Data protection guide for small business logo
Close menu
Back to EDPB

Veelgestelde vragen

Filter on
Filter on topic

Hoe kan ik geldige toestemming krijgen?

Om als geldig te kunnen worden beschouwd, moet de toestemming:

  • vrijelijk gegeven zijn;
  • specifiek zijn;
  • geïnformeerd zijn;
  • ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

Wanneer moet je deze informatie delen?

Als jouw organisatie de persoonsgegevens direct bij personen verzamelt, moet jij de nodige informatie verstrekken op het moment van verzameling.

In geval van indirecte verzameling van persoonsgegevens moet jouw organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand kan worden verkort:

  • als de persoonsgegevens worden gebruikt voor de communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
  • indien de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven. 

Meer informatie:

Moet mijn organisatie voldoen aan de AVG?

Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast. 

Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.

Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.

Meer informatie:

Wat zijn de taken van de functionarisgegevensbescherming (FG)?

Tot de taken van de FG behoren onder meer:

  • de organisatie en haar medewerkers informeren en adviseren over de naleving van de relevante privacywetgeving;
  • toezicht houden op de naleving van de relevante privacywetgeving;
  • advies verstrekken over verzoeken met betrekking tot de gegevensbeschermingseffectbeoordeling (DPIA);
  • het optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en met die gegevensbeschermingsautoriteit samen te werken;
  • het optreden als aanspreekpunt voor individuen.

Daarnaast wordt de aanwezigheid van de FG over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

Meer informatie:

Wat zijn mijn verantwoordelijkheden onder de AVG?

De AVG legt verplichtingen op aan alle organisaties die persoonsgegevens verwerken, ongeacht of het verwerkingsverantwoordelijken of verwerkers zijn.
In het bijzonder moet je:

  • Jezelf afvragen of het doel waarvoor persoonsgegevens kunnen worden verzameld, gerechtvaardigd is en verzamel alleen persoonsgegevens die nodig zijn voor het beoogde specifieke doel(en);
  • De persoonsgegevens van personen nauwkeurig en up-to-date houden en de gegevens verwijderen wanneer dit niet langer nodig is;
  • De rechten van personen eerbiedigen door hen te informeren over hoe en waarom hun gegevens worden verwerkt, en hen in staat te stellen hun rechten uit te oefenen;
  • Controleren of je een passende juridische grondslag hebt voor de verwerking van persoonsgegevens. Als je van plan bent een beroep te doen op de toestemming van personen, vraag dan om hun toestemming voordat je hun persoonsgegevens verwerkt;
  • Ervoor zorgen dat op een veilige manier met de persoonsgegevens van personen wordt omgegaan;
  • Een verwerkingsregister bijhouden.

Gegevensverwerkers zullen zich moeten houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, en zij mogen de gegevens niet anders verwerken dan volgens de instructies van de verwerkingsverantwoordelijke.

Meer informatie:

Wat zijn de basisprincipes van de AVG?

  • Elke verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn.
  • Verzamel alleen persoonsgegevens voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van de gegevens van een persoon moet strikt beperkt zijn tot het (de) oorspronkelijk vastgestelde doel(en) en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
  • Alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
  • Alle persoonsgegevens die jij verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of verwijderd.
  • De opslag van persoonsgegevens van natuurlijke personen moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens van natuurlijke personen worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn.
  • De verwerking van de gegevens van personen moet op een veilige manier gebeuren. In die zin moeten robuuste cyberbeveiligingscontroles worden ingevoerd om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd.

Ten slotte is de verwerkingsverantwoordelijke verantwoordelijk. Dit betekent dat het verantwoordelijk is voor en moet kunnen aantonen dat de bovenstaande principes worden nageleefd.

Meer informatie:

Hoe lang kan ik persoonsgegevens bewaren?

U kunt persoonsgegevens niet voor altijd bewaren.

In de regel kunnen persoonsgegevens slechts zo lang worden bewaart als nodig is in het licht van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In sommige gevallen kan de bewaartermijn worden bepaald door specifieke wetten, bijvoorbeeld de bewaartermijn voor loonadministratie.
Organisaties moeten een beleid voor het bewaren van gegevens invoeren om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is. De persoonsgegevens van natuurlijke personen moeten worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn voor het doel waarvoor zij zijn verwerkt.

Meer informatie:

Heb ik een verwerkingsregister nodig?

Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

  • het doel van de verwerking (bv. klantenloyaliteit);
  • de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
  • wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
  • indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
  • waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
  • waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

Meer informatie:

Wat is een belangenconflict voor een functionarisgegevensbescherming (FG)?

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

  • de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
  • de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

Wat moet ik doen in geval van een datalek?

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

  • Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
  • Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

Hoe kan ik de gegevensbeschermingsrechten van personen respecteren?

De AVG voorziet in specifieke rechten voor personen die moeten worden gerespecteerd. Je kunt dit doen door:

  • het informeren van personen van wie je gegevens verwerkt over jouw verwerkingsactiviteiten en de verwerkingsdoeleinden wanneer jij hun gegevens verzamelt, bijvoorbeeld via een privacyverklaring op jouw website;
  • door te reageren op verzoeken van personen om hun rechten uit te oefenen, zoals verzoeken om inzage, rectificatie, bezwaar, verwijdering of dataportabiliteitsverzoeken.

Organisaties die transparant zijn over hun gebruik van persoonsgegevens en die de rechten van individuen respecteren, zullen minder snel klachten krijgen.

Meer informatie:

Hoe kan ik het werk van de EDPB bijhouden?

De EDPB publiceert regelmatig persberichten, nieuwsberichten, blogs en andere inhoud op de EDPB-website en socialemediakanalen (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) om de gegevensbeschermingsgemeenschap en het grote publiek op de hoogte te houden van de werkzaamheden.

Wat is de AVG?

De AVG of de algemene verordening gegevensbescherming stelt een geharmoniseerde reeks regels vast die van toepassing zijn op alle verwerking van persoonsgegevens door (publieke of particuliere) organisaties, ongeacht hun omvang, gevestigd in de Europese Economische Ruimte (EER) of gericht zijn op personen in de EU. Het primaire doel van de AVG is ervoor te zorgen dat persoonsgegevens overal in de EER dezelfde hoge beschermingsstandaard genieten, de rechtszekerheid voor zowel personen als organisaties die gegevens verwerken, te vergroten en een hoge mate van bescherming voor individuen te bieden.

De verordening is op 24 mei 2016 in werking getreden en is van toepassing sinds 25 mei 2018.

Is de AVG ook van toepassing op papieren dossiers?

Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.

Meer informatie:

Wat is een gezamenlijke verwerkingsverantwoordelijken?

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

  • Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

Ik organiseer een evenement als onderdeel van mijn zakelijke activiteiten, kan ik foto’s en video’s maken van het evenement en de aanwezigen?

Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.

Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.

Meer informatie:

Als ik cv’s van kandidaten wil bewaren voor toekomstige wervingsprocedures, moet ik dan om toestemming van de kandidaten vragen?

Toestemming kan inderdaad een geldige rechtsgrondslag zijn voor het opslaan van de cv’s van sollicitanten. Een andere mogelijke rechtsgrondslag kan een legitiem belang zijn. In dat geval moet je een belagnenafweging uitvoeren om aan te tonen dat de legitieme belangen van jouw organisatie zwaarder wegen dan de rechten van het individu.

In ieder geval moet je de kandidaten laten weten dat je van plan bent hun gegevens te bewaren en voor welke doeleinden.
 

Meer informatie:

Kan ik alleen persoonsgegevens verwerken als ik toestemming van het individu heb?

Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.

Meer informatie:

Moet ik gecertificeerd zijn om een Functionaris Gegevensbescherming (FG) te worden?

Nee, je hoeft niet gecertificeerd te zijn om een FG te worden.

FG’s moeten echter kunnen aantonen dat zij over de nodige kwalificaties beschikken die vereist zijn door de AVG, zoals deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming.

Meer informatie:

Wat is een gegevensbeschermingseffectbeoordeling en wanneer is dit verplicht?

Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.

Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.

Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:

  • de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen; 
  • een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
  • systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.

De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
 

Meer informatie: