European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Wat moet ik doen in geval van een datalek?

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

  • Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
  • Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

Hoe kan ik de gegevensbeschermingsrechten van personen respecteren?

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

  • het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
  • door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

Wilt u de rechten van de betrokkene (schrapping, correctie, toegang) uitoefenen met betrekking tot persoonsgegevens die in het Schengeninformatiesysteem (SIS) worden bewaard?

Het Coördinatiecomité voor toezicht (CSC) - dat binnen het EDPB bestaat - coördineert het toezicht op de verwerking van persoonsgegevens in het Schengeninformatiesysteem (SIS). De relevante EU-wetgeving is Verordening (EU) 2018/1862 (met name artikel 71) en Verordening (EU) 2018/1861 (met name artikel 57).

Voor persoonsgegevens die in het SIS zijn opgenomen, hebt u het recht op toegang, rectificatie en wissing. Deze rechten omvatten:

  • het recht om te weten of informatie over u in het SIS wordt verwerkt;
  • het recht op toegang tot die gegevens;
  • Het recht op correctie van onjuiste gegevens of verwijdering met betrekking tot het onrechtmatig opslaan van die gegevens; en
  • Het recht om stappen te ondernemen met rechtbanken, uw gegevensbeschermingsautoriteit en / of bevoegde autoriteiten, indien van toepassing, om gegevens die op u betrekking hebben te corrigeren of te verwijderen of om schadevergoeding te verkrijgen.

Om uw rechten uit te oefenen, kunt u contact opnemen met uw nationale bevoegde autoriteit in het Schengenland van uw keuze. Meer informatie over de nationale bevoegde autoriteiten en de gegevensbeschermingsautoriteit in elk Schengenland vindt u in de “Gidsvoor de uitoefening van de rechten van betrokkenen” op onze website. Daar vindt u ook modelbrieven om u te helpen bij de uitoefening van uw rechten. 

Het EDPB is niet bevoegd om individuele klachten of verzoeken te behandelen. Bovendien heeft het EDPB geen toegang tot de inhoud van deze informatiesystemen en databanken.

Meer informatie over de wijze waarop u uw rechten kunt uitoefenen, is te vinden op onze website https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_nl.

Hoe kan ik het werk van de EDPB bijhouden?

De EDPB publiceert regelmatig persberichten, nieuwsberichten, blogs en andere inhoud op de EDPB-website en socialemediakanalen (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) om de gegevensbeschermingsgemeenschap en het grote publiek op de hoogte te houden van de werkzaamheden.

Wat is de AVG?

De AVG of de algemene verordening gegevensbescherming stelt een geharmoniseerde reeks regels vast die van toepassing zijn op alle verwerking van persoonsgegevens door (publieke of particuliere) organisaties, ongeacht hun omvang, gevestigd in de Europese Economische Ruimte (EER) of gericht zijn op personen in de EU. Het primaire doel van de AVG is ervoor te zorgen dat persoonsgegevens overal in de EER dezelfde hoge beschermingsstandaard genieten, de rechtszekerheid voor zowel personen als organisaties die gegevens verwerken, te vergroten en een hoge mate van bescherming voor individuen te bieden.

De verordening is op 24 mei 2016 in werking getreden en is van toepassing sinds 25 mei 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Is de AVG ook van toepassing op papieren dossiers?

Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.

Meer informatie:

Wat is een gezamenlijke verwerkingsverantwoordelijken?

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

  • Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

Ik organiseer een evenement als onderdeel van mijn zakelijke activiteiten, kan ik foto’s en video’s maken van het evenement en de aanwezigen?

Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.

Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.

Meer informatie:

Als ik cv’s van kandidaten wil bewaren voor toekomstige wervingsprocedures, moet ik dan om toestemming van de kandidaten vragen?

Toestemming kan inderdaad een geldige rechtsgrondslag zijn voor het opslaan van de cv’s van sollicitanten. Een andere mogelijke rechtsgrondslag kan een legitiem belang zijn. In dat geval moet je een belagnenafweging uitvoeren om aan te tonen dat de legitieme belangen van jouw organisatie zwaarder wegen dan de rechten van het individu.

In ieder geval moet je de kandidaten laten weten dat je van plan bent hun gegevens te bewaren en voor welke doeleinden.
 

Meer informatie:

Schrijft u over een niet-EU-land waarvan wordt erkend dat het een adequaat niveau van gegevensbescherming biedt (adequaatheidsbesluiten)?

De Europese Commissie kan beslissen of een land buiten Europa (of een internationale organisatie) een "adequaat" niveau van gegevensbescherming biedt, wat de gegevensstromen tussen Europa en dit land vergemakkelijkt. 

Het EDPB is belast met het uitbrengen van adviezen over de ontwerpen van adequaatheidsbesluiten, vóór het besluit van de Europese Commissie. De adviezen zijn niet bindend voor de Europese Commissie, maar zijn meestal nuttig voor de andere organisaties die in dit kader worden geraadpleegd, zoals de EU-lidstaten.

Voorts is de Europese Commissie bevoegd om toezicht te houden op ontwikkelingen in niet-Europese landen die van invloed kunnen zijn op adequaatheidsbesluiten. Sommige adequaatheidsbesluiten voorzien in een specifieke regelmaat voor de toetsing van het besluit en kunnen verwijzen naar de mogelijkheid voor vertegenwoordigers van het EDPB om deel te nemen aan het door de Europese Commissie georganiseerde toetsingsproces.

Houd er ook rekening mee dat Europese gegevensbeschermingsautoriteiten personen kunnen beschermen met betrekking tot gegevensoverdrachten die plaatsvinden in het kader van een adequaatheidsbesluit (zie een lijst van hen op onze website: https://edpb.europa.eu/about-edpb/our-members).

Als u van mening bent dat een bestaand adequaatheidsbesluit niet in overeenstemming is met uw grondrechten op privacy en gegevensbescherming, kunt u een klacht indienen bij uw gegevensbeschermingsautoriteit, die deze bezwaren kan voorleggen aan een nationale rechter die mogelijk een verzoek om een prejudiciële beslissing moet indienen bij het Hof van Justitie (zie artikel 58, lid 5, AVG en het arrest van het Hof van Justitie Schrems (zaak C-362/14)).

Voor meer informatie, zie: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_nl

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Kan ik alleen persoonsgegevens verwerken als ik toestemming van het individu heb?

Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.

Meer informatie:

Moet ik gecertificeerd zijn om een Functionaris Gegevensbescherming (FG) te worden?

Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.

FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.

Meer informatie:

Wat is een gegevensbeschermingseffectbeoordeling en wanneer is dit verplicht?

Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.

Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.

Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:

  • de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen; 
  • een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
  • systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.

De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
 

Meer informatie:

Wat zijn de wettelijke basis voor verwerking onder de AVG?

Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:

  • met toestemming van de betrokken personen;
  • wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
  • om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
  • wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
  • het beschermen van de vitale belangen van een individu;
  • voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
  • arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.


Meer informatie:

•    Rechtmatige verwerking van persoonsgegevens
 

Moeten gegevensverwerkers ook de AVG respecteren?

Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

Meer informatie:

Wat moet worden opgenomen in een verwerkingsovereenkomst?

In de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker moet worden bepaald dat de gegevensverwerker:

  • de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
  • ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
  • voor de veiligheid van de verwerking zorgt;
  • geen andere gegevensverwerker in mag schakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke;
  • de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om diens rechten uit te oefenen;
  • de verwerkingsverantwoordelijke ondersteunt bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
  • op verzoek van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
  • de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
  • audits mogelijk maakt en bijdraagt hieraan, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.

Bovendien stelt de gegevensverwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte als, naar zijn mening, instructies inbreuk maken op de AVG of andere EU- of nationale bepalingen inzake gegevensbescherming.

Meer informatie:

Kan ik persoonsgegevens doorgeven buiten de Europese Economische Ruimte (EER)?

Volgens de AVG zijn er in principe twee belangrijke manieren om persoonsgegevens door te geven aan een niet-EER-land of internationale organisatie. Doorgifte kan plaatsvinden op grond van een adequaatheidsbesluit of, bij ontbreken van een dergelijk besluit, op basis van passende waarborgen, waaronder afdwingbare rechten en rechtsmiddelen voor personen.

Meer informatie:

Is de functionaris gegevensbescherming (FG) verantwoordelijk voor de naleving van de AVG?

De FG kan niet aansprakelijk worden gesteld voor het niet naleven van de AVG. Naleving van de AVG is de verantwoordelijkheid van de organisatie die de FG heeft aangesteld.

Meer informatie: