Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon.
Voorbeelden van het soort gegevens dat de directe of indirecte identificatie van een persoon mogelijk maakt en derhalve als persoonsgegevens kunnen worden aangemerkt, zijn:

- naam, achternaam, telefoonnummers van klanten, belanghebbenden, werknemers, leveranciers;
- identificatienummers, zoals iemands klantnummer, iemands personeelsnummer ,
- een boekingsreferentie;
- e-mailadressen, locatiegegevens;
- iemands browsegeschiedenis;
- iemands aankoopgeschiedenis en ontvangstbewijzen;
- foto’s, video’s en audio-opnamen met afbeeldingen of geluiden van personen.
Met deze persoonsgegevens kan een persoon direct of indirect worden geïdentificeerd:

- als je organisatie bijvoorbeeld iemands naam of achternaam verwerkt, kunnen deze persoonsgegevens de directe identificatie van deze persoon mogelijk maken;
- als je organisatie bijvoorbeeld iemands klantnummer of boekingsreferentie verwerkt, kunnen deze persoonsgegevens de indirecte identificatie van die persoon mogelijk maken.
- Elk type informatie dat wordt verwerkt met betrekking tot de persoon die direct of indirect wordt geïdentificeerd (d.w.z. voorkeuren, gewoonten) wordt ook beschouwd als een persoonsgegeven.
Lees meer
Bijzondere categorieën persoonsgegevens
Sommige soorten persoonsgegevens, meestal gevoelige gegevens genoemd, behoren tot speciale categorieën die meer bescherming verdienen. Volgens artikel 9 van de AVG omvatten gevoelige gegevens gegevens die informatie onthullen over:

- iemands gezondheid;
- iemands seksleven of seksuele geaardheid;
- iemands raciale of etnische afstamming;
- iemands politieke opvattingen, religieuze of filosofische overtuigingen;
- de biometrische en genetische gegevens van een persoon;
- vakbondslidmaatschap.
De verwerking van gevoelige gegevens van een persoon is over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen (zoals expliciete toestemming).
Voor meer informatie over de omstandigheden waaronder gevoelige gegevens kunnen worden verwerkt, bekijk je de rechtmatige verwerking van persoonsgegevens
Persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten
De verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten is onderhevig aan strikte wettelijke voorwaarden. Deze persoonsgegevens kunnen alleen worden verwerkt door een overheidsinstantie, zoals de politie, onder toezicht van een overheidsinstantie, of wanneer dit is toegestaan door nationale wetgeving.
AVG-checklist voor ‘good practices’

- Bedenk of het doel waarvoor mogelijk persoonsgegevens worden verzameld gerechtvaardigd is.
- Verzamel enkel persoonsgegevens die specifiek nodig zijn voor het beoogde doel(en).
- Informeer personen over hoe en voor welke doeleinden hun persoonsgegevens kunnen worden verwerkt.
- Controleer of je een passende wettelijke basis hebt voor de verwerking van persoonsgegevens. Als je van plan bent een beroep te doen op de toestemming van personen, vraag dan om hun toestemming vóórdat je hun persoonsgegevens verwerkt.
- Zorg ervoor dat persoonsgegevens op een veilige manier worden behandeld.
- Hou de persoonsgegevens nauwkeurig en up-to-date.
- Verwijder persoonsgegevens wanneer ze niet langer nodig zijn. Hou er rekening mee dat de nationale wetgeving je kan verplichten om bepaalde gegevens te bewaren bijvoorbeeld vanwege fiscale redenen).
Wat betekent de verwerking van persoonsgegevens?
De verwerking van persoonsgegevens omvat elke vorm van activiteit (verwerking) die al dan niet met geautomatiseerde middelen op of met persoonsgegevens wordt uitgevoerd.
Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, organiseren, gebruiken, wijzigen, opslaan en openbaar maken van persoonsgegevens.
Ondanks dat de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, vallen handmatig uitgevoerde verwerkingen ook onder de AVG vanaf het moment dat papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast.
Lees meer
Is de AVG van toepassing op je organisatie?
De AVG kan van toepassing zijn op alle particuliere en publieke organisaties als:

- de organisatie in kwestie is gevestigd in de EU of in de Europese Economische Ruimte (EER — EU-landen + IJsland, Liechtenstein en Noorwegen); of
- de organisatie is niet gevestigd in de EER, maar haar producten of diensten worden aangeboden aan personen die zich in de EER bevinden, of de organisatie houdt toezicht op het gedrag van personen die zich in de EER bevinden.
De AVG is ook op dezelfde manier van toepassing op elke onderaannemer die persoonsgegevens verwerkt namens een particuliere of publieke organisatie.
In de praktijk is de AVG op jou van toepassing indien één van de volgende voorwaarden van toepassing is:

- Je bent een bedrijf gevestigd in een EER-land;
- Je bent een organisatie, gevestigd in een niet-EER-land, die goederen verkoopt of diensten aanbiedt, ook gratis, gericht op personen in een EER-land;
- Je bent een IT-bedrijf gevestigd in een niet-EER-land dat is ingehuurd door een in de EER gevestigde particuliere organisatie om hun IT-databases te beheren, zoals de database van een klant;
- Je bent een dienstverlener gevestigd in de EER en verwerkt persoonsgegevens namens een ander bedrijf.
De belangrijkste principes van de AVG
Bij de verwerking van persoonsgegevens moet je organisatie voldoen aan de volgende 6 kernbeginselen van de AVG. Daarnaast moet je organisatie kunnen aantonen dat aan deze principes wordt voldaan.
Rechtmatigheid, behoorlijkheid en transparantie
Elke verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn.
Je organisatie kan persoonsgegevens alleen verwerken als de beoogde verwerking rechtmatig is; dus op basis van de toestemming van de persoon, noodzakelijk voor de uitvoering van een overeenkomst, of op basis van één van de andere rechtsgronden voor de verwerking van gegevens vermeld in artikel 6 AVG.
Als de verwerking gebaseerd is op toestemming, moet je organisatie ervoor zorgen dat deze toestemming vrijelijk, geïnformeerd, specifiek en ondubbelzinnig wordt gegeven. Met andere woorden, er mag geen twijfel bestaan dat personen op de hoogte zijn van waar ze mee akkoord gaan, voor welke doeleinden de verwerking wordt uitgevoerd, en dat deze toestemming actief is gegeven voordat de verwerking begon. Bovendien moeten personen hun toestemming vrijelijk kunnen intrekken. Als de verwerking van hun gegevens desalniettemin noodzakelijk is (bijvoorbeeld in het kader van een overeenkomst), betekent dit dat toestemming niet de juiste rechtsgrondslag is.
Beperking van het doel
Je organisatie kan alleen persoonsgegevens verzamelen voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van persoonsgegevens moet strikt beperkt zijn tot het oorspronkelijk vastgestelde doel en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
Dataminimalisatie
Je organisatie kan alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
Nauwkeurigheid
De persoonsgegevens die je organisatie verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of gewist.
Beperking van de opslag
De opslag van persoonsgegevens moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn. In de praktijk betekent dit dat je organisatie een intern beleid moet voeren met betrekking tot de bewaartermijnen voor gegevens, evenals een procedure voor het verwijderen van gegevens.
Beveiliging
De verwerking van persoonsgegevens moet op een veilige manier gebeuren. In die zin moeten robuuste gegevensbeschermingsmaatregelen, zoals passende maatregelen op het gebied van cybersecurity, worden genomen om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd. Deze maatregelen moeten onopzettelijke, niet-toegestane of onrechtmatige openbaarmaking, verlies, vernietiging of beschadiging van persoonsgegevens voorkomen.
Lees meer
Richtlijnen voor de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), AVG in het kader van het aanbieden van onlinediensten aan betrokkenen
EDPB