European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Moet functionarisgegevensbescherming (FG) aanstellen?

De benoeming van een FG is verplicht in de volgende drie gevallen:

  • de organisatie is een overheidsinstantie;
  • de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via bewakingscamera’s;
  • de kernactiviteiten van de organisatie bestaan uit een grootschalige verwerking van bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

U kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de FG.
 

Meer informatie:

Ben ik verplicht om mijn verwerkingsregister openbaar te maken?

Nee, het is niet nodig om je verwerkingsregister openbaar te maken. Je moet het register echter wel op verzoek van de gegevensbeschermingsautoriteit ter beschikking kunnen stellen.

Meer informatie:

Is uw boodschap over het afdwingen van de GDPR of andere regels?

Vraagt u de EDPB om een onderzoek in te stellen naar en actie te ondernemen tegen een organisatie die volgens u inbreuk maakt op de EU-wetgeving, onder meer door middel van specifieke technologieën, zoals AI, sociale media of berichtendiensten?

In het kader van de regels inzake gegevensbescherming kunt u een klacht indienen bij uw gegevensbeschermingsautoriteit (zie voor een lijst op onze website: https://edpb.europa.eu/about-edpb/our-members). Handhaving van de gegevensbeschermingsregels valt onder de verantwoordelijkheid van de gegevensbeschermingsautoriteiten. U kunt bijvoorbeeld contact opnemen met de gegevensbeschermingsautoriteit waar u woont of werkt of waar de vermeende inbreuk heeft plaatsgevonden.

Een ander alternatief is een zaak aanhangig te maken bij de nationale rechter waar u woont of waar de verwerkingsverantwoordelijke of de verwerker is gevestigd. 

Als de AVG in uw situatie van toepassing is, maar u niet in Europa bent gevestigd, kunt u nog steeds een klacht indienen bij een gegevensbeschermingsautoriteit in Europa en/of naar de rechter stappen.

Het EDPB is niet bevoegd om specifieke individuele verzoeken of klachten te behandelen, noch om individuele adviesdiensten te verlenen. Het EDPB is geen supranationaal orgaan dat klachten kan onderzoeken.

Tot slot kunt u, als u een klacht wilt indienen over de manier waarop een EU-instelling, -agentschap of -orgaan uw persoonsgegevens gebruikt, een klacht indienen bij de Europese Toezichthouder voor gegevensbescherming (zie de contactgegevens op onze website: https://edpb.europa.eu/about-edpb/our-members).

Gelieve er nota van te nemen dat wij uw bericht niet doorsturen naar de nationale gegevensbeschermingsautoriteiten of de EDPS. Daarom moet u rechtstreeks contact met hen opnemen.

Hoe kan ik geldige toestemming krijgen?

Om als geldig te kunnen worden beschouwd, moet de toestemming:

  • vrijelijk gegeven zijn;
  • specifiek zijn;
  • geïnformeerd zijn;
  • ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

Wanneer moet je deze informatie delen?

Als jouw organisatie de persoonsgegevens direct bij personen verzamelt, moet jij de nodige informatie verstrekken op het moment van verzameling.

In geval van indirecte verzameling van persoonsgegevens moet jouw organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand kan worden verkort:

  • als de persoonsgegevens worden gebruikt voor de communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
  • indien de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven. 

Meer informatie:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Moet mijn organisatie voldoen aan de AVG?

Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast. 

Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.

Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.

Meer informatie:

Wat zijn de taken van de functionarisgegevensbescherming (FG)?

Tot de taken van de FG behoren onder meer:

  • de organisatie en haar medewerkers informeren en adviseren over de naleving van de relevante privacywetgeving;
  • toezicht houden op de naleving van de relevante privacywetgeving;
  • advies verstrekken over verzoeken met betrekking tot de gegevensbeschermingseffectbeoordeling (DPIA);
  • het optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en met die gegevensbeschermingsautoriteit samen te werken;
  • het optreden als aanspreekpunt voor individuen.

Daarnaast wordt de aanwezigheid van de FG over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

Meer informatie:

Wat zijn mijn verantwoordelijkheden onder de AVG?

De AVG legt verplichtingen op aan alle organisaties die persoonsgegevens verwerken, ongeacht of het verwerkingsverantwoordelijken of verwerkers zijn.
In het bijzonder moet je:

  • Jezelf afvragen of het doel waarvoor persoonsgegevens kunnen worden verzameld, gerechtvaardigd is en verzamel alleen persoonsgegevens die nodig zijn voor het beoogde specifieke doel(en);
  • De persoonsgegevens van personen nauwkeurig en up-to-date houden en de gegevens verwijderen wanneer dit niet langer nodig is;
  • De rechten van personen eerbiedigen door hen te informeren over hoe en waarom hun gegevens worden verwerkt, en hen in staat te stellen hun rechten uit te oefenen;
  • Controleren of je een passende juridische grondslag hebt voor de verwerking van persoonsgegevens. Als je van plan bent een beroep te doen op de toestemming van personen, vraag dan om hun toestemming voordat je hun persoonsgegevens verwerkt;
  • Ervoor zorgen dat op een veilige manier met de persoonsgegevens van personen wordt omgegaan;
  • Een verwerkingsregister bijhouden.

Gegevensverwerkers zullen zich moeten houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, en zij mogen de gegevens niet anders verwerken dan volgens de instructies van de verwerkingsverantwoordelijke.

Meer informatie:

Wat zijn de basisprincipes van de AVG?

  • Elke verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn.
  • Verzamel alleen persoonsgegevens voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van de gegevens van een persoon moet strikt beperkt zijn tot het (de) oorspronkelijk vastgestelde doel(en) en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
  • Alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
  • Alle persoonsgegevens die jij verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of verwijderd.
  • De opslag van persoonsgegevens van natuurlijke personen moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens van natuurlijke personen worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn.
  • De verwerking van de gegevens van personen moet op een veilige manier gebeuren. In die zin moeten robuuste cyberbeveiligingscontroles worden ingevoerd om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd.

Ten slotte is de verwerkingsverantwoordelijke verantwoordelijk. Dit betekent dat het verantwoordelijk is voor en moet kunnen aantonen dat de bovenstaande principes worden nageleefd.

Meer informatie:

Hoe lang kan ik persoonsgegevens bewaren?

U kunt persoonsgegevens niet voor altijd bewaren.

In de regel kunnen persoonsgegevens slechts zo lang worden bewaart als nodig is in het licht van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In sommige gevallen kan de bewaartermijn worden bepaald door specifieke wetten, bijvoorbeeld de bewaartermijn voor loonadministratie.
Organisaties moeten een beleid voor het bewaren van gegevens invoeren om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is. De persoonsgegevens van natuurlijke personen moeten worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn voor het doel waarvoor zij zijn verwerkt.

Meer informatie:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Schrijft u omdat u ontevreden bent over de manier waarop uw gegevensbeschermingsautoriteit uw verzoek of klacht heeft afgehandeld?

Het EDPB is niet bevoegd om op verzoek van natuurlijke personen toezicht uit te oefenen op de activiteiten van de gegevensbeschermingsautoriteiten.

Houd er rekening mee dat de bevoegdheid om algemene richtsnoeren uit te vaardigen niet kan worden opgevat als een mechanisme voor het EDPB om toezicht uit te oefenen op de wijze waarop gegevensbeschermingsautoriteiten uw individuele geval behandelen. 

Als u van mening bent dat de AVG is geschonden en u niet tevreden bent met het antwoord van de gegevensbeschermingsautoriteit, is de resterende oplossing dat u een gerechtelijke procedure inleidt.

Heb ik een verwerkingsregister nodig?

Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

  • het doel van de verwerking (bv. klantenloyaliteit);
  • de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
  • wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
  • indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
  • waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
  • waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

Meer informatie:

Wat is een belangenconflict voor een functionarisgegevensbescherming (FG)?

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

  • de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
  • de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie: