Privacyverklaring AP

Voor de Autoriteit Persoonsgegevens (AP) is de bescherming van persoonsgegevens uiterst belangrijk. Wij vinden het ook belangrijk om u hierover duidelijk en open te informeren. In deze privacyverklaring geven we informatie over wat wij doen met uw persoonsgegevens.

versie mei 2024

Wij respecteren uw privacy en zorgen er daarom voor dat wij uw persoonsgegevens altijd vertrouwelijk behandelen. En dat wij ons daarbij aan de privacywetgeving houden.

Wie zijn wij?

De AP is de onafhankelijke toezichthouder in Nederland die zich sterk maakt voor het grondrecht op bescherming van persoonsgegevens. Wij houden toezicht op alle organisaties en personen die persoonsgegevens verwerken. Om onze taken te kunnen uitvoeren, verwerken wij zelf ook persoonsgegevens.

Hoe komen wij aan uw persoonsgegevens?

Als wij uw persoonsgegevens verzamelen en gebruiken, is dat meestal omdat u zelf contact met ons heeft opgenomen. En u daarbij informatie over uzelf heeft gegeven. Bijvoorbeeld wanneer u een tip of klacht bij ons indient. Of wanneer u als organisatie een datalek meldt.

Het kan ook dat uw persoonsgegevens in onze dossiers voorkomen zonder dat u deze informatie zelf heeft aangeleverd. Bijvoorbeeld omdat wij onderzoek doen naar uw organisatie of omdat iemand een klacht over u heeft ingediend. Ook kunnen wij informatie uit openbare bronnen halen en vastleggen als dat noodzakelijk is voor ons werk.

Welke persoonsgegevens verwerken wij?

Als AP kunnen wij deze persoonsgegevens van u verwerken:

• naam, adres en woonplaats;
• contactgegevens (zoals e-mailadres en telefoonnummer);
• persoonsgegevens in een onderzoeksdossier, waaronder mogelijk bijzondere persoonsgegevens en/of strafrechtelijke gegevens;
• financiële gegevens in bijvoorbeeld een onderzoeksdossier;
• geboortedatum en -plaats;
• stem- en/of beeldopnames voor verslaglegging van hoorzittingen;
• camerabeelden van beveiligingscamera’s;
• identiteitsbewijs;
• FG-nummer;
• gegevens van een organisatie, waaronder KVK-nummer;
• handtekening; 
• informatie uit cookies en soortgelijke technieken.

Welke persoonsgegevens wij precies van u verwerken, hangt af van de situatie. Lees daarvoor verder bij: Waarvoor verwerken wij uw persoonsgegevens?

Bijzondere of strafrechtelijke gegevens

Verwerken wij bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens van u? Dan mogen wij dat doen vanwege het zwaarwegend algemeen belang daarvan (artikel 9, tweede lid aanhef en onder g AVG, artikel 23 onder b UAVG en artikel 32 onder e UAVG).

Waarvoor verwerken wij uw persoonsgegevens? 

Er zijn verschillende doelen waarvoor wij uw persoonsgegevens kunnen verwerken. Wij geven eerst informatie over de doelen waarvoor wij gegevens verwerken als u namens uzelf (als privépersoon) contact met ons heeft. Daarna gaan we in op de doelen voor verwerking als u namens een organisatie of als professional met ons in contact komt.

Namens uzelf

Wij kunnen persoonsgegevens van u als privépersoon verwerken in deze situaties:

• U bezoekt de AP-website.
• U dient een klacht, tip of datalektip in.
• U belt, e-mailt of stuurt een brief.
• U solliciteert bij de AP.
• U gebruikt uw privacyrechten.
• U doet een bemiddelingsverzoek.
• U bent het niet eens met de AP.

Als u op een link klikt, vindt u informatie over de verwerking in deze situatie. Wilt u nog meer weten over een bepaalde verwerking? Bekijk dan ons verwerkingsregister.

Namens uw organisatie of als professional

Wij kunnen uw persoonsgegevens verwerken in deze situaties:

• U bezoekt de AP-website.
• U meldt een datalek.
• U heeft zakelijk contact met de AP.
  U neemt contact met ons op of wij met u. Bijvoorbeeld als u journalist, leverancier of kennisexpert bent.
• U vraagt om een advies of beoordeling.
  U vraagt de AP om een wetgevingsadvies, voorafgaande raadpleging, vergunning, beoordeling van uw gedragscode, beoordeling van uw certificatieschema of toestemming voor internationale doorgifte.
• U meldt zich aan als FG.
• U doet een klokkenluidersmelding.
• De AP doet onderzoek naar uw organisatie of naar u.
• U bent het niet eens met de AP.
• U maakt bezwaar tegen een besluit van de AP.
• U stelt (hoger) beroep in of vraagt een voorlopige voorziening aan.
• U bezoekt het kantoor van de AP.

Als u op een link klikt, vindt u informatie over de verwerking in deze situatie. Wilt u nog meer weten over een bepaalde verwerking? Bekijk dan ons verwerkingsregister.

Op basis van welke grondslagen verwerken wij uw persoonsgegevens?

Elke organisatie die persoonsgegevens verwerkt, mag dat alleen als er een grondslag voor is. Als AP verwerken wij persoonsgegevens op basis van deze grondslagen:

• Algemeen belang.
• Wettelijke verplichting.
• Uitvoering overeenkomst.
• Toestemming. 
  Verwerken wij uw persoonsgegevens op basis van uw toestemming? Dan kunt u uw toestemming op ieder moment intrekken. Vanaf dat moment verwerken wij uw persoonsgegevens niet meer. Tenzij er (ook) een andere grondslag is om uw gegevens te verwerken.

Hoe lang bewaren we uw persoonsgegevens?

Wij bewaren uw persoonsgegevens niet langer dan nodig is voor het doel waarvoor wij uw gegevens verwerken. Hebben wij uw persoonsgegevens niet langer nodig voor dat doel? Dan verwijderen wij uw persoonsgegevens. Maar soms zijn wij verplicht om uw gegevens langer te bewaren. Bijvoorbeeld als dat in de Archiefwet staat. 

Lees meer over archivering door de overheid

Wilt u weten hoe lang wij uw gegevens bewaren in een specifieke situatie? Bekijk dan ons verwerkingsregister.

Met wie kunnen wij uw persoonsgegevens delen?

Wij delen in principe geen persoonsgegevens met andere partijen (derden). Tenzij het echt niet anders kan, omdat het noodzakelijk is om onze wettelijke taken te kunnen uitvoeren. Dan kunnen wij persoonsgegevens delen binnen Nederland, binnen de EER of soms ook daarbuiten. Wij kunnen dan persoonsgegevens delen met:

• andere toezichthouders, inclusief de EDPB, bijvoorbeeld bij grensoverschrijdende onderzoeken;
• andere belanghebbenden, bijvoorbeeld in een bezwaarschriftprocedure;
• (contact)personen bij (weder)partij(en) of hun gemachtigde(n) en gerecht(en) en eventueel de advocaat van de AP;
• de Afdeling bestuursrechtspraak van de Raad van State, voor het voeren van gerechtelijke procedures waarbij de AP partij is;
• het Centraal Justitieel Incassobureau (CJIB), voor het laten innen van boetes;
• verwerkers, zoals onze ICT-dienstverlener;
• het Centraal Bureau voor de Statistiek (CBS), bij het delen van datalekmeldingen;
• de politie en het Openbaar Ministerie (OM), als we ergens aangifte van doen;
• ministeries, zeer incidenteel voor wetgevingsadvisering of het opstellen van ambtsberichten, waarmee de AP ministeries input levert voor het beantwoorden van Kamervragen.

Internationale doorgifte

De AP werkt samen met de privacytoezichthouders in alle EER-landen en met de verschillende gremia van de Europese Unie, zoals de EDPB. Daardoor worden persoonsgegevens verwerkt binnen de EER. Daarnaast worden er persoonsgegevens verwerkt in landen buiten de EER vanwege ICT-systemen. Dit gebeurt zo min mogelijk. En alleen als er een transfermechanisme is en we hebben beoordeeld dat de doorgifte past binnen de wet- en regelgeving. 

Lees meer over doorgifte van persoonsgegevens buiten de EER

Wie heeft er binnen de AP toegang tot uw persoonsgegevens?

Binnen de AP kunnen medewerkers persoonsgegevens inzien als zij daarvoor zijn geautoriseerd. De mensen bij de AP die toegang hebben tot uw persoonsgegevens, hebben bovendien een geheimhoudingsverklaring getekend.

Hoe beveiligen we uw persoonsgegevens?

Wij nemen zowel technische als organisatorische maatregelen om de persoonsgegevens die wij verwerken te beveiligen. Zodat deze gegevens bijvoorbeeld niet verloren raken. Wij doen dit volgens de daarvoor geldende wettelijke eisen en richtlijnen, zoals de Baseline Informatiebeveiliging Overheid (BIO) van de Rijksoverheid.

Een voorbeeld van een technische maatregel is dat uw gegevens via een beveiligde verbinding worden verzonden als u gebruikmaakt van een online formulier op de website van de AP. Ook worden uw gegevens tijdens de verzending versleuteld. Dit betekent dat uw gegevens onleesbaar zijn, mochten ze in verkeerde handen terechtkomen.

Een voorbeeld van een organisatorische maatregel is dat alleen daartoe bevoegde medewerkers van de AP uw gegevens mogen inzien.

Heeft u nog vragen over de beveiliging van uw persoonsgegevens bij de AP, neem dan contact op met de Chief Information Security Officer (CISO) via ciso@autoriteitpersoonsgegevens.nl.

Welke privacyrechten heeft u?

Als wij uw persoonsgegevens verwerken, heeft u een aantal privacyrechten:

• Recht op inzage: U kunt vragen welke persoonsgegevens wij van u gebruiken. Zo kunt u controleren of wij dat goed doen volgens de privacywet, de AVG.
• Recht op rectificatie: Kloppen de persoonsgegevens die wij van u hebben niet of ontbreken er gegevens? Dan kunt u ons vragen om de gegevens te wijzigen of aan te vullen.
• Recht op verwijdering: In sommige gevallen kunt u ons vragen om uw persoonsgegevens te verwijderen.
• Recht op beperking van de verwerking: U kunt ons vragen om tijdelijk te stoppen met het gebruik van uw persoonsgegevens. Bijvoorbeeld omdat u eerst een besluit wilt afwachten op een ander verzoek.
• Recht op dataportabiliteit: U kunt ons vragen om uw persoonsgegevens over te dragen aan een andere organisatie. 
• Recht van bezwaar: U kunt soms bezwaar maken tegen de verwerking van uw persoonsgegevens.
• Recht op een menselijke blik bij besluiten: Ontvangt u een geautomatiseerd besluit van ons, dan kunt u ons vragen een nieuw besluit te nemen dat door een persoon is beoordeeld.

U heeft ook het recht om uw toestemming in te trekken. Gaf u ons eerder toestemming om uw persoonsgegevens te gebruiken, maar heeft u zich bedacht? Dan kunt u uw toestemming weer intrekken. Vanaf dat moment verwerken wij uw persoonsgegevens niet meer. Tenzij er (ook) een andere grondslag is om uw persoonsgegevens te verwerken.

En bent u het niet eens met hoe wij uw persoonsgegevens verwerken? Dan kunt u contact opnemen met de functionaris gegevensbescherming (FG) van de AP. De FG is onafhankelijk en let op of iedereen binnen de AP zich aan de privacywetgeving houdt.

U kunt contact opnemen met de FG via het e-mailadres privacy@autoriteitpersoonsgegevens.nl. U kunt ook een brief sturen naar:

Autoriteit Persoonsgegevens
T.a.v. de functionaris gegevensbescherming 
Postbus 93374
2509 AJ DEN HAAG

U kunt na de afhandeling van uw verzoek ook een klacht indienen bij de AP.

Uw privacyrechten gebruiken 

Wilt u een van uw privacyrechten gebruiken? Kijk voor meer informatie over hoe u dit doet bij Uw rechten. Daar vindt u ook voorbeeldbrieven.

Heeft u een klacht over de afhandeling van uw verzoek door de AP? Neem dan contact op met de FG van de AP. U kunt na de afhandeling van uw verzoek ook een klacht indienen bij de AP.

Wilt u meer weten?

Heeft u een vraag of klacht over deze privacyverklaring? Of over de manier waarop wij met uw persoonsgegevens omgaan? Wij geven u graag uitleg. Neem contact op met onze FG.