AVG staat voor Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679). De AVG legt vast hoe persoonsgegevens rechtmatig moeten worden verwerkt (met inbegrip van de wijze waarop deze moeten worden verzameld, gebruikt, beschermd of hoe er in het algemeen mee moet worden omgegaan).
Het doel van deze verordening is de gegevensbescherming te versterken voor alle personen wiens persoonsgegevens binnen het toepassingsgebied vallen. De controle over de persoonsgegevens komt hierdoor weer in eigen handen.
Binnen de context van de AVG worden onder persoonsgegevens alle gegevens verstaan die betrekking hebben op een geïdentificeerde of identificeerbare levende persoon. Dit omvat stukjes informatie die, wanneer zij samengevoegd worden, kunnen leiden tot de identificatie van een persoon.
Dit geldt zelfs voor gegevens die gepseudonimiseerd of versleuteld zijn, zolang de versleuteling of anonimisering omkeerbaar is. Om aan de verplichtingen van de verordening te voldoen, betekent dit dat de sleutels voor de ontsleuteling apart moeten worden bewaard van de gepseudonimiseerde gegevens.
Voorbeelden van persoonsgegevens zijn onder andere elementaire identiteitsgegevens zoals namen, gezondheidsgerelateerde, genetische en biometrische gegevens, webgegevens zoals IP-adressen en persoonlijke e-mailadressen, politieke opvattingen en gegevens over de seksuele gerichtheid.
Voorbeelden van gegevens die geen persoonsgegevens uitmaken zijn registratienummers van bedrijven, algemene e-mailadressen van bedrijven (zoals info@company.com) en geanonimiseerde gegevens.
Een internetbedrijf kan bijvoorbeeld gebruikersinformatie via zijn website verzamelen en deze met behulp van een clouddienst van een derde partij opslaan. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en is de organisatie die de clouddienst exploiteert de verwerker.
De AVG kan van toepassing zijn wanneer:
Dit toepassingsgebied bestrijkt in feite bijna alle bedrijven en betekent dus dat de AVG op je van toepassing kan zijn, ongeacht of je organisatie wel of niet in de EU is gevestigd. Uit onderzoek van PwC is zelfs gebleken dat de AVG voor maar liefst 92 procent van de geënquêteerde Amerikaanse bedrijven een topprioriteit is op het gebied van de gegevensbescherming.
Het is een veel voorkomende misvatting dat alleen EU-gebruikers onder de bescherming van de AVG vallen. De bescherming van de AVG geldt ook voor gebruikers buiten de EU wanneer de verwerkingsverantwoordelijke in de EU is gevestigd. Als je een in de EU gevestigde verwerkingsverantwoordelijke bent, moet je de AVG-normen daarom standaard op AL je gebruikers toepassen.
De AVG is volledig afdwingbaar geworden op 25 mei 2018.
De artikelen 2 en 3 van de AVG gaan over het materiële (waarvoor) en territoriale (waar) toepassingsgebied. Om te bepalen of de verordening wel of niet op een specifieke verwerkingsactiviteit van toepassing is, moeten beide aspecten worden bekeken.
De AVG is van toepassing op de verwerking van persoonsgegevens. De verordening geldt dus niet voor bedrijfsgegevens, zoals bedrijfsnamen en -adressen. Wees hier echter voorzichtig mee, want normaal gesproken werken in een bedrijf “natuurlijke personen”. Alle gegevens die op hen betrekking hebben, worden als “persoonsgegevens” beschouwd, ongeacht of deze in een Business-to-Customer (B2C) of Business-to-Business (B2B) context worden verwerkt.
Bovendien vallen persoonsgegevens niet onder het toepassingsgebied van de AVG wanneer deze:
Praktisch gesproken is de enige relevante uitzondering de laatste: als je bijvoorbeeld persoonsgegevens van je vrienden voor je persoonlijke telefoonboek verzamelt, hoef je niet te voldoen aan de AVG.
In aanvulling op en niettegenstaande het bovenstaande, hebben we reeds vermeld onder welke voorwaarden de AVG vanuit territoriaal perspectief van toepassing is.
Om niet aan de AVG te zijn onderworpen, moet voor een verwerkingsactiviteit bijgevolg cumulatief het volgende gelden:
Een paar voorbeelden:
Op grond van de AVG mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.
Mogelijke rechtsgronden zijn:
Organisaties moeten een controleerbare toestemming van gebruikers krijgen.
Wat betreft de toestemming voor kinderen zijn organisaties verplicht een controleerbare toestemming van een ouder of voogd te verkrijgen, tenzij de aangeboden dienst een preventieve of adviesdienst is. Organisaties moeten redelijke inspanningen leveren (met behulp van de beschikbare technologie) om te controleren of de persoon die toestemming geeft daadwerkelijk de ouderlijke verantwoordelijkheid voor het kind draagt.
In het algemeen mogen organisaties bij het verkrijgen van toestemming voor gegevensverwerking geen al te ingewikkelde of onleesbare termen gebruiken, dus ook geen ingewikkeld juridisch taalgebruik en onnodig jargon. Dat betekent dat de voorwaarden en het privacybeleid leesbaar moeten worden opgesteld (zoals die van ons), met begrijpelijke taal en bepalingen, zodat de gebruikers zich ten volle bewust zijn van waarmee ze instemmen en wat de gevolgen van hun instemming zijn.
Het gebruik van vooraf aangekruiste vakjes wordt door deze verordening specifiek verboden.
Organisaties moeten transparant zijn over het doel van de gegevensverzameling en de toestemming moet “uitdrukkelijk en vrijelijk worden gegeven”. Dat betekent dat het mechanisme voor het verkrijgen van toestemming ondubbelzinnig moet zijn en een duidelijke “opt-in”-actie moet inhouden (vooraf aangekruiste vakjes en soortgelijke “opt-out”-mechanismen worden door de verordening uitdrukkelijk verboden). De verordening voorziet ook in een specifiek recht om de toestemming in te trekken, wat inhoudt dat het even gemakkelijk moet zijn om de toestemming in te trekken als om deze te geven.
Omdat toestemming onder de AVG zo belangrijk is, is het verplicht om een duidelijk register bij te houden en te kunnen aantonen dat de gebruiker toestemming heeft gegeven. Als er zich problemen voordoen, ligt de bewijslast bij de verwerkingsverantwoordelijke. Het is dus essentieel dat je alles goed bijhoudt.
Je moet de volgende gegevens documenteren:
Dit zijn voorbeelden van wat wel of niet goed is:
Niet goed | Wel goed |
---|---|
Gewoon een spreadsheet met de namen van klanten en of er wel of niet toestemming is gegeven. | Een kopie van het door de klant ondertekende en gedateerde formulier waaruit blijkt welke actie de klant heeft ondernomen om zijn toestemming voor de specifieke verwerking te geven. |
Alleen het tijdstip en de datum van de gegeven toestemming in combinatie met het bijbehorende IP-adres, en een weblink naar je huidige formulier voor gegevensverzameling en je huidige privacybeleid. | Uitgebreide gegevens met een gebruikers-ID en de ingediende gegevens, in combinatie met een tijdstempel, met daarbij ook een exemplaar van de versie van het formulier waarmee je de gegevens hebt verzameld en alle andere relevante documenten die op de betreffende datum in gebruik waren. |
Deze bewijsstukken bijhouden, kan technisch een hele uitdaging zijn. Onze Consent Database vereenvoudigt dit proces en maakt het je gemakkelijk je geregistreerde toestemmingen te bekijken, te beheren en te exporteren. Lees er hier meer over.
Een opmerking over toestemming: toestemming is niet de ENIGE rechtsgrond voor de verwerking van de gegevens van je gebruikers. Je kunt er in sommige gevallen ook voor kiezen een andere rechtsgrond (binnen het toepassingsgebied van de AVG) te gebruiken voor een gegevensverwerkingsactiviteit. Hoe dat zit en welke rechtsgrond je dan gebruikt, bekijk je het beste even samen met een advocaat. Er zullen echter altijd gegevensverwerkingsactiviteiten zijn waarvoor toestemming de enige, beste of veiligste optie is.
Een andere EU-wetgeving die we in deze context moeten vermelden, is de ePrivacy-richtlijn (ook wel bekend als de cookiewetgeving). Deze wetgeving is nog steeds van kracht, aangezien deze niet door de AVG is ingetrokken. In de nabije toekomst zal de ePrivacy-richtlijn worden vervangen door een ePrivacy-verordening en als zodanig naast de AVG van toepassing zijn. Er wordt verwacht dat de komende verordening dezelfde waarden zal handhaven als de huidige richtlijn.
De cookiewetgeving schrijft voor dat gebruikers geïnformeerde toestemming moeten geven voordat er cookies op het apparaat van een gebruiker mogen worden opgeslagen en gebruikers hiermee mogen worden gevolgd.
De cookiewetgeving schrijft voor dat gebruikers geïnformeerde toestemming moeten geven voordat er cookies op het apparaat van een gebruiker mogen worden opgeslagen en gebruikers hiermee mogen worden gevolgd. Je kunt hier meer over de cookiewetgeving lezen.
💡 In onze Cookie Consent Cheatsheet kun je zien hoe elk land de regels voor cookietoestemming heeft ingevuld.
Organisaties moeten gebruikers informatie verstrekken over de gegevensverwerkingsactiviteiten die zij uitvoeren. Dergelijke informatie moet worden verstrekt op het moment waarop de persoonsgegevens worden verkregen, doorgaans via een privacyverklaring of -beleid. De informatie moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn, in duidelijke en heldere taal zijn opgesteld (vooral als deze tot een kind gericht is), en gratis zijn.
Als de gegevens worden verzameld van de gebruiker waarop deze betrekking hebben, moet aan de gebruiker informatie worden verstrekt op het tijdstip waarop de gegevens worden verkregen. Als de persoonsgegevens daarentegen uit een andere bron dan van de individuele gebruiker worden verkregen, moet de gebruiker worden geïnformeerd binnen een “redelijke termijn” nadat de gegevens zijn verkregen. Deze periode mag in het algemeen niet langer dan een maand zijn. Als je de gegevens gebruikt om met de gebruiker te communiceren, moet je de informatie echter uiterlijk verstrekken op het moment van de eerste communicatie.
Gebruikers hebben recht van inzage in hun persoonsgegevens en recht op informatie over hoe hun persoonsgegevens worden verwerkt. Als de gebruiker hierom verzoekt, moet je als verwerkingsverantwoordelijke een overzicht verstrekken van de categorieën gegevens die worden verwerkt, een kopie van de daadwerkelijke gegevens en bijzonderheden over de verwerking. De details moeten het doel van de verwerking omvatten, de manier waarop de gegevens zijn verkregen en met wie deze zijn gedeeld.
Ook moet de organisatie de persoon die het verzoek indient, kosteloos een kopie van zijn of haar persoonsgegevens verstrekken (voor verdere kopieën kan een redelijke vergoeding worden gevraagd). De gevraagde gegevens moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek aan de betrokkene worden verstrekt; het exacte aantal dagen waarbinnen de organisatie een verzoek moet honoreren, hangt af van de maand waarin het verzoek is gedaan.
Het recht op inzage is nauw verbonden met het recht op overdraagbaarheid van gegevens, maar deze twee rechten zijn niet hetzelfde. Daarom is het belangrijk dat je in je privacybeleid een duidelijk onderscheid maakt tussen deze beide rechten.
Gebruikers hebben het recht hun persoonsgegevens te laten rectificeren indien deze onnauwkeurig of onvolledig zijn. Dit recht houdt ook in dat de rectificatie moet worden meegedeeld aan alle derde partijen die betrokken zijn bij de verwerking van de betreffende gegevens – tenzij dit onmogelijk of onevenredig moeilijk is. Op verzoek van de gebruiker moet de organisatie de gebruiker ook informeren over deze derde partijen.
De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld en worden uitgelegd waarom de verlenging noodzakelijk is. Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd.
In de meeste gevallen moeten organisaties aan een verzoek om rectificatie voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan worden geweigerd om het verzoek in behandeling te nemen. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).
Op grond van de AVG hebben gebruikers het recht bezwaar te maken tegen bepaalde verwerkingsactiviteiten van de verwerkingsverantwoordelijke met betrekking tot hun persoonsgegevens. Kort gezegd kan de gebruiker bezwaar maken tegen de verwerking van zijn gegevens wanneer de verwerking is gebaseerd op het gerechtvaardigd belang van de verwerkingsverantwoordelijke, op de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag, of op wetenschappelijk of historisch onderzoek en statistische doeleinden. De gebruiker moet het bezwaar motiveren, tenzij de verwerking plaatsvindt voor direct-marketingdoeleinden – in dat geval is geen motivering nodig om dit recht uit te oefenen.
Als er een bezwaar tegen de verwerking van persoonsgegevens wordt ontvangen en er geen gronden zijn om dit af te wijzen, moet de verwerkingsactiviteit worden stopgezet. Hoewel de verwerkingsactiviteit (met inbegrip van de opslag) moet worden stopgezet voor de specifieke verwerkingsactiviteiten waartegen bezwaar is gemaakt, is wissing van de gegevens mogelijk niet aangewezen indien de gegevens voor andere doeleinden worden verwerkt (zoals om aan een wettelijke of contractuele verplichting te voldoen), aangezien de gegevens voor die doeleinden zullen moeten worden bewaard.
Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.
In de meeste gevallen moeten organisaties een bezwaar honoreren (wanneer er geen redenen voor weigering zijn) zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).
Gebruikers hebben het recht hun persoonsgegevens (in machineleesbare vorm) te verkrijgen met het oog op de overdracht ervan van de ene verwerkingsverantwoordelijke naar de andere, zonder dat de verwerker hen mag verhinderen dit te doen. Zowel “verstrekte” als “waargenomen” gegevens vallen onder deze regel. Dit recht geldt alleen voor persoonsgegevens en als zodanig niet voor werkelijk anonieme gegevens (gegevens die niet tot de betreffende persoon kunnen worden herleid).
Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.
In de meeste gevallen moeten organisaties aan een verzoek voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren, of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).
Wanneer gegevens niet langer relevant zijn voor het oorspronkelijke doel, gebruikers hun toestemming hebben ingetrokken of de persoonsgegevens onrechtmatig zijn verwerkt, hebben gebruikers het recht te verzoeken dat hun gegevens worden gewist en dat elke verspreiding ervan wordt stopgezet. Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd.
De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.
Een vraag om wissing kan worden afgewezen:
Gebruikers hebben het recht de verwerking van hun persoonsgegevens te laten beperken in gevallen waarin:
De beperking moet worden meegedeeld aan alle derde partijen die betrokken zijn bij de verwerking van de betreffende gegevens – tenzij dit onmogelijk of onevenredig moeilijk is. Op verzoek van de gebruiker moet de organisatie de gebruiker ook informeren over deze derde partijen.
Verzoeken moeten zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek worden gehonoreerd. De termijn om op een verzoek te antwoorden kan met nog eens twee maanden worden verlengd als het verzoek complex is of als dezelfde betrokkene meerdere verzoeken heeft ingestuurd. De betrokkene moet hiervan binnen een maand na ontvangst van het verzoek in kennis worden gesteld. Je moet daarbij ook uitleggen waarom de verlenging noodzakelijk is.
In de meeste gevallen moeten organisaties aan een verzoek voldoen zonder hiervoor kosten in rekening te brengen. Als een verzoek echter “kennelijk ongegrond of buitensporig” wordt bevonden, kan een “redelijke vergoeding” worden gevraagd om het verzoek uit te voeren of kan het verzoek worden geweigerd. In beide scenario’s moet je dat besluit motiveren. Als een verzoek wordt geweigerd, moet de betrokkene daarvan zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek in kennis worden gesteld (en moet de reden ervan worden uitgelegd).
Gebruikers hebben het recht niet te worden onderworpen aan een besluit wanneer dit is gebaseerd op geautomatiseerde verwerking of profilering, en het voor de gebruiker een rechtsgevolg of een vergelijkbaar significant gevolg heeft.
Organisaties mogen alleen overgaan tot geautomatiseerde besluitvorming indien dit noodzakelijk is voor de uitvoering van een overeenkomst, wordt toegestaan door lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, geen rechtsgevolgen of soortgelijke significante gevolgen voor de gebruiker heeft, of op de uitdrukkelijke toestemming van de betrokkene gebaseerd is. Als je geautomatiseerde besluiten wilt nemen op basis van bijzondere categorieën gegevens, mag dat alleen met de uitdrukkelijke toestemming van de gebruiker of om redenen van zwaarwegend algemeen belang.
De AVG staat doorgiften van gegevens van EU-ingezetenen naar locaties buiten de Europese Economische Ruimte (EER) alleen toe wanneer aan bepaalde voorwaarden is voldaan. Op grond van deze voorwaarden moet het land of de regio waarnaar de persoonsgegevens worden doorgegeven een volgens de EU-normen “passend” gegevensbeschermingsniveau bieden. Als er geen beslissing is genomen over het passende karakter van deze bescherming, kan doorgifte toch worden toegestaan op grond van standaardcontractbepalingen of bindende bedrijfsvoorschriften.
De AVG staat doorgiften van gegevens van EU-ingezetenen naar locaties buiten de Europese Economische Ruimte (EER) alleen toe wanneer aan bepaalde voorwaarden is voldaan
Wat de doorgifte van gegevens naar de VS betreft, is voor elke doorgifte de geïnformeerde toestemming van de gebruiker vereist. Dat betekent dat de toestemming moet zijn gegeven op basis van voldoende nauwkeurige informatie, met inbegrip van informatie over het gebrek aan bescherming in het derde land.
Reeds vanaf het begin van het ontwerp en de ontwikkeling van de bedrijfsprocessen en -infrastructuur moet de gegevensbescherming in aanmerking worden genomen. Dat betekent dat de privacyinstellingen standaard op “hoog” moeten worden ingesteld en dat er maatregelen moeten worden genomen om ervoor te zorgen dat de verwerkingscyclus van de gegevens aan de AVG-vereisten voldoet.
De verwerkingsverantwoordelijke moet binnen 72 uur na kennisneming van een inbreuk de toezichthoudende autoriteit informeren. Als de verwerking door een verwerker namens de verwerkingsverantwoordelijke wordt uitgevoerd, moet de verwerker onmiddellijk na kennisneming van een inbreuk de verwerkingsverantwoordelijke hiervan in kennis stellen. Op grond van deze regel moeten ook gebruikers (binnen dezelfde termijn) van de inbreuk in kennis worden gesteld, tenzij de geschonden gegevens door middel van versleuteling beschermd waren (en onleesbaar waren voor de indringer), of de inbreuk, in het algemeen, waarschijnlijk geen risico voor de rechten en vrijheden van personen inhoudt. In ieder geval moet door de verwerkingsverantwoordelijke een register worden bijgehouden van de inbreuken die zich hebben voorgedaan, zodat tegenover de toezichthoudende autoriteit kan worden aangetoond dat deze bepalingen zijn nageleefd.
De functionaris voor gegevensbescherming is een persoon met diepgaande kennis van de wetgeving inzake gegevensbescherming, die onder meer tot taak heeft de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van de AVG-voorschriften en toe te zien op de strategie en uitvoering van de gegevensbescherming. De functionaris voor gegevensbescherming moet ook vertrouwd zijn met het beheer van IT-processen, gegevensbeveiliging en andere kritieke kwesties wat betreft de verwerking van persoonsgegevens en gevoelige gegevens.
Op grond van de AVG moet specifiek in de volgende gevallen een functionaris voor gegevensbescherming worden aangewezen:
De benoeming van een functionaris voor gegevensbescherming is dus niet alleen gebaseerd op het aantal werknemers in een organisatie, maar ook op de wezenlijke aard van de gegevensverwerkingsactiviteit. Als je organisatie buiten deze categorieën valt, is het niet verplicht om een functionaris voor gegevensbescherming aan te stellen.
Op grond van de AVG moeten zowel verwerkingsverantwoordelijken als verwerkers “volledige en uitgebreide” actuele registers bijhouden van de specifieke gegevensverwerkingsactiviteiten die zij uitvoeren.
Een volledige en uitgebreide register van de verwerking is uitdrukkelijk vereist in gevallen waarin de gegevensverwerkingsactiviteiten:
Dit geldt in feite voor bijna alle verwerkingsverantwoordelijken en verwerkers van gegevens.
De registers van de verwerkingsactiviteiten moeten schriftelijk worden opgemaakt. Hoewel zowel papieren als elektronische formulieren aanvaardbaar zijn, is het een goede gewoonte om een elektronische methode voor het register te gebruiken, zodat er gemakkelijk wijzigingen kunnen worden aangebracht.
Het register van de verwerkingsverantwoordelijke moet het volgende bevatten:
Het register van de verwerker moet het volgende bevatten:
Zelfs als je verwerkingsactiviteiten op de een of andere manier buiten de hierboven genoemde situaties vallen, is het desondanks op grond van je informatieverplichtingen tegenover de gebruikers (artikelen 13 en 14) noodzakelijk dat je een basisregister bijhoudt met betrekking tot de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens. Dat is voor iedereen verplicht.
Je zult merken dat het in feite heel nuttig is om regelmatig informatie-audits uit te voeren over de gegevens die door je organisatie worden bewaard, aangezien deze praktijk je niet alleen helpt je verplichtingen inzake het bijhouden van registers vlot na te komen, maar het je ook gemakkelijker maakt je procedures voor gegevensverwerking te herzien en te optimaliseren.
Onze oplossing voor het Register van de gegevensverwerkingsactiviteiten komt hier ook zeer goed van pas, aangezien deze het technische werk van het aanmaken en bijhouden van registers over je gegevensverwerkingsactiviteiten ENORM vereenvoudigt. Lees hier meer over hoe deze tool je kan helpen of ga direct naar de installatiegids en -video.
Een gegevensbeschermingseffectbeoordeling is een proces waarmee organisaties op effectieve wijze aan de AVG kunnen voldoen en ervoor kunnen zorgen dat de beginselen van verantwoordingsplicht, privacy door ontwerp en privacy door standaardinstellingen in de praktijk worden gebracht. De gegevensbeschermingseffectbeoordeling dient schriftelijk te worden vastgelegd. Hoewel de AVG het niet algemeen verplicht stelt dat je een gegevensbeschermingseffectbeoordeling publiceert, is het als verwerkingsverantwoordelijke wel interessant om dit te doen. Zo laat je immers zien dat je transparant en verantwoord aan het werk bent. Dat kan met name nuttig zijn in gevallen waarbij het publiek betrokken is (bijvoorbeeld als je als overheidsinstantie een gegevensbeschermingseffectbeoordeling uitvoert).
Een doeltreffende gegevensbeschermingseffectbeoordeling is nuttig om te voldoen aan de eis van “privacy door ontwerp”, aangezien deze organisaties in staat stelt problemen in een vroeg stadium op te sporen en te verhelpen. Zo kun je beveiligingsrisico’s voor gebruikers en de kans op boetes, sancties en reputatieschade voor je organisatie, beperken. De gegevensbeschermingseffectbeoordeling is alleen verplicht in gevallen waarin de gegevensverwerkingsactiviteit waarschijnlijk in een hoog risico voor de gebruikers zal resulteren (dit is met name van toepassing bij de invoering van nieuwe verwerkingstechnologie).
Als je niet zeker weet of je verwerkingsactiviteit al dan niet onder activiteiten met een “hoog risico” valt, verdient het aanbeveling toch een gegevensbeschermingseffectbeoordeling uit te voeren, aangezien het een nuttig instrument is om ervoor te zorgen dat de wet wordt nageleefd.
Gegevensverwerkingsactiviteiten met een “hoog risico” omvatten:
Gegevensbeschermingseffectbeoordelingen kunnen ook vereist zijn in andere omstandigheden. Dat kan bijvoorbeeld het geval zijn bij de verwerking van gegevens over kwetsbare personen (bv. kinderen, ouderen), gegevensoverdrachten naar locaties buiten de EU, en de verwerking van gegevens die voor profilering (bv. kredietwaardigheidsscores) worden gebruikt. Dit moet geval per geval worden beoordeeld. Meer informatie over de criteria lees je hier [PDF].
De gegevensbeschermingseffectbeoordeling moet het volgende bevatten:
Wanneer de AVG niet wordt nageleefd, kan dit leiden tot boetes tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee sancties is van toepassing). Wellicht even zorgwekkend zijn de andere mogelijke sancties die kunnen worden opgelegd aan organisaties die in overtreding blijken te zijn. Deze sancties omvatten officiële berispingen (voor eerste overtredingen), periodieke gegevensbeschermingsaudits en schadevergoedingen wegens aansprakelijkheid.
Wanneer de AVG niet wordt nageleefd, kan dit leiden tot boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
De AVG geeft gebruikers het uitdrukkelijke recht om een klacht in te dienen bij een toezichthoudende autoriteit als zij van mening zijn dat de verwerking van hun persoonsgegevens in strijd met de AVG-voorschriften heeft plaatsgevonden. Als bijvoorbeeld bij de autoriteit een geval van inbreuk op de regelgeving wordt gemeld, kan de autoriteit een audit van de gegevensverwerkingsactiviteiten van de organisatie uitvoeren. Als wordt vastgesteld dat een bepaalde verwerkingsactiviteit op onrechtmatige wijze is verricht, wordt er niet alleen een boete opgelegd, maar kan het de organisatie ook worden verboden verder gebruik te maken van zowel de gegevens waarop het onderzoek betrekking had als de gegevens die via soortgelijke mechanismen zijn verkregen. Dit betekent dat als het oneigenlijke gebruik betrekking had op het verzamelen van e-mailadressen, je het risico loopt dat je de hele bijbehorende e-maillijst niet meer mag gebruiken.
De AVG geeft gebruikers verder het recht op vergoeding van de geleden schade die voortvloeit uit de niet-naleving van de voorschriften door een organisatie, waardoor overtreders het risico lopen te worden vervolgd.
Wat compliance betreft, is een van de eerste logische stappen ervoor te zorgen dat je documenten aan de regelgeving voldoen. iubenda gelooft in een alomvattende aanpak van naleving van de gegevensbeschermingswetgeving. Daarom bouwen we oplossingen die uitgaan van de strengste voorschriften. Zo beschik jij over alle opties om deze naar behoefte aan te passen. Op deze manier helpen wij je de wettelijke verplichtingen na te komen, je risico op juridische procedures te verminderen en je klanten te beschermen – waardoor je vertrouwen en geloofwaardigheid opbouwt.
Dit heb je nodig om aan de slag te gaan voor volledige compliance:
In dit juridische document moet worden vermeld op welke manieren je website of app gebruikersgegevens verzamelt, verwerkt, opslaat, deelt en beschermt, voor welke doelen je dat doet en welke rechten de gebruikers in dat verband hebben.
Met onze Privacybeleid- en Cookiebeleid-generator kun je een privacybeleid maken dat er goed uitziet en juridisch klopt, en naadloos met je website of app is te integreren. Voeg eenvoudig je keuze uit de vele vooraf opgestelde bepalingen toe met één klik of schrijf je eigen aangepaste bepalingen met het ingebouwde formulier.
Je kunt in het privacybeleid een cookiebeleid opnemen (dat is noodzakelijk als je website of app gebruik maakt van cookies). De beleidsdocumenten worden aangepast aan jouw behoeften en worden op afstand beheerd door een juridisch team.
Klik hier voor meer informatie over het privacybeleid.
Omdat het gebruik van cookies kan inhouden dat er gebruikersgegevens worden verwerkt en bestanden op de apparaten van gebruikers worden geïnstalleerd, staat dit op gespannen voet met de bescherming van gebruikersgegevens. Om deze reden is het van vitaal belang dat je website of app aan de ePrivacy-richtlijn (cookiewetgeving) van de EU voldoet. Om in deze behoefte te voorzien, hebben wij onze uitgebreide Privacy Controls and Cookie Solution ontwikkeld om je compliance met de voorschriften van de Europese cookiewetgeving te vereenvoudigen. Het is een eenvoudig te gebruiken oplossing voor je cookiebeleid en cookietoestemmingen (inclusief het beheer van je cookiebanner), die snel is en geen grote investeringen vereist.
Klik hier voor meer informatie over onze Privacy Controls and Cookie Solution.
Veel gegevensbeschermingsautoriteiten in de EU hebben hun voorschriften aangescherpt en hun regels inzake cookies en trackers in overeenstemming gebracht met de vereisten van de AVG. Meer in het bijzonder is het vereist dat je bewijzen van de voorkeuren van je gebruikers registreert en bewaart.
Hiervoor biedt onze Privacy Controls and Cookie Solution nu Logbestand cookie- toestemmingsvoorkeuren. Klik hier voor meer informatie over het activeren van het logbestand met cookievoorkeuren in Privacy Controls and Cookie Solution.
Het kan een technische uitdaging zijn om in de praktijk aan de AVG-voorschriften te voldoen. Dit geldt met name voor het een register van de gegevensverwerkingsactiviteiten. Om aan de voorschriften te voldoen, moet je kunnen volgen en beschrijven:
Onze oplossing helpt je om op een gemakkelijke manier alle gegevensverwerkingsactiviteiten binnen je organisatie vast te leggen en te beheren, zodat je gemakkelijk kunt voldoen aan de vereisten van de AVG en je wettelijke verplichtingen. Je kunt er je register van de verwerkingsactiviteiten mee opstellen door verwerkingsactiviteiten te selecteren uit meer dan 1700 kant-en-klare opties, ze op te delen in gebieden (groepen met dezelfde verwerkingsactiviteiten), verwerkers en andere leden toe te wijzen, de rechtsgrond te documenteren en andere gegevens bij te houden die door de AVG verplicht worden gesteld.
Let op: Zelfs als je verwerkingsactiviteiten op de een of andere manier buiten de eerder in deze gids genoemde situaties vallen, is het desondanks op grond van je informatieverplichtingen tegenover de gebruikers (artikelen 13 en 14) noodzakelijk dat je een basisregister bijhoudt over de gegevens die je verzamelt, het doel ervan, alle partijen die bij de verwerking betrokken zijn en de bewaartermijn van de gegevens. Dat is voor iedereen verplicht.
Hoewel de AVG verder vaak wordt vermeld als reden om meer aandacht te besteden aan een register van de gegevensverwerkingsactiviteiten, is onze tool niet exclusief daarvoor gemaakt. Ze kan ook worden gebruikt voor een register van de gegevensverwerkingsactiviteiten in het algemeen, zelfs door bedrijven die geen gebruikers of klanten binnen de EU hebben.
Klik hier voor een lijst van alle functies van de tool voor het Register van de gegevensverwerkingsactiviteiten of lees hier onze gids.
Om aan de privacywetgeving en met name de AVG te voldoen, moeten bedrijven een bewijs van de verkregen toestemmingen bewaren, zodat zij kunnen aantonen dat er toestemmingen zijn verzameld. Het betreffende register moet aantonen:
Onze Consent Database vereenvoudigt dit proces door je te helpen op eenvoudige wijze de bewijzen van toestemming op te slaan en de toestemmings- en privacyvoorkeuren van gebruikers te beheren. Hiermee kun je elk aspect van de toestemming volgen (waaronder de juridische of privacyverklaring en het toestemmingsformulier die aan de gebruiker zijn voorgelegd toen de toestemming werd verkregen) en de daaraan gekoppelde voorkeuren die door de gebruiker zijn aangegeven.
Om deze mogelijkheid te gebruiken, activeer je de Consent Database, vraag je de API-sleutel aan en installeer je vervolgens via HTTP de API of JS-widget. Meer hoef je niet te doen om op elk moment toestemmingen op te halen en deze bijgewerkt te houden.
Klik hier voor een lijst van alle functies van de Consent Database of lees hier onze gids.
Houd er rekening mee dat wetgeving van tijd tot tijd verandert en wordt bijgewerkt. He is dus van belang om ervoor te zorgen dat je beleid aan de actuele wettelijke verplichtingen voldoet. Daarom sluiten we teksten in, in plaats van deze te kopiëren en te plakken. Alleen zo kun je er zeker van zijn dat je beleid bijgewerkt blijft en vanop afstand wordt bijgehouden door ons juridische team.