Om Herkenningsdiensten te kunnen leveren worden persoonsgegevens verwerkt. De verwerking van persoonsgegevens is alleen rechtmatig als wordt voldaan aan de voorwaarden die de Algemene verordening gegevensbescherming (AVG) of andere toepasselijke specifieke privacy wet- en regelgeving hieraan stelt.De naleving van de AVG is een wettelijke plicht. Niet naleving van de privacy wet- en regelgeving en onrechtmatig gebruik van persoonsgegevens kan verschillende gevolgen hebben. Bijvoorbeeld:
- een boete van de Autoriteit Persoonsgegevens;
- imagoschade;
- bestuurlijke aansprakelijkheid;
- schadevergoeding op grond van onrechtmatige daad.
Een ieder van de te onderscheiden rollen in het netwerk elektronische toegangsdiensten heeft een eigen verantwoordelijkheid om bij de verwerking van persoonsgegevens de privacy wet- en regelgeving na te leven. Vanuit de optiek van het afsprakenstelsel is van belang dat voor een ieder die gebruikt maakt van elektronische toegangsdiensten duidelijk is:
- wie welke verantwoordelijkheid heeft bij de verwerking van persoonsgegevens voor elektronische toegangsdiensten;
- waar betrokkenen voor vragen over de verwerking van hun persoonsgegeven binnen het afsprakenstelsel terecht kunnen, en
- dat de naleving van de privacy wet- en regelgeving door de verschillende partijen binnen het afsprakenstelsel ook daadwerkelijk plaats vindt en dit ook kan worden aangetoond.
Dit privacybeleid is opgesteld om ervoor te zorgen dat er sprake is van een aantoonbare rechtmatige verwerking van persoonsgegevens door de deelnemers binnen het afsprakenstelsel. Het doel van dit privacybeleid is drieledig:
- Inzicht bieden in de verschillende verantwoordelijkheden die binnen het stelsel worden onderscheiden.
- Een methodiek aanreiken voor de wijze waarop deelnemers binnen het afsprakenstelsel kunnen vastleggen hoe zij voldoen aan de voorwaarden die de privacywet- en regelgeving aan een rechtmatige verwerking van persoonsgegevens stelt.
- Handvatten aanreiken die door partijen kunnen worden gebruikt om te waarborgen dat zij compliant zijn met de privacy wet- en regelgeving en om dat periodiek te kunnen aantonen.
Leeswijzer
- Beleidsuitgangspunten voor de naleving van de AVG — Het afsprakenstelsel kent de volgende generieke beleidsuitgangspunten voor de naleving van de AVG. Deze beleidsuitgangspunten volgen mede uit de AVG.
- Verantwoordelijkheden partijen afsprakenstelsel elektronische toegangsdiensten — In dit hoofdstuk wordt voor de verschillende in netwerk van het afsprakenstelsel elektronische toegangdiensten te onderscheiden partijen aangegeven wat hun rol is bij de verwerking van persoonsgegevens.
- Invulling voorwaarden voor rechtmatige verwerking — In dit hoofdstuk wordt, per beginsel zoals beschreven in de AVG, concreet aangegeven wat de deelnemers als verantwoordelijke voor de verwerking van persoonsgegevens dienen vast te leggen en te regelen om aan deze beginselen te voldoen.
- Controle op de naleving en privacy managementcyclus — Voor de controle van de naleving van de AVG wordt een aantal instrumenten gehanteerd