Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon ('de betrokkene'). De term 'identificeerbaar' heeft betrekking op personen die direct of indirect kunnen worden geïdentificeerd, met name door gebruik te maken van een specifieke identificator.
U bent een betrokkene (d.w.z. de natuurlijke persoon op wie de persoonsgegevens betrekking hebben). Een betrokkene is een individuele persoon die direct of indirect kan worden geïdentificeerd aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, of aan de hand van elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze individuele persoon.
De Health Insurance Portability and Accountability Act (HIPAA) is een federale wet in de Verenigde Staten die is bedoeld om te voorzien in privacynormen ter bescherming van gegevens uit het medisch dossier en andere medische gegevens van patiënten die worden verstrekt aan artsen, ziektekostenverzekeraars, ziekenhuizen, 'business associates' en andere gezondheidszorgverleners.
De HIPAA verstaat onder 'beschermde gezondheidsinformatie' (Protected Health Information; PHI) gezondheidsinformatie in enige vorm (waaronder fysieke records, elektronische records of gesproken informatie over iemands gezondheidstoestand, de zorg die aan iemand wordt verleend of de zorg die voor iemand wordt betaald) die wordt gecreëerd of verzameld door zogenoemde 'covered entities' (waaronder ziektekostenverzekeraars, factureringsbureaus, gezondheidszorgverleners) en die kan worden gekoppeld aan een specifieke persoon. Er zijn volgens de HIPAA 18 identificatoren op basis waarvan gezondheidsinformatie 'beschermde gezondheidsinformatie' (HPI) wordt.
De Algemene verordening gegevensbescherming (AVG) is een verordening in de EU-wetgeving betreffende gegevensbescherming en privacy die geldt in de Europese Unie en de Europese Economische Ruimte. In de AVG wordt bepaald hoe bedrijven met de persoonsgegevens van burgers van de Europese Unie dienen om te gaan.
In het kader van de AVG worden de volgende gegevens als bijzondere categorieën van persoonsgegevens beschouwd: ras of etnische afkomst; politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond; genetische gegevens; biometrische gegevens met het oog op unieke identificatie van een natuurlijke persoon, gezondheidsgegevens; of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
Bij gegevens over gezondheid gaat het om persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waaruit informatie over de gezondheidstoestand van deze natuurlijke persoon kan worden afgeleid.
Met verwerking wordt bedoeld een al dan niet via geautomatiseerde procedés uitgevoerde bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens. Voorbeelden van verwerking zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. In principe wordt alles wat men zich kan voorstellen wat men ooit met persoonsgegevens zou willen doen als verwerking beschouwd.
Er wordt voldaan aan de wettelijke grondslagen voor het verwerken van persoonsgegevens wanneer geïnformeerde toestemming van de persoon om wie het gaat is verkregen en wanneer de verwerking noodzakelijk is in de context van: uitvoering van een overeenkomst; wettelijke verplichting binnen de EU; bescherming van een leven; uitvoering van een taak van algemeen belang of uitoefening van openbaar gezag; of behartiging van gerechtvaardigde belangen.
Anonimiseren is een methode waarbij persoonsgegevens zodanig worden bewerkt dat deze niet meer kunnen worden gebruikt om een persoon te identificeren. Hiervoor moeten alle identificatoren die door een verwerkingsverantwoordelijke of iemand anders worden gebruikt, waarmee een persoon redelijkerwijs kan worden geïdentificeerd, worden verwijderd. De AVG is niet van toepassing op volledig geanonimiseerde gegevens.
Pseudonimisering houdt in dat persoonsgegevens op zodanige wijze worden verwerkt dat ze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. De aanvullende gegevens worden apart bewaard en er worden technische en organisatorische maatregelen genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon kunnen worden gekoppeld. Gegevens waaruit identificatoren zijn verwijderd of vervangen met het doel de gegevens te pseudonimiseren, zijn volgens de AVG nog steeds persoonsgegevens.
Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten worden geëvalueerd, met name met de bedoeling persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
Toestemming is elke vrije, specifieke, geïnformeerde en ondubbelzinnige uiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn of haar persoonsgegevens aanvaardt.
Als er voor de verwerking van persoonsgegevens toestemming nodig is, moet deze toestemming afzonderlijk worden verkregen. Verkrijging van toestemming kan niet door een privacyverklaring worden vervangen.
Een verwerkingsverantwoordelijke is een entiteit die alleen of samen met anderen de doelen van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Verwerkingsverantwoordelijken moeten voldoen, en aantonen dat ze voldoen, aan alle principes van gegevensbescherming en de andere eisen van de AVG. Ze zijn ook verantwoordelijk voor de naleving van hun verwerker(s). Als twee of meer organisaties gezamenlijk de doeleinden waarvoor en de middelen waarmee dezelfde persoonsgegevens worden verwerkt, bepalen, spreekt men van gezamenlijke verwerkingsverantwoordelijken. Zij zijn echter geen gezamenlijke verwerkingsverantwoordelijken als zij dezelfde gegevens voor verschillende doeleinden verwerken.
Een gegevensverwerker is een entiteit die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Als er geen aangewezen doel voor de verwerking van de gegevens is en u alleen de instructies van een klant opvolgt, bent u waarschijnlijk een verwerker, ook als u technische beslissingen neemt over hoe u de gegevens verwerkt. Bij verwerking ten behoeve van een verwerkingsverantwoordelijke, mag de verwerkingsverantwoordelijke alleen gebruikmaken van verwerkers die afdoende garanties bieden dat ze op zodanige wijze gepaste technische en organisatorische maatregelen zullen implementeren dat aan de eisen van de AVG wordt voldaan, inclusief de beveiliging van de verwerking en de bescherming van de rechten van de betrokkene.
Gegevensverwerkers kunnen een andere verwerker contracteren, een zogenoemde subverwerker, om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren. In deze gevallen dienen dezelfde gegevensbeschermingsverplichtingen als die in het contract tussen de verwerkingsverantwoordelijke en de verwerker worden beschreven, aan de subverwerker te worden opgelegd (d.w.z. gepaste technische en organisatorische maatregelen).
Wanneer de subverwerker niet voldoet aan zijn gegevensbeschermingsverplichtingen, blijft de initiële verwerker volledig verantwoordelijk tegenover de verwerkingsverantwoordelijke voor de uitvoering van zijn verplichtingen. De verwerkingsverantwoordelijke moet specifieke of algemene schriftelijke goedkeuring hebben gegeven voordat er een subverwerker wordt gecontracteerd. In het geval van algemene schriftelijke goedkeuring dient de verwerker de verwerkingsverantwoordelijke te informeren voordat hij subverwerkers toevoegt of vervangt, zodat de verwerkingsverantwoordelijke de gelegenheid heeft tegen deze veranderingen bezwaar te maken.
Partijen die geen betrokkene, verwerkingsverantwoordelijke of verwerker zijn, worden derden genoemd. Voorbeelden van derden zijn een schoonmaakbedrijf dat is ingehuurd voor het schoonmaken van kantoorruimten of een bedrijf dat is gespecialiseerd in onderhoud van bepaalde apparatuur. Deze derden zouden bij gelegenheid met persoonsgegevens kunnen worden geconfronteerd wanneer ze in kantoorruimten of met apparatuurbezig zijn, maar ze kunnen hun werk uitvoeren zonder deze gegevens in te zien. Bovendien is het derden contractueel niet toegestaan om persoonsgegevens die een bedrijf als verwerkingsverantwoordelijke bewaard, in te zien of anderszins te verwerken.
Een ontvanger van persoonsgegevens is een entiteit, al dan niet een derde, waaraan we persoonsgegevens kunnen verstrekken.
Een gegevensverwerkingsovereenkomst (DPA, Data Processing Agreement) is een wettelijk bindend contract waarin de geldende rechten en verplichtingen van elke partij met betrekking tot de bescherming van persoonsgegevens worden beschreven.
Voor implementering van effectieve en toepasselijke maatregelen die zorgen voor veilige internationale gegevensoverdracht heeft het Europees Comité voor gegevensbescherming (EDPB, European Data Protection Board) op 18 juni 2021 aanbevelingen aangenomen om internationale gegevensoverdracht veilig te maken. Deze aanbevelingen zijn gebaseerd op de Schrems II-uitspraak van het Europese Hof van Justitie, in het kader waarvan verwerkingsverantwoordelijken die persoonsgegevens naar landen buiten de EU overdragen werden verplicht extra maatregelen te nemen om de gegevensoverdracht veilig te maken.
In de standaardcontractbepalingen (SCC) staan de contractuele verplichtingen van de gegevensexporteur en de gegevensimporteur, en de rechten van de personen van wie de persoonsgegevens worden overgedragen.
In de Europese benadering van gegevensverwerking speelt de aanbeveling 'Ken uw overdracht' een belangrijke rol, wat te maken heeft met het land waarnaar de persoonsgegevens voor verwerking worden overgedragen. In het kader van de Schrems II-uitspraak van het Europese Hof van Justitie is een verwerkingsverantwoordelijke die persoonsgegevens naar een land buiten de EU overdraagt, verplicht extra maatregelen te nemen om de gegevensoverdracht veilig te maken.
De term 'derde land' is niet gedefinieerd in de AVG, maar verwijst in de primaire verdragen van EU naar landen die geen deel uitmaken van die verdragen. Het is een bekende term in EU-wetgeving en normaliter wordt ermee verwezen naar een land dat geen deel uitmaakt van een organisatie die onder die wetgeving valt. Omdat de AVG als wet betrekking heeft op de EU en EER , gaat het bij derde landen om landen die geen lidstaten van de EU of EER zijn.
Het adequaatheidsbesluit van de Europese Commissie geeft aan dat een ander land, rechtsgebied of sector buiten de EU voorziet in een niveau van bescherming voor persoonsgegevens dat gelijkwaardig is aan dit niveau in de EU. Een bijgewerkte lijst van landen met een adequaatheidsbesluit is te vinden op (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Een 'business associate'-overeenkomst (BAA) is een schriftelijke overeenkomst waarin de verantwoordelijkheden van elke partij met betrekking tot de omgang met PHI worden gespecificeerd. De toereikende garanties moeten schriftelijk tussen een 'covered entity' en een 'business associate' worden vastgelegd. Alle BAA’s moeten worden beoordeeld en ondertekend door de privacyafdeling.
Bij Privacy by Design dient er aandacht te zijn voor privacy en gegevensbescherming in de context van de gehele levenscyclus van het project, van de vroege ontwerpfase, initiëring, uitvoering tot beëindiging van het project. De belangrijkste functies van Privacy by Design zijn proactiviteit, implementering van privacycontroles en waken over de bescherming van de betrokkene. Het idee is dat het privacyteam in de beginfasen van een project wordt geïnformeerd, zodat privacycontroles in aanmerking kunnen worden genomen.
Volgens de HIPAA is een inbreuk in verband met PHI ongeoorloofde verwerving, toegang, gebruik of verstrekking in verband met onbeveiligde PHI, waardoor een persoon een significant risico loopt op financiële schade, reputatieschade of andere schade. Volgens het datalekbeleid van de HHS (de zogenoemde HIPAA Breach Notification Rule) moeten 'covered entities' en 'business associates' getroffen personen, de HHS en in sommige gevallen de media inlichten over een inbreuk in verband met onbeveiligde PHI.
De AVG verstaat onder een inbreuk in verband met persoonsgegevens een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.