Wonen en reizen
Laatste controle: 19/08/2019

Algemene verordening gegevensbescherming (AVG)

Besluit VK artikel 50 EU-Verdrag: Meer informatie

De AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Die regels gelden voor alle bedrijven en organisaties die persoonsgegevens van personen in de EU (In dit geval alle landen van de EU plus IJsland, Liechtenstein en Noorwegen.) verwerken, ongeacht of die bedrijven nu in de EU gevestigd zijn, of daarbuiten.

Wanneer moet ik de algemene verordening gegevensbescherming (AVG) toepassen?

U moet de AVG toepassen als:

Bedrijven buiten de EU die gegevens van EU-burgers verwerken, moeten een vertegenwoordiger in de EU aanwijzen.

Wanneer hoef ik de algemene verordening gegevensbescherming (AVG) niet toe te passen?

De AVG is niet van toepassing op:

Wat zijn persoonsgegevens?

Onder persoonsgegevens verstaan we alle informatie over een persoon waarvan de identiteit bekend is of achterhaald kan worden. Deze persoon noemen we de betrokkene. Persoonsgegevens zijn onder andere:

Speciale categorieën gegevens

U mag geen persoonsgegevens verwerken over:

Wie mag persoonsgegevens verwerken?

Tijdens de verwerking kunnen persoonsgegevens bij verschillende bedrijven en organisaties belanden. Bij dit proces zijn twee functies erg belangrijk:

Wie controleert hoe gegevens binnen een bedrijf worden verwerkt?

Het bedrijf of de organisatie kan een functionaris voor gegevensbescherming aanwijzen die erop moet toezien hoe de persoonsgegevens worden verwerkt, en die medewerkers moet informeren en adviseren over hun verplichtingen. Deze functionaris voor gegevensbescherming (Data Protection Officer, DPO) werkt ook samen met de gegevensbeschermingsautoriteit (Data Protection Authority, DPA), en dient als contactpunt tussen de DPA en particulieren.

Wanneer moet ik een functionaris voor gegevensbescherming (DPO) benoemen?

Uw organisatie of bedrijf moet een DPO benoemen als:

Bijvoorbeeld: verwerkt u persoonsgegevens om doelgericht te kunnen adverteren via zoekmachines op basis van het onlinegedrag van gebruikers, dan moet u een DPO benoemen. Maar stuurt u al uw klanten een keer per jaar reclame, dan hoeft u geen DPO aan te stellen. Bent u een dokter die patiëntendossiers beheert, dan is een DPO in bijna alle gevallen ook niet nodig. Maar verwerkt u persoonsgegevens met betrekking tot genetica en gezondheid in een ziekenhuis, dan is een DPO wel nodig.

De DPO kan een medewerker van uw organisatie zijn, maar ook een externe medewerker op basis van een contract. U mag zowel een persoon als een organisatie tot DPO benoemen.

Gegevens verwerken voor een ander bedrijf

Een gegevensbeheerder mag alleen een beroep doen op een gegevensverwerker die voldoende waarborgen biedt, en alle afspraken tussen beide partijen moeten schriftelijk worden vastgelegd. Het contract moet ook een reeks verplichte bepalingen bevatten, bijv. dat de gegevensverwerker alleen persoonsgegevens mag verwerken als de gegevensbeheerder daartoe opdracht heeft gegeven.

Gegevens overdragen naar landen buiten de EU

Wanneer persoonsgegevens worden overgedragen naar landen buiten de EU (In dit geval alle landen van de EU plus IJsland, Liechtenstein en Noorwegen.), blijft de bescherming gelden voor die gegevens. Met andere woorden: exporteert u gegevens naar een land buiten de EU, dan moet u ten minste een van de volgende garanties bieden:

Wanneer mogen gegevens worden verwerkt?

Volgens de EU-regels voor gegevensbescherming moet u de gegevens op eerlijke en wettige wijze verwerken, voor een specifiek en legitiem doel, en uitsluitend voor zover het nodig is om dit doel te bereiken. U mag de persoonsgegevens pas verwerken als u ten minste een van de volgende garanties kunt geven. U garandeert dat u:

Toestemming geven voor gegevensverwerking

De AVG bevat strenge regels als het gaat om toestemming van de betrokkene. Die regels zijn er gekomen om te garanderen dat de betrokkene begrijpt waarvoor hij of zij toestemming geeft. Dit betekent dat gebruikers vrij, uitdrukkelijk, voldoende geïnformeerd en ondubbelzinnig moeten kunnen instemmen (of niet) met een verzoek in duidelijke, heldere bewoordingen. Ze moeten een duidelijke handeling stellen om die toestemming te geven, bijvoorbeeld door een vakje aan te vinken of een formulier te ondertekenen.

Wanneer gebruikers toestemming geven om hun persoonsgegevens te verwerken, dan mag u die alleen verwerken voor het doel waarvoor toestemming is gegeven. U moet gebruikers ook de mogelijkheid geven om hun toestemming weer in te trekken.

Transparante informatie geven

U moet betrokkenen duidelijk meedelen door wie hun persoonsgegevens worden verwerkt en waarom. Vermeldt ten minste het volgende:

In sommige gevallen moet u ook het volgende vermelden:

U moet elke betrokkene hierover in heldere, duidelijke taal informeren.

Speciale regels voor kinderen

Verzamelt u van kinderen persoonsgegevens waarvoor toestemming nodig is, bijv. voor een account bij sociale media of om content te downloaden, dan moet u eerst de ouders of voogd om toestemming vragen, bijv. door hun een bericht te sturen. De leeftijdsgrenzen variëren van land tot land, in sommige landen wordt iedereen onder de 16 als kind beschouwd, in andere landen iedereen onder de 13.

Recht op inzage en recht op overdracht

U moet ervoor zorgen dat iedereen alle persoonsgegevens die u over hem of haar bewaart, gratis kan inzien. Krijgt u daarover een vraag, dan moet u de betrokkene:

Worden de gegevens verwerkt op basis van toestemming of een contract, dan kan de betrokkene u ook vragen de persoonsgegevens terug te geven of over te dragen aan een ander bedrijf. Dit wordt het "recht op gegevensoverdracht" genoemd. U moet de gegevens in een gangbaar en machineleesbaar formaat ter beschikking stellen.

Recht op verbetering en recht op bezwaar

Is een betrokkene van mening dat de opgeslagen persoonsgegevens over hem of haar onjuist, onvolledig of onzorgvuldig zijn, dan heeft hij of zij het recht om de gegevens onmiddellijk te laten corrigeren of aanvullen.

In zo'n geval moet u ook alle partijen waarmee u de persoonsgegevens heeft gedeeld, laten weten dat deze gewijzigd of verwijderd zijn. Blijken persoonsgegevens die u heeft gedeeld, onjuist te zijn, dan moet u dit ook meedelen aan iedereen die de gegevens heeft geraadpleegd (tenzij dit buitensporige inspanningen zou vergen).

Elke betrokkene mag ook op elk moment bezwaar maken tegen de verwerking van zijn of haar persoonsgegevens voor een bepaalde toepassing als uw bedrijf of organisatie dit doet vanuit uw legitieme belang of voor een opdracht van algemeen belang. Alleen als uw bedrijf een legitiem belang kan aanvoeren dat voorgaat op de belangen van de betrokkene, mag u de persoonsgegevens blijven verwerken.

En zolang niet duidelijk is of uw legitieme belangen voorgaan op de belangen van de betrokkene, heeft de betrokkene het recht om de verwerking van zijn of haar persoonsgegevens te beperken. Direct marketing is echter geen legitiem belang in dit verband: als de betrokkene daarom vraagt, moet u onmiddellijk en definitief stoppen met het verwerken van zijn of haar persoonsgegevens.

Recht op gegevensverwijdering ("het recht om te worden vergeten")

In sommige gevallen kan een betrokkene de gegevensbeheerder vragen om zijn of haar persoonsgegevens te verwijderen, bijvoorbeeld als die gegevens niet meer nodig zijn voor het oorspronkelijke doel. Toch is uw bedrijf daartoe niet verplicht als de gegevens:

Geautomatiseerde verwerking en profilering

Iedereen heeft het recht om bezwaar te maken tegen besluiten die louter op geautomatiseerde verwerking zijn gebaseerd. Er zijn echter enkele uitzonderingen op deze regel, bijvoorbeeld wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven voor zo'n geautomatiseerd besluit. Tenzij uw bedrijf wettelijk verplicht is om geautomatiseerde besluiten te nemen, moet u de betrokkene altijd:

Een voorbeeld: een bank mag de besluitvorming over leningen automatiseren, maar moet de klant daarover informeren, en vervolgens de mogelijkheid bieden om het besluit aan te vechten en door een medewerker van de bank te laten herzien.

Inbreuken in verband met persoonsgegevens: kennisgeving

Er is sprake van een inbreuk wanneer persoonsgegevens waarvoor u verantwoordelijk bent, per ongeluk of onrechtmatig met niet-gemachtigde ontvangers worden gedeeld, tijdelijk niet beschikbaar zijn of gewijzigd worden.

Constateert u zo'n inbreuk en kunnen de rechten en vrijheden van personen daarbij in het gedrang komen, waarschuw de gegevensbeschermingsautoriteit (DPA) dan binnen de 72 uur.

Lopen de betrokkenen een groot risico, dan kan uw bedrijf worden verplicht om hen allemaal te informeren.

Informatieverzoeken beantwoorden

Ontvangt uw bedrijf een verzoek van een particulier die een beroep doet op zijn rechten, dan moet u hierop zo snel mogelijk en in ieder geval binnen een maand reageren. Bij ingewikkelde of meervoudige verzoeken kan deze termijn met een maand worden verlengd, mits u de betrokkenen hierover informeert. U mag de betrokkenen geen kosten aanrekenen voor het beantwoorden van zo'n verzoek.

Wijst u een verzoek af, dan moet u de betrokkene informeren over de redenen voor die afwijzing en wijzen op het recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit (DPA).

Effectbeoordelingen

Een beoordeling van het effect op de gegevensbescherming (Data Protection Impact Assessment, DPIA) is verplicht wanneer de beoogde verwerking grote risico's met zich brengt voor de rechten en vrijheden van personen, bijv. wanneer nieuwe technologieën worden gebruikt.

Er is sprake van zulke grote risico's als:

Let op: Elke gegevensbeschermingsautoriteit mag ook andere soorten gegevensverwerking bestempelen als risicocategorieën.

Als de maatregelen op grond van de DPIA niet alle geconstateerde risico's kunnen elimineren, moet de gegevensbeschermingsautoriteit worden geraadpleegd voordat de beoogde gegevensverwerking van start gaat.

Boekhouding

U moet kunnen aantonen dat uw bedrijf zich aan de AVG houdt en aan alle verplichtingen voldoet, met name wanneer de gegevensbeschermingsautoriteit daarom verzoekt of op inspectie komt.

U kunt dit onder andere doen door nauwkeurig het volgende te registreren en te bewaren:

Uw bedrijf moet ook procedures en richtsnoeren op papier zetten en regelmatig bijwerken, en zorgen dat alle medewerkers hiervan op de hoogte zijn.

Is uw zaak een MKB-bedrijfen of een micro-onderneming, dan hoeft u uw verwerkingsactiviteiten niet te documenteren, op voorwaarde dat:

  • u niet regelmatig gegevens verwerkt
  • de rechten en vrijheden van de betrokkenen niet in het gedrang komen
  • u geen gevoelige of strafrechtelijke gegevens verwerkt

Gegevensbescherming door ontwerp en door standaardinstellingen

Gegevensbescherming door ontwerp ("by design") betekent dat uw bedrijf al van bij het begin rekening moet houden met de privacy wanneer u aan een nieuwe vorm van gegevensverwerking gaat werken. Dit houdt in dat de gegevensbeheerder alle nodige technische en organisatorische maatregelen moet nemen om de beginselen van gegevensbescherming toe te passen en de rechten van elke betrokkene te beschermen. Dit kunt u doen door, om maar een voorbeeld te noemen, gegevens te anonimiseren.

Gegevensbescherming als standaardinstelling ("default") houdt in dat uw bedrijf als standaardinstelling altijd kiest voor de instelling die de meeste bescherming biedt. Als u bijvoorbeeld uit twee instellingen kunt kiezen, en een ervan voorkomt dat persoonsgegevens door anderen kunnen worden bekeken, dan moet u die kiezen als standaardinstelling.

Schendingen van de regels en sancties

Bedrijven en organisaties die zich niet aan de AVG houden, kunnen voor bepaalde inbreuken worden veroordeeld tot een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet. De gegevensbeschermingsautoriteit kan aanvullende corrigerende maatregelen nemen, en uw bedrijf onder andere verbieden om nog persoonsgegevens te verwerken.

FAQ's - Gegevensbescherming en privacy online

Gerelateerde onderwerpen

EU-wetgeving

Advies van een expert? Wij helpen u op weg.

Vraag advies aan experts

Lokale steun voor ondernemers

Hebt u vragen over zakendoen in het buitenland? Denkt u aan exporteren of uitbreiden naar een ander EU-land? Zo ja, dan kan het Enterprise Europe Network u gratis advies geven.

Deze bladzijde delen: