Veelgestelde vragen
Wat zijn de wettelijke basis voor verwerking onder de AVG?
Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:
- met toestemming van de betrokken personen;
- wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
- om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
- wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
- het beschermen van de vitale belangen van een individu;
- voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
- arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.
Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.
Meer informatie:
• Rechtmatige verwerking van persoonsgegevens
Welke informatie moet ik communiceren met/delen met individuen?
De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.
Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:
- de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
- de doeleinden van de verwerking;
- de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
- de contactgegevens van de verwerkingsverantwoordelijke;
- de contactgegevens van de FG (indien er een FG is);
- de ontvangers of categorieën ontvangers van de gegevens;
- Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
- de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.
Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:
- de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
- het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
- het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
- indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
- in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
- de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
- of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.
Meer informatie:
Kan ik alleen persoonsgegevens verwerken als ik toestemming van het individu heb?
Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.
Meer informatie:
Moet ik gecertificeerd zijn om een Functionaris Gegevensbescherming (FG) te worden?
Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.
FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.
Meer informatie:
Wat is een gegevensbeschermingseffectbeoordeling en wanneer is dit verplicht?
Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.
Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.
Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:
- de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen;
- een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
- systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.
De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
Meer informatie:
What are the sanctions if my organisation does not comply with the GDPR or if my processing violates the GDPR?
Compliance with the GDPR is monitored by the national data protection authorities (DPAs). DPAs can conduct investigations and impose sanctions where necessary. DPAs have a number of tools at their disposal, including fines up to 20 M€ or 4% of the worldwide annual turnover whichever is higher, reprimands, and temporary or permanent processing bans.
You can find the contact details for all EEA DPAs on the EDPB website: Members
More information:
Als ik cv’s van kandidaten wil bewaren voor toekomstige wervingsprocedures, moet ik dan om toestemming van de kandidaten vragen?
Toestemming kan inderdaad een geldige rechtsgrondslag zijn voor het opslaan van de cv’s van sollicitanten. Een andere mogelijke rechtsgrondslag kan een legitiem belang zijn. In dat geval moet je een belagnenafweging uitvoeren om aan te tonen dat de legitieme belangen van jouw organisatie zwaarder wegen dan de rechten van het individu.
In ieder geval moet je de kandidaten laten weten dat je van plan bent hun gegevens te bewaren en voor welke doeleinden.
Meer informatie:
Ik organiseer een evenement als onderdeel van mijn zakelijke activiteiten, kan ik foto’s en video’s maken van het evenement en de aanwezigen?
Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.
Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.
Meer informatie:
Is de AVG ook van toepassing op papieren dossiers?
Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.
Meer informatie:
Moeten gegevensverwerkers ook de AVG respecteren?
Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.
Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.
Meer informatie: