European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Wat is een privacyverklaring?

Organisaties moeten, in het geval van directe verzameling van persoonsgegevens van de betrokken personen, op beknopte en transparante wijze informatie over de verwerkingen verstrekken, in begrijpelijke, gemakkelijk toegankelijke, duidelijke en eenvoudige taal. Dit kan schriftelijk (bijvoorbeeld aan de achterzijde van een inschrijving) of langs elektronische weg (bijvoorbeeld op een website). Indien de betrokkene daarom verzoekt, kunt je deze informatie ook mondeling verstrekken, maar je moet dit achteraf kunnen bewijzen.

Zelfs wanneer de gegevens indirect worden verzameld, d.w.z. als je de persoonsgegevens niet rechtstreeks van een persoon zelf krijgt, maar bijvoorbeeld via een derde partij, moet je dezelfde gedetailleerde informatie aan personen verstrekken.

Hoe reageer ik op een verzoek tot verwijdering?

Personen hebben het recht om te verzoeken om verwijdering van hun betreffende persoonsgegevens en in dat geval heeft de verwerkingsverantwoordelijke de verplichting om de persoonsgegevens te verwijderen. Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om aan het verzoek te voldoen, mits de betrokkene hiervan binnen een maand na ontvangst van het verzoek over wordt ingelicht.
Het is belangrijk op te merken dat het recht op verwijdering niet absoluut is. Zij is niet van toepassing wanneer de gegevens in kwestie noodzakelijk zijn voor:

  • uitoefening van het recht op vrijheid van meningsuiting en van informatie (bv. voor journalistieke doeleinden);
  • naleving van een wettelijke verplichting die de verwerking van persoonsgegevens vereist (bv. het verwerken van gegevens over de werkuren van werknemers);
  • redenen van algemeen belang op het gebied van de volksgezondheid
  • archiveringsdoeleinden in het algemeen belang of wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; en
  • het instellen, uitoefenen of verdedigen van rechtsvorderingen.

Wanneer de te verwijderen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze ontvangers ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.

Meer informatie:
•    Respecteer de rechten van individuen

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Kan ik telefoongesprekken met klanten opnemen om de kwaliteit van de dienstverlening te verbeteren en heb ik hiervoor toestemming nodig?

Ja, jouw klanten moeten, wanneer zij een telefoongesprek voeren, op de hoogte worden gebracht van het doel van de opname, de ontvangers van de opnamen, hun recht om bezwaar te maken en hun recht op inzage van de opname.

Meer informatie:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Wat betekent verwerking van persoonsgegevens?

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

Is het mogelijk om bijzondere persoonsgegevens te verwerken?

Nee, de verwerking van bijzondere persoonsgegevens is over het algemeen verboden, behalve in zeer specifieke omstandigheden:

  • De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn bijzondere persoonsgegevens.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk voor de voor de verwerking verantwoordelijke om zijn verplichtingen na te komen, met name in het kader van werkgelegenheid, sociale zekerheid en sociale bescherming. De verwerkingsverantwoordelijke kan bijvoorbeeld de bijzondere persoonsgegevens van een persoon moeten verwerken om te kunnen bepalen of hij recht heeft op bepaalde socialezekerheidsuitkeringen of arbeidstoelagen.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk om de vitale belangen van een persoon te beschermen wanneer de persoon fysiek of wettelijk niet in staat is toestemming te geven. Als een persoon bijvoorbeeld bewusteloos wordt gelaten als gevolg van een ongeval en onmiddellijke medische zorg vereist, moeten hun gezondheidsgegevens mogelijk worden verwerkt om de juiste medische zorg te kunnen verlenen.
  • De verwerking van bijzondere persoonsgegevens vindt plaats in het kader van de legitieme activiteiten van een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel, en uitsluitend voor de verwerking van de persoonsgegevens van hun leden, voormalige leden of personen die regelmatig contact met hen hebben.
  • De bijzondere persoonsgegevens zijn duidelijk openbaar gemaakt door individuen.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van gerechtelijke procedures.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk voor aangelegenheden van aanzienlijk algemeen belang.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van preventieve of arbeidsgeneeskunde. Bijvoorbeeld, het beoordelen van de bijzondere persoonsgegevens van een individu, zoals hun medische gegevens, kan nodig zijn om hun werkcapaciteit als werknemer te bepalen.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk voor volksgezondheidsaangelegenheden op basis van EU- of nationale wetgeving. De verwerking van bijzondere persoonsgegevens van personen kan bijvoorbeeld nodig zijn om een hoge kwaliteit van de gezondheidszorg en een hoge kwaliteit van medische producten te waarborgen, of om ernstige bedreigingen voor de gezondheid, zoals virussen, te bestrijden.
  • De verwerking van bijzondere persoonsgegevens is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om nauwkeurige statistieken te verstrekken over de situatie van een land op een bepaald gebied. 

Meer informatie:

Wat kan ik doen als de gegevensverwerker geen verwerkingsovereenkomst wil ondertekenen?

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

Wat moet ik doen als iemand vraagt hoe ik hun gegevens verwert?

Individuen kunnen jou vragen of jij hun gegevens verwerkt en waar dit het geval is, Zij hebben recht op toegang tot die gegevens. Dus wanneer dit gebeurt en als jij hun gegevens verwerkt, moet jij bijvoorbeeld kosteloos een kopie van hun persoonsgegevens verstrekken, samen met eventueel noodzakelijke aanvullende informatie. Wanneer een verzoek elektronisch wordt ingediend, moet jouw organisatie de vereiste informatie verstrekken in een gangbaar elektronisch formaat, tenzij de betrokkene anders verzoekt.

Meer informatie:

Hoe lang moet ik reageren op een inzageverzoek?

Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om te antwoorden, mits de betrokkene hiervan binnen een maand na ontvangst van op de hoogte wordt gesteld.

Je moet dit, in beginsel, kosteloos doen.

Meer informatie:

Vraagt u het EDPB om richtsnoeren te verstrekken over een specifiek onderwerp?

Wij nemen nota van uw suggestie aan het EDPB om deze kwestie in overweging te nemen voor toekomstige richtsnoeren. U kunt de onderwerpen die momenteel in het werkprogramma van de EDPB zijn opgenomen, raadplegen op onze website: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_nl.

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Ga naar het contactformulier

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Heb ik toestemming nodig om cookies op de website van mijn organisatie te kunnen gebruiken?

De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.

Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.

De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
 

Meer informatie:
•    Rechtmatige verwerking van persoonsgegevens

Wat is het verschil tussen gepseudonimiseerde gegevens en geanonimiseerde gegevens?

Pseudonimisering bestaat uit het transformeren van persoonsgegevens zodat deze niet langer aan een specifieke persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een individu worden toegeschreven. In de praktijk kan dit betekenen dat persoonsgegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset worden vervangen door indirect identificerende gegevens (alias, volgnummer, enz.). Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens en vallen onder de AVG.

Geanonimiseerde gegevens zijn gegevens die zodanig geanonimiseerd zijn dat de persoon niet of niet langer identificeerbaar is op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt. Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens.
 

Meer informatie: