Ja, dat mag. Uw werkgever mag voorwaarden stellen aan het gebruik van e-mail, internet en zakelijke telefoon op het werk. Of bepaalde soorten gebruik verbieden. Vervolgens mag uw werkgever controles uitvoeren.

Uw werkgever moet u wel laten weten wat de regels zijn en dat controle mogelijk is. En uw werkgever moet zich houden aan de voorwaarden uit de privacywet, de AVG.

Lees meer: Controle van communicatiemiddelen

Ja, dat mag als dat noodzakelijk is. Bijvoorbeeld om de telefonische dienstverlening in een callcenter te verbeteren. U heeft wel het recht om het te weten als uw gesprek wordt opgenomen. En uw werkgever moet zich houden aan de voorwaarden uit de privacywet, de AVG.

Doorlopend uw telefoongesprekken opnemen mag alleen als dat noodzakelijk is voor de dienstverlening, zoals bij telefonische beursorders. Uw werkgever mag de opnames dan alleen gebruiken als bewijs voor de gesloten overeenkomst.

Lees meer: Telefoongesprekken opnemen

Ja, dat mag als u langere tijd afwezig bent. Bijvoorbeeld door ziekte of vakantie. Maar uw werkgever mag alleen uw zakelijke e-mail lezen, niet uw privémail. En uw werkgever moet zich houden aan de voorwaarden uit de privacywet, de AVG. Tip: bewaar uw privémail in een map met de naam ‘Persoonlijk’.

Lees meer: Checken e-mail afwezige werknemers

Ja, dat mag. Maar alleen als het om openbare informatie gaat. Uw werkgever kan niet afdwingen dat u een connectie-, volg- of vriendschapsverzoek accepteert. Of uw inloggegevens deelt. En uw werkgever moet zich houden aan de voorwaarden uit de privacywet, de AVG.

Lees meer: Controle sociale media

Nee, niet altijd. Meestal is alle informatie in een archief openbaar, maar dat is niet altijd zo. Sommige persoonsgegevens in archieven zijn niet openbaar. En dus ook niet in te zien.

Bijzondere persoonsgegevens niet zichtbaar

Staan er in de informatie van de overheid bijzondere persoonsgegevens van u? Zoals gegevens over uw etnische afkomst, politieke opvattingen, geloof of gezondheid? Of staan er strafrechtelijke persoonsgegevens in? Dan is deze informatie niet openbaar.

Gewone persoonsgegevens

Bij gewone persoonsgegevens moet een overheidsorganisatie per geval beoordelen of de informatie openbaar wordt of niet. De organisatie moet hierbij beoordelen wat zwaarder weegt: de openbaarheid van de informatie of uw privacy. Daarbij moet de organisatie kijken wat voor u de risico’s kunnen zijn als uw persoonsgegevens openbaar worden.

Eigen gegevens inzien

U kunt zelf wél de informatie inzien die een overheidsorganisatie over u bewaart en die niet openbaar is.

Na 75 jaar openbaar

Uiteindelijk wordt alle informatie voor iedereen openbaar. Nu is dat in principe na 75 jaar. Als de nieuwe Archiefwet ingaat, wordt dat na 110 jaar.

Kijk eerst of op de website of u contactinformatie kunt vinden. Webwinkels en andere aanbieders van online diensten zijn altijd verplicht om contactgegevens op hun website te vermelden. Dat is in ieder geval een e-mailadres of contactformulier. 

Kunt u geen contactgegevens vinden op de website? Dan kunt u de eigenaar achterhalen via een website met domeinregistraties.

Contactgegevens achterhalen Nederlandse website

Gaat het om een Nederlandse website, eindigend op .nl? Zoek dan de eigenaar van de website op via de website van Stichting Internet Domeinregistratie Nederland (SIDN).

Hier kunt u de naam van de website invullen in de balk 'check hier je .nl-domeinnaam'. Neem vervolgens contact op met de persoon of organisatie die genoemd wordt als 'houder' (eigenaar) van het domein.

Let op: u krijgt alleen het e-mailadres van de eigenaar te zien. Lukt het hiermee niet om de eigenaar te bereiken? Dan kunt u in sommige gevallen SIDN vragen om meer contactgegevens. Zie: SIDN en privacy.

De politie heeft toegang tot nog uitgebreidere gegevens in het WHOIS-register. Bij ernstige overtredingen en misdrijven raden wij u aan aangifte te doen.

Contactgegevens achterhalen buitenlandse website

Gaat het om een buitenlandse website? Zoek dan via Whois.net.

Heeft u een vraag over de rekening van uw internetprovider voor uw dataverbruik? Wilt u bijvoorbeeld weten welke websites of apps wanneer hoeveel data hebben gebruikt? Uw internetprovider kan u alleen inzage geven als u van tevoren toestemming heeft gegeven voor het bewaren van deze gegevens. Anders heeft uw provider de gegevens niet. 

Inhoud dataverkeer

Uw internetprovider mag in principe niets weten over de inhoud van uw dataverkeer, zoals welke websites u heeft bezocht. Hiervoor is analyse van het dataverkeer (‘deep packet inspection’) nodig. Zo’n analyse mag uw internetprovider alleen doen als dat strikt noodzakelijk is voor een technisch doel, zoals het beheer van het netwerk.

Uw provider moet uw gegevens daarbij direct anonimiseren. Uw provider mag geen analyses op individueel niveau bewaren. Tenzij u als klant daarvoor vooraf toestemming heeft gegeven. Uw provider moet u over deze mogelijkheid informeren.

Als u een evenement organiseert, zult u vaak van tevoren willen weten wie er gaat komen. Het is dan makkelijk als bezoekers zich via internet kunnen inschrijven. Let dan in ieder geval op de volgende dingen.

Beveiliging

De gegevens van het inschrijfformulier moeten via een beveiligde verbinding worden verzonden.

Hoeveelheid gegevens

Vraag niet meer gegevens dan nodig. Wilt u alleen het aantal bezoekers weten en naambordjes maken? Dan is het meestal genoeg om voornaam, achternaam, functie en organisatie te vragen.

Het is bijvoorbeeld ook niet nodig om de leeftijd te registreren als u alleen wilt weten of iemand een volwassene is. U kunt dan vragen of iemand vóór een bepaald jaartal geboren is.

Informeren

Leg goed uit waarom u de gegevens verzamelt. Dat kunt u doen in uw privacyverklaring. Maar het is vaak duidelijker om dat in het formulier zelf uit te leggen.

Gegevens bewaren

Bewaar de gegevens niet langer dan nodig. Dat betekent meestal dat u de gegevens na het einde van het evenement moet verwijderen. Heeft u de gegevens langer nodig, bijvoorbeeld om betalingen te innen? Dan moet u de gegevens direct daarna verwijderen.

U kunt nog wel geaggregeerde, anonieme gegevens bewaren. Bijvoorbeeld dat in totaal 10 mensen zich voor uw evenement hadden ingeschreven.

Nieuwsbrief

Wilt u bezoekers een nieuwsbrief over uw producten of diensten sturen? Dat mag alleen als bezoekers vooraf duidelijk aangeven dat ze die nieuwsbrief willen ontvangen. Bijvoorbeeld door een vinkje te zetten. Ook moet u de bezoekers bij iedere nieuwsbrief de mogelijkheid bieden zich uit te schrijven.

Extern inschrijfsysteem

Wilt u een inschrijfsysteem gebruiken dat een andere organisatie aanbiedt? Dat kan, maar dan moet u wel een verwerkersovereenkomst met die organisatie sluiten. Daarin moet u onder meer afspreken dat de organisatie de verzamelde gegevens niet voor zichzelf gebruikt en de gegevens goed beveiligt. Ook blijven de hierboven beschreven aandachtspunten gelden. U blijft verantwoordelijk voor de gegevensverwerking.

Deelnemerslijst delen

Wilt u de deelnemerslijst van uw evenement delen onder uw bezoekers, zodat zij bijvoorbeeld makkelijk kunnen netwerken? Vraag dan vooraf aan de bezoekers welke contactgegevens zij willen delen. Misschien willen zij wel een zakelijk telefoonnummer delen, maar geen privénummer op de deelnemerslijst laten plaatsen.

U kunt eenvoudig om toestemming vragen op het moment dat iemand zich inschrijft voor uw evenement. Die toestemming moet vrijelijk en ondubbelzinnig worden gegeven. U moet kunnen aantonen dat u toestemming heeft gekregen.

Nee, dat mag niet. Als u gegevens van dieven (zoals foto’s) opslaat en deelt, maakt u gebruik van een zwarte lijst. En dat mag niet zomaar. Bovendien is een WhatsAppgroep niet geschikt om zulke gegevens te delen. Dat komt omdat dit niet voldoet aan de Algemene verordening gegevensbescherming (AVG) wat betreft de beveiliging en andere privacywaarborgen.

Zwarte lijst

Een zwarte lijst is een waarschuwingssysteem. Hiermee kunt u collega’s binnen uw organisatie waarschuwen voor bepaalde personen die u niet meer in uw winkel wilt, zoals winkeldieven. U mag alleen een zwarte lijst opstellen en gebruiken als u voldoet aan de voorwaarden voor zwarte lijsten.

Vergunning nodig

U kunt de zwarte lijst ook delen met andere winkeliers. Deelt u daarbij strafrechtelijke gegevens? Dan heeft u een vergunning van de Autoriteit Persoonsgegevens (AP) nodig.

Modelprotocol collectief winkelverbod

Wilt u als winkelier een vergunning aanvragen bij de AP? Dan kunt u zich ook aansluiten bij het modelprotocol collectief winkelverbod van het CCV. U hoeft dan niet zelf een protocol op te stellen. En de procedure bij de AP voor uw vergunning kan sneller doorlopen worden. U moet zich dan natuurlijk wel volledig houden aan alle eisen die in het modelprotocol staan.

Heeft u een vraag of klacht over het gebruik van uw persoonsgegevens door een app? Of door het besturingssysteem van uw smartphone of tablet? Ga dan eerst naar de ontwikkelaar van de app of van het besturingssysteem.

Contact app-ontwikkelaar of -aanbieder

Het maakt niet uit of de app-ontwikkelaar of app-aanbieder in Nederland gevestigd is of in het buitenland. De Europese privacywet is van toepassing als de ontwikkelaar of aanbieder gebruikmaakt van apparatuur in Europa. Dat is zo bij smartphones en tablets.  

De contactgegevens kunt u vaak vinden via de ‘app store’. Of door op internet te zoeken naar de naam van de app. Ook kan de ontwikkelaar of aanbieder een website hebben met contactgegevens. Kunt u geen contactgegevens vinden? Zoek dan op wie de ontwikkelaar is van het besturingssysteem van uw smartphone of tablet.

Contact besturingssysteem

Via de volgende links vindt u informatie over de privacyinstellingen van uw besturingssysteem. En hoe u contact opneemt als u een vraag of klacht heeft.

• iOS (iPhone)
• Android
• Windows

Verdere stappen bij vraag of klacht

Heeft u een klacht en komt u er samen met de ontwikkelaar of aanbieder van de app of het besturingssysteem niet uit? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Ja. Ook als u hashing toepast op de MAC-adressen die u verzamelt, blijven het persoonsgegevens.

Pseudonimisering

Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, betekent niet dat u geen persoonsgegevens meer verwerkt. Er is dan namelijk geen sprake van anonimisering, maar van pseudonimisering.

Bijvoorbeeld omdat u zelf de hashingformule heeft. Dat betekent dat u de originele MAC-adressen opnieuw zou kunnen berekenen. De gegevens zijn dan dus niet anoniem. Het toepassen van een ‘salt’ doet daar niets aan af.

Het resulterende gehashte MAC-adres zelf is te beschouwen als (pseudonieme) identificator. En die staat in de wet expliciet genoemd als persoonsgegeven.

Voorwaarden anonimiseren

Volgens de Algemene verordening gegevensbescherming (AVG) is er pas sprake van anonieme gegevens als persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet (meer) direct of indirect te identificeren is.

AVG wel of niet toepassing

Zijn de persoonsgegevens daadwerkelijk geanonimiseerd? Dan is de AVG niet (meer) van toepassing op die gegevens.

Meer informatie over anonimiseren vindt u in de Opinie 'anonimiseringstechnieken' van de Europese privacytoezichthouders.

Ja, dat kan. Wijzig de netwerknaam (SSID) van uw wifi-router door er ‘_nomap’ aan toe te voegen. Is uw huidige SSID bijvoorbeeld 'Saskia'? Dan wordt dat 'Saskia_nomap'.

Voor meer informatie, zie: Hoe meld ik me af voor locatieservices van Google? 

Komt u er niet uit? Dan kunt u contact opnemen met uw internetprovider.