Veelgestelde vragen

De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

Voorbeelden van verwerkingsverantwoordelijken:

  • bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
  • financiële instellingen die persoonsgegevens van hun cliënten verwerken;
  • verenigingen die de gegevens van hun leden verwerken;
  • scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
  • ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
  • overheidsinstanties die persoonsgegevens van burgers verwerken.

Voorbeelden van gegevensverwerkers:

  • een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
  • een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
  • een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
     

 

Meer informatie:

Nee, het is niet nodig om je verwerkingsregister openbaar te maken. Je moet het register echter wel op verzoek van de gegevensbeschermingsautoriteit ter beschikking kunnen stellen.

 

Meer informatie:

 

De EDPB publiceert regelmatig persberichten, nieuwsberichten, blogs en andere inhoud op de EDPB-website en socialemediakanalen (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) om de gegevensbeschermingsgemeenschap en het grote publiek op de hoogte te houden van de werkzaamheden.

De AVG of de algemene verordening gegevensbescherming stelt een geharmoniseerde reeks regels vast die van toepassing zijn op alle verwerking van persoonsgegevens door (publieke of particuliere) organisaties, ongeacht hun omvang, gevestigd in de Europese Economische Ruimte (EER) of gericht zijn op personen in de EU. Het primaire doel van de AVG is ervoor te zorgen dat persoonsgegevens overal in de EER dezelfde hoge beschermingsstandaard genieten, de rechtszekerheid voor zowel personen als organisaties die gegevens verwerken, te vergroten en een hoge mate van bescherming voor individuen te bieden.

De verordening is op 24 mei 2016 in werking getreden en is van toepassing sinds 25 mei 2018.

Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

  • het doel van de verwerking (bv. klantenloyaliteit);
  • de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
  • wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
  • indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
  • waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
  • waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

 

Meer informatie:

 

Persoonsgegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon. Een identificeerbaar individu is iedereen die direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die door het bijelkaar voegen kan leiden tot de identificatie van een specifiek persoon, is ook persoonsgegevens.
Voorbeelden van persoonsgegevens zijn:

  • naam en achternaam;
  • een adres;
  • een e-mailadres;
  • een identiteitskaartnummer;
  • locatiegegevens;
  • een IP-adres (Internet Protocol);
  • een cookie-ID;
  • bankrekeningen;
  • belastingverslagen;
  • biometrische gegevens (zoals vingerafdrukken);
  • een BSN;
  • paspoortnummer;
  • testresultaten;
  • schoolcijfers;
  • browsergeschiedenis;
  • Een foto van een individu;
  • Een kenteken enz.

 

Meer informatie:

 

Ja, dat kan, maar de AVG legt bepaalde verplichtingen op aan bedrijven die persoonsgegevens delen. Jouw organisatie moet personen informeren dat jij hun gegevens deelt met een derde partij. Je moet hen ook informeren over jouw doeleinden, de veiligheid, de toegang en de bewaartermijnen die van toepassing zullen zijn.

Pseudonimisering bestaat uit het transformeren van persoonsgegevens zodat deze niet langer aan een specifieke persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een individu worden toegeschreven. In de praktijk kan dit betekenen dat persoonsgegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset worden vervangen door indirect identificerende gegevens (alias, volgnummer, enz.). Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens en vallen onder de AVG.

Geanonimiseerde gegevens zijn gegevens die zodanig geanonimiseerd zijn dat de persoon niet of niet langer identificeerbaar is op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt. Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens.
 

 

Meer informatie:

Sommige soorten persoonsgegevens behoren een speciale categorie persoonsgegevens, wat betekent dat ze meer bescherming verdienen, zogenaamde bijzondere persoonsgegevens. bijzondere persoonsgegevens omvatten gegevens die informatie onthullen over:

  • de gezondheid van een individu;
  • de seksuele geaardheid van een individu;
  • het ras of de etniciteit van een persoon;
  • politieke opvattingen, religieuze of filosofische overtuigingen van een individu; het lidmaatschap van een vakbond van een individu;
  • de biometrische en genetische gegevens van een individu.

De verwerking van bijzondere persoonsgegevens van een persoon zijn over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen.

 

Meer informatie:

Cookies zijn kleine bestanden die worden opgeslagen op een apparaat, zoals een computer, een mobiel apparaat of elk ander apparaat dat informatie kan opslaan. Cookies dienen een aantal belangrijke functies, waaronder het onthouden van gebruikers en hun eerdere interacties met een website. Ze kunnen worden gebruikt om producten in een online winkelwagentje bij te houden of om informatie bij te houden wanneer gegevens in een online aanvraagformulier worden ingevoegd.

Authenticatiecookies zijn ook belangrijk om gebruikers te identificeren wanneer ze zich aanmelden bij bankdiensten en andere online diensten. De in cookies opgeslagen informatie kan persoonsgegevens omvatten, zoals een IP-adres, een gebruikersnaam, een unieke identificatiecode of een e-mailadres.