Om als geldig te kunnen worden beschouwd, moet de toestemming:

• vrijelijk gegeven zijn;
• specifiek zijn;
• geïnformeerd zijn;
• ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

• het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
• door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

• Respecteer de rechten van individuen

Personen hebben het recht om te verzoeken om verwijdering van hun betreffende persoonsgegevens en in dat geval heeft de verwerkingsverantwoordelijke de verplichting om de persoonsgegevens te verwijderen. Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om aan het verzoek te voldoen, mits de betrokkene hiervan binnen een maand na ontvangst van het verzoek over wordt ingelicht.
Het is belangrijk op te merken dat het recht op verwijdering niet absoluut is. Zij is niet van toepassing wanneer de gegevens in kwestie noodzakelijk zijn voor:

• uitoefening van het recht op vrijheid van meningsuiting en van informatie (bv. voor journalistieke doeleinden);
• naleving van een wettelijke verplichting die de verwerking van persoonsgegevens vereist (bv. het verwerken van gegevens over de werkuren van werknemers);
• redenen van algemeen belang op het gebied van de volksgezondheid
• archiveringsdoeleinden in het algemeen belang of wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; en
• het instellen, uitoefenen of verdedigen van rechtsvorderingen.

Wanneer de te verwijderen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze ontvangers ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.

Meer informatie:
•    Respecteer de rechten van individuen

De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.

Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.

De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
 

Meer informatie:
•    Rechtmatige verwerking van persoonsgegevens

Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.

FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.

Meer informatie:

• Functionarisgegevensbescherming

Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast. 

Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.

Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.

Meer informatie:

• beginselen voor gegevensbescherming

Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.

Meer informatie:

• Beginselen voor gegevensbescherming
   

De EDPB publiceert regelmatig persberichten, nieuwsberichten, blogs en andere inhoud op de EDPB-website en socialemediakanalen (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) om de gegevensbeschermingsgemeenschap en het grote publiek op de hoogte te houden van de werkzaamheden.

Nee, het is niet nodig om je verwerkingsregister openbaar te maken. Je moet het register echter wel op verzoek van de gegevensbeschermingsautoriteit ter beschikking kunnen stellen.

Meer informatie:

• De regels naleven

1. Zorg ervoor dat de gegevens die je hebt ontvangen rechtmatig zijn verzameld en dat de betrokken personen op de hoogte zijn gesteld van de verwerking van hun persoonsgegevens.
2. In het geval dat een derde namens jou persoonsgegevens verwerkt, zorg er dan voor dat je een verwerkersovereenkomst hebt, waarin de verwerkingen en middelen voor de verwerking van persoonsgegevens worden beschreven.

En natuurlijk voldoen aan alle verplichtingen van de verwerkingsverantwoordelijken.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker