art. 71 Jaarlijkse rapportage Art. 72 Stemprocedure Art. 73 Verkiezing voorzitter Art. 74 Taken voorzitter EDPB Art. 75 Taken secretariaat Art. 76 Geheimhouding EDPB Hoofdstuk VIII: Beroep, aansprakelijkheid en sancties Art. 77 Recht een klacht in te dienen bij een toezichthoudende autoriteit Art. 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit 32 Art. 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verantwoordelijke of bewerker Art. 80 Vertegenwoordiging van betrokkenen} Art. 81 Opschorting van de procedure Art. 82 Recht op vergoeding en aansprakelijkheid Art. 83 Administratieve sancties Art. 84 Sancties Hoofdstuk IX: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking Art. 85 Verwerking van persoonsgegevens en vrijheid van meningsuiting Art. 86 verwerken van persoons en publieke toegankelijkheid van officiële documenten Art. 87 Verwerken van nationaal identificatienummer Art. 88 Verwerking in arbeidscontext

5 Art. 89 Waarborgen en uitzonderingen voor de verwerking van persoonsgegevens voor archiveringsdoeleinden met publiek belang of voor wetenschappelijke, historische of statistieke onderzoeksdoeleinden Art. 90 Geheimhoudingsplicht Art. 91 Bestaande gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen Hoofdstuk X: Gedelegeerde handelingen en uitvoeringshandelingen Art. 92 Uitoefening van de bevoegdheidsdelegatie Art. 93 EDPB procedure Hoofdstuk XI: Slotbepalingen Art. 94 Intrekking van richtlijn 95/46/EG Art. 95 Verhouding tot richtlijn 2002/58/EG Art. 96 Verhouding tot eerder vastgestelde overeenkomsten Art. 97 Evaluatie Art. 98 Beoordeling van andere EU-instrumenten voor gegevensbescherming Art. 99 Inwerkingtreding en toepassing

6 Hoofdstuk I: Algemene bepalingen Art. 1 Onderwerp en doelstellingen De verordening legt regels vast met betrekking tot de bescherming van natuurlijke personen op het gebied van persoonsgegevens en het vrij verkeer hiervan. Vrij verkeer van persoonsgegevens in de Europese Unie (EU) mag niet worden gehinderd of worden verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Art. 2 Materiële werkingssfeer De verordening heeft betrekking op het geheel of gedeeltelijk automatisch verwerken van persoonsgegevens alsmede het verwerken op andere manieren dan geautomatiseerd als deze persoonsgegevens deel uit maken van een bestand of hiervoor bedoeld zijn. De verordening ziet niet op verwerkingen die: Niet onder EU-recht vallen; door lidstaten gedaan worden met het oog op het gemeenschappelijk buitenlands en veiligheidsbeleid; door natuurlijke personen worden gedaan met het oog op puur persoonlijke of huishoudelijke activiteiten; door bevoegde autoriteiten gedaan worden voor het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of de tenuitvoerlegging van straffen. Op de verwerkingen die door de instellingen, organen en instanties van de EU worden gedaan is Verordening nr. 45/2001 van toepassing. Verordening nr. 45/2001 beschermt diegenen wier persoonsgegevens om welke reden dan ook door de communautaire instellingen of organen worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen EU zijn. Deze verordening en andere EUinstrumenten die (deels) van toepassing zijn op het verwerken van persoonsgegevens worden aangepast volgens de regel van artikel 90a. Deze verordening doet geen afbreuk aan Richtlijn 2000/31/EG, met name de regels in die richtlijn betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden. Art. 3 Geografisch toepassingsgebied Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke of een bewerker in de EU, ongeacht of de verwerking in de EU plaatsvindt of niet. Als een verantwoordelijke of bewerker geen vestiging heeft in de EU geldt de verordening toch als: De diensten geleverd worden aan een betrokkene in de EU De verwerking gerelateerd is aan het observeren van gedrag van een betrokkene in de EU. De verordening geldt ook voor verantwoordelijken die niet in de EU zijn gevestigd maar die door toepassing van internationaal recht vallen onder nationaal recht van een lidstaat. Art. 4 Definities In artikel 4 worden definities gegeven van veel gebruikte begrippen uit de verordening. Voor de volledige en juiste definities, raadpleeg de verordening. Dit is slechts een korte uitleg van de definities. 6

7 "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); "verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens; "beperken van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken; "profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd; "pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de gegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt; "bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn; "verantwoordelijke": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; "bewerker": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt; "ontvanger": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt; "derde": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan, niet zijnde de betrokkene, noch de verantwoordelijke, noch de bewerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd zijn om de gegevens te verwerken; "toestemming van de betrokkene": elke vrije, specifieke, op informatie berustende en ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling, aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, tot gevolg; "genetische gegevens": alle persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die persoon; "biometrische gegevens": alle persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd wordt; "gegevens over gezondheid": persoonsgegevens met betrekking tot de fysieke of mentale gezondheid van een natuurlijke persoon; hoofdvestiging verantwoordelijke : met betrekking tot een verantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt; hoofdvestiging bewerker : met betrekking tot een bewerker die vestigingen heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt en, wanneer de bewerker geen centrale administratie in de EU heeft, de vestiging van de bewerker in de EU waar de voornaamste verwerkingsactiviteiten plaatsvinden; 7

8 "vertegenwoordiger": elke in de EU gevestigde natuurlijke persoon of rechtspersoon die schriftelijk door de verantwoordelijke of de bewerker is aangewezen om de verantwoordelijke of de bewerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening; "onderneming": iedere natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan; "groep van ondernemingen": een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend; "bindende bedrijfsvoorschriften": beleid inzake de bescherming van persoonsgegevens dat verantwoordelijke of bewerker voert met betrekking tot de doorgifte van persoonsgegevens aan een verantwoordelijke of bewerker in een of meer derde landen binnen een groep van ondernemingen die al dan niet gezamenlijk een economische activiteit uitoefenen; "toezichthoudende autoriteit": een door een lidstaat ingestelde onafhankelijke overheidsinstantie; "betrokken toezichthoudende autoriteit": een toezichthoudende autoriteit die betrokken is bij de verwerking: a) omdat de verantwoordelijke of de bewerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit gevestigd is; b) omdat de betrokkenen die in die lidstaat verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of c) omdat bij die toezichthoudende autoriteit een klacht is ingediend "grensoverschrijdende verwerking van persoonsgegevens": verwerking in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verantwoordelijke of een bewerker in de EU die in meer dan één lidstaat is gevestigd; of verwerking in het kader van de activiteiten van één vestiging van een verantwoordelijke of van een bewerker in de EU, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden. "internationale organisatie": een organisatie en de daaronder ressorterende internationaal publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen. Hoofdstuk II: Beginselen Art. 5 Beginselen inzake de verwerking van persoonsgegevens De verwerking van persoonsgegevens moet aan de volgende eisen voldoen: Verwerkingen moeten rechtmatig, eerlijk en transparant zijn ten opzichte van de betrokkenen; Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld; Persoonsgegevens mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze. Verenigbaar met het oorspronkelijke doel zijn verwerkingen voor archivering, doeleinden van algemeen belang, wetenschappelijke en historische onderzoeksdoeleinden en statistische doeleinden; Persoonsgegevens moeten adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; Persoonsgegevens moeten accuraat en waar nodig up-to-date zijn; Persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt, noodzakelijk is. Persoonsgegevens mogen langer worden bewaard voor archivering in het algemeen belang en voor historische, statistische of wetenschappelijke doeleinden. 8

9 Persoonsgegevens mogen alleen worden verwerkt op een manier die de veiligheid van de persoonsgegevens verzekert. De verantwoordelijke moet kunnen aantonen dat hij zich houdt aan deze beginselen. Art. 6 Rechtmatigheid van de verwerking Verwerkingen van persoonsgegevens mogen alleen berusten op de volgende grondslagen: a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden; b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van verantwoordelijke; d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen; e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de verantwoordelijke is opgedragen; f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van verantwoordelijke. Dit belang moet worden afgewogen tegen het belang van betrokkene. Wanneer gegevens worden verwerkt door een publieke autoriteit, dan mag de verwerking niet berusten op de grondslag gerechtvaardigd belang. Voor c) en e) geldt dat voor de verwerking moet worden voorzien in EU-wetgeving of wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Aan de wetgeving van de lidstaat worden wel eisen gesteld. Zo moet de verwerking in het algemeen belang zijn of noodzakelijk om de rechten en vrijheden van anderen te beschermen. Bovendien moet de verwerking het recht op bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel. Art. 7 Voorwaarden voor toestemming Als de verwerking berust op toestemming moet de verantwoordelijke kunnen aantonen dat de betrokkene deze toestemming heeft gegeven. Toestemming mag te allen tijde worden ingetrokken. Intrekken van toestemming moet even eenvoudig zijn als het geven ervan. Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij Bij het verwerken van persoonsgegevens in het kader van het aanbieden van een dienst van de informatiemaatschappij aan een kind jonger dan 16 jaar op basis van toestemming, is dit slechts rechtmatig indien toestemming of machtiging tot toestemming is verkregen van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. De wet van een lidstaat kan voorzien in een lagere leeftijd, mits deze niet lager is dan 13 jaar. De verantwoordelijke moet zich redelijk inspannen om te controleren of er toestemming of machtiging tot toestemming is gegeven. Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden. 9

10 Verwerkingen van dergelijke bijzondere categorieën van persoonsgegevens zijn echter wel toegestaan wanneer: de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven; de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en rechten op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht; de verwerking noodzakelijk is ter bescherming van de vitale belangen van een natuurlijk persoon indien deze fysiek of juridisch niet in staat is zijn toestemming te geven; de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk, werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; de betrokkene de persoonsgegevens kennelijk zelf openbaar heeft gemaakt de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering; de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang; de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnoses, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten; de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid; de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden; Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid. Ook mogen deze gegevens verwerkt worden wanneer de verwerking is geautoriseerd door EU-recht of recht van de lidstaat, mits er passende waarborgen getroffen zijn om de rechten en vrijheden van betrokkenen te beschermen. Art. 11 Verwerking waarvoor identificatie niet is vereist Indien de doeleinden waarvoor een verantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan de verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken. Hoofdstuk III: Rechten van de betrokkene Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten van de betrokkene De informatie aan de betrokkene moet in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm worden gepresenteerd. 10

11 De verantwoordelijke moet de betrokkenen de nodige faciliteiten bieden om zijn rechten uit te kunnen oefenen. Worden de persoonsgegevens op elektronische wijzen verwerkt, dan moet de betrokkene ook de mogelijkheid worden geboden om zijn rechten op elektronische wijze uit te oefenen. De verantwoordelijke kan dan op elektronische wijze de informatie verstrekken. De verantwoordelijke heeft maximaal een maand de tijd om te reageren op een verzoek van de betrokkene, met de mogelijkheid van 2 maanden verlenging bij omvangrijke verzoeken. De verantwoordelijke mag in principe geen kosten in rekening brengen voor het verzoek. Wanneer een dergelijk verzoek kennelijk ongegrond of buitensporig is mag de verantwoordelijk een redelijke vergoeding vragen of het verzoek weigeren. Het is aan de verantwoordelijke om aan te tonen dat het verzoek ongegrond of buitensporig is. Het informeren van de betrokkenen kan plaatsvinden in combinatie met standaardiconen. De Commissie is bevoegd nadere wetgeving vast te stellen over deze iconen. Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene Wanneer de persoonsgegevens worden verzameld bij de betrokkenen zelf, moet de betrokkene op het moment van het verzamelen van deze gegevens worden geïnformeerd over de volgende aspecten: De identiteit van de verantwoordelijke; Indien van toepassing, contactgegevens van de Functionaris voor gegevensbescherming (hierna: FG); De doeleinden van de verwerking en de grondslag(en); Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis van een gerechtvaardigd belang; De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing); Het voornemen van doorgifte naar een derde land en geschikte waarborgen De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn); Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en overdraagbaarheid van persoonsgegevens; Het recht om toestemming in te trekken (indien sprake is van toestemming); Het recht om een klacht in te dienen bij de bevoegde autoriteit; Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen van het niet verstrekken van de persoonsgegevens zijn; Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter; Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene Wanneer de gegevens niet worden verzameld bij de betrokkene zelf, moet hij/zij worden geïnformeerd over de volgende aspecten: De identiteit van de verantwoordelijke; Indien van toepassing, contactgegevens van de FG; De doeleinden van de verwerking en de grondslag(en); De betrokken categorieën persoonsgegevens; De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing); Doorgifte naar een derde land zonder passend beschermingsniveau (indien van toepassing); De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn); Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis van een gerechtvaardigd belang; Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en overdraagbaarheid van persoonsgegevens; 11

12 Het recht om toestemming in te trekken (indien sprake is van toestemming); Het recht om een klacht in te dienen bij de bevoegde autoriteit; De bron van de verzamelde persoonsgegevens en of het gaat om een openbaar toegankelijke bron (indien van toepassing); Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter; Bovenstaande informatie moet uiterlijk binnen een maand na het verkrijgen van de persoonsgegevens aan de betrokkene worden verstrekt. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan moet deze informatie worden verstrekt op het moment van deze doorgifte. Het informeren van de betrokkene is niet verplicht indien de betrokkene al op de hoogte is van deze informatie, als het informeren van de betrokkene onmogelijk is of onevenredig veel moeite kost, als de verkrijging of verstrekking is voor geschreven door EU-wetgeving of nationale wetgeving en voorziet in passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene, of als de gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van EU-wetgeving of nationale wetgeving. Art. 15 Recht van inzage De betrokkene heeft het recht op inzage in de volgende informatie: De doeleinden van de verwerking; De categorieën persoonsgegevens waar het om gaat; De (toekomstige) ontvangers van de persoonsgegevens; De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn); Het bestaan van het recht op rectificatie, verwijdering, restrictie en verzet; Het recht om een klacht in te dienen bij de bevoegde autoriteit; De bron van de verzamelde persoonsgegevens, indien de gegevens niet van de betrokkene zijn verkregen; Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter; Welke passende waarborgen de verantwoordelijke heeft genomen, indien de gegevens worden verstrekt aan derde landen. De verantwoordelijke moet een kopie verstrekken van de verwerkte persoonsgegevens. Is het verzoek op elektronische wijze ingediend, dan dienen de kopieën eveneens in elektronische vorm te worden verstrekt. Er mag een redelijke bijdrage gevraagd worden als de betrokkene om bijkomende kopieën vraagt. Het recht op inzage mag geen afbreuk doen aan de rechten en vrijheden van anderen. Art. 16 Recht op rectificatie De betrokkene heeft het recht op rectificatie van gegevens als de gegevens onnauwkeurig zijn en het recht op aanvulling als de gegevens incompleet zijn. Art. 17 Recht op gegevenswissing ("recht op vergetelheid") De betrokkene heeft het recht op uitwissing van zijn persoonsgegevens in de volgende gevallen: De persoonsgegevens zijn niet langer noodzakelijk gelet op het doel waarvoor ze zijn verzameld of waarvoor ze normaliter zouden zijn verwerkt; De betrokkene heeft zijn toestemming ingetrokken en er bestaat geen andere grondslag op grond waarvan de gegevens mogen worden verwerkt; 12

13 De betrokkene heeft gebruik gemaakt van zijn recht van verzet en er zijn geen zwaarwegende belangen op grond waarvan de persoonsgegevens nog mogen worden verwerkt; De gegevens zijn onrechtmatig verwerkt; EU-wetgeving of nationale wetgeving verplicht tot uitwissing; De persoonsgegevens zijn verzameld bij het aanbieden van diensten van de informatiemaatschappij aan kinderen. Zijn de betreffende gegevens openbaar gemaakt door de verantwoordelijke, dan zal hij alle redelijke maatregelen nemen om de andere verantwoordelijken te informeren over het uitwissingsverzoek van de betrokkene zodat alle kopieën en links naar de persoonsgegevens gewist kunnen worden. Uitwissing is niet geoorloofd als verwerking van persoonsgegevens noodzakelijk is voor: De vrijheid van meningsuiting; EU-wetgeving, nationale wetgeving of een publieke taak; Algemeen belang of algemene gezondheid; Archiveringsdoeleinden van algemeen belang of statistisch of wetenschappelijk onderzoek; Rechtszaken. Art. 18 Recht op beperking van verwerking De verantwoordelijke moet op verzoek van de betrokkene de verwerking beperken in de volgende gevallen: De juistheid van de gegevens wordt door de betrokkene in twijfel getrokken. De verantwoordelijke moet eerst controleren of de gegevens accuraat zijn; De verwerking is onrechtmatig en de betrokkene verzoekt in plaats van uitwissing om restrictie van de verwerkingen; De gegevens zijn niet langer noodzakelijk voor de verwerkingsdoeleinden, maar moeten wel worden bewaard voor de instelling, uitoefening of verdediging van een rechtsvordering; De betrokkene heeft een verzoek ingediend met betrekking tot zijn recht op verzet. De verantwoordelijke moet controleren of daartoe legitieme gronden bestaan. De persoonsgegevens mogen bij restrictie, afgezien van de opslag ervan, slechts worden verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang. Vóórdat de restrictie wordt opgeheven, wordt de betrokkene over deze opheffing geïnformeerd. Art. 19 Notificatie van rectificatie, uitwissing of beperking De verantwoordelijke dient alle ontvangers aan wie de persoonsgegevens zijn verstrekt op de hoogte te stellen van de rectificatie, uitwissing of beperking van persoonsgegevens. Dit is niet verplicht als dit onmogelijk is of onevenredige inspanning kost. Art. 20 Recht op overdraagbaarheid van persoonsgegevens Vindt verwerking van persoonsgegevens plaats op automatische wijze, dan moet de verantwoordelijke op verzoek van de betrokkene een kopie kunnen leveren van de persoonsgegevens die deze van hem verwerkt. Deze kopie moet worden aangeleverd in een gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm. Dit recht kan alleen worden uitgeoefend als de verantwoordelijke de gegevens verwerkt op basis van toestemming of overeenkomst. Waar technisch mogelijk, heeft de betrokkene het recht om de gegevens rechtstreeks over te laten dragen van de ene naar de andere verantwoordelijke. Het recht op overdraagbaarheid van persoonsgegevens mag geen inbreuk maken op de rechten van derden. 13

14 Art. 21 Recht van bezwaar/verzet De betrokkene heeft het recht om op grond van zijn bijzondere situatie bezwaar te maken tegen verwerkingen van zijn persoonsgegevens als deze worden verwerkt op basis van gerechtvaardigd belang of algemeen belang. Dit recht kan niet worden ingeroepen als de verantwoordelijke dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan die van de betrokkene. Wanneer persoonsgegevens worden verwerkt voor direct marketing, heeft de betrokkene het recht zich hiertegen te verzetten. De betrokkene heeft ook het recht om zich te verzetten tegen profilering ten behoeve van direct marketingdoeleinden. De verantwoordelijke mag de persoonsgegevens dan niet langer verwerken voor deze doeleinden. De betrokkene kan het recht digitaal uitoefenen in geval van diensten van de informatiemaatschappij. Worden persoonsgegevens verwerkt voor wetenschappelijk of statistisch onderzoek, dan mag de betrokkene eveneens daartegen bezwaar maken op grond van zijn bijzondere situatie. Dit verzoek wordt niet gehonoreerd bij onderzoeken van algemeen belang. Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering De betrokkene heeft het recht niet te worden onderworpen aan besluiten waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft die uitsluitend worden genomen op basis van geautomatiseerde verwerkingen, waaronder profilering. Dit uitgangspunt geldt niet indien er voldoende waarborgen zijn getroffen en het besluit: Noodzakelijk is voor het aangaan of het uitvoeren van een overeenkomst; of Toegestaan is op grond van nationale wetgeving; of Is gebaseerd op uitdrukkelijk toestemming van de betrokkene. Indien één van deze gevallen aan de orde is, mag de besluitvorming niet worden gebaseerd op bijzondere persoonsgegevens. Art. 23 Beperkingen EU-wetgeving en de wetgeving van lidstaten kunnen beperkingen aanbrengen op de hierboven beschreven rechten van betrokkenen, mits deze noodzakelijk en proportioneel zijn voor het waarborgen voor een van de volgende doeleinden: Nationale veiligheid; Defensie; Openbare veiligheid; De voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten; Andere algemene belangen van de EU of van een lidstaat (zoals fiscale aangelegenheden); Het waarborgen van rechterlijke onafhankelijkheid; De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; Een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit incidenteel, met de uitoefening van het openbaar gezag, zoals hierboven bedoeld; Bescherming van de rechten en vrijheden van anderen; De tenuitvoerlegging van civielrechtelijke vorderingen. 14

15 De wetgeving moet specifieke bepalingen bevatten over de volgende aspecten: Het doeleinde van de verwerking of categorieën verwerking; De categorieën persoonsgegevens; Het toepassingsgebied van de geïntroduceerde beperking; De waarborgen tegen misbruik of ongeoorloofde toegang; De specificatie van de verantwoordelijke of categorieën verantwoordelijken; De bewaartermijnen en de van toepassing zijnde waarborgen, rekening houdend met de aard, de omvang en het doel van de verwerking of de categorieën van verwerking; De risico s voor de rechten en vrijheden van de betrokkene; Het recht van betrokkene om geïnformeerd te worden over de beperking, behalve als dit bezwarend is voor het doel van de beperking. Hoofdstuk IV: De verantwoordelijke en de bewerker Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke De verantwoordelijke moet passende technische en organisatorische maatregelen nemen zodat de verwerking van persoonsgegevens gebeurt in overeenstemming met de verordening. De verantwoordelijke moet bovendien kunnen aantonen dat hij passende maatregelen heeft genomen en hij moet, wanneer nodig, deze maatregelen actualiseren. Mits proportioneel in relatie tot de verwerking, moet er ook passend gegevensbeschermingsbeleid aanwezig zijn. Als onderdeel van het aantonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen. Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen Op de verantwoordelijke rust de plicht om geschikte technische en organisatorische maatregelen, zoals het pseudonimiseren van persoonsgegevens, toe te passen op het tijdstip van het bepalen van de verwerking (by design) en op het tijdstip van de verwerking zelf. Om te bepalen of een maatregel geschikt is wordt gekeken naar de stand van de techniek, de kosten, het risico van de verwerking, en de aard, scope, context en het doel van de verwerking. Bovendien moeten er maatregelen worden getroffen zodat by default alleen persoonsgegevens verwerkt worden die nodig zijn voor het specifieke doel. Hierbij wordt gekeken naar de hoeveelheid persoonsgegevens die verzameld worden, in hoeverre deze verwerkt worden, de bewaartermijn en de toegankelijkheid. Om aan te tonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt van goedgekeurde certificeringsmechanismen. Art. 26 Gezamenlijk voor de verwerking verantwoordelijken Wanneer twee of meer verantwoordelijken tezamen het doel en de middelen van de verwerking bepalen, zijn zij gezamenlijk verantwoordelijk voor de verwerking. Zij bepalen, op transparante wijze, hun respectievelijke verantwoordelijkheid in een onderlinge regeling. Met name de rechten van betrokkenen en hun informatieplicht zijn hierbij belangrijk. In de regeling mag een aanspreekpunt worden aangewezen. Ook moet de regeling informatie bevatten over de rollen van de verantwoordelijken en de relatie tegenover betrokkenen. De essentie van de regeling moet voor de betrokkene beschikbaar zijn. De betrokkene mag zijn rechten echter uitoefenen jegens elke verantwoordelijke. 15

16 Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of bewerkers Als de verantwoordelijke of bewerker niet is gevestigd in de EU, maar wel persoonsgegevens verwerkt van betrokkenen in de EU, dan moet een vertegenwoordiger aan worden gewezen in de EU. Dit hoeft echter niet als de verwerking (1) incidenteel is en (2) er geen speciale categorieën persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen op grote schaal worden verwerkt en (3) het onwaarschijnlijk is dat de verwerking een risico vormt voor de rechten en vrijheden van natuurlijke personen. Ook hoeft er geen vertegenwoordiger worden aangewezen bij verwerkingen door een overheidsinstantie of -orgaan. De vertegenwoordiger moet gevestigd zijn in dezelfde lidstaat waar ook de betrokkenen zich bevinden van wie de persoonsgegevens in verband met het aanbieden van goederen of diensten worden verwerkt, of waarvan het gedrag wordt geobserveerd. De vertegenwoordiger moet een mandaat krijgen om in plaats van of naast de verantwoordelijke en bewerker aangesproken te kunnen worden over alle zaken die aan de verwerking van persoonsgegevens gerelateerd zijn (voornamelijk door de toezichthouder en de betrokkenen). Het aanwijzen van een vertegenwoordiger doet niets af aan de rechtsmiddelen die tegen de verantwoordelijke of bewerker open staan. Art. 28 Bewerker De verantwoordelijke mag alleen gebruikmaken van bewerkers die voldoende garanties kunnen geven om geschikte technische en organisatorische maatregelen te implementeren zodat verwerkingen in overeenstemming zijn met de vereisten van de verordening en de rechten van betrokkenen verzekerd zijn. Zonder een specifieke of algemene autorisatie van verantwoordelijke mag er geen sub-bewerker worden aangesteld. In het geval van een algemene autorisatie moet de verantwoordelijke worden ingelicht bij het voornemen om een sub-bewerker te vervangen of nieuw aan te stellen, om de verantwoordelijke de kans te geven dit te verwerpen. Er moet een bewerkersovereenkomst (schriftelijk, waaronder elektronisch) worden gesloten die de bewerker aan de verantwoordelijke bindt. Deze overeenkomst bevat het onderwerp, de duur, de aard, het doel van de verwerking, het type persoonsgegeven, de categorieën betrokkenen, de rechten en plichten van verantwoordelijke, en de volgende eisen voor de bewerker: a) Persoonsgegevens mogen alleen verwerkt worden volgens de gedocumenteerde instructies van de verantwoordelijke, zeker bij doorgifte naar derde landen of internationale organisaties, behalve als de doorgifte verplicht wordt door EU-wetgeving of de wetgeving van lidstaten van de bewerker. In het laatste geval zal de bewerker hierover informeren, behalve als dit niet mag volgens diezelfde wet op basis van een belangrijke grond van algemeen belang; b) Alle personen die geautoriseerd zijn om de persoonsgegevens te verwerken, hebben verplicht vertrouwelijkheid in acht te nemen of moeten door een wettelijke verplichting aan vertrouwelijkheid gebonden zijn; c) Alle voorzorgsmaatregelen met betrekking tot beveiliging van persoonsgegevens moeten zijn genomen; d) De eisen voor sub-bewerkers moeten gerespecteerd worden; e) De bewerker moet het mogelijk maken (organisatorische en technische maatregelen) voor de verantwoordelijke om aan diens verplichtingen met betrekking tot de rechten van betrokkenen te voldoen; f) De bewerker moet de verantwoordelijke assisteren bij het naleven van de verplichtingen met betrekking tot beveiliging van persoonsgegevens, datalekken en Privacy Impact Assessments; 16

17 g) De bewerker moet bij beëindiging van diensten op het gebied van verwerkingen van persoonsgegevens alle persoonsgegevens wissen of teruggeven aan de verantwoordelijke en nog bestaande kopieën wissen, behalve als EU-recht of het recht van de lidstaat verplicht tot het bewaren van deze persoonsgegevens; h) De bewerker moet alle informatie met betrekking tot dit artikel beschikbaar maken aan verantwoordelijke en audits en inspecties door de verantwoordelijke of gemandateerde auditor toestaan en hieraan meewerken. Indien een instructie, volgens de bewerker, tegen de verordening, EU-recht of recht van de lidstaat ingaat, moet de bewerker onmiddellijk de verantwoordelijke op de hoogte stellen. In een contract met een sub-bewerker moeten dezelfde verplichtingen gelden als die uit de bewerkersovereenkomst tussen verantwoordelijke en bewerker. Als de sub-bewerker zijn verplichtingen tot gegevensbescherming niet nakomt, zal de bewerker volledig aansprakelijk zijn jegens de verantwoordelijke. Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan door de bewerker gebruikt worden om aan te tonen dat het bovenstaande garanties biedt. De bewerkersovereenkomst mag, geheel of gedeeltelijk, gestoeld worden op model contractbepalingen die door de Europese Commissie of door de toezichthouder zijn opgesteld. De Europese Commissie moet voor het maken van deze standaard contractclausules wel een onderzoeksprocedure in acht nemen. De toezichthouder moet hiervoor het consistentieprincipe in acht nemen. Als een bewerker in strijd met de verordening het doel en de middelen van de verwerking vaststelt, wordt hij geacht de verantwoordelijke te zijn. Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker De bewerker en elke persoon onder gezag van de verantwoordelijke of bewerker die toegang heeft tot persoonsgegevens, mag deze niet verwerken behalve na instructie van de verantwoordelijke of als dit verplicht wordt door EU-recht of het recht van lidstaat. Art. 30 Documentatieplicht Bedrijven moeten een administratie bijhouden met alle verwerkingsactiviteiten. Deze moet beschikbaar gemaakt worden aan de toezichthouder als hij daar om vraagt. De documentatieplicht vervalt voor bedrijven met minder dan 250 werknemers behalve wanneer (1) de verwerkingen een risico vormen voor de rechten en vrijheden van betrokkenen, (2) het verwerken niet incidenteel is 0f (3) er speciale categorieën persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt worden. Documentatieplicht verantwoordelijke Elke verantwoordelijke en - indien aanwezig - vertegenwoordiger houdt een administratie (schriftelijk of elektronisch) bij met alle verwerkingsactiviteiten onder zijn verantwoordelijkheid. Deze administratie bevat de volgende informatie: a) Naam en contactgegevens van verantwoordelijke (en - indien aanwezig - joint controller, vertegenwoordiger, en FG); b) Doel van de verwerking; c) Beschrijving van categorieën betrokkenen en persoonsgegevens; d) De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of zullen worden, inclusief ontvangers in derde landen; e) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties; f) Indien mogelijk: voorgenomen bewaartermijnen; 17

18 g) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Documentatieplicht bewerker Elke bewerker, en - indien aanwezig - vertegenwoordiger, houdt een administratie (schriftelijk en elektronisch) bij met alle verwerkingsactiviteiten die hij uitvoert namens de verantwoordelijke. Deze administratie bevat de volgende informatie: a) Naam en contactgegevens van bewerker en van elke verantwoordelijke namens wie de bewerker optreedt (en - indien aanwezig van vertegenwoordiger, en FG); b) De categorieën verwerkingen uitgevoerd namens elke verantwoordelijke; c) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties; d) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Art. 31 Medewerking met de toezichthoudende autoriteit Elke verantwoordelijke en bewerker, en indien aanwezig vertegenwoordiger, zal medewerking verlenen aan de toezichthouder bij het uitoefenen van de taken van de toezichthouder. Art. 32 Beveiligde verwerking Passende technische en organisatorische beveiligingsmaatregelen moeten worden genomen om een beveiligingsniveau te waarborgen dat passend is voor het risico. Hierbij moet rekening gehouden worden met de stand van de techniek, kosten van implementatie, de aard, reikwijdte, context en doeleinden van de verwerking en de risico s en impact op de rechten en vrijheden van individuen. Daarbij moeten o.a. de volgende maatregelen, indien passend, worden genomen: Pseudonimiseren en encryptie van persoonsgegevens; Verzekeren van de geheimhouding, integriteit en beschikbaarheid van persoonsgegevens; De mogelijkheid om gegevens te herstellen bij fysieke of technische incidenten; Maatregelen regelmatig testen en evalueren. Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan gebruikt worden om aan te tonen dat voldaan wordt aan de hierboven beschreven verplichtingen. Art. 33 Melden datalek aan de toezichthouder De verantwoordelijke meldt onverwijld, of ten minste 72 uur na ontdekking, een datalek aan de bevoegde toezichthouder, tenzij het datalek vermoedelijk geen inbreuk vormt op de rechten en vrijheden van individuen. De melding moet zijn voorzien van een redelijke verklaring in het geval het niet is gelukt de melding te doen binnen 72 uur. De bewerker meldt een datalek onverwijld aan de verantwoordelijke. De melding moet ten minste de volgende elementen bevatten: De aard van het datalek, incl. welke groepen betrokkenen getroffen zijn, indicatie van het aantal betrokkenen, de soort gegevens en een indicatie van het aantal gegevens; De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen; De (te verwachten) consequenties van het datalek; Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken. 18

19 Als het niet mogelijk is om alle informatie ineens te geven, mag dit zonder onnodige vertraging in fasen. De verantwoordelijke documenteert alle datalekken. Dit overzicht bevat ten minste de feiten van het datalek, de gevolgen ervan en de maatregelen die zijn genomen om verdere schade te voorkomen. De documentatie moet het voor de toezichthouder mogelijk maken om na te gaan in hoeverre de verantwoordelijke compliant is met dit artikel. Art. 34 Inlichten van betrokkene over datalek Betrokkenen moeten onverwijld door de verantwoordelijke van het datalek op de hoogte worden gebracht indien het waarschijnlijk is dat het datalek een hoog risico vormt voor de rechten en vrijheden van de betrokkene. De melding aan betrokkene moet duidelijk de aard van het datalek beschrijven en ten minste de volgende onderdelen bevatten: De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen; De (te verwachten) consequenties van het datalek; Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken. Betrokkene hoeft niet te worden geïnformeerd als: De verantwoordelijke passende technische en organisatorische beveiligingsmaatregelen heeft genomen en deze maatregelen ervoor zorgen dat de gelekte gegevens onbruikbaar zijn voor personen die niet geautoriseerd zijn, zoals d.m.v. encryptie; De verantwoordelijke maatregelen heeft genomen die ervoor hebben gezorgd dat de eerder beschreven risico s voor betrokkenen zich niet voor kunnen doen; Het voor de verantwoordelijke een onevenredige last is om betrokkenen te informeren. In dit geval moet er een publieke mededeling worden gedaan of op andere, net zo effectieve wijze worden gecommuniceerd. De toezichthouder kan de verantwoordelijke verplichten de mededeling aan betrokkene alsnog te doen, indien de verantwoordelijk dit (nog) niet heeft gedaan en de toezichthouder van mening is dat het datalek ernstige gevolgen kan hebben voor de betrokkene. De toezichthouder kan ook bepalen dat aan een van de gronden voor niet-hoeven-melden is voldaan. Art. 35 Data Protection Impact Assessment (PIA) Wanneer een verwerking een verhoogd risico voor de rechten en vrijheden van individuen vormt, moet de verantwoordelijke, voorafgaand aan de verwerking, een Privacy Impact Assessment (PIA) uitvoeren. Indien er een FG is aangesteld, wordt deze geconsulteerd. In de volgende gevallen zal in ieder geval een PIA worden uitgevoerd: a) Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op een geautomatiseerde verwerking (incl. profilering) en op grond waarvan besluiten met rechtsgevolgen worden genomen of die op andere wijze significante gevolgen heeft voor een natuurlijk persoon; b) Het op grote schaal verwerken van bijzondere of strafrechtelijke persoonsgegevens; c) Het stelselmatig en grootschalig monitoren van openbaar toegankelijke ruimten; d) Wanneer de verwerking op de lijst van de toezichthouder voorkomt. Deze lijst wordt in samenspraak met de andere Europese toezichthouders vastgesteld t.b.v. de consistente uitleg van de verordening. 19