Data protection guide for small business logo
Close menu
Back to EDPB

Veelgestelde vragen

Filter on
Filter on topic

Wat zijn de wettelijke basis voor verwerking onder de AVG?

Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:

  • met toestemming van de betrokken personen;
  • wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
  • om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
  • wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
  • het beschermen van de vitale belangen van een individu;
  • voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
  • arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.


Meer informatie:

•    Rechtmatige verwerking van persoonsgegevens
 

Moeten gegevensverwerkers ook de AVG respecteren?

Ja, gegevensverwerkers (d.w.z. personen of instanties die gegevens verwerken namens een verwerkingsverantwoordelijke), hebben verplichtingen uit hoofde van de AVG. Er zijn echter enkele verschillen tussen de verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers.

Gegevensverwerkers moeten zich houden aan de verantwoordelijkheden die zijn vastgelegd in de verwerkersovereenkomst, waarin de verwerkingsactiviteiten en de middelen voor de verwerking van persoonsgegevens worden beschreven. Zo zal de verwerker de verwerkingen moeten uitvoeren met passende technische en organisatorische maatregelen, zoals voorgeschreven door de verwerkingsverantwoordelijke. Daarbij helpt de verwerker de verwerkingsverantwoordelijke bij het naleven van de AVG.

Meer informatie:

Wat moet worden opgenomen in een verwerkingsovereenkomst?

In de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker moet worden bepaald dat de gegevensverwerker:

  • de persoonsgegevens alleen verwerkt in opdracht van de verwerkingsverantwoordelijke, ook met betrekking tot de doorgifte van persoonsgegevens naar een land buiten de EER;
  • ervoor zorgt dat de personen die gemachtigd zijn om de gegevens te verwerken zich tot geheimhouding hebben verbonden of een passende wettelijke geheimhoudingsplicht hebben;
  • voor de veiligheid van de verwerking zorgt;
  • geen andere gegevensverwerker in mag schakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke;
  • de verwerkingsverantwoordelijke bijstaat bij de nakoming van de verplichtingen van de verwerkingsverantwoordelijke om te reageren op verzoeken van een persoon om diens rechten uit te oefenen;
  • de verwerkingsverantwoordelijke ondersteunt bij het beveiligen van de verwerking, het melden van datalekken en het uitvoeren van DPIA’s;
  • op verzoek van de verwerkingsverantwoordelijke alle persoonsgegevens na beëindiging van de dienstverlening aan de verwerkingsverantwoordelijke verwijdert of terugstuurt;
  • de verwerkingsverantwoordelijke alle nodige informatie ter beschikking stelt om de naleving van de verplichtingen uit hoofde van de AVG aan te tonen;
  • audits mogelijk maakt en bijdraagt hieraan, met inbegrip van inspecties die worden uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor die door de verwerkingsverantwoordelijke is gemachtigd.

Bovendien stelt de gegevensverwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte als, naar zijn mening, instructies inbreuk maken op de AVG of andere EU- of nationale bepalingen inzake gegevensbescherming.

Meer informatie:

Kan ik persoonsgegevens doorgeven buiten de Europese Economische Ruimte (EER)?

Volgens de AVG zijn er in principe twee belangrijke manieren om persoonsgegevens door te geven aan een niet-EER-land of internationale organisatie. Doorgifte kan plaatsvinden op grond van een adequaatheidsbesluit of, bij ontbreken van een dergelijk besluit, op basis van passende waarborgen, waaronder afdwingbare rechten en rechtsmiddelen voor personen.

Meer informatie:

Is de functionaris gegevensbescherming (FG) verantwoordelijk voor de naleving van de AVG?

De FG kan niet aansprakelijk worden gesteld voor het niet naleven van de AVG. Naleving van de AVG is de verantwoordelijkheid van de organisatie die de FG heeft aangesteld.

Meer informatie:

Kan ik bewakingscamera’s op mijn bedrijfspand installeren om mijn eigendom te beschermen?

De eerste stap bij het installeren van bewakingscamera’s is het identificeren van het doel of de doeleinden daarvoor. De doeleinden voor de installatie van bewakingscamera’s kunnen divers zijn, zoals het waarborgen van de beveiliging van gebouwen, het helpen bij het voorkomen en opsporen van diefstal en andere misdrijven, of de bescherming van het leven en de gezondheid van werknemers, vanwege de aard van het werk.
Zoals bij elke verwerking van persoonsgegevens, moet de registratie van personen een juridische grondslag hebben op grond van de AVG. Toestemming kan een wettelijke basis vormen voor dergelijke gegevensverwerking. Het is echter onwaarschijnlijk dat dit in de meeste gevallen van toepassing is op het gebruik van bewakingscamera’s, aangezien het moeilijk zal zijn om vrije toestemming te krijgen van iedereen die waarschijnlijk zal worden opgenomen. De meest voorkomende grondslag voor dit soort verwerkingen van persoonsgegevens is een gerechtvaardigd belang. Wanneer de verwerking gebaseerd is op een gerechtvaardigd belang moet je een belangenafweging uitvoeren om te bepalen of jouw legitieme belangen zwaarder wegen dan de rechten van het individu.
Je moet individuen informeren dat ze worden geregistreerd. Dit kan worden gedaan door makkelijk leesbare borden op prominente posities te plaatsen. Bovendien moet bij alle ingangen een informatiebord worden geplaatst met vermelding van het doel van de bewakingscamera’s en de identiteit en contactgegevens van de verwerkingsverantwoordelijke.
Personen van wie de beelden door de bewakingscamera’s worden opgenomen, moeten de volgende informatie krijgen:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
  • de doeleinden van de verwerking;
  • de rechtsgrondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit elk legitiem belang nastreeft);
  • de contactgegevens van de functionaris voor gegevensbescherming, FG (indien er een FG is);
  • de ontvangers of categorieën ontvangers van de gegevens;
  • de beveiligingsvoorzieningen voor de bewakingscamerabeelden;
  • de bewaartermijn voor de bewakingscamerabeelden;
  • het bestaan van individuele rechten uit hoofde van de AVG en het recht om een klacht in te dienen bij de nationale gegevensbeschermingsautoriteit.

Meer informatie:

Welke informatie moet ik communiceren met/delen met individuen?

De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.

Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
  • de doeleinden van de verwerking;
  • de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
  • de contactgegevens van de verwerkingsverantwoordelijke;
  • de contactgegevens van de FG (indien er een FG is);
  • de ontvangers of categorieën ontvangers van de gegevens;
  • Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
  • de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.

Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:

  • de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
  • het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
  • het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
  • indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
  • in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
  • de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
  • of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.

Meer informatie:

Wat zijn cookies?

Cookies zijn kleine bestanden die worden opgeslagen op een apparaat, zoals een computer, een mobiel apparaat of elk ander apparaat dat informatie kan opslaan. Cookies dienen een aantal belangrijke functies, waaronder het onthouden van gebruikers en hun eerdere interacties met een website. Ze kunnen worden gebruikt om producten in een online winkelwagentje bij te houden of om informatie bij te houden wanneer gegevens in een online aanvraagformulier worden ingevoegd.

Authenticatiecookies zijn ook belangrijk om gebruikers te identificeren wanneer ze zich aanmelden bij bankdiensten en andere online diensten. De in cookies opgeslagen informatie kan persoonsgegevens omvatten, zoals een IP-adres, een gebruikersnaam, een unieke identificatiecode of een e-mailadres.
 

What are the sanctions if my organisation does not comply with the GDPR or if my processing violates the GDPR?

Compliance with the GDPR is monitored by the national data protection authorities (DPAs). DPAs can conduct investigations and impose sanctions where necessary. DPAs have a number of tools at their disposal, including fines up to 20 M€ or 4% of the worldwide annual turnover whichever is higher, reprimands, and temporary or permanent processing bans.

You can find the contact details for all EEA DPAs on the EDPB website: Members

More information: