Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.

Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.

Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:

• de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen; 
• een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
• systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.

De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
 

Meer informatie:

• De regels naleven

Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.

FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.

Meer informatie:

• Functionarisgegevensbescherming

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker
   

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

• Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
• Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

• Datalekken

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

• het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
• door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

• Respecteer de rechten van individuen

Als jouw organisatie de persoonsgegevens direct bij personen verzamelt, moet jij de nodige informatie verstrekken op het moment van verzameling.

In geval van indirecte verzameling van persoonsgegevens moet jouw organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand kan worden verkort:

• als de persoonsgegevens worden gebruikt voor de communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
• indien de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven. 

Meer informatie:

• Respecteer de rechten van individuen
   

Om als geldig te kunnen worden beschouwd, moet de toestemming:

• vrijelijk gegeven zijn;
• specifiek zijn;
• geïnformeerd zijn;
• ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

U kunt persoonsgegevens niet voor altijd bewaren.

In de regel kunnen persoonsgegevens slechts zo lang worden bewaart als nodig is in het licht van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In sommige gevallen kan de bewaartermijn worden bepaald door specifieke wetten, bijvoorbeeld de bewaartermijn voor loonadministratie.
Organisaties moeten een beleid voor het bewaren van gegevens invoeren om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is. De persoonsgegevens van natuurlijke personen moeten worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn voor het doel waarvoor zij zijn verwerkt.

Meer informatie:

• Beginselen voor gegevensbescherming
   

Het publiceren van de namen van de winnaars van een wedstrijd op jouw website kan worden beschouwd als een legitiem belang, als je dit kunt bewijzen door een belangenafweging te maken om te bepalen of jouw legitieme belangen zwaarder wegen dan het recht van personen.

Een goede praktijk is het opzetten van een interne procedure waarin de regels voor de publicatie van persoonsgegevens van winnaars worden uitgelegd.

Daarnaast moet de verwerking van persoonsgegevens voor deze doeleinden deel uitmaken van het privacybeleid van de wedstrijd, zodat deelnemers vooraf worden geïnformeerd over hoe hun gegevens zullen worden verwerkt.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens