Veelgestelde vragen
Heb ik toestemming nodig om cookies op de website van mijn organisatie te kunnen gebruiken?
De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.
Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.
De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
Meer informatie:
• Rechtmatige verwerking van persoonsgegevens
Wat moet worden opgenomen in een verwerkingsovereenkomst?
In de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker moet worden bepaald dat de gegevensverwerker:
- de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
- ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
- voor de veiligheid van de verwerking zorgt;
- geen andere gegevensverwerker in mag schakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke;
- de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om diens rechten uit te oefenen;
- de verwerkingsverantwoordelijke ondersteunt bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
- op verzoek van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
- de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
- audits mogelijk maakt en bijdraagt hieraan, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.
Bovendien stelt de gegevensverwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte als, naar zijn mening, instructies inbreuk maken op de AVG of andere EU- of nationale bepalingen inzake gegevensbescherming.
Meer informatie:
What are the sanctions if my organisation does not comply with the GDPR or if my processing violates the GDPR?
Compliance with the GDPR is monitored by the national data protection authorities (DPAs). DPAs can conduct investigations and impose sanctions where necessary. DPAs have a number of tools at their disposal, including fines up to 20 M€ or 4% of the worldwide annual turnover whichever is higher, reprimands, and temporary or permanent processing bans.
You can find the contact details for all EEA DPAs on the EDPB website: Members
More information:
Kan ik bewakingscamera’s op mijn bedrijfspand installeren om mijn eigendom te beschermen?
De eerste stap bij het installeren van bewakingscamera’s is het identificeren van het doel of de doeleinden daarvoor. De doeleinden voor de installatie van bewakingscamera’s kunnen divers zijn, zoals het waarborgen van de beveiliging van gebouwen, het helpen bij het voorkomen en opsporen van diefstal en andere misdrijven, of de bescherming van het leven en de gezondheid van werknemers, vanwege de aard van het werk.
Zoals bij elke verwerking van persoonsgegevens, moet de registratie van personen een juridische grondslag hebben op grond van de AVG. Toestemming kan een wettelijke basis vormen voor dergelijke gegevensverwerking. Het is echter onwaarschijnlijk dat dit in de meeste gevallen van toepassing is op het gebruik van bewakingscamera’s, aangezien het moeilijk zal zijn om vrije toestemming te krijgen van iedereen die waarschijnlijk zal worden opgenomen. De meest voorkomende grondslag voor dit soort verwerkingen van persoonsgegevens is een gerechtvaardigd belang. Wanneer de verwerking gebaseerd is op een gerechtvaardigd belang moet je een belangenafweging uitvoeren om te bepalen of jouw legitieme belangen zwaarder wegen dan de rechten van het individu.
Je moet individuen informeren dat ze worden geregistreerd. Dit kan worden gedaan door makkelijk leesbare borden op prominente posities te plaatsen. Bovendien moet bij alle ingangen een informatiebord worden geplaatst met vermelding van het doel van de bewakingscamera’s en de identiteit en contactgegevens van de verwerkingsverantwoordelijke.
Personen van wie de beelden door de bewakingscamera’s worden opgenomen, moeten de volgende informatie krijgen:
- de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
- de doeleinden van de verwerking;
- de rechtsgrondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit elk legitiem belang nastreeft);
- de contactgegevens van de functionaris voor gegevensbescherming, FG (indien er een FG is);
- de ontvangers of categorieën ontvangers van de gegevens;
- de beveiligingsvoorzieningen voor de bewakingscamerabeelden;
- de bewaartermijn voor de bewakingscamerabeelden;
- het bestaan van individuele rechten uit hoofde van de AVG en het recht om een klacht in te dienen bij de nationale gegevensbeschermingsautoriteit.
Meer informatie:
Kan ik persoonsgegevens doorgeven buiten de Europese Economische Ruimte (EER)?
Volgens de AVG zijn er in principe twee belangrijke manieren om persoonsgegevens door te geven aan een niet-EER-land of internationale organisatie. Doorgifte kan plaatsvinden op grond van een adequaatheidsbesluit of, bij ontbreken van een dergelijk besluit, op basis van passende waarborgen, waaronder afdwingbare rechten en rechtsmiddelen voor personen.
Meer informatie:
Wat is een gegevensbeschermingseffectbeoordeling en wanneer is dit verplicht?
Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.
Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.
Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:
- de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen;
- een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
- systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.
De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
Meer informatie:
Als ik cv’s van kandidaten wil bewaren voor toekomstige wervingsprocedures, moet ik dan om toestemming van de kandidaten vragen?
Toestemming kan inderdaad een geldige rechtsgrondslag zijn voor het opslaan van de cv’s van sollicitanten. Een andere mogelijke rechtsgrondslag kan een legitiem belang zijn. In dat geval moet je een belagnenafweging uitvoeren om aan te tonen dat de legitieme belangen van jouw organisatie zwaarder wegen dan de rechten van het individu.
In ieder geval moet je de kandidaten laten weten dat je van plan bent hun gegevens te bewaren en voor welke doeleinden.
Meer informatie:
Ik organiseer een evenement als onderdeel van mijn zakelijke activiteiten, kan ik foto’s en video’s maken van het evenement en de aanwezigen?
Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.
Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.
Meer informatie:
Moet ik gecertificeerd zijn om een Functionaris Gegevensbescherming (FG) te worden?
Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.
FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.
Meer informatie:
Moet mijn organisatie voldoen aan de AVG?
Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast.
Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.
Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.
Meer informatie: