Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.

Meer informatie:

• Beginselen voor gegevensbescherming
   

Ja, jouw klanten moeten, wanneer zij een telefoongesprek voeren, op de hoogte worden gebracht van het doel van de opname, de ontvangers van de opnamen, hun recht om bezwaar te maken en hun recht op inzage van de opname.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

De benoeming van een FG is verplicht in de volgende drie gevallen:

• de organisatie is een overheidsinstantie;
• de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via bewakingscamera’s;
• de kernactiviteiten van de organisatie bestaan uit een grootschalige verwerking van bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

U kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de FG.
 

Meer informatie:

• Functionarisgegevensbescherming (FG) 

Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

• Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

Organisaties moeten, in het geval van directe verzameling van persoonsgegevens van de betrokken personen, op beknopte en transparante wijze informatie over de verwerkingen verstrekken, in begrijpelijke, gemakkelijk toegankelijke, duidelijke en eenvoudige taal. Dit kan schriftelijk (bijvoorbeeld aan de achterzijde van een inschrijving) of langs elektronische weg (bijvoorbeeld op een website). Indien de betrokkene daarom verzoekt, kunt je deze informatie ook mondeling verstrekken, maar je moet dit achteraf kunnen bewijzen.

Zelfs wanneer de gegevens indirect worden verzameld, d.w.z. als je de persoonsgegevens niet rechtstreeks van een persoon zelf krijgt, maar bijvoorbeeld via een derde partij, moet je dezelfde gedetailleerde informatie aan personen verstrekken.

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

• Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
• Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

• Datalekken

De AVG legt verplichtingen op aan alle organisaties die persoonsgegevens verwerken, ongeacht of het verwerkingsverantwoordelijken of verwerkers zijn.
In het bijzonder moet je:

• Jezelf afvragen of het doel waarvoor persoonsgegevens kunnen worden verzameld, gerechtvaardigd is en verzamel alleen persoonsgegevens die nodig zijn voor het beoogde specifieke doel(en);
• De persoonsgegevens van personen nauwkeurig en up-to-date houden en de gegevens verwijderen wanneer dit niet langer nodig is;
• De rechten van personen eerbiedigen door hen te informeren over hoe en waarom hun gegevens worden verwerkt, en hen in staat te stellen hun rechten uit te oefenen;
• Controleren of je een passende juridische grondslag hebt voor de verwerking van persoonsgegevens. Als je van plan bent een beroep te doen op de toestemming van personen, vraag dan om hun toestemming voordat je hun persoonsgegevens verwerkt;
• Ervoor zorgen dat op een veilige manier met de persoonsgegevens van personen wordt omgegaan;
• Een verwerkingsregister bijhouden.

Gegevensverwerkers zullen zich moeten houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, en zij mogen de gegevens niet anders verwerken dan volgens de instructies van de verwerkingsverantwoordelijke.

Meer informatie:

• De regels naleven
• Verwerkingsverantwoordelijke of gegevensverwerker
• beginselen voor gegevensbescherming