Iubenda logo
Aan de slag

Documentatie

Wat is de AVG? Alles wat je moet weten om je aan de regels te houden

 

Waar staat AVG voor?

AVG staat voor Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). De AVG legt vast hoe persoonsgegevens rechtmatig moeten worden verwerkt (met inbegrip van de wijze waarop deze moeten worden verzameld, gebruikt, beschermd of hoe er in het algemeen mee moet worden omgegaan).

Het doel van deze verordening is de gegevensbescherming te versterken voor alle personen wiens persoonsgegevens binnen het toepassingsgebied vallen. De controle over de persoonsgegevens komt hierdoor weer in eigen handen.

Wat zijn “persoonsgegevens” precies?

Binnen de context van de AVG worden onder persoonsgegevens alle gegevens verstaan die betrekking hebben op een geïdentificeerde of identificeerbare levende persoon. Dit omvat stukjes informatie die, wanneer zij samengevoegd worden, kunnen leiden tot de identificatie van een persoon.

Dit geldt zelfs voor gegevens die gepseudonimiseerd of versleuteld zijn, zolang de versleuteling of anonimisering omkeerbaar is. Om aan de verplichtingen van de verordening te voldoen, betekent dit dat de sleutels voor de ontsleuteling apart moeten worden bewaard van de gepseudonimiseerde gegevens.

Voorbeelden van persoonsgegevens zijn onder andere elementaire identiteitsgegevens zoals namen, gezondheidsgerelateerde, genetische en biometrische gegevens, webgegevens zoals IP-adressen en persoonlijke e-mailadressen, politieke opvattingen en gegevens over de seksuele gerichtheid.

Voorbeelden van gegevens die geen persoonsgegevens uitmaken zijn registratienummers van bedrijven, algemene e-mailadressen van bedrijven (zoals info@company.com) en geanonimiseerde gegevens.

Speciale termen die hierna worden gebruikt
  • De term “gebruiker” betekent hier een persoon van wie de persoonsgegevens door een verwerkingsverantwoordelijke of een verwerker worden verwerkt (ook wel aangeduid als de betrokkene).
  • De term “verwerkingsverantwoordelijke” verwijst naar elke natuurlijke of rechtspersoon die betrokken is bij de bepaling van het doel en de wijze van verwerking van de persoonsgegevens.
  • De term “verwerker” verwijst naar elke natuurlijke of rechtspersoon die betrokken is bij de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke.

Een internetbedrijf kan bijvoorbeeld gebruikersinformatie via zijn website verzamelen en deze met behulp van een clouddienst van een derde partij opslaan. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en is de organisatie die de clouddienst exploiteert de verwerker.

Wanneer is de verordening van toepassing

De AVG kan van toepassing zijn wanneer:

  • de uitvalsbasis van een entiteit zich in de EU bevindt (dit geldt ongeacht of de verwerking wel of niet in de EU plaatsvindt);
  • een entiteit die niet in de EU gevestigd is, goederen of diensten aan personen in de EU aanbiedt (zelfs als deze gratis worden aangeboden). De entiteit kan een overheidsinstantie, een particulier bedrijf of overheidsbedrijf, een particulier of een non-profitorganisatie zijn; of wanneer
  • een entiteit niet in de EU is gevestigd, maar gedrag monitort van personen die zich in de EU bevinden, voor zover dit gedrag in de EU plaatsvindt.

Dit toepassingsgebied bestrijkt in feite bijna alle bedrijven en betekent dus dat de AVG op je van toepassing kan zijn, ongeacht of je organisatie wel of niet in de EU is gevestigd. Uit onderzoek van PwC is zelfs gebleken dat de AVG voor maar liefst 92 procent van de geënquêteerde Amerikaanse bedrijven een topprioriteit is op het gebied van de gegevensbescherming.

Het is een veel voorkomende misvatting dat alleen EU-gebruikers onder de bescherming van de AVG vallen. De bescherming van de AVG geldt ook voor gebruikers buiten de EU wanneer de verwerkingsverantwoordelijke in de EU is gevestigd. Als je een in de EU gevestigde verwerkingsverantwoordelijke bent, moet je de AVG-normen daarom standaard op AL je gebruikers toepassen.

De AVG is volledig afdwingbaar geworden op 25 mei 2018.

Wanneer is de AVG niet van toepassing

De artikelen 2 en 3 van de AVG gaan over het materiële (waarvoor) en territoriale (waar) toepassingsgebied. Om te bepalen of de verordening wel of niet op een specifieke verwerkingsactiviteit van toepassing is, moeten beide aspecten worden bekeken.

Materieel perspectief

De AVG is van toepassing op de verwerking van persoonsgegevens. De verordening geldt dus niet voor bedrijfsgegevens, zoals bedrijfsnamen en -adressen. Wees hier echter voorzichtig mee, want normaal gesproken werken in een bedrijf “natuurlijke personen”. Alle gegevens die op hen betrekking hebben, worden als “persoonsgegevens” beschouwd, ongeacht of deze in een Business-to-Customer (B2C) of Business-to-Business (B2B) context worden verwerkt.

Bovendien vallen persoonsgegevens niet onder het toepassingsgebied van de AVG wanneer deze:

  • door de lidstaten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid van de EU worden verwerkt;
  • door de bevoegde autoriteiten worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
  • worden verwerkt door de instellingen, organen en instanties van de EU;
  • door een natuurlijke persoon tijdens activiteiten van uitsluitend persoonlijke of huishoudelijke aard worden verwerkt.

Praktisch gesproken is de enige relevante uitzondering de laatste: als je bijvoorbeeld persoonsgegevens van je vrienden voor je persoonlijke telefoonboek verzamelt, hoef je niet te voldoen aan de AVG.

Territoriaal perspectief

In aanvulling op en niettegenstaande het bovenstaande, hebben we reeds vermeld onder welke voorwaarden de AVG vanuit territoriaal perspectief van toepassing is.

Om niet aan de AVG te zijn onderworpen, moet voor een verwerkingsactiviteit bijgevolg cumulatief het volgende gelden:

  • de verwerkingsverantwoordelijke (of verwerker) is niet in de EU gevestigd. Houd er altijd rekening mee dat de verwerkingsverantwoordelijke (of verwerker) ook een EU-filiaal van een niet-EU-onderneming kan zijn. In dat geval is de AVG volledig van toepassing, zelfs als het filiaal geen rechtspersoonlijkheid heeft;
  • de verwerking heeft geen betrekking op het aanbod van goederen of diensten (zelfs als dit gratis is) aan betrokkenen in de Unie of op het monitoren van hun gedrag dat binnen de Unie plaatsvindt;
  • de verwerkingsverantwoordelijke is niet gevestigd in een plaats buiten de EU waar de EU-wetgeving van toepassing is op grond van internationaal publiekrecht.

Een paar voorbeelden:

  1. Het in de VS gevestigde bedrijf “A” verkoopt goederen aan in de EU gevestigde consumenten (→ AVG van toepassing) en schakelt een in de VS gevestigd bedrijf “B” in voor marktanalyses en statistische doeleinden. Valt bedrijf B onder de AVG, ook al is het niet in de EU gevestigd en verkoopt het geen goederen of diensten aan EU-klanten? Waarschijnlijk wel, als de marktanalyses en -statistieken een “monitoren van het gedrag” van in de EU gevestigde klanten vereisen.
  2. Moeten de werknemers van het Italiaanse consulaat in New York zich aan de AVG houden? Ja, omdat de AVG op grond van “internationaal publiekrecht” op hen van toepassing is.
  3. Moet een in China gevestigd bedrijf dat goederen verkoopt via een website die alleen in het Chinees is opgesteld, aan de AVG voldoen, alleen omdat het vanuit praktisch oogpunt mogelijk is dat sommige in de EU gevestigde Chinezen iets bij het bedrijf kopen? In principe zouden wij nee zeggen, tenzij kan worden aangetoond dat het bedrijf echt zaken doet met in de EU gevestigde klanten, of zich uitdrukkelijk tot hen richt (bijvoorbeeld door aan te geven dat “levering in de EU” of “betaling vanaf een EU-bankrekening” mogelijk is).

Rechtsgrond voor de gegevensverwerking

Op grond van de AVG mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.

Mogelijke rechtsgronden zijn:

  • De gebruiker heeft toestemming gegeven voor een of meer specifieke doeleinden.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarin de gebruiker partij is, of noodzakelijk om (door de gebruiker gevraagde) stappen te ondernemen voorafgaand aan de afsluiting van de overeenkomst.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke.
  • De verwerking is noodzakelijk om de vitale belangen van de gebruiker of een andere persoon te beschermen.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
  • De verwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen, rechten en vrijheden van de gebruiker zwaarder wegen, met name wanneer de gebruiker een kind is.

Toestemming

Organisaties moeten een controleerbare toestemming van gebruikers krijgen.

Wat betreft de toestemming voor kinderen zijn organisaties verplicht een controleerbare toestemming van een ouder of voogd te verkrijgen, tenzij de aangeboden dienst een preventieve of adviesdienst is. Organisaties moeten redelijke inspanningen leveren (met behulp van de beschikbare technologie) om te controleren of de persoon die toestemming geeft daadwerkelijk de ouderlijke verantwoordelijkheid voor het kind draagt.

In het algemeen mogen organisaties bij het verkrijgen van toestemming voor gegevensverwerking geen al te ingewikkelde of onleesbare termen gebruiken, dus ook geen ingewikkeld juridisch taalgebruik en onnodig jargon. Dat betekent dat de voorwaarden en het privacybeleid leesbaar moeten worden opgesteld (zoals die van ons), met begrijpelijke taal en bepalingen, zodat de gebruikers zich ten volle bewust zijn van waarmee ze instemmen en wat de gevolgen van hun instemming zijn.

Het gebruik van vooraf aangekruiste vakjes wordt door deze verordening specifiek verboden.

Organisaties moeten transparant zijn over het doel van de gegevensverzameling en de toestemming moet “uitdrukkelijk en vrijelijk worden gegeven”. Dat betekent dat het mechanisme voor het verkrijgen van toestemming ondubbelzinnig moet zijn en een duidelijke “opt-in”-actie moet inhouden (vooraf aangekruiste vakjes en soortgelijke “opt-out”-mechanismen worden door de verordening uitdrukkelijk verboden). De verordening voorziet ook in een specifiek recht om de toestemming in te trekken, wat inhoudt dat het even gemakkelijk moet zijn om de toestemming in te trekken als om deze te geven.

Omdat toestemming onder de AVG zo belangrijk is, is het verplicht om een duidelijk register bij te houden en te kunnen aantonen dat de gebruiker toestemming heeft gegeven. Als er zich problemen voordoen, ligt de bewijslast bij de verwerkingsverantwoordelijke. Het is dus essentieel dat je alles goed bijhoudt.

Je moet de volgende gegevens documenteren:

  • wie de toestemming heeft gegeven;
  • wanneer en hoe toestemming van de individuele gebruiker is verkregen;
  • welk toestemmingsformulier op het moment van verzameling aan de gebruiker is voorgelegd;
  • welke voorwaarden en juridische documenten van toepassing waren op het moment waarop de toestemming werd verkregen.

Dit zijn voorbeelden van wat wel of niet goed is:

Niet goed Wel goed
Gewoon een spreadsheet met de namen van klanten en of er wel of niet toestemming is gegeven. Een kopie van het door de klant ondertekende en gedateerde formulier waaruit blijkt welke actie de klant heeft ondernomen om zijn toestemming voor de specifieke verwerking te geven.
Alleen het tijdstip en de datum van de gegeven toestemming in combinatie met het bijbehorende IP-adres, en een weblink naar je huidige formulier voor gegevensverzameling en je huidige privacybeleid. Uitgebreide gegevens met een gebruikers-ID en de ingediende gegevens, in combinatie met een tijdstempel, met daarbij ook een exemplaar van de versie van het formulier waarmee je de gegevens hebt verzameld en alle andere relevante documenten die op de betreffende datum in gebruik waren.

Deze bewijsstukken bijhouden, kan technisch een hele uitdaging zijn. Onze Consent Solution vereenvoudigt dit proces en maakt het je gemakkelijk je geregistreerde toestemmingen te bekijken, te beheren en te exporteren. Lees er hier meer over.

Een opmerking over toestemming: toestemming is niet de ENIGE rechtsgrond voor de verwerking van de gegevens van je gebruikers. Je kunt er in sommige gevallen ook voor kiezen een andere rechtsgrond (binnen het toepassingsgebied van de AVG) te gebruiken voor een gegevensverwerkingsactiviteit. Hoe dat zit en welke rechtsgrond je dan gebruikt, bekijk je het beste even samen met een advocaat. Er zullen echter altijd gegevensverwerkingsactiviteiten zijn waarvoor toestemming de enige, beste of veiligste optie is.

Een andere EU-wetgeving die we in deze context moeten vermelden, is de ePrivacy-richtlijn (ook wel bekend als de cookiewetgeving). Deze wetgeving is nog steeds van kracht, aangezien deze niet door de AVG is ingetrokken. In de nabije toekomst zal de ePrivacy-richtlijn worden vervangen door een ePrivacy-verordening en als zodanig naast de AVG van toepassing zijn. Er wordt verwacht dat de komende verordening dezelfde waarden zal handhaven als de huidige richtlijn.

De cookiewetgeving schrijft voor dat gebruikers geïnformeerde toestemming moeten geven voordat er cookies op het apparaat van een gebruiker mogen worden opgeslagen en gebruikers hiermee mogen worden gevolgd.

De cookiewetgeving schrijft voor dat gebruikers geïnformeerde toestemming moeten geven voordat er cookies op het apparaat van een gebruiker mogen worden opgeslagen en gebruikers hiermee mogen worden gevolgd. Je kunt hier meer over de cookiewetgeving lezen.

💡 In onze Cookie Consent Cheatsheet kun je zien hoe elk land de regels voor cookietoestemming heeft ingevuld.

Rechten van de gebruikers

Recht op informatie

Organisaties moeten gebruikers informatie verstrekken over de gegevensverwerkingsactiviteiten die zij uitvoeren. Dergelijke informatie moet worden verstrekt op het moment waarop de persoonsgegevens worden verkregen, doorgaans via een privacyverklaring of -beleid. De informatie moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn, in duidelijke en heldere taal zijn opgesteld (vooral als deze tot een kind gericht is), en gratis zijn.

Als de gegevens worden verzameld van de gebruiker waarop deze betrekking hebben, moet aan de gebruiker informatie worden verstrekt op het tijdstip waarop de gegevens worden verkregen. Als de persoonsgegevens daarentegen uit een andere bron dan van de individuele gebruiker worden verkregen, moet de gebruiker worden geïnformeerd binnen een “redelijke termijn” nadat de gegevens zijn verkregen. Deze periode mag in het algemeen niet langer dan een maand zijn. Als je de gegevens gebruikt om met de gebruiker te communiceren, moet je de informatie echter uiterlijk verstrekken op het moment van de eerste communicatie.

Recht van inzage

Gebruikers hebben recht van inzage in hun persoonsgegevens en recht op informatie over hoe hun persoonsgegevens worden verwerkt. Als de gebruiker hierom verzoekt, moet je als verwerkingsverantwoordelijke een overzicht verstrekken van de categorieën gegevens die worden verwerkt, een kopie van de daadwerkelijke gegevens en bijzonderheden over de verwerking. De details moeten het doel van de verwerking omvatten, de manier waarop de gegevens zijn verkregen en met wie deze zijn gedeeld.

Ook moet de organisatie de persoon die het verzoek indient, kosteloos een kopie van zijn of haar persoonsgegevens verstrekken (voor verdere kopieën kan een redelijke vergoeding worden gevraagd). De gevraagde gegevens moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek aan de betrokkene worden verstrekt; het exacte aantal dagen waarbinnen de organisatie een verzoek moet honoreren, hangt af van de maand waarin het verzoek is gedaan.

Het recht op inzage is nauw verbonden met het recht op overdraagbaarheid van gegevens, maar deze twee rechten zijn niet hetzelfde. Daarom is het belangrijk dat je in je privacybeleid een duidelijk onderscheid maakt tussen deze beide rechten.

Het recht op rectificatie

Gebruikers hebben het recht hun persoonsgegevens te laten rectificeren indien deze onnauwkeurig of onvolledig zijn. Dit recht houdt ook in dat de rectificatie moet worden meegedeeld aan alle derde partijen die betrokken zijn bij de verwerking van de betreffende gegevens – tenzij dit onmogelijk of onevenredig moeilijk is. Op verzoek van de gebruiker moet de organisatie de gebruiker ook informeren over deze derde partijen.

De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld en worden uitgelegd waarom de verlenging noodzakelijk is. Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd.

In de meeste gevallen moeten organisaties aan een verzoek om rectificatie voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan worden geweigerd om het verzoek in behandeling te nemen. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).

Recht van bezwaar

Op grond van de AVG hebben gebruikers het recht bezwaar te maken tegen bepaalde verwerkingsactiviteiten van de verwerkingsverantwoordelijke met betrekking tot hun persoonsgegevens. Kort gezegd kan de gebruiker bezwaar maken tegen de verwerking van zijn gegevens wanneer de verwerking is gebaseerd op het gerechtvaardigd belang van de verwerkingsverantwoordelijke, op de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag, of op wetenschappelijk of historisch onderzoek en statistische doeleinden. De gebruiker moet het bezwaar motiveren, tenzij de verwerking plaatsvindt voor direct-marketingdoeleinden – in dat geval is geen motivering nodig om dit recht uit te oefenen.

Als er een bezwaar tegen de verwerking van persoonsgegevens wordt ontvangen en er geen gronden zijn om dit af te wijzen, moet de verwerkingsactiviteit worden stopgezet. Hoewel de verwerkingsactiviteit (met inbegrip van de opslag) moet worden stopgezet voor de specifieke verwerkingsactiviteiten waartegen bezwaar is gemaakt, is wissing van de gegevens mogelijk niet aangewezen indien de gegevens voor andere doeleinden worden verwerkt (zoals om aan een wettelijke of contractuele verplichting te voldoen), aangezien de gegevens voor die doeleinden zullen moeten worden bewaard.

Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.

In de meeste gevallen moeten organisaties een bezwaar honoreren (wanneer er geen redenen voor weigering zijn) zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).

Recht op gegevensoverdraagbaarheid

Gebruikers hebben het recht hun persoonsgegevens (in machineleesbare vorm) te verkrijgen met het oog op de overdracht ervan van de ene verwerkingsverantwoordelijke naar de andere, zonder dat de verwerker hen mag verhinderen dit te doen. Zowel “verstrekte” als “waargenomen” gegevens vallen onder deze regel. Dit recht geldt alleen voor persoonsgegevens en als zodanig niet voor werkelijk anonieme gegevens (gegevens die niet tot de betreffende persoon kunnen worden herleid).

Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.

In de meeste gevallen moeten organisaties aan een verzoek voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).

Recht op gegevenswissing

Wanneer gegevens niet langer relevant zijn voor het oorspronkelijke doel, gebruikers hun toestemming hebben ingetrokken of de persoonsgegevens onrechtmatig zijn verwerkt, hebben gebruikers het recht te verzoeken dat hun gegevens worden gewist en dat elke verspreiding ervan wordt stopgezet. Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd.

De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.

Een vraag om wissing kan worden afgewezen:

  • wanneer de persoonsgegevens worden verwerkt voor archiveringsdoeleinden in het algemeen belang (bijvoorbeeld voor wetenschappelijk onderzoek);
  • wanneer de gegevens noodzakelijk zijn voor de verdediging in rechte;
  • wanneer de gegevens noodzakelijk zijn om te voldoen aan een wettelijke verplichting;
  • wanneer de gegevens noodzakelijk zijn voor de vervulling van een taak van algemeen belang;
  • wanneer de gegevens noodzakelijk zijn in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • wanneer de gegevens noodzakelijk zijn voor de uitoefening van het recht op vrije meningsuiting;
  • wanneer de gegevens worden verwerkt voor gezondheidsdoeleinden in het algemeen belang.

Recht om de verwerking te beperken

Gebruikers hebben het recht de verwerking van hun persoonsgegevens te laten beperken in gevallen waarin:

  • zij de nauwkeurigheid ervan hebben betwist;
  • zij bezwaar hebben gemaakt tegen de verwerking en de organisatie overweegt of zij een gerechtvaardigde grond heeft die zwaarder weegt dan dit recht;
  • de verwerking onrechtmatig is, maar de gebruikers om beperking in plaats van wissing hebben verzocht;
  • de gegevens niet langer nodig zijn, maar de gebruikers deze nodig hebben om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen.

De beperking moet worden meegedeeld aan alle derde partijen die betrokken zijn bij de verwerking van de betreffende gegevens – tenzij dit onmogelijk of onevenredig moeilijk is. Op verzoek van de gebruiker moet de organisatie de gebruiker ook informeren over deze derde partijen.

Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.

In de meeste gevallen moeten organisaties aan een verzoek voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).

Rechten met betrekking tot geautomatiseerde besluitvorming en profilering

Gebruikers hebben het recht niet te worden onderworpen aan een besluit wanneer dit is gebaseerd op geautomatiseerde verwerking of profilering, en het voor de gebruiker een rechtsgevolg of een vergelijkbaar significant gevolg heeft.

Organisaties mogen alleen overgaan tot geautomatiseerde besluitvorming indien dit noodzakelijk is voor de uitvoering van een overeenkomst, wordt toegestaan door lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, geen rechtsgevolgen of soortgelijke significante gevolgen voor de gebruiker heeft, of op de uitdrukkelijke toestemming van de betrokkene gebaseerd is. Als je geautomatiseerde besluiten wilt nemen op basis van bijzondere categorieën gegevens, mag dat alleen met de uitdrukkelijke toestemming van de gebruiker of om redenen van zwaarwegend algemeen belang.

Grensoverschrijdende gegevensdoorgiften

De AVG staat doorgiften van gegevens van EU-ingezetenen naar locaties buiten de Europese Economische Ruimte (EER) alleen toe wanneer aan bepaalde voorwaarden is voldaan. Op grond van deze voorwaarden moet het land of de regio waarnaar de persoonsgegevens worden doorgegeven een volgens de EU-normen “passend” gegevensbeschermingsniveau bieden. Als er geen beslissing is genomen over het passende karakter van deze bescherming, kan doorgifte toch worden toegestaan op grond van standaardcontractbepalingen of bindende bedrijfsvoorschriften.

De AVG staat doorgiften van gegevens van EU-ingezetenen naar locaties buiten de Europese Economische Ruimte (EER) alleen toe wanneer aan bepaalde voorwaarden is voldaan

Wat de doorgifte van gegevens naar de VS betreft, is voor elke doorgifte de geïnformeerde toestemming van de gebruiker vereist. Dat betekent dat de toestemming moet zijn gegeven op basis van voldoende nauwkeurige informatie, met inbegrip van informatie over het gebrek aan bescherming in het derde land.

Privacy door standaardinstellingen en door ontwerp

Reeds vanaf het begin van het ontwerp en de ontwikkeling van de bedrijfsprocessen en -infrastructuur moet de gegevensbescherming in aanmerking worden genomen. Dat betekent dat de privacyinstellingen standaard op “hoog” moeten worden ingesteld en dat er maatregelen moeten worden genomen om ervoor te zorgen dat de verwerkingscyclus van de gegevens aan de AVG-vereisten voldoet.

Melding van inbreuken

De verwerkingsverantwoordelijke moet binnen 72 uur na kennisneming van een inbreuk de toezichthoudende autoriteit informeren. Als de verwerking door een verwerker namens de verwerkingsverantwoordelijke wordt uitgevoerd, moet de verwerker onmiddellijk na kennisneming van een inbreuk de verwerkingsverantwoordelijke hiervan in kennis stellen. Op grond van deze regel moeten ook gebruikers (binnen dezelfde termijn) van de inbreuk in kennis worden gesteld, tenzij de geschonden gegevens door middel van versleuteling beschermd waren (en onleesbaar waren voor de indringer), of de inbreuk, in het algemeen, waarschijnlijk geen risico voor de rechten en vrijheden van personen inhoudt. In ieder geval moet door de verwerkingsverantwoordelijke een register worden bijgehouden van de inbreuken die zich hebben voorgedaan, zodat tegenover de toezichthoudende autoriteit kan worden aangetoond dat deze bepalingen zijn nageleefd.

Functionarissen voor gegevensbescherming

De functionaris voor gegevensbescherming is een persoon met diepgaande kennis van de wetgeving inzake gegevensbescherming, die onder meer tot taak heeft de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van de AVG-voorschriften en toe te zien op de strategie en uitvoering van de gegevensbescherming. De functionaris voor gegevensbescherming moet ook vertrouwd zijn met het beheer van IT-processen, gegevensbeveiliging en andere kritieke kwesties wat betreft de verwerking van persoonsgegevens en gevoelige gegevens.

Op grond van de AVG moet specifiek in de volgende gevallen een functionaris voor gegevensbescherming worden aangewezen:

  • Wanneer sprake is van grootschalige, regelmatige en stelselmatige monitoring van gebruikers;
  • Wanneer de verwerking wordt verricht door een overheidsinstantie (met uitzondering van gerechten of onafhankelijke gerechtelijke instanties);
  • Wanneer de organisatie complexe bewerkingen uitvoert op de gebruikersgegevens (in het bijzonder gevoelige gebruikersgegevens).

De benoeming van een functionaris voor gegevensbescherming is dus niet alleen gebaseerd op het aantal werknemers in een organisatie, maar ook op de wezenlijke aard van de gegevensverwerkingsactiviteit. Als je organisatie buiten deze categorieën valt, is het niet verplicht om een functionaris voor gegevensbescherming aan te stellen.

Register van verwerkingsactiviteiten bijhouden

Op grond van de AVG moeten zowel verwerkingsverantwoordelijken als verwerkers “volledige en uitgebreide” actuele registers bijhouden van de specifieke gegevensverwerkingsactiviteiten die zij uitvoeren.

Een volledige en uitgebreide register van de verwerking is uitdrukkelijk vereist in gevallen waarin de gegevensverwerkingsactiviteiten:

  • niet incidenteel zijn;
  • een risico kunnen inhouden voor de rechten en vrijheden van anderen;
  • de verwerking van “bijzondere categorieën van gegevens” betreffen; of
  • worden uitgevoerd door een organisatie met meer dan 250 werknemers.

Dit geldt in feite voor bijna alle verwerkingsverantwoordelijken en verwerkers van gegevens.

De registers van de verwerkingsactiviteiten moeten schriftelijk worden opgemaakt. Hoewel zowel papieren als elektronische formulieren aanvaardbaar zijn, is het een goede gewoonte om een elektronische methode voor het register te gebruiken, zodat er gemakkelijk wijzigingen kunnen worden aangebracht.

Het register van de verwerkingsverantwoordelijke moet het volgende bevatten:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  • Het doel van de verwerkingsactiviteiten;
  • Een beschrijving van de verschillende categorieën gebruikers en gegevens;
  • De categorieën ontvangers van gegevens, waaronder ontvangers uit derde landen (die geen lid zijn van de EU) of internationale organisaties;
  • Doorgifte van persoonsgegevens naar een derde land en de identificatie van het betreffende derde land of de betreffende internationale organisatie, met inbegrip van documentatie betreffende passende beveiligingen (indien van toepassing);
  • De verwachte termijnen voor het wissen van de verschillende categorieën gegevens (waar mogelijk);
  • Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen (waar mogelijk).

Het register van de verwerker moet het volgende bevatten:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en de verwerker die namens de verwerkingsverantwoordelijke optreedt, en eventueel van de vertegenwoordiger van de verwerker en van de functionaris voor gegevensbescherming;
  • De categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke worden uitgevoerd;
  • Doorgifte van persoonsgegevens naar een derde land en de identificatie van het betreffende derde land of de betreffende internationale organisatie, met inbegrip van documentatie betreffende passende beveiligingen (indien van toepassing);
  • De verwachte termijnen voor het wissen van de verschillende categorieën gegevens (waar mogelijk);
  • Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen (waar mogelijk).
Let op

Zelfs als je verwerkingsactiviteiten op de een of andere manier buiten de hierboven genoemde situaties vallen, is het desondanks op grond van je informatieverplichtingen tegenover de gebruikers (artikelen 13 en 14) noodzakelijk dat je een basisregister bijhoudt met betrekking tot de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens. Dat is voor iedereen verplicht.

Je zult merken dat het in feite heel nuttig is om regelmatig informatie-audits uit te voeren over de gegevens die door je organisatie worden bewaard, aangezien deze praktijk je niet alleen helpt je verplichtingen inzake het bijhouden van registers vlot na te komen, maar het je ook gemakkelijker maakt je procedures voor gegevensverwerking te herzien en te optimaliseren.

Onze oplossing voor Internal Privacy Management komt hier ook zeer goed van pas, aangezien deze het technische werk van het aanmaken en bijhouden van registers over je gegevensverwerkingsactiviteiten ENORM vereenvoudigt. Lees hier meer over hoe deze tool je kan helpen of ga direct naar de installatiegids en -video.

Gegevensbeschermingseffectbeoordeling

Een gegevensbeschermingseffectbeoordeling is een proces waarmee organisaties op effectieve wijze aan de AVG kunnen voldoen en ervoor kunnen zorgen dat de beginselen van verantwoordingsplicht, privacy door ontwerp en privacy door standaardinstellingen in de praktijk worden gebracht. De gegevensbeschermingseffectbeoordeling dient schriftelijk te worden vastgelegd. Hoewel de AVG het niet algemeen verplicht stelt dat je een gegevensbeschermingseffectbeoordeling publiceert, is het als verwerkingsverantwoordelijke wel interessant om dit te doen. Zo laat je immers zien dat je transparant en verantwoord aan het werk bent. Dat kan met name nuttig zijn in gevallen waarbij het publiek betrokken is (bijvoorbeeld als je als overheidsinstantie een gegevensbeschermingseffectbeoordeling uitvoert).

Een doeltreffende gegevensbeschermingseffectbeoordeling is nuttig om te voldoen aan de eis van “privacy door ontwerp”, aangezien deze organisaties in staat stelt problemen in een vroeg stadium op te sporen en te verhelpen. Zo kun je beveiligingsrisico’s voor gebruikers en de kans op boetes, sancties en reputatieschade voor je organisatie, beperken. De gegevensbeschermingseffectbeoordeling is alleen verplicht in gevallen waarin de gegevensverwerkingsactiviteit waarschijnlijk in een hoog risico voor de gebruikers zal resulteren (dit is met name van toepassing bij de invoering van nieuwe verwerkingstechnologie).

Als je niet zeker weet of je verwerkingsactiviteit al dan niet onder activiteiten met een “hoog risico” valt, verdient het aanbeveling toch een gegevensbeschermingseffectbeoordeling uit te voeren, aangezien het een nuttig instrument is om ervoor te zorgen dat de wet wordt nageleefd.

Gegevensverwerkingsactiviteiten met een “hoog risico” omvatten:

  • Grootschalige verwerking van gevoelige gegevens;
  • Systematische bewaking van een publiek toegankelijke ruimte (bv. met camera’s);
  • Situaties waarin sprake is van uitgebreide geautomatiseerde evaluaties van persoonsgegevens om beslissingen te beïnvloeden die het leven van de gebruiker aanmerkelijk kunnen beïnvloeden.

Gegevensbeschermingseffectbeoordelingen kunnen ook vereist zijn in andere omstandigheden. Dat kan bijvoorbeeld het geval zijn bij de verwerking van gegevens over kwetsbare personen (bv. kinderen, ouderen), gegevensoverdrachten naar locaties buiten de EU, en de verwerking van gegevens die voor profilering (bv. kredietwaardigheidsscores) worden gebruikt. Dit moet geval per geval worden beoordeeld. Meer informatie over de criteria lees je hier [PDF].

De gegevensbeschermingseffectbeoordeling moet het volgende bevatten:

  • Een volledige beschrijving van de verwerkte gegevens;
  • Het doel van de verwerkingsactiviteit (en, in voorkomend geval, informatie over de gerechtvaardigde belangen van de verwerkingsverantwoordelijke);
  • Een evaluatie van de reikwijdte en noodzaak van de verwerkingsactiviteit voor het doel;
  • Een beoordeling van het risico voor de gebruikers;
  • De maatregelen die zijn genomen om dat risico te ondervangen.

Gevolgen van de niet-naleving

Wanneer de AVG niet wordt nageleefd, kan dit leiden tot boetes tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee sancties is van toepassing). Wellicht even zorgwekkend zijn de andere mogelijke sancties die kunnen worden opgelegd aan organisaties die in overtreding blijken te zijn. Deze sancties omvatten officiële berispingen (voor eerste overtredingen), periodieke gegevensbeschermingsaudits en schadevergoedingen wegens aansprakelijkheid.

Wanneer de AVG niet wordt nageleefd, kan dit leiden tot boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG geeft gebruikers het uitdrukkelijke recht om een klacht in te dienen bij een toezichthoudende autoriteit als zij van mening zijn dat de verwerking van hun persoonsgegevens in strijd met de AVG-voorschriften heeft plaatsgevonden. Als bijvoorbeeld bij de autoriteit een geval van inbreuk op de regelgeving wordt gemeld, kan de autoriteit een audit van de gegevensverwerkingsactiviteiten van de organisatie uitvoeren. Als wordt vastgesteld dat een bepaalde verwerkingsactiviteit op onrechtmatige wijze is verricht, wordt er niet alleen een boete opgelegd, maar kan het de organisatie ook worden verboden verder gebruik te maken van zowel de gegevens waarop het onderzoek betrekking had als de gegevens die via soortgelijke mechanismen zijn verkregen. Dit betekent dat als het oneigenlijke gebruik betrekking had op het verzamelen van e-mailadressen, je het risico loopt dat je de hele bijbehorende e-maillijst niet meer mag gebruiken.

De AVG geeft gebruikers verder het recht op vergoeding van de geleden schade die voortvloeit uit de niet-naleving van de voorschriften door een organisatie, waardoor overtreders het risico lopen te worden vervolgd.

Hoe iubenda kan helpen

Wat compliance betreft, is een van de eerste logische stappen ervoor te zorgen dat je documenten aan de regelgeving voldoen. iubenda gelooft in een alomvattende aanpak van naleving van de gegevensbeschermingswetgeving. Daarom bouwen we oplossingen die uitgaan van de strengste voorschriften. Zo beschik jij over alle opties om deze naar behoefte aan te passen. Op deze manier helpen wij je de wettelijke verplichtingen na te komen, je risico op juridische procedures te verminderen en je klanten te beschermen – waardoor je vertrouwen en geloofwaardigheid opbouwt.

Dit heb je nodig om aan de slag te gaan voor volledige compliance:

Privacybeleid

In dit juridische document moet worden vermeld op welke manieren je website of app gebruikersgegevens verzamelt, verwerkt, opslaat, deelt en beschermt, voor welke doelen je dat doet en welke rechten de gebruikers in dat verband hebben.

Met onze Privacybeleid- en Cookiebeleid-generator kun je een privacybeleid maken dat er goed uitziet en juridisch klopt, en naadloos met je website of app is te integreren. Voeg eenvoudig je keuze uit de vele vooraf opgestelde bepalingen toe met één klik of schrijf je eigen aangepaste bepalingen met het ingebouwde formulier.

Je kunt in het privacybeleid een cookiebeleid opnemen (dat is noodzakelijk als je website of app gebruik maakt van cookies). De beleidsdocumenten worden aangepast aan jouw behoeften en worden op afstand beheerd door een juridisch team.

 

Klik hier voor meer informatie over het privacybeleid.

Cookie Solution

Omdat het gebruik van cookies kan inhouden dat er gebruikersgegevens worden verwerkt en bestanden op de apparaten van gebruikers worden geïnstalleerd, staat dit op gespannen voet met de bescherming van gebruikersgegevens. Om deze reden is het van vitaal belang dat je website of app aan de ePrivacy-richtlijn (cookiewetgeving) van de EU voldoet. Om in deze behoefte te voorzien, hebben wij onze uitgebreide Cookie Solution ontwikkeld om je compliance met de voorschriften van de Europese cookiewetgeving te vereenvoudigen. Het is een eenvoudig te gebruiken oplossing voor je cookiebeleid en cookietoestemmingen (inclusief het beheer van je cookiebanner), die snel is en geen grote investeringen vereist.

Klik hier voor meer informatie over onze Cookie Solution.

Veel gegevensbeschermingsautoriteiten in de EU hebben hun voorschriften aangescherpt en hun regels inzake cookies en trackers in overeenstemming gebracht met de vereisten van de AVG. Meer in het bijzonder is het vereist dat je bewijzen van de voorkeuren van je gebruikers registreert en bewaart.

Hiervoor biedt onze Cookie Solution nu Logbestanden cookievoorkeuren. Klik hier voor meer informatie over het activeren van logbestanden met cookievoorkeuren in Cookie Solution.

Internal Privacy Management

Het kan een technische uitdaging zijn om in de praktijk aan de AVG-voorschriften te voldoen. Dit geldt met name voor het interne privacybeheer. Om aan de voorschriften te voldoen, moet je kunnen volgen en beschrijven:

  • welke gegevens je verzamelt;
  • voor welke doeleinden deze worden verzameld;
  • wat de rechtsgrond voor de verwerking is;
  • welk bewaarbeleid voor elke verwerkingsactiviteit geldt;
  • welke partijen hierbij betrokken zijn (zowel binnen als buiten je organisatie);
  • welke beveiligingsmaatregelen je hebt genomen;
  • of er doorgiften van gegevens naar locaties buiten de EU plaatsvinden; en
  • welke andere aanverwante gegevens voor het hele bedrijf gelden, met inbegrip van werknemersgegevens.

Onze oplossing helpt je om op een gemakkelijke manier alle gegevensverwerkingsactiviteiten binnen je organisatie vast te leggen en te beheren, zodat je gemakkelijk kunt voldoen aan de vereisten van de AVG en je wettelijke verplichtingen. Je kunt er je register van de verwerkingsactiviteiten mee opstellen door verwerkingsactiviteiten te selecteren uit meer dan 1700 kant-en-klare opties, ze op te delen in gebieden (groepen met dezelfde verwerkingsactiviteiten), verwerkers en andere leden toe te wijzen, de rechtsgrond te documenteren en andere gegevens bij te houden die door de AVG verplicht worden gesteld.

Let op: Zelfs als je verwerkingsactiviteiten op de een of andere manier buiten de eerder in deze gids genoemde situaties vallen, is het desondanks op grond van je informatieverplichtingen tegenover de gebruikers (artikelen 13 en 14) noodzakelijk dat je een basisregister bijhoudt over de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens. Dat is voor iedereen verplicht.

Hoewel de AVG verder vaak wordt vermeld als reden om meer aandacht te besteden aan intern privacybeheer, is onze tool niet exclusief daarvoor gemaakt. Ze kan ook worden gebruikt voor intern privacybeheer in het algemeen, zelfs door bedrijven die geen gebruikers of klanten binnen de EU hebben.

Klik hier voor een lijst van alle functies van de tool voor Internal Privacy Management of lees hier onze gids.

Toestemmingen beheren en gedetailleerde registers bijhouden

Om aan de privacywetgeving en met name de AVG te voldoen, moeten bedrijven een bewijs van de verkregen toestemmingen bewaren, zodat zij kunnen aantonen dat er toestemmingen zijn verzameld. Het betreffende register moet aantonen:

  • wanneer toestemming is gegeven;
  • wie de toestemming heeft gegeven;
  • wat hun voorkeuren waren op het moment van het verzamelen;
  • welke privacyverklaring of juridische kennisgeving hen op het moment van het verzamelen is voorgelegd;
  • welk toestemmingsformulier hen op het moment van het verzamelen is voorgelegd.

Onze Consent Solution vereenvoudigt dit proces door je te helpen op eenvoudige wijze de bewijzen van toestemming op te slaan en de toestemmings- en privacyvoorkeuren van gebruikers te beheren. Hiermee kun je elk aspect van de toestemming volgen (waaronder de juridische of privacyverklaring en het toestemmingsformulier die aan de gebruiker zijn voorgelegd toen de toestemming werd verkregen) en de daaraan gekoppelde voorkeuren die door de gebruiker zijn aangegeven.

Om deze mogelijkheid te gebruiken, activeer je de Consent Solution, vraag je de API-sleutel aan en installeer je vervolgens via HTTP de API of JS-widget. Meer hoef je niet te doen om op elk moment toestemmingen op te halen en deze bijgewerkt te houden.

Klik hier voor een lijst van alle functies van de Consent Solution of lees hier onze gids.

Maak je website in slechts enkele minuten AVG-compliant

Aan de slag

Houd er rekening mee dat wetgeving van tijd tot tijd verandert en wordt bijgewerkt. He is dus van belang om ervoor te zorgen dat je beleid aan de actuele wettelijke verplichtingen voldoet. Daarom sluiten we teksten in, in plaats van deze te kopiëren en te plakken. Alleen zo kun je er zeker van zijn dat je beleid bijgewerkt blijft en vanop afstand wordt bijgehouden door ons juridische team.

Ook interessant