# Interpretatie AVG
Deze pagina bevat de *PDX* interpretatie van de Algemene Verordening Gegevensbescherming (AVG). De tekst waarop de interpretatie is gebaseerd kan hier worden teruggevonden: [VERORDENING (EU) 2016/679 VAN HET EUROPESE PARLEMENT EN DE RAAD](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679\&qid=1685451198313).
Net als het Afsprakenstelsel, is de interpretatie opgedeeld per (relevant) Artikel.
{% hint style="info" %}
**Alles in quote-blokken komt direct uit de (Nederlandse) wettekst.** \
Bijvoorbeeld:
> VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD
>
> van 27 april 2016
> {% endhint %}
{% hint style="info" %}
**Soms gebruiken we blokhaken (`[]`) om de tekst af te korten of aan te vullen.**
Bijvoorbeeld:
> HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
>
> \[..]
>
> Overwegende hetgeen volgt:
> {% endhint %}
## Interpretatie per Artikel
Artikel 4 - Begrippen
{% hint style="info" %}
Dit Artikel voegt geen handhaving toe maar definieert in plaats daarvan begrippen waarmee andere artikelen kunnen worden geïnterpreteerd. We zullen daarom hier onze eigen begrippen definiëren die we gebruiken in de andere Artikelen.
Er zal naar begrippen worden gerefereerd door ze in *cursief* weer te geven.
{% endhint %}
De begrippen zijn opgenomen in [de Begriippenlijst](/glossary.md#begrippenlijst)
Artikel 5 - Beginselen inzake verwerking van persoonsgegevens
#### 5.1
> Persoonsgegevens moeten:
>
> \[...]
>
> b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.
>
> c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
>
> \[...]
Elke verwerking van persoonsgegevens moet een vooraf gespecificeerd doel *(verwerkingsdoel)* hebben. Dit doel moet voldoende specifiek, uitdrukkelijk omschreven en gerechtvaardigd zijn. Elke verdere verwerking moet verenigbaar zijn met het naar originele en naar de betrokkene gecommuniceerde doel.
Om deze reden zal de *PDX* van elke *aanbieder* en *afnemer* betrokken bij een transactie waarin (data)-*PDD* wordt afgenomen eisen dat ze het volgende expliciet moeten aangeven:
* Of de desbetreffende *Deelnemer* een *verwerkingsverantwoordelijke* is voor de aangeboden/afgenomen (data)-*PDD;*
* Of de betreffende (data)-*PDD* *persoonsgegevens* bevat;
* Wat het/de beoogde *verwerkingsdoel(en)* bij aanbod zijn en/of wat de *verwerkingsdoel(en)* zijn waaronder de transactie wordt gedaan; en
* Of de opgegeven *verwerkingsdoel(en)* voldoende specifiek zijn zoals bedoeld in de AVG.
(Andere leden van dit Artikel worden niet expliciet gehandhaafd door de *PDX.)*
***
#### 5.2
> De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De *PDX* zal bijdragen aan de plicht van de *verwerkingsverantwoordelijken* door gedetailleerde audit logs te produceren die in geval van dispuut kunnen worden geraadpleegd.
Artikel 6 - Rechtmatigheid van de verwerking
#### 6.1
> De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
>
> a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
>
> b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
>
> c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
>
> d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
>
> e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
>
> f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Elke *verwerking* van een *verwerkingsverantwoordelijke* moet gebaseerd zijn op een geldige uit de limitatieve lijst van Artikel 6 lid 1 sub a t/m f van de AVG. Voor de vaststelling van de grondslag dient naar het *verwerkingsdoeleinde* dat de *verwerking* beoogt te worden gekeken. Welke grondslag het meest passend is voor het *verwerkingsdoeleinde* is afhankelijk van de context en aan de *verwerkingsverantwoordelijke* om in eerste instantie in te schatten.
Om deze reden zal de *PDX* eisen dat, voor elk *verwerkingsdoel* opgegeven als deel van een aanbod of transactie, er ook expliciet moet worden aangegeven welke grondslag wordt beweerd voor dat doel.
***
#### 6.2
> De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
Dit Artikel wordt niet expliciet gehandhaafd door de *PDX. Deelnemers* kunnen schendingen melden door middel van disputen.
***
#### 6.3
> De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
>
> a) Unierecht; of
>
> b) lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.
>
> Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
Dit Artikel wordt niet expliciet gehandhaafd door de *PDX*. *Deelnemers* kunnen schendingen melden door middel van disputen.
***
#### 6.4
> Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
>
> a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
>
> b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
>
> c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
>
> d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
>
> e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Wanneer er sprake is van verdere verwerking van *persoonsgegevens* dient de *verwerkingsverantwoordelijke* rekening te houden met de factoren onder Artikel 6.4 lid 4 van de AVG om vast te stellen of de *verwerking* voldoet aan de verplichte *doelbinding.*
Om dit Artikel te handhaven, zal de *PDX* trachten te analyseren of beoogde *verwerkingsdoelen* zoals gespecificeerd door de *verwerkingsverantwoordelijke* verenigbaar zijn met de *verwerkingsdoelen* waarvoor een *verwerking* wordt gedaan. Om dit te doen zal de *PDX* eisen dat elke *verwerkingsverantwoordelijke* expliciet benoemd:
* welke *verwerkingsdoelen* verenigbaar zijn met de *verwerkingsdoelen* waarvoor ze een (data)-*PDD* aanbieden en/of afnemen;
* Hier kan *verenigbaar* betekenen dat twee *verwerkingsdoelen* "compatibel" met elkaar zijn; of
* Hier kan *verenigbaar* betekenen dat het ene *verwerkingsdoel* "meer specifiek" is dan de ander.
* voor elke van die *verwerkingsdoelen,* wat de beoogde grondslag is wat die verenigbare doelen rechtvaardigt (zie Artikel 6.1).
Artikel 7 - Voorwaarden van toestemming
#### 7.1
> Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
De *verwerkingsverantwoordelijke* moet voor elke *verwerkingshandeling* voor een bepaald *verwerkingsdoeleinde* die gebaseerd is op een grondslag zoals in Artikel 6.1 kunnen aantonen dat er toestemming is gegeven door de *betrokkene.*
Om deze reden zal de *PDX* eisen dat, bij elk *verwerkingsdoel* waar een *verwerkingsverantwoordelijke* beweerd dat de grondslag is dat de desbetreffende *betrokkene* toestemming heeft gegeven, de *verwerkingsverantwoordelijke* ook expliciet moet aangeven dat alle *betrokkenen* toestemming hebben gegeven.
***
#### 7.2
> Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
Dit Artikel wordt niet expliciet gehandhaafd door de *PDX*. *Deelnemers* kunnen schendingen melden door middel van disputen.
***
#### 7.3
> De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
Dit Artikel wordt niet expliciet gehandhaafd door de *PDX*. *Deelnemers* kunnen schendingen melden door middel van disputen.
***
#### 7.4
> Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Dit Artikel wordt niet expliciet gehandhaafd door de *PDX*. *Deelnemers* kunnen schendingen melden door middel van disputen.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://definities.dmi-ecosysteem.nl/governance/uitgangspunten-voor-handhaving-en-toetsing/interpretatie-afsprakenstelsel/interpretatie-avg.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.