• Richtsnoeren 9/2022 betreffende melding van inbreuken in verband met persoonsgegevens uit hoofde van de AVG

    4 April 2023
    Publication Type:

  • Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

    24 May 2023
    Publication Type:

  • Advies 15/2023 inzake het ontwerpbesluit van de Nederlandse toezichthoudende autoriteit met betrekking tot de certificeringscriteria van Brand Compliance

    19 September 2023
    Publication Type:

  • Advies 04/2024 over het begrip “hoofdvestiging van een verwerkingsverantwoordelijke in de Unie” in de zin van artikel 4, lid 16, punt a), AVG

    13 February 2024
    Publication Type:

    • Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

    Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

     

    Meer informatie:

    Over hetzelfde onderwerp:
    Heb je je antwoord gevonden?

    Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
    Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

    • het doel van de verwerking (bv. klantenloyaliteit);
    • de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
    • wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
    • indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
    • waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
    • waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

    Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
    Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

    Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

     

    Meer informatie:

     

    Heb je je antwoord gevonden?

    De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

    Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
    Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

    Voorbeelden van verwerkingsverantwoordelijken:

    • bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
    • financiële instellingen die persoonsgegevens van hun cliënten verwerken;
    • verenigingen die de gegevens van hun leden verwerken;
    • scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
    • ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
    • overheidsinstanties die persoonsgegevens van burgers verwerken.

    Voorbeelden van gegevensverwerkers:

    • een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
    • een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
    • een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
       

     

    Meer informatie:

    Heb je je antwoord gevonden?

    De FG kan een bestaande werknemer zijn met voldoende kennis van de AVG (als de professionele taken van de werknemer verenigbaar zijn met die van de FG en dit niet leidt tot belangenconflicten) of een externe persoon. De FG moet taken onafhankelijk kunnen uitvoeren en rechtstreeks aan het hoogste management kunnen rapporteren.

     

    Meer informatie:

     

    Over hetzelfde onderwerp:
    Heb je je antwoord gevonden?
    Subscribe to