Persoonsgegevens op internet
Veel mensen publiceren gegevens over zichzelf of over anderen op internet, zoals foto’s op Instagram. Ook organisaties plaatsen persoonsgegevens op internet. De gevolgen hiervan kunnen groot zijn voor de mensen om wie het gaat. Want eenmaal op internet geplaatste gegevens zijn meestal jaren later nog vindbaar. Dit kan bijvoorbeeld bij een sollicitatie nadelige gevolgen hebben.
Op deze pagina
Grondslag toestemming
Niemand mag zomaar persoonsgegevens van een ander op internet publiceren. Dit mag in principe alleen als daarvoor een wettelijke grondslag is uit de Algemene verordening gegevensbescherming (AVG). Bij openbare publicatie op internet is dat vrijwel altijd de grondslag toestemming.
Er zijn uitzonderingen voor persoonlijk/huishoudelijk gebruik en journalistiek gebruik.
Persoonsgegevens verwijderen
Staan iemands gegevens op internet, dan heeft diegene het recht om deze gegevens te laten verwijderen. Bijvoorbeeld omdat ze niet langer nodig zijn voor het doel waarvoor ze verzameld of verwerkt zijn, er geen rechtsgrond (meer) is voor verwerking of omdat de verwerking onrechtmatig is.
Doxing
Doxing is het verzamelen of openbaar maken van persoonsgegevens van iemand anders, met het doel om diegene bang te maken of lastig te vallen. Doxing is strafbaar.
Snelle antwoorden
Hoe weet ik wie de eigenaar van een website is?
Kijk eerst of op de website of u contactinformatie kunt vinden. Webwinkels en andere aanbieders van online diensten zijn altijd verplicht om contactgegevens op hun website te vermelden. Dat is in ieder geval een e-mailadres of contactformulier.
Kunt u geen contactgegevens vinden op de website? Dan kunt u de eigenaar achterhalen via een website met domeinregistraties.
Contactgegevens achterhalen Nederlandse website
Gaat het om een Nederlandse website, eindigend op .nl? Zoek dan de eigenaar van de website op via de website van Stichting Internet Domeinregistratie Nederland (SIDN).
Hier kunt u de naam van de website invullen in de balk 'check hier je .nl-domeinnaam'. Neem vervolgens contact op met de persoon of organisatie die genoemd wordt als 'houder' (eigenaar) van het domein.
Let op: u krijgt alleen het e-mailadres van de eigenaar te zien. Lukt het hiermee niet om de eigenaar te bereiken? Dan kunt u in sommige gevallen SIDN vragen om meer contactgegevens. Zie: SIDN en privacy.
De politie heeft toegang tot nog uitgebreidere gegevens in het WHOIS-register. Bij ernstige overtredingen en misdrijven raden wij u aan aangifte te doen.
Contactgegevens achterhalen buitenlandse website
Gaat het om een buitenlandse website? Zoek dan via Whois.net.
Kan ik mijn dataverbruik bij mijn internetprovider inzien?
Heeft u een vraag over de rekening van uw internetprovider voor uw dataverbruik? Wilt u bijvoorbeeld weten welke websites of apps wanneer hoeveel data hebben gebruikt? Uw internetprovider kan u alleen inzage geven als u van tevoren toestemming heeft gegeven voor het bewaren van deze gegevens. Anders heeft uw provider de gegevens niet.
Inhoud dataverkeer
Uw internetprovider mag in principe niets weten over de inhoud van uw dataverkeer, zoals welke websites u heeft bezocht. Hiervoor is analyse van het dataverkeer (‘deep packet inspection’) nodig. Zo’n analyse mag uw internetprovider alleen doen als dat strikt noodzakelijk is voor een technisch doel, zoals het beheer van het netwerk.
Uw provider moet uw gegevens daarbij direct anonimiseren. Uw provider mag geen analyses op individueel niveau bewaren. Tenzij u als klant daarvoor vooraf toestemming heeft gegeven. Uw provider moet u over deze mogelijkheid informeren.
Waar moet ik op letten als mensen zich via internet kunnen inschrijven voor mijn evenement?
Als u een evenement organiseert, zult u vaak van tevoren willen weten wie er gaat komen. Het is dan makkelijk als bezoekers zich via internet kunnen inschrijven. Let dan in ieder geval op de volgende dingen.
Beveiliging
De gegevens van het inschrijfformulier moeten via een beveiligde verbinding worden verzonden.
Hoeveelheid gegevens
Vraag niet meer gegevens dan nodig. Wilt u alleen het aantal bezoekers weten en naambordjes maken? Dan is het meestal genoeg om voornaam, achternaam, functie en organisatie te vragen.
Het is bijvoorbeeld ook niet nodig om de leeftijd te registreren als u alleen wilt weten of iemand een volwassene is. U kunt dan vragen of iemand vóór een bepaald jaartal geboren is.
Informeren
Leg goed uit waarom u de gegevens verzamelt. Dat kunt u doen in uw privacyverklaring. Maar het is vaak duidelijker om dat in het formulier zelf uit te leggen.
Gegevens bewaren
Bewaar de gegevens niet langer dan nodig. Dat betekent meestal dat u de gegevens na het einde van het evenement moet verwijderen. Heeft u de gegevens langer nodig, bijvoorbeeld om betalingen te innen? Dan moet u de gegevens direct daarna verwijderen.
U kunt nog wel geaggregeerde, anonieme gegevens bewaren. Bijvoorbeeld dat in totaal 10 mensen zich voor uw evenement hadden ingeschreven.
Nieuwsbrief
Wilt u bezoekers een nieuwsbrief over uw producten of diensten sturen? Dat mag alleen als bezoekers vooraf duidelijk aangeven dat ze die nieuwsbrief willen ontvangen. Bijvoorbeeld door een vinkje te zetten. Ook moet u de bezoekers bij iedere nieuwsbrief de mogelijkheid bieden zich uit te schrijven.
Extern inschrijfsysteem
Wilt u een inschrijfsysteem gebruiken dat een andere organisatie aanbiedt? Dat kan, maar dan moet u wel een verwerkersovereenkomst met die organisatie sluiten. Daarin moet u onder meer afspreken dat de organisatie de verzamelde gegevens niet voor zichzelf gebruikt en de gegevens goed beveiligt. Ook blijven de hierboven beschreven aandachtspunten gelden. U blijft verantwoordelijk voor de gegevensverwerking.
Deelnemerslijst delen
Wilt u de deelnemerslijst van uw evenement delen onder uw bezoekers, zodat zij bijvoorbeeld makkelijk kunnen netwerken? Vraag dan vooraf aan de bezoekers welke contactgegevens zij willen delen. Misschien willen zij wel een zakelijk telefoonnummer delen, maar geen privénummer op de deelnemerslijst laten plaatsen.
U kunt eenvoudig om toestemming vragen op het moment dat iemand zich inschrijft voor uw evenement. Die toestemming moet vrijelijk en ondubbelzinnig worden gegeven. U moet kunnen aantonen dat u toestemming heeft gekregen.