De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.

Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de doeleinden van de verwerking;
• de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
• de contactgegevens van de verwerkingsverantwoordelijke;
• de contactgegevens van de FG (indien er een FG is);
• de ontvangers of categorieën ontvangers van de gegevens;
• Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
• de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.

Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:

• de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
• het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
• het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
• indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
• in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
• de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
• of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.

Meer informatie:

• Respecteer de rechten van individuen
  
   

1. Zorg ervoor dat de gegevens die je hebt ontvangen rechtmatig zijn verzameld en dat de betrokken personen op de hoogte zijn gesteld van de verwerking van hun persoonsgegevens.
2. In het geval dat een derde namens jou persoonsgegevens verwerkt, zorg er dan voor dat je een verwerkersovereenkomst hebt, waarin de verwerkingen en middelen voor de verwerking van persoonsgegevens worden beschreven.

En natuurlijk voldoen aan alle verplichtingen van de verwerkingsverantwoordelijken.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

• het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
• door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

• Respecteer de rechten van individuen

U kunt persoonsgegevens niet voor altijd bewaren.

In de regel kunnen persoonsgegevens slechts zo lang worden bewaart als nodig is in het licht van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In sommige gevallen kan de bewaartermijn worden bepaald door specifieke wetten, bijvoorbeeld de bewaartermijn voor loonadministratie.
Organisaties moeten een beleid voor het bewaren van gegevens invoeren om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is. De persoonsgegevens van natuurlijke personen moeten worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn voor het doel waarvoor zij zijn verwerkt.

Meer informatie:

• Beginselen voor gegevensbescherming
   

Personen hebben het recht om te verzoeken om verwijdering van hun betreffende persoonsgegevens en in dat geval heeft de verwerkingsverantwoordelijke de verplichting om de persoonsgegevens te verwijderen. Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om aan het verzoek te voldoen, mits de betrokkene hiervan binnen een maand na ontvangst van het verzoek over wordt ingelicht.
Het is belangrijk op te merken dat het recht op verwijdering niet absoluut is. Zij is niet van toepassing wanneer de gegevens in kwestie noodzakelijk zijn voor:

• uitoefening van het recht op vrijheid van meningsuiting en van informatie (bv. voor journalistieke doeleinden);
• naleving van een wettelijke verplichting die de verwerking van persoonsgegevens vereist (bv. het verwerken van gegevens over de werkuren van werknemers);
• redenen van algemeen belang op het gebied van de volksgezondheid
• archiveringsdoeleinden in het algemeen belang of wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; en
• het instellen, uitoefenen of verdedigen van rechtsvorderingen.

Wanneer de te verwijderen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze ontvangers ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.

Meer informatie:
•    Respecteer de rechten van individuen

De noodzakelijke beveiligingsmaatregelen kunnen verschillen op basis van de aard van de persoonsgegevens die je verwerkt en de daaraan verbonden risico’s voor personen. In ieder geval zijn er enkele maatregelen die je minimaal moet nemen:

• beveiligde toegang tot de gebouwen;
• regelmatig bijgewerkte antivirussoftware gebruiken;
• zorgvuldig je wachtwoorden kiezen;
• gebruikers zich laten authenticeren voordat zij gebruik maken van ICT-middelen;
• zorgen voor een back-up- en herstelbeleid voor gegevens in geval van een incident.

Daarnaast zijn enkele basismaatregelen zoals het vergrendelen van je scherm terwijl je weg bent en het afsluiten van het kantoor aan het einde van de dag nooit misplaatst.

Meer informatie:

• Beveilig persoonsgegevens
   

Nee, de verwerking van bijzondere persoonsgegevens is over het algemeen verboden, behalve in zeer specifieke omstandigheden:

• De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn bijzondere persoonsgegevens.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor de voor de verwerking verantwoordelijke om zijn verplichtingen na te komen, met name in het kader van werkgelegenheid, sociale zekerheid en sociale bescherming. De verwerkingsverantwoordelijke kan bijvoorbeeld de bijzondere persoonsgegevens van een persoon moeten verwerken om te kunnen bepalen of hij recht heeft op bepaalde socialezekerheidsuitkeringen of arbeidstoelagen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk om de vitale belangen van een persoon te beschermen wanneer de persoon fysiek of wettelijk niet in staat is toestemming te geven. Als een persoon bijvoorbeeld bewusteloos wordt gelaten als gevolg van een ongeval en onmiddellijke medische zorg vereist, moeten hun gezondheidsgegevens mogelijk worden verwerkt om de juiste medische zorg te kunnen verlenen.
• De verwerking van bijzondere persoonsgegevens vindt plaats in het kader van de legitieme activiteiten van een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel, en uitsluitend voor de verwerking van de persoonsgegevens van hun leden, voormalige leden of personen die regelmatig contact met hen hebben.
• De bijzondere persoonsgegevens zijn duidelijk openbaar gemaakt door individuen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van gerechtelijke procedures.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor aangelegenheden van aanzienlijk algemeen belang.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van preventieve of arbeidsgeneeskunde. Bijvoorbeeld, het beoordelen van de bijzondere persoonsgegevens van een individu, zoals hun medische gegevens, kan nodig zijn om hun werkcapaciteit als werknemer te bepalen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor volksgezondheidsaangelegenheden op basis van EU- of nationale wetgeving. De verwerking van bijzondere persoonsgegevens van personen kan bijvoorbeeld nodig zijn om een hoge kwaliteit van de gezondheidszorg en een hoge kwaliteit van medische producten te waarborgen, of om ernstige bedreigingen voor de gezondheid, zoals virussen, te bestrijden.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om nauwkeurige statistieken te verstrekken over de situatie van een land op een bepaald gebied. 

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens
   

Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Het publiceren van de namen van de winnaars van een wedstrijd op jouw website kan worden beschouwd als een legitiem belang, als je dit kunt bewijzen door een belangenafweging te maken om te bepalen of jouw legitieme belangen zwaarder wegen dan het recht van personen.

Een goede praktijk is het opzetten van een interne procedure waarin de regels voor de publicatie van persoonsgegevens van winnaars worden uitgelegd.

Daarnaast moet de verwerking van persoonsgegevens voor deze doeleinden deel uitmaken van het privacybeleid van de wedstrijd, zodat deelnemers vooraf worden geïnformeerd over hoe hun gegevens zullen worden verwerkt.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Ja, jouw klanten moeten, wanneer zij een telefoongesprek voeren, op de hoogte worden gebracht van het doel van de opname, de ontvangers van de opnamen, hun recht om bezwaar te maken en hun recht op inzage van de opname.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens