Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

• Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

1. Zorg ervoor dat de gegevens die je hebt ontvangen rechtmatig zijn verzameld en dat de betrokken personen op de hoogte zijn gesteld van de verwerking van hun persoonsgegevens.
2. In het geval dat een derde namens jou persoonsgegevens verwerkt, zorg er dan voor dat je een verwerkersovereenkomst hebt, waarin de verwerkingen en middelen voor de verwerking van persoonsgegevens worden beschreven.

En natuurlijk voldoen aan alle verplichtingen van de verwerkingsverantwoordelijken.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

• het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
• door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

• Respecteer de rechten van individuen

Om als geldig te kunnen worden beschouwd, moet de toestemming:

• vrijelijk gegeven zijn;
• specifiek zijn;
• geïnformeerd zijn;
• ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Als jouw organisatie de persoonsgegevens direct bij personen verzamelt, moet jij de nodige informatie verstrekken op het moment van verzameling.

In geval van indirecte verzameling van persoonsgegevens moet jouw organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand kan worden verkort:

• als de persoonsgegevens worden gebruikt voor de communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
• indien de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven. 

Meer informatie:

• Respecteer de rechten van individuen
   

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

• Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
• Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

• Datalekken

U kunt persoonsgegevens niet voor altijd bewaren.

In de regel kunnen persoonsgegevens slechts zo lang worden bewaart als nodig is in het licht van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In sommige gevallen kan de bewaartermijn worden bepaald door specifieke wetten, bijvoorbeeld de bewaartermijn voor loonadministratie.
Organisaties moeten een beleid voor het bewaren van gegevens invoeren om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is. De persoonsgegevens van natuurlijke personen moeten worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn voor het doel waarvoor zij zijn verwerkt.

Meer informatie:

• Beginselen voor gegevensbescherming