iubenda heeft een systeem ontwikkeld waarmee je verschillende rechten kunt toekennen aan verschillende gebruikersgroepen, van wie je de persoonsgegevens verwerkt als “verwerkingsverantwoordelijke” (dat is het woord dat de AVG gebruikt voor degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
In het bijzonder:
💡 Als je je richt op gebruikers in de VS, kan de California Consumer Privacy Act (CCPA) op jou van toepassing zijn. Meer informatie over de CCPA en onze gratis gids vind je hier.
Je kunt ervoor kiezen de ruimere beschermingsnormen van de AVG toe te passen op:
Je kunt deze als volgt inschakelen:
Zodra je hebt besloten welke rechten je aan wie wilt aanbieden, kun je verder gaan.
Dan moet je de ruimere beschermingsnormen toepassen op al je gebruikers, want alle gegevensverwerkingsactiviteiten die je uitvoert, vallen onder de AVG. Dit geldt zelfs voor je gebruikers die niet in de EU gevestigd zijn.
Dan kun je ervoor kiezen ruimere beschermingsnormen toe te passen op al je gebruikers of deze alleen toe te passen in gevallen waarin de verwerking van persoonsgegevens onder de AVG valt. Houd er rekening mee dat je ruimere beschermingsnormen moet toepassen wanneer de verwerking:
Als je als verwerkingsverantwoordelijke in de VS bent gevestigd, kun je ervoor kiezen je gebruikers basisrechten toe te kennen, zoals de Amerikaanse wetgeving vereist. Als een deel van je verwerkingsactiviteiten echter bestaat in het aanbieden van betaalde of onbetaalde goederen of diensten aan in de EU gevestigde gebruikers, of in het monitoren van gebruikersgedrag dat in de EU plaatsvindt, dan ben je verplicht om in die gevallen een meer uitgebreide bescherming te bieden.
De toepasbaarheid van ruimere beschermingsnormen heeft verdere implicaties, die hieronder worden beschreven.
Als je persoonsgegevens verzamelt binnen de EU, kun je deze vrijelijk doorgeven aan andere EU- of EER-landen. Als je echter persoonsgegevens wilt doorsturen naar andere landen zoals Zwitserland of de VS, moet je een geldige rechtsgrond noemen die een dergelijke doorgifte mogelijk maakt.
Diensten om eventueel toe te voegen:
Als je werkt met partners of diensten toevoegt die zijn gevestigd buiten de EU/EEA (bv. Google Analytics), geef je persoonsgegevens naar landen buiten de EU door. Diensten die in onze generator zijn opgenomen, zijn voorzien van een indicatie van de thuisbasis van de dienst.
Bij het toevoegen van een aangepaste dienst (i.e een door jou zelf geschreven dienst), moet je aangeven wat de rechtsgrond voor een dergelijke doorgifte is.
Als je als verwerkingsverantwoordelijke buiten de EU bent gevestigd, geef je bij het verzamelen van gegevens van gebruikers in de EU persoonsgegevens door naar landen buiten de EU. Zorg ervoor dat je dit doet op basis van een van de rechtsgronden voor doorgifte.
De AVG voorziet in een reeks geldige rechtsgronden voor de doorgifte van gegevens buiten de EU. De meest relevante zijn:
Wanneer de Europese Commissie van oordeel is dat een bepaald land buiten de EU normen voor gegevensbescherming waarborgt die vergelijkbaar zijn met de normen die in de EU gelden, vaardigt zij een adequaatheidsbesluit uit. Als je van plan bent gegevens naar zo’n land door te geven, mag je dat doen. Je moet dit wel in je privacybeleid vermelden.
Er zijn tot dusver adequaatheidsbesluiten vastgesteld voor Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay en Japan.
In dit geval voeg je deze dienst toe: “Doorgifte van persoonsgegevens naar landen die Europese normen garanderen“
Als het land waarnaar je gegevens wilt exporteren geen passend beschermingsniveau lijkt te garanderen, kun je ervoor zorgen dat de betreffende gegevensimporteur (d.w.z. het bedrijf of de persoon naar wie je gegevens exporteert) aan strengere regels voldoet. Daartoe sluit je een contract met de gegevensimporteur, dat standaardcontractbepalingen bevat die door de Europese Commissie zijn opgesteld. In de meeste gevallen zul je de standaardcontractbepalingen gebruiken voor verwerkingsverantwoordelijken gevestigd in de EU die gegevens exporteren naar elders gevestigde verwerkers.
Ook hier geldt: als je over een dergelijk contract beschikt, mag je persoonsgegevens doorgeven maar moet je dit wel vermelden in je privacybeleid.
In dit geval voeg je deze dienst toe: “Doorgifte van persoonsgegevens naar het buitenland op basis van standaardcontractbepalingen“.
Als geen van de bovengenoemde opties haalbaar lijkt, moet je de toestemming van je gebruikers vragen om hun gegevens naar landen buiten de EU te verzenden. Dit is het meest gecompliceerde scenario, omdat je ervoor moet zorgen dat hun toestemming – naast andere aspecten – “geïnformeerd” is. Weet je echt wat er met de gebruikersgegevens gebeurt zodra ze buiten de EU worden geëxporteerd? Weet je welke beveiligingsmaatregelen in de plaatselijke wetgeving zijn opgenomen of door de gegevensimporteur zijn genomen om de bescherming van persoonsgegevens te waarborgen?
Als je die informatie kunt verstrekken, kun je je gebruikers vragen in te stemmen met de doorgifte van persoonsgegevens. Als je dat niet kunt, wees dan voorzichtig: elke verkregen toestemming is dan niet als “geïnformeerd” te beschouwen en dus ongeldig.
In dit geval voeg je deze dienst toe: “Doorgifte van Persoonsgegevens naar het buitenland op basis van toestemming“.
Minder bekend is dat de AVG ook een paar andere (zij het minder relevante) opties laat voor de doorgifte van gegevens buiten de EU. Kies de dienst “Andere rechtsgronden voor doorgifte van persoonsgegevens naar het buitenland” als je de doorgifte op een van deze opties baseert, en zorg dat je de relevante informatie hierbij aangeeft door het toevoegen van een aangepaste bepaling.
Als je persoonsgegevens vanuit Zwitserland naar een ander land overdraagt, moet je dat doen op basis van een van de rechtsgronden die in de Zwitserse wetgeving worden erkend.
Informatie over de federale regelgeving inzake gegevensbescherming in Zwitserland vind je hier.
Profilering betekent elke vorm van geautomatiseerde verwerking van persoonsgegevens om bepaalde persoonlijke aspecten van een natuurlijke persoon te beoordelen, in het bijzonder om aspecten te analyseren of voorspellen met betrekking tot de prestaties van die natuurlijke persoon op het werk, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of bewegingen.
Als je je gebruikers profileert, moet je ze dat vertellen. Gebruik daarvoor de betreffende bepaling van de privacybeleid-generator.
Diensten om eventueel toe te voegen:
Als je producten verkoopt en de keuzes van gebruikers bijhoudt voor marketingdoeleinden door ze in zinvolle categorieën in te delen, zoals op basis van leeftijd, geslacht, geografische herkomst enzovoort, ben je ze aan het profileren.
Geautomatiseerde besluitvorming is een proces waarmee je op volledig geautomatiseerde wijze, zonder menselijke tussenkomst, besluiten kunt nemen die juridische of vergelijkbare aanzienlijke gevolgen kunnen hebben voor gebruikers. Een dergelijke geautomatiseerde besluitvorming kan ook gebaseerd zijn op profilering (zie hierboven).
Je moet je gebruikers op de hoogte brengen als je een geautomatiseerd besluitvormingsproces toepast. Kies daarvoor de betreffende bepaling in de privacybeleid-generator. Gebruikers hebben een specifiek recht van verzet tegen geautomatiseerde besluitvormingsprocessen. Dit wordt aangegeven in het onderdeel over geautomatiseerde besluitvorming van het privacybeleid dat je genereert.
Diensten om eventueel toe te voegen:
Je hebt een bank. Om te beslissen of gebruikers in aanmerking komen voor een lening, laat je ze hun persoonsgegevens invullen op een formulier. Dankzij een algoritme worden deze gegevens volledig geautomatiseerd beoordeeld en wordt de beslissing genomen.
Als je persoonsgegevens niet rechtstreeks bij de gebruikers verzamelt maar ze van een derde betrekt, moet je de betrokken gebruikers niet alleen over alle andere informatieverplichtingen informeren, maar ze ook over die derde inlichten. Gebruik daarvoor de betreffende bepaling van de privacybeleid-generator.
Deze informatie moet uiterlijk één maand na het verzamelen van de gegevens aan de gebruiker worden verstrekt, en met name
Diensten om eventueel toe te voegen:
Je werkt als recruiter. Je vindt iemand met een interessant profiel op LinkedIn. Zodra je contact opneemt met de betreffende kandidaat of hun gegevens doorgeeft aan de potentiële werkgever (maar in ieder geval binnen een maand), moet je de kandidaat alle verplichte informatie geven, waaronder de vermelding van LinkedIn als gegevensbron.
Als je als verwerkingsverantwoordelijke buiten de EU bent gevestigd, moet je een natuurlijke of rechtspersoon die gevestigd is in een van de EU-landen waar je gebruikers zich bevinden, aanstellen als vertegenwoordiger in de EU. De aanstelling moet schriftelijk gebeuren en de aangestelde vertegenwoordiger moet in je privacybeleid worden vermeld.
Vermeld daarom de naam en contactgegevens van je vertegenwoordiger in het veld waar ook je eigen bedrijfsgegevens staan.
Onder bepaalde voorwaarden moet je een natuurlijke of rechtspersoon aanstellen als functionaris voor gegevensbescherming en dit vermelden in je privacybeleid.
In het bijzonder moet je een functionaris voor gegevensbescherming aanstellen in de volgende gevallen:
Als een van de bovenstaande elementen voor jou van toepassing is, vermeld dan de contactgegevens van de functionaris voor gegevensbescherming in het veld waar ook je eigen bedrijfsgegevens staan.
Houd er rekening mee dat EU-lidstaten onder de AVG de aanstelling van een functionaris voor gegevensbescherming ook in andere gevallen verplicht kunnen stellen. Ga daarom na of naast de AVG nationale bepalingen van een EU-lidstaat van toepassing zijn en of dergelijke bepalingen vereisen dat je een functionaris voor gegevensbescherming aanstelt.
Meer informatie over de functionaris voor gegevensbescherming en overige bijzondere onderwerpen vind je in onze AVG-gids.