Uw werkgever moet u informeren over het doorgeven van uw gegevens. Vermoedt u dat dit niet is gebeurd? Dan kunt u inzage vragen in uw personeelsdossier. Onder het inzagerecht valt ook dat uw werkgever u laat weten wie eventueel uw personeelsgegevens ontvangen hebben.
Ja, maar dit mag alleen in de ruimtes waarin u niet bloot bent.
Het uitgangspunt is dat er geen cameratoezicht mag zijn in ruimtes waar saunabezoekers bloot kunnen zijn. Zoals kleedkamers, doucheruimtes, toiletten, zwem- en bubbelbaden, sauna’s en de ruimtes waarin de bezoekers in en uit de sauna’s komen.
Het filmen van mensen die bloot zijn, maakt een grote inbreuk op hun persoonlijke levenssfeer. De afweging tussen het belang van de sauna en het belang van de bezoeker is onder normale omstandigheden altijd in het voordeel van de bezoeker. Die mag namelijk op zo’n plaats verwachten onbespied te zijn. Dat staat voorop.
Bovendien kan de sauna het doel ook op andere manieren bereiken. Dit doel is vaak beveiliging of het voorkomen van (ongewenste) intimiteiten. Dit is ook te bereiken door bijvoorbeeld het personeel, al dan niet herkenbaar als personeel, regelmatig te laten rondlopen.
Nee, dat mag niet. Uw werkgever mag onder voorwaarden camera’s inzetten om personeel en eigendommen te beveiligen. Maar uw werkgever mag deze camerabeelden niet gebruiken om werknemers aan te spreken of te beoordelen op hun functioneren.
Dat is namelijk niet verenigbaar met het oorspronkelijke doel van de inzet van camera’s: de beveiliging van personeel en eigendommen. Oftewel: uw werkgever mag beelden die gemaakt zijn voor beveiliging, niet zomaar gebruiken voor een ander doel.
Overigens geldt dat niet alleen voor het gebruik van bewakingsbeelden. Uw werkgever mag ook geen camerabeelden gebruiken om u te beoordelen hoe u uw werk doet als deze beelden zijn gemaakt met een verborgen camera. Dat maakt namelijk bijna altijd een te grote inbreuk op uw persoonlijke levenssfeer.
Ook mag uw werkgever u niet stiekem filmen voor trainingsdoeleinen. Zoals ‘mystery shopping’ met een verborgen camera.
Uw werkgever mag een verborgen camera alleen gebruiken om bijvoorbeeld diefstal of fraude op te sporen. En dan alleen als uiterste redmiddel. Voor andere doelen, zoals trainingsdoeleinden, is een verborgen camera een te zwaar middel.
Rijkswaterstaat mag uw kenteken gebruiken om uw adres te achterhalen en u een uitnodiging voor een verkeersenquête te sturen. Daarvoor is geen toestemming van u nodig. Maar Rijkswaterstaat moet zich daarbij wel aan een aantal voorwaarden houden.
Het gebruik van uw persoonsgegevens door Rijkswaterstaat is alleen toegestaan als dit noodzakelijk is. Dat wil zeggen dat Rijkswaterstaat het doel niet op een andere, minder ingrijpende manier kan bereiken. En dat het gebruik van kentekens in verhouding staat tot het doel van het onderzoek.
In de brief die Rijkswaterstaat u stuurt, moet genoeg informatie staan over het gebruik van uw persoonsgegevens. Onder meer over het doel waarvoor Rijkswaterstaat uw gegevens gebruikt. Ook moet u de mogelijkheid krijgen om u af te melden voor het specifieke onderzoek.
Heeft u bezwaar tegen het gebruik van uw persoonsgegevens door Rijkswaterstaat? Dan kunt u dit aangeven. Informatie hierover vindt u in de uitnodigingsbrief.
Het is niet mogelijk om u helemaal af te melden voor dit soort verkeersonderzoeken. Op basis van uw kenteken kunt u altijd in een steekproef terechtkomen en een uitnodiging ontvangen. Er is geen bestand van kentekenhouders die Rijkswaterstaat niet mag benaderen. Maar u bent niet verplicht om mee te doen en kunt zich altijd afmelden voor het specifieke onderzoek.
Rijkswaterstaat mag de camerabeelden en andere persoonsgegevens niet langer bewaren dan noodzakelijk is. Dat houdt in dat Rijkswaterstaat de gegevens moet vernietigen zodra het doel is bereikt waarvoor de gegevens zijn verzameld. Bijvoorbeeld na afronding van het specifieke onderzoek.
Heeft u een vraag of een klacht over de verwerking van uw gezondheidsgegevens door uw hulpverlener of zorgaanbieder? Bijvoorbeeld omdat u vindt dat uw hulpverlener het medisch beroepsgeheim heeft geschonden? Bespreek uw vraag of klacht dan eerst met uw hulpverlener.
Bent u niet tevreden over de uitkomst van het gesprek? Of wilt u geen gesprek aangaan? Dan zijn er verschillende mogelijkheden. U kunt bijvoorbeeld contact opnemen met de functionaris gegevensbescherming (FG) van uw zorgaanbieder. De FG is degene die binnen de zorginstelling opkomt voor (uw) privacybelangen.
Wilt u een formele procedure aangaan? Dan kunt u:
Ja, meestal wel. Volgens de Algemene verordening gegevensbescherming (AVG) zijn organisaties met minder dan 250 werknemers verplicht om een verwerkingsregister op te stellen wanneer zij persoonsgegevens verwerken:
Lees wat er in het verwerkingsregister moet staan.
Kijk eerst of op de website of u contactinformatie kunt vinden. Webwinkels en andere aanbieders van online diensten zijn altijd verplicht om contactgegevens op hun website te vermelden. Dat is in ieder geval een e-mailadres of contactformulier.
Kunt u geen contactgegevens vinden op de website? Dan kunt u de eigenaar achterhalen via een website met domeinregistraties.
Gaat het om een Nederlandse website, eindigend op .nl? Zoek dan de eigenaar van de website op via de website van Stichting Internet Domeinregistratie Nederland (SIDN).
Hier kunt u de naam van de website invullen in de balk 'check hier je .nl-domeinnaam'. Neem vervolgens contact op met de persoon of organisatie die genoemd wordt als 'houder' (eigenaar) van het domein.
Let op: u krijgt alleen het e-mailadres van de eigenaar te zien. Lukt het hiermee niet om de eigenaar te bereiken? Dan kunt u in sommige gevallen SIDN vragen om meer contactgegevens. Zie: SIDN en privacy.
De politie heeft toegang tot nog uitgebreidere gegevens in het WHOIS-register. Bij ernstige overtredingen en misdrijven raden wij u aan aangifte te doen.
Gaat het om een buitenlandse website? Zoek dan via Whois.net.
Heeft u een vraag over de rekening van uw internetprovider voor uw dataverbruik? Wilt u bijvoorbeeld weten welke websites of apps wanneer hoeveel data hebben gebruikt? Uw internetprovider kan u alleen inzage geven als u van tevoren toestemming heeft gegeven voor het bewaren van deze gegevens. Anders heeft uw provider de gegevens niet.
Uw internetprovider mag in principe niets weten over de inhoud van uw dataverkeer, zoals welke websites u heeft bezocht. Hiervoor is analyse van het dataverkeer (‘deep packet inspection’) nodig. Zo’n analyse mag uw internetprovider alleen doen als dat strikt noodzakelijk is voor een technisch doel, zoals het beheer van het netwerk.
Uw provider moet uw gegevens daarbij direct anonimiseren. Uw provider mag geen analyses op individueel niveau bewaren. Tenzij u als klant daarvoor vooraf toestemming heeft gegeven. Uw provider moet u over deze mogelijkheid informeren.
Als u een evenement organiseert, zult u vaak van tevoren willen weten wie er gaat komen. Het is dan makkelijk als bezoekers zich via internet kunnen inschrijven. Let dan in ieder geval op de volgende dingen.
De gegevens van het inschrijfformulier moeten via een beveiligde verbinding worden verzonden.
Vraag niet meer gegevens dan nodig. Wilt u alleen het aantal bezoekers weten en naambordjes maken? Dan is het meestal genoeg om voornaam, achternaam, functie en organisatie te vragen.
Het is bijvoorbeeld ook niet nodig om de leeftijd te registreren als u alleen wilt weten of iemand een volwassene is. U kunt dan vragen of iemand vóór een bepaald jaartal geboren is.
Leg goed uit waarom u de gegevens verzamelt. Dat kunt u doen in uw privacyverklaring. Maar het is vaak duidelijker om dat in het formulier zelf uit te leggen.
Bewaar de gegevens niet langer dan nodig. Dat betekent meestal dat u de gegevens na het einde van het evenement moet verwijderen. Heeft u de gegevens langer nodig, bijvoorbeeld om betalingen te innen? Dan moet u de gegevens direct daarna verwijderen.
U kunt nog wel geaggregeerde, anonieme gegevens bewaren. Bijvoorbeeld dat in totaal 10 mensen zich voor uw evenement hadden ingeschreven.
Wilt u bezoekers een nieuwsbrief over uw producten of diensten sturen? Dat mag alleen als bezoekers vooraf duidelijk aangeven dat ze die nieuwsbrief willen ontvangen. Bijvoorbeeld door een vinkje te zetten. Ook moet u de bezoekers bij iedere nieuwsbrief de mogelijkheid bieden zich uit te schrijven.
Wilt u een inschrijfsysteem gebruiken dat een andere organisatie aanbiedt? Dat kan, maar dan moet u wel een verwerkersovereenkomst met die organisatie sluiten. Daarin moet u onder meer afspreken dat de organisatie de verzamelde gegevens niet voor zichzelf gebruikt en de gegevens goed beveiligt. Ook blijven de hierboven beschreven aandachtspunten gelden. U blijft verantwoordelijk voor de gegevensverwerking.
Wilt u de deelnemerslijst van uw evenement delen onder uw bezoekers, zodat zij bijvoorbeeld makkelijk kunnen netwerken? Vraag dan vooraf aan de bezoekers welke contactgegevens zij willen delen. Misschien willen zij wel een zakelijk telefoonnummer delen, maar geen privénummer op de deelnemerslijst laten plaatsen.
U kunt eenvoudig om toestemming vragen op het moment dat iemand zich inschrijft voor uw evenement. Die toestemming moet vrijelijk en ondubbelzinnig worden gegeven. U moet kunnen aantonen dat u toestemming heeft gekregen.
Nee, dat mag niet. Als u gegevens van dieven (zoals foto’s) opslaat en deelt, maakt u gebruik van een zwarte lijst. En dat mag niet zomaar. Bovendien is een WhatsAppgroep niet geschikt om zulke gegevens te delen. Dat komt omdat dit niet voldoet aan de Algemene verordening gegevensbescherming (AVG) wat betreft de beveiliging en andere privacywaarborgen.
Een zwarte lijst is een waarschuwingssysteem. Hiermee kunt u collega’s binnen uw organisatie waarschuwen voor bepaalde personen die u niet meer in uw winkel wilt, zoals winkeldieven. U mag alleen een zwarte lijst opstellen en gebruiken als u voldoet aan de voorwaarden voor zwarte lijsten.
U kunt de zwarte lijst ook delen met andere winkeliers. Deelt u daarbij strafrechtelijke gegevens? Dan heeft u een vergunning van de Autoriteit Persoonsgegevens (AP) nodig.
Wilt u als winkelier een vergunning aanvragen bij de AP? Dan kunt u zich ook aansluiten bij het modelprotocol collectief winkelverbod van het CCV. U hoeft dan niet zelf een protocol op te stellen. En de procedure bij de AP voor uw vergunning kan sneller doorlopen worden. U moet zich dan natuurlijk wel volledig houden aan alle eisen die in het modelprotocol staan.
Heeft u een vraag of klacht over het gebruik van uw persoonsgegevens door een app? Of door het besturingssysteem van uw smartphone of tablet? Ga dan eerst naar de ontwikkelaar van de app of van het besturingssysteem.
Het maakt niet uit of de app-ontwikkelaar of app-aanbieder in Nederland gevestigd is of in het buitenland. De Europese privacywet is van toepassing als de ontwikkelaar of aanbieder gebruikmaakt van apparatuur in Europa. Dat is zo bij smartphones en tablets.
De contactgegevens kunt u vaak vinden via de ‘app store’. Of door op internet te zoeken naar de naam van de app. Ook kan de ontwikkelaar of aanbieder een website hebben met contactgegevens. Kunt u geen contactgegevens vinden? Zoek dan op wie de ontwikkelaar is van het besturingssysteem van uw smartphone of tablet.
Via de volgende links vindt u informatie over de privacyinstellingen van uw besturingssysteem. En hoe u contact opneemt als u een vraag of klacht heeft.
Heeft u een klacht en komt u er samen met de ontwikkelaar of aanbieder van de app of het besturingssysteem niet uit? Dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.
Ja. Ook als u hashing toepast op de MAC-adressen die u verzamelt, blijven het persoonsgegevens.
Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, betekent niet dat u geen persoonsgegevens meer verwerkt. Er is dan namelijk geen sprake van anonimisering, maar van pseudonimisering.
Bijvoorbeeld omdat u zelf de hashingformule heeft. Dat betekent dat u de originele MAC-adressen opnieuw zou kunnen berekenen. De gegevens zijn dan dus niet anoniem. Het toepassen van een ‘salt’ doet daar niets aan af.
Het resulterende gehashte MAC-adres zelf is te beschouwen als (pseudonieme) identificator. En die staat in de wet expliciet genoemd als persoonsgegeven.
Volgens de Algemene verordening gegevensbescherming (AVG) is er pas sprake van anonieme gegevens als persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet (meer) direct of indirect te identificeren is.
Zijn de persoonsgegevens daadwerkelijk geanonimiseerd? Dan is de AVG niet (meer) van toepassing op die gegevens.
Meer informatie over anonimiseren vindt u in de Opinie 'anonimiseringstechnieken' van de Europese privacytoezichthouders.
Zoekt u informatie van voor 25 mei 2018? Bekijk ons archief.