Frequently Asked Questions

De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

Voorbeelden van verwerkingsverantwoordelijken:

• bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
• financiële instellingen die persoonsgegevens van hun cliënten verwerken;
• verenigingen die de gegevens van hun leden verwerken;
• scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
• ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
• overheidsinstanties die persoonsgegevens van burgers verwerken.

Voorbeelden van gegevensverwerkers:

• een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
• een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
• een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
   

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Sommige soorten persoonsgegevens behoren een speciale categorie persoonsgegevens, wat betekent dat ze meer bescherming verdienen, zogenaamde bijzondere persoonsgegevens. bijzondere persoonsgegevens omvatten gegevens die informatie onthullen over:

• de gezondheid van een individu;
• de seksuele geaardheid van een individu;
• het ras of de etniciteit van een persoon;
• politieke opvattingen, religieuze of filosofische overtuigingen van een individu; het lidmaatschap van een vakbond van een individu;
• de biometrische en genetische gegevens van een individu.

De verwerking van bijzondere persoonsgegevens van een persoon zijn over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen.

Meer informatie:

• Beginselen voor gegevensbescherming
   

De FG kan een bestaande werknemer zijn met voldoende kennis van de AVG (als de professionele taken van de werknemer verenigbaar zijn met die van de FG en dit niet leidt tot belangenconflicten) of een externe persoon. De FG moet taken onafhankelijk kunnen uitvoeren en rechtstreeks aan het hoogste management kunnen rapporteren.

Meer informatie:

• Functionarisgegevensbescherming

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Persoonsgegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon. Een identificeerbaar individu is iedereen die direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die door het bijelkaar voegen kan leiden tot de identificatie van een specifiek persoon, is ook persoonsgegevens.
Voorbeelden van persoonsgegevens zijn:

• naam en achternaam;
• een adres;
• een e-mailadres;
• een identiteitskaartnummer;
• locatiegegevens;
• een IP-adres (Internet Protocol);
• een cookie-ID;
• bankrekeningen;
• belastingverslagen;
• biometrische gegevens (zoals vingerafdrukken);
• een BSN;
• paspoortnummer;
• testresultaten;
• schoolcijfers;
• browsergeschiedenis;
• Een foto van een individu;
• Een kenteken enz.

Meer informatie:

• Beginselen voor gegevensbescherming

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Zorg ervoor dat de gegevens die je hebt ontvangen rechtmatig zijn verzameld en dat de betrokken personen op de hoogte zijn gesteld van de verwerking van hun persoonsgegevens.
2. In het geval dat een derde namens jou persoonsgegevens verwerkt, zorg er dan voor dat je een verwerkersovereenkomst hebt, waarin de verwerkingen en middelen voor de verwerking van persoonsgegevens worden beschreven.

En natuurlijk voldoen aan alle verplichtingen van de verwerkingsverantwoordelijken.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

De noodzakelijke beveiligingsmaatregelen kunnen verschillen op basis van de aard van de persoonsgegevens die je verwerkt en de daaraan verbonden risico’s voor personen. In ieder geval zijn er enkele maatregelen die je minimaal moet nemen:

• beveiligde toegang tot de gebouwen;
• regelmatig bijgewerkte antivirussoftware gebruiken;
• zorgvuldig je wachtwoorden kiezen;
• gebruikers zich laten authenticeren voordat zij gebruik maken van ICT-middelen;
• zorgen voor een back-up- en herstelbeleid voor gegevens in geval van een incident.

Daarnaast zijn enkele basismaatregelen zoals het vergrendelen van je scherm terwijl je weg bent en het afsluiten van het kantoor aan het einde van de dag nooit misplaatst.

Meer informatie:

• Beveilig persoonsgegevens
   

Het publiceren van de namen van de winnaars van een wedstrijd op jouw website kan worden beschouwd als een legitiem belang, als je dit kunt bewijzen door een belangenafweging te maken om te bepalen of jouw legitieme belangen zwaarder wegen dan het recht van personen.

Een goede praktijk is het opzetten van een interne procedure waarin de regels voor de publicatie van persoonsgegevens van winnaars worden uitgelegd.

Daarnaast moet de verwerking van persoonsgegevens voor deze doeleinden deel uitmaken van het privacybeleid van de wedstrijd, zodat deelnemers vooraf worden geïnformeerd over hoe hun gegevens zullen worden verwerkt.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Het EDPB verstrekt burgers of particuliere/publieke organisaties geen juridisch advies op maat over de toepassing van de wetgeving inzake gegevensbescherming op specifieke gevallen. 

De belangrijkste rol van het EDPB bestaat erin algemene richtsnoeren en adviezen uit te brengen. Alle goedgekeurde richtsnoeren en adviezen kunnen hier worden geraadpleegd: Richtsnoeren, aanbevelingen, beste praktijken en adviezen. We raden u ook aan de gids voor gegevensbescherming voor kleine bedrijven te lezen. Deze gids helpt u inzicht te krijgen in de belangrijkste concepten voor gegevensbescherming, de rechten van personen onder de AVG, nalevingsvereisten, beveiligingsmaatregelen en hoe om te gaan met gegevensinbreuken.

Aanvullende informatie over de rol van het EDPB en de toepassing van de AVG is ook hier te vinden: Frequently Asked Questions.

We nodigen u ook uit om de websites van de gegevensbeschermingsautoriteit in uw land te raadplegen. De links naar de websites van onze leden zijn hier te vinden: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Ja, dat kan, maar de AVG legt bepaalde verplichtingen op aan bedrijven die persoonsgegevens delen. Jouw organisatie moet personen informeren dat jij hun gegevens deelt met een derde partij. Je moet hen ook informeren over jouw doeleinden, de veiligheid, de toegang en de bewaartermijnen die van toepassing zullen zijn.