Woordenboek

A

  • Accountability

    Accountability betekent dat organisaties moeten kunnen aantonen dat zij aan de AVG voldoen. Dit wordt ook de verantwoordingsplicht genoemd.

  • Adequaatheidsbesluit

    Met een adequaatheidsbesluit stelt de Europese Commissie (EC) vast dat de gegevensbescherming in een derde land van een vergelijkbaar niveau is als de AVG.

  • Algemene verordening persoonsgegevens (AVG)

    De Algemene verordening gegevensbescherming (AVG) is de belangrijkste privacywet, die in de hele Europese Unie (EU) geldt.

  • Algemene wet bestuursrecht (Awb)

    Afkorting van de Algemene wet bestuursrecht. Hierin staat hoe de overheid besluiten moet voorbereiden en bekendmaken. En binnen welke termijn de overheid een besluit moet nemen. Daarnaast bevat deze wet regels voor het indienen en behandelen van bezwaar- en beroepschriften.

  • Alternatieve interventie

    De AP kan ervoor kiezen om niet direct een officieel onderzoek en/of formeel handhavingstraject te starten, maar een overtreding op een andere manier te laten stoppen. Bijvoorbeeld door een waarschuwingsbrief of -gesprek.

  • Anonimiseren

    Bij het anonimiseren van persoonsgegevens worden de gegevens zó veranderd dat niet meer te achterhalen is over wie de gegevens gaan.

  • Authenticatie

    Authenticatie is een beveiligingsmechanisme dat toegangscontrole regelt. Het vereist dat de (digitale) identiteit van een gebruiker of systeem wordt gecontroleerd met een daarvoor geschikt middel.

  • Autorisatie

    Iemand toestemming geven voor toegang tot een systeem, een dossier of (persoons)gegevens.

B

  • Basisregistratie Personen (BRP)

    Alle gemeenten in Nederland houden in een eigen administratie gegevens bij van hun inwoners. De administraties van alle gemeenten samen vormen één grote databank. Dat is de Basisregistratie Personen (BRP).

  • Behoorlijk

    Organisaties moeten volgens de basisprincipes uit de AVG persoonsgegevens verwerken op een manier die ‘behoorlijk’ is. Dat betekent: eerlijk. Een verwerking mag dus bijvoorbeeld niet misleidend of discriminerend zijn.

  • Beperking van de verwerking

    Mensen hebben het recht om organisaties te vragen (tijdelijk) te stoppen met het gebruik van hun persoonsgegevens. Bijvoorbeeld als zij een organisatie hebben gevraagd om hun gegevens te wijzigen of te wissen, maar de organisatie dit verzoek nog moet beoordelen. Dit heet het recht op beperking van de verwerking.

  • Berisping

    Een berisping is een van de maatregelen (sancties) die de AP kan opleggen. Hiermee stelt de AP een inbreuk op de AVG vast en laat de AP blijken deze af te keuren.

  • Betaaldienst

    Consumenten kunnen verschillende betaaldiensten gebruiken. Bijvoorbeeld voor betalingen via hun smartphone, een automatisch huishoudboekje of advies over besparingen.

  • Betaaldienstverlener

    Het bedrijf achter een betaaldienst heet de betaaldienstverlener.

  • Betrokken toezichthouder

    Bij een internationaal onderzoek heeft één privacytoezichthouder uit de EU de leiding. Deze werkt samen met de privacytoezichthouders van de andere EU-landen waar de gegevensverwerking impact heeft. Deze andere toezichthouders, die dus niet de leiding hebben, worden de betrokken toezichthouders genoemd.

  • Betrokkene(n)

    De persoon of personen van wie een organisatie persoonsgegevens verwerkt.

  • Bijzondere persoonsgegevens

    Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote(re) impact op iemand kan hebben als een organisatie deze gegevens verwerkt. Bijvoorbeeld gegevens over iemands gezondheid of politieke voorkeur. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG.

  • Binding Corporate Rules (BCR)

    Binding corporate rules (BCR) zijn interne bedrijfsvoorschriften voor het gegevensverkeer binnen de eigen organisatie, die internationale organisaties of multinationals met zowel vestigingen binnen als buiten de EU kunnen opstellen.

  • Biometrische gegevens

    Voorbeelden van biometrische persoonsgegevens zijn vingerafdrukken of gezichtsafbeeldingen. Deze lichaamskenmerken zijn uniek. Daarom kunnen organisaties die gebruiken om mensen te identificeren of hun identiteit te bevestigen.

  • Boete

    Dit is een handhavingsmaatregel die inhoudt dat een overtreder van de privacywetgeving voor straf een bedrag moet betalen aan de AP. Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

  • Bovenmatig

    De verwerking van persoonsgegevens is bovenmatig als er meer persoonsgegevens worden verwerkt dan noodzakelijk is voor het doel van de verwerking.

  • Burgerservicenummer (BSN)

    Het burgerservicenummer (BSN) is een uniek persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid.

C

  • Certificering; certificaat

    Een certificaat (of AVG-certificaat) is een schriftelijke verklaring dat een product, proces of dienst voldoet aan alle of bepaalde specifieke eisen uit de AVG.

  • College bescherming persoonsgegevens

    De oude naam van de Autoriteit Persoonsgegevens  (tot 1 januari 2016).

  • Compliance; compliant

    Zich aan de privacywetgeving houden bij het verwerken van persoonsgegevens.

  • Cookiewall

    Een cookiewall houdt in dat een website of app alleen toegankelijk is door cookies te accepteren. Omdat mensen daarbij geen echte keuze hebben, zijn cookiewalls onder de AVG verboden.

  • Creditscoring

    De kredietwaardigheid van een potentiële klant toetsen, oftewel een inschatting maken of die persoon in staat is de rekeningen te betalen. Bijvoorbeeld bij een lening of een gsm-abonnement.

D

  • Data protection impact assessment (DPIA)

    Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen.

  • Data protection officer (DPO)

    De Engelse term voor de functionaris gegevensbescherming (FG). Een FG houdt binnen een organisatie toezicht op de toepassing en naleving van de privacywetgeving.

  • Datalek

    Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.

  • Datalekregister

    Organisaties zijn volgens de AVG verplicht een datalekregister op te stellen en bij te houden. Hierin registreren zij welke datalekken er in de organisatie zijn geweest.

  • Dataminimalisatie

    Als organisaties persoonsgegevens verwerken, moeten ze uitgaan van het principe ‘zo min mogelijk’. Dat houdt in: niet meer gegevens verwerken dan noodzakelijk. Het is een van de de basisprincipes uit de AVG.

  • Dataportabiliteit

    Mensen hebben recht op dataportabiliteit. Dat houdt in dat zij in bepaalde situaties het recht hebben om de persoonsgegevens te ontvangen die organisaties van hen hebben. Of om die gegevens rechtstreeks te laten overdragen aan een andere organisatie.

  • Derde

    Geeft een organisatie persoonsgegevens door aan een andere organisatie of aan een persoon buiten de organisatie, dan wordt die andere organisatie of persoon een ‘derde’ of ‘derde partij’ genoemd.

  • Derde landen
  • Doelbinding

    Doelbinding houdt in dat organisaties persoonsgegevens die zij voor een bepaald doel hebben verzameld, niet ineens voor een heel ander doel mogen gebruiken. Het is een van de de basisprincipes uit de AVG.

E

  • Eenloketmechanisme

    Een organisatie kan persoonsgegevens verwerken in verschillende lidstaten van de Europese Unie (EU). Of in één lidstaat, maar wel van mensen uit meerdere lidstaten. De organisatie hoeft echter maar met één privacytoezichthouder zaken te doen. Dit wordt het eenloketmechanisme of ‘one stop shop’ genoemd. 

  • Encryptie

    Encryptie (ook wel 'versleuteling' genoemd)  is het versleutelen van informatie, zodat die onbegrijpelijk is voor onbevoegden. Dit is een beveiligingsmaatregel. De gegevens worden hierdoor niet anoniem.

  • European Data Protection Board (EDPB)

    De European Data Protection Board (EDPB) is een onafhankelijk orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie (EU) samenwerken.

  • Europees Verdrag tot bescherming van de rechten van de mens (EVRM)

    Afkorting van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden uit 1950. Artikel 8 van het EVRM gaat over het ‘recht op eerbiediging van het privéleven’.

  • Europese Economische Ruimte (EER)

    Bij de Europese Economische Ruimte (EER) horen alle EU-landen plus Liechtenstein, Noorwegen en IJsland.

F

G

  • Geautomatiseerde besluitvorming

    Bij geautomatiseerde of automatische besluitvorming wordt er automatisch (door de computer) een beslissing over iemand genomen. Dit gebeurt op basis van gegevens over die persoon, zonder dat een mens deze persoonsgegevens beoordeelt.

  • Gedragscode

    Een groep organisaties, zoals een branche of sector, kan (vrijwillig) een AVG-gedragscode opstellen voor de manier waarop deze organisaties omgaan met persoonsgegevens. Daarmee laten zij zien dat zij de AVG naleven.

  • Gegevensbeschermingseffectbeoordeling (GEB)

    Een gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen. Een GEB wordt ook wel een data protection impact assessment (DPIA) genoemd.

  • General Data Protection Regulation (GDPR)

    De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

  • Gerechtvaardigd belang

    Een belang is een gerechtvaardigd belang als het ergens in het recht is opgenomen. En wordt erkend en beschermd. Dat mag ook in een ongeschreven rechtsregel of rechtsbeginsel zijn. Als het maar gaat om een belang waarvan we in de maatschappij vinden dat het door het recht beschermd moet worden. 

  • Gevoelige gegevens

    Gevoelige gegevens zijn persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens, financiële gegevens en het BSN.

  • Gezamenlijke verantwoordelijkheid

    Wanneer meerdere organisaties samen bepalen voor welk doel en op welke manier zij persoonsgegevens verwerken. Er zijn dan meerdere verwerkingsverantwoordelijken, oftewel er is sprake van gezamenlijke verantwoordelijkheid. De organisaties moeten dan vastleggen hoe zij hun verantwoordelijkheid voor de naleving van de AVG vormgeven.

  • Gezondheidsgegevens

    Gegevens over iemands gezondheid zijn bijzondere persoonsgegevens, omdat ze heel privacygevoelig zijn.

  • Grensoverschrijdende gegevensverwerking

    Er is sprake van een grensoverschrijdende gegevensverwerking als een organisatie persoonsgegevens ook buiten de eigen EU-lidstaat verwerkt. Bijvoorbeeld zowel in Nederland als in Duitsland of een land buiten de EU. Of als mensen in meer dan één lidstaat (waarschijnlijk) wezenlijke gevolgen ondervinden van de gegevensverwerking.

  • Grondslag

    Organisaties mogen alleen persoonsgegevens verwerken als zij daar een goede reden voor hebben. De juridische term hiervoor is ‘grondslag’. In de AVG staan 6 mogelijke grondslagen.

  • Grootschalige verwerking

    Bij een grootschalige verwerking verwerkt een organisatie op grote schaal persoonsgegevens. Of het ‘op grote schaal’ is, hangt af van: het aantal betrokkenen, de hoeveelheid gegevens, hoe lang de verwerking duurt en de geografische reikwijdte ervan.

H

  • Hashing

    Hashing is een methode om persoonsgegevens te pseudonimiseren. Daardoor wordt het moeilijker om deze gegevens te herleiden naar personen. Hashing is een beveiligingsmaatregel en leidt niet tot anonimisering.

  • Heimelijke controle

    Het monitoren van personen zonder dat zij dit weten.

I

  • Identiteitsbewijs

    Een identiteitsbewijs is een hulpmiddel waarmee personen zich kunnen identificeren: kunnen aantonen dat ze zijn wie ze zeggen dat ze zijn.

  • Identiteitsfraude

    Bij identiteitsfraude maken criminelen misbruik van valse of gestolen identiteitsgegevens. Ze kopen bijvoorbeeld op naam van iemand anders spullen zonder te betalen.

  • Indirect identificerende persoonsgegevens

    Indirect identificerende persoonsgegevens zijn niet direct te herleiden tot een bepaald persoon, maar wel in combinatie met elkaar of met andere gegevens.

  • Informatieplicht

    Elke organisatie die persoonsgegevens verwerkt, heeft een informatieplicht. Dat betekent dat de organisatie verplicht is om mensen duidelijk te informeren over wat de organisatie met hun persoonsgegevens doet en waarom.

  • Integriteit (van gegevens)

    ‘Vertrouwelijkheid en integriteit’ is een van de basisprincipes uit de AVG. Dit principe houdt in dat elke gegevensverwerking op een passende manier moet worden beveiligd, zodat persoonsgegevens niet illegaal kunnen worden gewijzigd.

  • Internet of things

    Naast pc’s, laptops en smartphones zijn er steeds meer andere apparaten die zijn verbonden met het internet en die onderling communiceren. Bijvoorbeeld smart tv’s, auto’s, wearables (zoals een smartwatch), speelgoed, koelkasten, muzieksystemen, lampen en thermostaten. Samen vormen deze apparaten het internet of things.

  • Inzage

    Mensen hebben recht op inzage in de persoonsgegevens die organisaties van hen verwerken. Vraagt iemand inzage aan een organisatie, dan moet de organisatie laten weten welke gegevens de organisatie heeft van deze persoon, waar die vandaan komen en wat ermee gebeurt.

J

  • Journalistieke exceptie

    De journalistieke exceptie houdt in dat voor journalistieke publicaties bepaalde uitzonderingen gelden op de AVG. Bijvoorbeeld dat de auteur geen toestemming hoeft te vragen aan de betrokkenen voor het gebruik van hun persoonsgegevens.

  • Juistheid (van gegevens)

    Juistheid is een van de basisprincipes uit de AVG. Het houdt in dat organisaties die persoonsgegevens verwerken, ervoor moeten zorgen dat de gegevens juist zijn. En dat zij de gegevens actualiseren als dat nodig is.

K

  • Kernactiviteiten

    Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken. Of die tot de hoofdtaken van de organisatie horen.

L

  • Last onder dwangsom

    Een van de sancties van de AP. Een organisatie krijgt hierbij een bepaalde tijd om een overtreding te beëindigen. Gebeurt dit niet (op tijd), dan moet de organisatie een vooraf vastgesteld bedrag betalen per dag of week dat de overtreding voortduurt.

  • Leidende toezichthouder

    Organisaties die grensoverschrijdende verwerkingen uitvoeren, krijgen met één privacytoezichthouder te maken. Dat is de leidende toezichthouder, meestal de toezichthouder in de lidstaat waarin de hoofdvestiging van een organisatie is gevestigd.

  • Loggen; logging; logbestand

    Logging is een beveiligingsmaatregel. Hiermee worden gebeurtenissen in systemen vastgelegd. Bijvoorbeeld wie bepaalde gegevens heeft bekeken of aangepast en wanneer dit gebeurde. Maar ook pogingen om ongeautoriseerd toegang te krijgen.

M

  • Meerfactorauthenticatie

    Meerfactorauthenticatie is een techniek waarbij een persoon of systeem een combinatie van minimaal 2 verschillende typen authenticatiefactoren moet gebruiken om toegang te krijgen.

  • Meldplicht datalekken

    Organisaties die een ernstig datalek hebben, moeten dit op tijd melden bij de AP en soms ook aan de slachtoffers.

N

  • Noodzaak; noodzakelijk; noodzakelijkheidsvereiste

    Persoonsgegevens verwerken mag volgens de AVG alleen als dit noodzakelijk is om een bepaald doel te bereiken. Noodzakelijkheid bestaat uit 2 vereisten: proportionaliteit en subsidiariteit.

O

  • One stop shop

    One stop shop’ of het eenloketmechanisme houdt in dat organisaties die persoonsgegevens verwerken in verschillende EU-lidstaten of van mensen uit meerdere lidstaten, maar met één privacytoezichthouder zaken hoeven te doen.

  • Onrechtmatig; onrechtmatigheid

    Een verwerking van persoonsgegevens is onrechtmatig als die niet aan de AVG voldoet.

  • Opslagbeperking

    Organisaties moeten persoonsgegevens verwijderen zodra die niet langer noodzakelijk zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Organisaties mogen gegevens dus maar een bepaalde tijd bewaren. Dit is een van de de basisprincipes uit de AVG.

P

  • Personeelsvolgsysteem

    Een personeelsvolgsysteem is een systeem om de aanwezigheid, het gedrag of de prestaties van werknemers te controleren. Gebruikt een werkgever een systeem niet om werknemers te monitoren, maar zou dit wel kunnen? Ook dan is dit een personeelsvolgsysteem. Personeelsvolgsystemen komen daarom vrij veel in organisaties voor.

  • Persoonsgegevens

    Bij persoonsgegevens gaat het om informatie die ofwel direct over iemand gaat, ofwel indirect naar deze persoon te herleiden is. Bijvoorbeeld door meerdere persoonsgegevens met elkaar te combineren.

  • Phishing

    Bij phishing sturen internetcriminelen nepmails, vaak naar e-mailadressen die via een datalek zijn verkregen. Zo proberen zij informatie te achterhalen (zoals inloggegevens) en daarmee toegang te krijgen tot een netwerk of systeem.

  • Privacy by design en default

    Een zorgvuldige omgang met persoonsgegevens is organisatorisch en technisch te stimuleren met privacy by design en default. Privacy by design houdt in: er al bij het ontwerpen van producten en diensten voor zorgen dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat de standaardinstellingen van een product of dienst (bijvoorbeeld een mobiele telefoon) privacyvriendelijk zijn.

  • Privacyrechten

    Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Dit noemen we privacyrechten. Bijvoorbeeld het recht om gegevens in te zien, te laten verbeteren of verwijderen. 

  • Privacyverklaring

    In een privacyverklaring vermeldt een organisatie onder meer welke persoonsgegevens de organisatie gebruikt en waarom.

  • Proportionaliteit; proportioneel

    Het vereiste van proportionaliteit houdt in dat de inbreuk op de privacy van de betrokkenen in verhouding staat tot het doel van de verwerking.

  • PSD2

    PSD2 is een Europese richtlijn waarin de regels staan voor betaaldiensten.

  • Pseudonimiseren

    Gegevens pseudonimiseren is een beveiligingsmaatregel. Door persoonsgegevens te pseudonimiseren is het moeilijker om deze gegevens te herleiden naar personen.

R

  • Ransomware

    Ransomware is een vorm van malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist.

  • Recht op vergetelheid

    Organisaties zijn in een aantal situaties verplicht om iemands persoonsgegevens te wissen als diegene dat vraagt. Dit wordt wel het recht op vergetelheid of recht op gegevens wissen genoemd.

  • Rechten van betrokkenen

    Mensen hebben een aantal rechten als organisaties hun persoonsgegevens verwerken. Bijvoorbeeld het recht om gegevens in te zien, te laten verbeteren of verwijderen. We noemen dit ook wel privacyrechten.

  • Rechtmatig; rechtmatigheid

    Een verwerking van persoonsgegevens is rechtmatig als die aan de AVG voldoet.

  • Rectificatie (van gegevens); recht op rectificatie

    Mensen hebben het recht om organisaties te vragen hun gegevens te rectificeren (aanpassen of aanvullen) als die niet kloppen of niet compleet zijn. Dit heet het recht op rectificatie.

  • Restrisico's

    Als een nog te starten verwerking van persoonsgegevens privacyrisico’s met zich meebrengt, maar het een organisatie niet lukt om (voldoende) maatregelen te vinden om deze risico’s te beperken. De organisatie kan dan een  voorafgaande raadpleging aanvragen bij de AP. 

  • Richtlijn gegevensbescherming bij rechtshandhaving

    Naast de AVG is er een aparte Europese Richtlijn gegevensbescherming bij rechtshaving. In Nederland is deze richtlijn per 1 januari 2019 geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

S

  • Screening

    Screening houdt in dat een organisatie informatie opvraagt over een sollicitant of een bestaande werknemer, om zo een inschatting te maken van de betrouwbaarheid van deze persoon.

  • Standard contractual clauses (SCC’s)

    Een standaardcontract of modelcontract voor doorgifte van persoonsgegevens naar een derde land, dat is goedgekeurd door de Europese Commissie.

  • Strafrechtelijke gegevens

    Strafrechtelijke gegevens zijn gegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Of met veiligheidsmaatregelen die daarmee verband houden.

  • Subsidiariteit

    Het vereiste van subsidiariteit houdt in dat het doel van de verwerking niet op een andere manier te bereiken is,  die minder ingrijpend is voor de privacy van de betrokkenen.

  • Subverwerker

    Organisaties kunnen de verwerking van persoonsgegevens uitbesteden aan een andere partij. Dit wordt de verwerker genoemd. Als deze verwerker de verwerking ook weer uitbesteedt aan een andere partij, dan is die partij de subverwerker.

  • Systematisch

    Verwerkingen die volgens een bepaald systeem plaatvinden. Zoals een verwerking die is opgenomen in de systemen of in het beleid van een organisatie.

T

  • Toestemming

    Een van de grondslagen in de AVG is dat mensen toestemming hebben gegeven om hun persoonsgegevens te verwerken.

  • Transparantie; transparant

    Organisaties moeten volgens de basisprincipes uit de AVG persoonsgegevens verwerken op een manier die ‘transparant’ is. Dat betekent dat het voor betrokkenen helder moet zijn hoe en waarom een organisatie hun persoonsgegevens verwerkt.

U

  • Uitdrukkelijke toestemming

    Uitdrukkelijke toestemming is een verzwaarde vorm van toestemming, waarbij de betrokkene een uitdrukkelijke verklaring van toestemming moet geven. Dit is vereist in situaties met een ernstig privacyrisico en waarbij het belangrijk is dat mensen zelf controle houden over hun persoonsgegevens. Bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens.

  • Uitvoeringswet AVG (UAVG)

    Op een aantal punten laat de Algemene verordening gegevensbescherming (AVG) ruimte voor nationale keuzes. In Nederland zijn die uitgewerkt in de Uitvoeringswet AVG (UAVG).

  • Uitzondering voor persoonlijk of huishoudelijk gebruik

    Is een publicatie van persoonsgegevens uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? En dus niet voor professionele of commerciële doeleinden? Dan is er geen toestemming van de betrokkene(n) nodig voor publicatie, omdat de AVG niet van toepassing is.

V

  • Verantwoordingsplicht

    Organisaties moeten kunnen aantonen dat zij aan de AVG voldoen. Dit wordt de verantwoordingsplicht of accountability genoemd.

  • Vergunning

    Organisaties die strafrechtelijke gegevens willen verwerken en delen met anderen, moeten vaak eerst een vergunning aanvragen bij de AP.

  • Versleutelen

    Door informatie te versleutelen, wordt die onbegrijpelijk voor onbevoegden. Dit wordt ook wel encryptie genoemd en is een beveiligingsmaatregel. De gegevens worden hierdoor niet anoniem.

  • Verwerken

    Verwerken van persoonsgegevens houdt in: alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.

  • Verwerker

    Een verwerker verwerkt persoonsgegevens in opdracht van een andere organisatie en gebruikt deze persoonsgegevens niet voor eigen doeleinden.

  • Verwerkersovereenkomst

    Een verwerkingsverantwoordelijke en een verwerker leggen de afspraken die zij hebben gemaakt over de verwerking schriftelijk vast in een verwerkersovereenkomst.

  • Verwerking

    Een verwerking van persoonsgegevens is alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.

  • Verwerkingsregister

    In een verwerkingsregister staat informatie over de persoonsgegevens die een organisatie verwerkt. Alle organisaties die persoonsgegevens verwerken, zijn verplicht zo’n register op te stellen.

  • Verwerkingsverantwoordelijke

    De verwerkingsverantwoordelijke is een organisatie of persoon die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt.

  • Verwerkingsverbod

    1. Voor bijzondere persoonsgegevens en strafrechtelijke gegevens geldt op grond van de AVG een verwerkingsverbod. Tenzij er een wettelijke uitzondering is.



    2. De AP kan een organisatie een verwerkingsverbod opleggen. Dit is een van de sancties van de AP. Hiermee legt de AP een verwerking van persoonsgegevens tijdelijk of definitief stil.

  • Voorafgaande raadpleging

    Is uit een DPIA naar voren gekomen dat een verwerking die een organisatie van plan is een hoog privacyrisico oplevert? En lukt het deze organisatie niet om maatregelen te vinden om dit risico te beperken? Dan moet de organisatie met de AP overleggen. Dit noemen we een voorafgaande raadpleging.

W

Z

  • Zwarte lijst

    Een zwarte lijst is een lijst van personen met wie een organisatie geen zaken (meer) wil doen, zoals winkeldieven of frauderende medewerkers. Wil de organisatie de zwarte lijst delen met andere organisaties, dan mag dat alleen met een vergunning van de AP.