Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast. 

Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.

Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.

Meer informatie:

• beginselen voor gegevensbescherming

Ja, dat kan, maar de AVG legt bepaalde verplichtingen op aan bedrijven die persoonsgegevens delen. Jouw organisatie moet personen informeren dat jij hun gegevens deelt met een derde partij. Je moet hen ook informeren over jouw doeleinden, de veiligheid, de toegang en de bewaartermijnen die van toepassing zullen zijn.

Tot de taken van de FG behoren onder meer:

• de organisatie en haar medewerkers informeren en adviseren over de naleving van de relevante privacywetgeving;
• toezicht houden op de naleving van de relevante privacywetgeving;
• advies verstrekken over verzoeken met betrekking tot de gegevensbeschermingseffectbeoordeling (DPIA);
• het optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en met die gegevensbeschermingsautoriteit samen te werken;
• het optreden als aanspreekpunt voor individuen.

Daarnaast wordt de aanwezigheid van de FG over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

Meer informatie:

• Functionarisgegevensbescherming
   

De benoeming van een FG is verplicht in de volgende drie gevallen:

• de organisatie is een overheidsinstantie;
• de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via bewakingscamera’s;
• de kernactiviteiten van de organisatie bestaan uit een grootschalige verwerking van bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

U kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de FG.
 

Meer informatie:

• Functionarisgegevensbescherming (FG) 

De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.

Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.

De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
 

Meer informatie:
•    Rechtmatige verwerking van persoonsgegevens

Cookies zijn kleine bestanden die worden opgeslagen op een apparaat, zoals een computer, een mobiel apparaat of elk ander apparaat dat informatie kan opslaan. Cookies dienen een aantal belangrijke functies, waaronder het onthouden van gebruikers en hun eerdere interacties met een website. Ze kunnen worden gebruikt om producten in een online winkelwagentje bij te houden of om informatie bij te houden wanneer gegevens in een online aanvraagformulier worden ingevoegd.

Authenticatiecookies zijn ook belangrijk om gebruikers te identificeren wanneer ze zich aanmelden bij bankdiensten en andere online diensten. De in cookies opgeslagen informatie kan persoonsgegevens omvatten, zoals een IP-adres, een gebruikersnaam, een unieke identificatiecode of een e-mailadres.
 

In de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker moet worden bepaald dat de gegevensverwerker:

• de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
• ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
• voor de veiligheid van de verwerking zorgt;
• geen andere gegevensverwerker in mag schakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke;
• de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om diens rechten uit te oefenen;
• de verwerkingsverantwoordelijke ondersteunt bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
• op verzoek van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
• de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
• audits mogelijk maakt en bijdraagt hieraan, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.

Bovendien stelt de gegevensverwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte als, naar zijn mening, instructies inbreuk maken op de AVG of andere EU- of nationale bepalingen inzake gegevensbescherming.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Volgens de AVG zijn er in principe twee belangrijke manieren om persoonsgegevens door te geven aan een niet-EER-land of internationale organisatie. Doorgifte kan plaatsvinden op grond van een adequaatheidsbesluit of, bij ontbreken van een dergelijk besluit, op basis van passende waarborgen, waaronder afdwingbare rechten en rechtsmiddelen voor personen.

Meer informatie:

• Internationale doorgifte

Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:

• met toestemming van de betrokken personen;
• wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
• om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
• wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
• het beschermen van de vitale belangen van een individu;
• voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
• arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Meer informatie:

•    Rechtmatige verwerking van persoonsgegevens