Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker
   

Tot de taken van de FG behoren onder meer:

• de organisatie en haar medewerkers informeren en adviseren over de naleving van de relevante privacywetgeving;
• toezicht houden op de naleving van de relevante privacywetgeving;
• advies verstrekken over verzoeken met betrekking tot de gegevensbeschermingseffectbeoordeling (DPIA);
• het optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en met die gegevensbeschermingsautoriteit samen te werken;
• het optreden als aanspreekpunt voor individuen.

Daarnaast wordt de aanwezigheid van de FG over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

Meer informatie:

• Functionarisgegevensbescherming
   

Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:

• met toestemming van de betrokken personen;
• wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
• om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
• wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
• het beschermen van de vitale belangen van een individu;
• voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
• arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Meer informatie:

•    Rechtmatige verwerking van persoonsgegevens
 

• Elke verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn.
• Verzamel alleen persoonsgegevens voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van de gegevens van een persoon moet strikt beperkt zijn tot het (de) oorspronkelijk vastgestelde doel(en) en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
• Alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
• Alle persoonsgegevens die jij verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of verwijderd.
• De opslag van persoonsgegevens van natuurlijke personen moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens van natuurlijke personen worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn.
• De verwerking van de gegevens van personen moet op een veilige manier gebeuren. In die zin moeten robuuste cyberbeveiligingscontroles worden ingevoerd om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd.

Ten slotte is de verwerkingsverantwoordelijke verantwoordelijk. Dit betekent dat het verantwoordelijk is voor en moet kunnen aantonen dat de bovenstaande principes worden nageleefd.

Meer informatie:

• Beginselen voor gegevensbescherming

De AVG legt verplichtingen op aan alle organisaties die persoonsgegevens verwerken, ongeacht of het verwerkingsverantwoordelijken of verwerkers zijn.
In het bijzonder moet je:

• Jezelf afvragen of het doel waarvoor persoonsgegevens kunnen worden verzameld, gerechtvaardigd is en verzamel alleen persoonsgegevens die nodig zijn voor het beoogde specifieke doel(en);
• De persoonsgegevens van personen nauwkeurig en up-to-date houden en de gegevens verwijderen wanneer dit niet langer nodig is;
• De rechten van personen eerbiedigen door hen te informeren over hoe en waarom hun gegevens worden verwerkt, en hen in staat te stellen hun rechten uit te oefenen;
• Controleren of je een passende juridische grondslag hebt voor de verwerking van persoonsgegevens. Als je van plan bent een beroep te doen op de toestemming van personen, vraag dan om hun toestemming voordat je hun persoonsgegevens verwerkt;
• Ervoor zorgen dat op een veilige manier met de persoonsgegevens van personen wordt omgegaan;
• Een verwerkingsregister bijhouden.

Gegevensverwerkers zullen zich moeten houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, en zij mogen de gegevens niet anders verwerken dan volgens de instructies van de verwerkingsverantwoordelijke.

Meer informatie:

• De regels naleven
• Verwerkingsverantwoordelijke of gegevensverwerker
• beginselen voor gegevensbescherming
   

Cookies zijn kleine bestanden die worden opgeslagen op een apparaat, zoals een computer, een mobiel apparaat of elk ander apparaat dat informatie kan opslaan. Cookies dienen een aantal belangrijke functies, waaronder het onthouden van gebruikers en hun eerdere interacties met een website. Ze kunnen worden gebruikt om producten in een online winkelwagentje bij te houden of om informatie bij te houden wanneer gegevens in een online aanvraagformulier worden ingevoegd.

Authenticatiecookies zijn ook belangrijk om gebruikers te identificeren wanneer ze zich aanmelden bij bankdiensten en andere online diensten. De in cookies opgeslagen informatie kan persoonsgegevens omvatten, zoals een IP-adres, een gebruikersnaam, een unieke identificatiecode of een e-mailadres.
 

De benoeming van een FG is verplicht in de volgende drie gevallen:

• de organisatie is een overheidsinstantie;
• de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via bewakingscamera’s;
• de kernactiviteiten van de organisatie bestaan uit een grootschalige verwerking van bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

U kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de FG.
 

Meer informatie:

• Functionarisgegevensbescherming (FG) 

De FG kan niet aansprakelijk worden gesteld voor het niet naleven van de AVG. Naleving van de AVG is de verantwoordelijkheid van de organisatie die de FG heeft aangesteld.

Meer informatie:

• functionaris gegevensbescherming (FG)