Veelgestelde vragen

Organisaties moeten, in het geval van directe verzameling van persoonsgegevens van de betrokken personen, op beknopte en transparante wijze informatie over de verwerkingen verstrekken, in begrijpelijke, gemakkelijk toegankelijke, duidelijke en eenvoudige taal. Dit kan schriftelijk (bijvoorbeeld aan de achterzijde van een inschrijving) of langs elektronische weg (bijvoorbeeld op een website). Indien de betrokkene daarom verzoekt, kunt je deze informatie ook mondeling verstrekken, maar je moet dit achteraf kunnen bewijzen.

Zelfs wanneer de gegevens indirect worden verzameld, d.w.z. als je de persoonsgegevens niet rechtstreeks van een persoon zelf krijgt, maar bijvoorbeeld via een derde partij, moet je dezelfde gedetailleerde informatie aan personen verstrekken.

Personen hebben het recht om te verzoeken om verwijdering van hun betreffende persoonsgegevens en in dat geval heeft de verwerkingsverantwoordelijke de verplichting om de persoonsgegevens te verwijderen. Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om aan het verzoek te voldoen, mits de betrokkene hiervan binnen een maand na ontvangst van het verzoek over wordt ingelicht.
Het is belangrijk op te merken dat het recht op verwijdering niet absoluut is. Zij is niet van toepassing wanneer de gegevens in kwestie noodzakelijk zijn voor:

• uitoefening van het recht op vrijheid van meningsuiting en van informatie (bv. voor journalistieke doeleinden);
• naleving van een wettelijke verplichting die de verwerking van persoonsgegevens vereist (bv. het verwerken van gegevens over de werkuren van werknemers);
• redenen van algemeen belang op het gebied van de volksgezondheid
• archiveringsdoeleinden in het algemeen belang of wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; en
• het instellen, uitoefenen of verdedigen van rechtsvorderingen.

Wanneer de te verwijderen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze ontvangers ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.

Meer informatie:
•    Respecteer de rechten van individuen

Ja, jouw klanten moeten, wanneer zij een telefoongesprek voeren, op de hoogte worden gebracht van het doel van de opname, de ontvangers van de opnamen, hun recht om bezwaar te maken en hun recht op inzage van de opname.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

Nee, de verwerking van bijzondere persoonsgegevens is over het algemeen verboden, behalve in zeer specifieke omstandigheden:

• De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn bijzondere persoonsgegevens.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor de voor de verwerking verantwoordelijke om zijn verplichtingen na te komen, met name in het kader van werkgelegenheid, sociale zekerheid en sociale bescherming. De verwerkingsverantwoordelijke kan bijvoorbeeld de bijzondere persoonsgegevens van een persoon moeten verwerken om te kunnen bepalen of hij recht heeft op bepaalde socialezekerheidsuitkeringen of arbeidstoelagen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk om de vitale belangen van een persoon te beschermen wanneer de persoon fysiek of wettelijk niet in staat is toestemming te geven. Als een persoon bijvoorbeeld bewusteloos wordt gelaten als gevolg van een ongeval en onmiddellijke medische zorg vereist, moeten hun gezondheidsgegevens mogelijk worden verwerkt om de juiste medische zorg te kunnen verlenen.
• De verwerking van bijzondere persoonsgegevens vindt plaats in het kader van de legitieme activiteiten van een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel, en uitsluitend voor de verwerking van de persoonsgegevens van hun leden, voormalige leden of personen die regelmatig contact met hen hebben.
• De bijzondere persoonsgegevens zijn duidelijk openbaar gemaakt door individuen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van gerechtelijke procedures.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor aangelegenheden van aanzienlijk algemeen belang.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van preventieve of arbeidsgeneeskunde. Bijvoorbeeld, het beoordelen van de bijzondere persoonsgegevens van een individu, zoals hun medische gegevens, kan nodig zijn om hun werkcapaciteit als werknemer te bepalen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor volksgezondheidsaangelegenheden op basis van EU- of nationale wetgeving. De verwerking van bijzondere persoonsgegevens van personen kan bijvoorbeeld nodig zijn om een hoge kwaliteit van de gezondheidszorg en een hoge kwaliteit van medische producten te waarborgen, of om ernstige bedreigingen voor de gezondheid, zoals virussen, te bestrijden.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om nauwkeurige statistieken te verstrekken over de situatie van een land op een bepaald gebied. 

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens
   

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker
   

Individuen kunnen jou vragen of jij hun gegevens verwerkt en waar dit het geval is, Zij hebben recht op toegang tot die gegevens. Dus wanneer dit gebeurt en als jij hun gegevens verwerkt, moet jij bijvoorbeeld kosteloos een kopie van hun persoonsgegevens verstrekken, samen met eventueel noodzakelijke aanvullende informatie. Wanneer een verzoek elektronisch wordt ingediend, moet jouw organisatie de vereiste informatie verstrekken in een gangbaar elektronisch formaat, tenzij de betrokkene anders verzoekt.

Meer informatie:

• Respecteer de rechten van individuen

Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om te antwoorden, mits de betrokkene hiervan binnen een maand na ontvangst van op de hoogte wordt gesteld.

Je moet dit, in beginsel, kosteloos doen.

Meer informatie:

• Respecteer de rechten van individuen
   

De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.

Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.

De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
 

Meer informatie:
•    Rechtmatige verwerking van persoonsgegevens

Pseudonimisering bestaat uit het transformeren van persoonsgegevens zodat deze niet langer aan een specifieke persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een individu worden toegeschreven. In de praktijk kan dit betekenen dat persoonsgegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset worden vervangen door indirect identificerende gegevens (alias, volgnummer, enz.). Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens en vallen onder de AVG.

Geanonimiseerde gegevens zijn gegevens die zodanig geanonimiseerd zijn dat de persoon niet of niet langer identificeerbaar is op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt. Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens.
 

Meer informatie:

• Beveilig persoonsgegevens

De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

Voorbeelden van verwerkingsverantwoordelijken:

• bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
• financiële instellingen die persoonsgegevens van hun cliënten verwerken;
• verenigingen die de gegevens van hun leden verwerken;
• scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
• ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
• overheidsinstanties die persoonsgegevens van burgers verwerken.

Voorbeelden van gegevensverwerkers:

• een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
• een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
• een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
   

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Sommige soorten persoonsgegevens behoren een speciale categorie persoonsgegevens, wat betekent dat ze meer bescherming verdienen, zogenaamde bijzondere persoonsgegevens. bijzondere persoonsgegevens omvatten gegevens die informatie onthullen over:

• de gezondheid van een individu;
• de seksuele geaardheid van een individu;
• het ras of de etniciteit van een persoon;
• politieke opvattingen, religieuze of filosofische overtuigingen van een individu; het lidmaatschap van een vakbond van een individu;
• de biometrische en genetische gegevens van een individu.

De verwerking van bijzondere persoonsgegevens van een persoon zijn over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen.

Meer informatie:

• Beginselen voor gegevensbescherming
   

De FG kan een bestaande werknemer zijn met voldoende kennis van de AVG (als de professionele taken van de werknemer verenigbaar zijn met die van de FG en dit niet leidt tot belangenconflicten) of een externe persoon. De FG moet taken onafhankelijk kunnen uitvoeren en rechtstreeks aan het hoogste management kunnen rapporteren.

Meer informatie:

• Functionarisgegevensbescherming

Persoonsgegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon. Een identificeerbaar individu is iedereen die direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die door het bijelkaar voegen kan leiden tot de identificatie van een specifiek persoon, is ook persoonsgegevens.
Voorbeelden van persoonsgegevens zijn:

• naam en achternaam;
• een adres;
• een e-mailadres;
• een identiteitskaartnummer;
• locatiegegevens;
• een IP-adres (Internet Protocol);
• een cookie-ID;
• bankrekeningen;
• belastingverslagen;
• biometrische gegevens (zoals vingerafdrukken);
• een BSN;
• paspoortnummer;
• testresultaten;
• schoolcijfers;
• browsergeschiedenis;
• Een foto van een individu;
• Een kenteken enz.

Meer informatie:

• Beginselen voor gegevensbescherming

1. Zorg ervoor dat de gegevens die je hebt ontvangen rechtmatig zijn verzameld en dat de betrokken personen op de hoogte zijn gesteld van de verwerking van hun persoonsgegevens.
2. In het geval dat een derde namens jou persoonsgegevens verwerkt, zorg er dan voor dat je een verwerkersovereenkomst hebt, waarin de verwerkingen en middelen voor de verwerking van persoonsgegevens worden beschreven.

En natuurlijk voldoen aan alle verplichtingen van de verwerkingsverantwoordelijken.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

De noodzakelijke beveiligingsmaatregelen kunnen verschillen op basis van de aard van de persoonsgegevens die je verwerkt en de daaraan verbonden risico’s voor personen. In ieder geval zijn er enkele maatregelen die je minimaal moet nemen:

• beveiligde toegang tot de gebouwen;
• regelmatig bijgewerkte antivirussoftware gebruiken;
• zorgvuldig je wachtwoorden kiezen;
• gebruikers zich laten authenticeren voordat zij gebruik maken van ICT-middelen;
• zorgen voor een back-up- en herstelbeleid voor gegevens in geval van een incident.

Daarnaast zijn enkele basismaatregelen zoals het vergrendelen van je scherm terwijl je weg bent en het afsluiten van het kantoor aan het einde van de dag nooit misplaatst.

Meer informatie:

• Beveilig persoonsgegevens
   

Het publiceren van de namen van de winnaars van een wedstrijd op jouw website kan worden beschouwd als een legitiem belang, als je dit kunt bewijzen door een belangenafweging te maken om te bepalen of jouw legitieme belangen zwaarder wegen dan het recht van personen.

Een goede praktijk is het opzetten van een interne procedure waarin de regels voor de publicatie van persoonsgegevens van winnaars worden uitgelegd.

Daarnaast moet de verwerking van persoonsgegevens voor deze doeleinden deel uitmaken van het privacybeleid van de wedstrijd, zodat deelnemers vooraf worden geïnformeerd over hoe hun gegevens zullen worden verwerkt.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Ja, dat kan, maar de AVG legt bepaalde verplichtingen op aan bedrijven die persoonsgegevens delen. Jouw organisatie moet personen informeren dat jij hun gegevens deelt met een derde partij. Je moet hen ook informeren over jouw doeleinden, de veiligheid, de toegang en de bewaartermijnen die van toepassing zullen zijn.

De benoeming van een FG is verplicht in de volgende drie gevallen:

• de organisatie is een overheidsinstantie;
• de kernactiviteiten van de organisatie bestaan uit regelmatige en systematische monitoring van personen op grote schaal, bijvoorbeeld geolocatie via een mobiele applicatie, of bewaking van winkelcentra en openbare ruimten via bewakingscamera’s;
• de kernactiviteiten van de organisatie bestaan uit een grootschalige verwerking van bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

U kunt altijd op vrijwillige basis een FG aanstellen, ook als dit niet wettelijk verplicht is. Houd er rekening mee dat je in dat geval moet voldoen aan alle bepalingen van de AVG met betrekking tot de taken en de functie van de FG.
 

Meer informatie:

• Functionarisgegevensbescherming (FG) 

Nee, het is niet nodig om je verwerkingsregister openbaar te maken. Je moet het register echter wel op verzoek van de gegevensbeschermingsautoriteit ter beschikking kunnen stellen.

Meer informatie:

• De regels naleven