Ga met uw vragen of klachten altijd eerst naar de organisatie die uw persoonsgegevens gebruikt. Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Nee, dat kan niet. U moet elk afzonderlijk datalek apart melden. Alleen als u bent aangesloten bij de Pensioenfederatie, het Verbond voor Verzekeraars of de Nederlandse Vereniging van Banken kunt u onder bepaalde voorwaarden een bulkmelding doen bij een datalek bij postverzending.

Bulkmelding

Bij een bulkmelding doet u 1 melding bij de AP voor meerdere, soortgelijke datalekken die zijn ontstaan bij grootschalige postverzendingen. Het maakt daarbij niet uit of u structureel of incidenteel op grote schaal poststukken verstuurt.

Voorwaarden bulkmelding

U mag alleen een bulkmelding doen als u aan al deze voorwaarden voldoet:

1. Type incident

De incidenten:

• zijn hetzelfde soort incident;
• zijn hetzelfde type inbreuk;
• gaan over dezelfde soort persoonsgegevens;
• raken dezelfde groep betrokkenen, waarbij u alle betrokkenen gelijk informeert (allemaal wel of allemaal niet).

2. Registratie

U legt vast welke inbreuken u in bulk heeft gemeld.

3. Bevoegdheid

U wijst medewerkers aan die als enige bevoegd zijn om bulkmeldingen te doen. 

4. AP informeren

U laat aan de AP weten:

• hoeveel inbreuken u in bulk meldt;
• hoeveel betrokkenen in totaal zijn getroffen;
• hoeveel betrokkenen u informeert.

Tijdstip bulkmelding

U moet de bulkmelding binnen 1 maand doen nadat u van het eerste incident binnen de bulk kennis heeft genomen.

Nee, meestal is toestemming geen geldige grondslag voor bestuursorganen om persoonsgegevens van burgers te verwerken. Toch kunt u als uitkeringsinstantie in een situatie komen waarin het vragen van toestemming wenselijk is: u wilt ervoor zorgen dat mensen in een kwetsbare positie hulp krijgen van andere organisaties. In die situatie kan er soms toch sprake zijn van geldige toestemming bij een bestuursorgaan.
 

Do you use a cookie banner for asking consent for processing the personal data of your website visitors? Do not forget that your website visitors must also be able to withdraw their consent. 

Withdrawing consent must be possible at any time. It must be just as easy as giving consent. You are not allowed to require a user to pay money for this. In addition, the withdrawal of consent should not have any negative consequences for your website visitors. 

You must give your website visitors information about how they can withdraw consent before they give it. This can be achieved by including a brief explanation in the cookie banner, with a button or a link. Make sure that there is always another way in which people can easily find the place where they can withdraw their consent. 

Does it (also) concern consent for the processing of personal data by third parties? Then you also have to inform these third parties that someone has withdrawn the consent. 

Also read the Dutch DPA's standard explanation about withdrawing consent with cookie banners (in Dutch).

Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken. 

Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers. 

U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken. 

Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken. 

Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.

Nee, meestal mag de overheid dat niet. De overheid is bijvoorbeeld uw gemeente of het UWV. Als een organisatie u om toestemming vraagt, moet u ook ‘nee’ kunnen zeggen. En dat kan lastig zijn bij de overheid. Want vaak heeft u iets nodig van de overheid. Bijvoorbeeld een voorziening, zoals een traplift. Of een uitkering. U bent dus afhankelijk van de overheid.

Meestal is het ook niet nodig dat de overheid u om toestemming vraagt om uw gegevens te gebruiken of delen. Omdat vaak al in een wet staat dat de overheid dat mag.

Soms staat er niks in een wet. Maar wil een organisatie van de overheid toch uw gegevens delen. Omdat blijkt dat u hulp nodig heeft. De organisatie wil dan uw gegevens doorgeven aan andere organisaties, waar u die hulp kunt krijgen. Organisaties die u zelf niet goed weet te vinden.

Dan kan het zijn toegestaan. De organisatie moet u dan wel goed uitleggen:

• welke gegevens van u de organisatie deelt;
• waarom dat is (voor welk doel);
• hoe dat in zijn werk gaat.

U moet ook even de tijd krijgen om te beslissen of u hiervoor toestemming geeft. En u mag natuurlijk altijd weigeren.

Wilt u meer weten? Lees dan Toestemming bij de overheid.

Wanneer u gezichtsherkenning inzet om mensen te identificeren of om iemands identiteit te bevestigen, zijn enkele begrippen belangrijk. 

• Eenduidige (unieke) identificatie. Hierbij gaat het om de vraag: wie is deze persoon? ‘Eenduidig’ betekent dat biometrische gegevens voor identificatie maar aan één iemand kunnen worden toegeschreven. Het biometrisch gegeven is dus uniek voor die persoon. Een manier voor eenduidige identificatie is het vergelijken van (een template van) iemands gezicht met (templates van) gezichten van een groep personen in een database (een ‘one-to-many’-vergelijking). Het doel is om vast te stellen of templates overeenkomen en zo de persoon te identificeren. 
• Bevestigen van identiteit. Bij het bevestigen van iemands identiteit gaat het om de vergelijking tussen twee gezichten: is gezicht A gelijk aan gezicht B? Dit is een ‘one-to-one’-vergelijking: het biometrisch gegeven van 1 persoon wordt alleen vergeleken met 1 ander biometrisch gegeven. Het doel is om te controleren of iemand dezelfde persoon is van wie de biometrische gegevens eerder zijn vastgelegd. En of iemand dus is wie deze zegt te zijn. 

Let op: in artikel 9 van de AVG en artikel 29 van de UAVG gaat het over uitzonderingen op het verbod op het verwerken van biometrische gegevens voor unieke identificatie. Het verwerken van biometrische gegevens om iemands identiteit te bevestigen (authenticatie) valt hier ook onder. Dat betekent dat voor authenticatie via gezichtsherkenning dezelfde regels gelden als voor unieke identificatie via gezichtsherkenning. 

De AI-verordening treedt stapsgewijs in werking. De eerste regels gaan waarschijnlijk eind 2024 gelden in Nederland. In de loop van 2027 zal de gehele wet van toepassing zijn. De belangrijkste stappen in dit proces leest u hierna.  

Eind 2024

Verbod op aanbieden en gebruiken van bepaalde AI-toepassingen van kracht. 

Medio 2025

• Toezichthouders op naleving van de AI-verordening in Nederland zijn bekend. 
• Aangewezen toezichthouders hebben de bevoegdheid om boetes op te leggen.
• De regels voor aanbieders van zogenoemde AI-modellen voor algemene doeleinden gaan in. Deze modellen staan ook wel bekend als 'general purpose AI'. 

Medio 2026

• Verplichtingen voor AI met een hoog risico (omschreven in Bijlage III van de verordening) zijn van toepassing.
• Transparantieverplichtingen voor bepaalde AI-systemen zijn van toepassing. Mensen moeten weten dat zij te maken hebben met een AI-systeem of door AI gegenereerde content. 
• De Nederlandse 'regulatory sandbox' is gestart om advies te geven aan aanbieders van AI-systemen bij complexe vragen over de regels uit de AI-verordening.

Medio 2027

• Als het AI-systeem een product is of een veiligheidscomponent vormt van producten die al vallen onder andere productwetgeving (omschreven in Bijlage I van de verordening, bijvoorbeeld medische hulpmiddelen of radioapparatuur), dan zal de AI-verordening ook van toepassing zijn op deze producten. 
• De AI-verordening is volledig van kracht. 

In Nederland werkt het kabinet aan een voorstel voor het toezicht op de AI-verordening. De verwachting is dat er meerdere toezichthouders zullen zijn voor verschillende delen van de AI-verordening. Welke toezichthouder aan zet is, ligt aan de context waarin het AI-systeem wordt gebruikt of ontwikkeld. De taakverdeling komt in de Nederlandse wetgeving te staan.

In welke mate de Autoriteit Persoonsgegevens (AP) toezicht gaat houden op de AI-verordening, ligt dus nog niet vast. We verwachten dat hier in de loop van 2024 meer duidelijkheid over komt. Wel dragen we als coördinerend algoritmetoezichthouder samen met andere partijen nu al bij aan de voorbereidingen. Dit doen we vanuit de directie Coördinatie Algoritmes (DCA). 

De AP is wel al toezichthouder op de verwerking van persoonsgegevens door algoritmes.  

U kunt nu al een aantal dingen doen:
 

• Breng als aanbieder of gebruiker van algoritmes en AI in kaart om welke systemen het in uw organisatie gaat. En maak alvast een inschatting in welke risicogroep uw AI-systeem valt.  Zodat u weet welke eisen er voor uw systeem gaan gelden. 
• Wilt u een AI-systeem aanschaffen? Check dan of er in de inkoopvoorwaarden voldoende rekening is gehouden met bestaande en aankomende wetten. Zoals de AI-verordening en de AVG. Ontwikkelaars moeten namelijk zorgen dat systemen aan eisen voldoen voordat ze op de markt worden gebracht. U wilt voorkomen dat u een AI-systeem ontwikkelt of implementeert waarvan (straks) blijkt dat het niet voldoet aan de wet. 
• Kijk nu alvast of u de transparantie over uw systeem kunt verbeteren. Bijvoorbeeld door de informatie hierover op uw website en bij het aanbieden van de dienst te verduidelijken. Voor veel sectoren, terreinen en toepassingen zijn hiervoor al richtlijnen te vinden in bestaande wet- en regelgeving.
• Is het nu al overduidelijk dat uw AI-systeem onder de lijst met verboden AI gaat vallen? Dan is het voor aanbieders raadzaam om het systeem nu al uit de handel te nemen. Is uw organisatie gebruiker van het systeem? Probeer dan zo snel mogelijk te stoppen met het systeem. De kans is namelijk groot dat u ook nu al wetten overtreedt. 
• Bent u een professional binnen de overheid? Verken dan de mogelijkheid om een Impact Assessment voor Mensenrechten (IAMA) te doen en/of gebruik te maken van andere praktische hulpmiddelen uit de Toolbox ethisch verantwoord innoveren van de Rijksoverheid. 
• Als overheid kunt u uw algoritmisch systeem nu al vrijwillig registreren in het algoritmeregister. 
• Sommige organisaties maken inmiddels werk van het aanstellen van een interne toezichthouder op algoritmes of een ‘functionaris algoritmes’. De AP juicht toe dat organisaties op die manier hun verantwoordelijkheid nemen. 

Nee. Als overheidsorganisatie kunt u zich bij het uitvoeren van uw wettelijke taken nooit baseren op de grondslag van gerechtvaardigd belang. U moet zich dus op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag 'noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag'.

U mag als overheidsorganisatie in de regel alleen gegevens verwerken om uw taken uit te voeren als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsorganisatie een rechtsgrond voor verwerkingen heeft.

Ja. Verwerkt u bij een pilot, test of proefproject persoonsgegevens? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook als het eindproduct nog niet is opgeleverd. 

Dit betekent onder meer dat u moet bepalen of u persoonsgegevens mag verwerken. En zo ja, dan moet u aantonen dat u aan de AVG voldoet. U moet bijvoorbeeld nagaan of u een DPIA moet uitvoeren voorafgaand aan een pilot, test of proefproject.

Het doel van een pilot, test of proefproject is om een nieuwe werkwijze te testen. Hiermee kunt u onderzoeken of een werkwijze effectief en efficiënt is om een bepaald probleem op te lossen.

Een pilot, test of proefproject kan ook heel nuttig zijn om privacy by design te testen.