Algemene verordening gegevensbescherming (AVG)

De AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Die regels gelden voor alle bedrijven en organisaties die persoonsgegevens van personen in de EU verwerken, ongeacht of die bedrijven nu in de EU gevestigd zijn, of daarbuiten.

Wanneer moet ik de algemene verordening gegevensbescherming (AVG) toepassen?

U moet de AVG toepassen als:

  • uw bedrijf persoonsgegevens verwerkt en in de EU gevestigd is, ongeacht waar die gegevens worden verwerkt
  • uw bedrijf buiten de EU gevestigd is maar voor de levering van goederen of diensten persoonsgegevens van personen in de EU verwerkt of het gedrag van personen in de EU volgt

Bedrijven buiten de EU die gegevens van EU-burgers verwerken, moeten een vertegenwoordiger in de EU aanwijzen.

Wanneer hoef ik de algemene verordening gegevensbescherming (AVG) niet toe te passen?

De AVG is niet van toepassing op:

  • gegevens over overledenen
  • gegevens over rechtspersonen
  • gegevensverwerking door personen die dit niet om commerciële redenen of beroepshalve doen

Wat zijn persoonsgegevens?

Onder persoonsgegevens verstaan we alle informatie over een persoon waarvan de identiteit bekend is of achterhaald kan worden. Deze persoon noemen we de betrokkene. Persoonsgegevens zijn onder andere:

  • naam
  • adres
  • nummer identiteitskaart/paspoort
  • inkomen
  • cultureel profiel
  • IP-adres
  • medische gegevens (over individuele personen en gekoppeld aan de identiteit)

Speciale categorieën gegevens

U mag geen persoonsgegevens verwerken over:

  • ras of etnische afkomst
  • seksuele geaardheid
  • politieke opvattingen
  • religieuze of filosofische overtuigingen
  • lidmaatschap van vakbonden
  • genetische, biometrische of gezondheidsaspecten (behalve in speciale gevallen, bijv. wanneer u uitdrukkelijk toestemming heeft gegeven of als de gegevens verwerkt moeten worden om redenen van ernstig algemeen belang, overeenkomstig de EU- of nationale wetgeving)
  • strafrechtelijke veroordelingen en overtredingen, tenzij toegestaan door de EU- of nationale wetgeving

Wie mag persoonsgegevens verwerken?

Tijdens de verwerking kunnen persoonsgegevens bij verschillende bedrijven en organisaties belanden. Bij dit proces zijn twee functies erg belangrijk:

  • de gegevensbeheerder, die bepaalt waarvoor en hoe de persoonsgegevens worden verwerkt (officieel "voor de gegevensverwerking verantwoordelijke")
  • de gegevensverwerker, die de gegevens namens de gegevensbeheerder bewaart en verwerkt.

Wie controleert hoe gegevens binnen een bedrijf worden verwerkt?

Het bedrijf of de organisatie kan een functionaris voor gegevensbescherming aanwijzen die erop moet toezien hoe de persoonsgegevens worden verwerkt, en die medewerkers moet informeren en adviseren over hun verplichtingen. Deze functionaris voor gegevensbescherming (Data Protection Officer, DPO) werkt ook samen met de gegevensbeschermingsautoriteit (Data Protection Authority, DPA), en dient als contactpunt tussen de DPA en particulieren.

Wanneer moet ik een functionaris voor gegevensbescherming (DPO) benoemen?

Uw organisatie of bedrijf moet een DPO benoemen als:

  • u regelmatig of systematisch personen volgt of speciale categorieën gegevens verwerkt
  • deze gegevensverwerking tot de kernactiviteiten van uw bedrijf behoort
  • u op grote schaal gegevens verwerkt.

Bijvoorbeeld: verwerkt u persoonsgegevens om doelgericht te kunnen adverteren via zoekmachines op basis van het onlinegedrag van gebruikers, dan moet u een DPO benoemen. Maar stuurt u al uw klanten een keer per jaar reclame, dan hoeft u geen DPO aan te stellen. Bent u een dokter die patiëntendossiers beheert, dan is een DPO in bijna alle gevallen ook niet nodig. Maar verwerkt u persoonsgegevens met betrekking tot genetica en gezondheid in een ziekenhuis, dan is een DPO wel nodig.

De DPO kan een medewerker van uw organisatie zijn, maar ook een externe medewerker op basis van een contract. U mag zowel een persoon als een organisatie tot DPO benoemen.

Gegevens verwerken voor een ander bedrijf

Een gegevensbeheerder mag alleen een beroep doen op een gegevensverwerker die voldoende waarborgen biedt, en alle afspraken tussen beide partijen moeten schriftelijk worden vastgelegd. Het contract moet ook een reeks verplichte bepalingen bevatten, bijv. dat de gegevensverwerker alleen persoonsgegevens mag verwerken als de gegevensbeheerder daartoe opdracht heeft gegeven.

Gegevens overdragen naar landen buiten de EU

Wanneer persoonsgegevens worden overgedragen naar landen buiten de EU, blijft de bescherming gelden voor die gegevens. Met andere woorden: exporteert u gegevens naar een land buiten de EU, dan moet u ten minste een van de volgende garanties bieden:

  • De normen die het betrokken land (dat geen lid is van de EU) hanteert, voldoen aan de EU-eisen.
  • Uw bedrijf heeft de nodige maatregelen genomen, zoals speciale bepalingen in het contract met de partij buiten de EU die de persoonsgegevens importeert.
  • Uw bedrijf kan zich beroepen op een bepaalde uitzondering voor de overdracht van de gegevens, bijv. de uitdrukkelijke toestemming van elke betrokkene.

Wanneer mogen gegevens worden verwerkt?

Volgens de EU-regels voor gegevensbescherming moet u de gegevens op eerlijke en wettige wijze verwerken, voor een specifiek en legitiem doel, en uitsluitend voor zover het nodig is om dit doel te bereiken. U mag de persoonsgegevens pas verwerken als u ten minste een van de volgende garanties kunt geven. U garandeert dat u:

  • de toestemming van de betrokkene heeft
  • de persoonsgegevens nodig heeft om uw contractuele verplichtingen ten opzichte van de betrokkene na te komen
  • de persoonsgegevens nodig heeft om uw wettelijke verplichtingen na te komen
  • de persoonsgegevens nodig heeft voor handelingen van levensbelang voor de betrokkene
  • de persoonsgegevens verwerkt voor een opdracht van openbaar belang
  • handelt met het oog op een legitiem belang van uw onderneming, mits dit geen ernstige gevolgen heeft voor de fundamentele rechten en vrijheden van de betrokkene. Bij conflicterende belangen gaan de belangen van het individu voor op die van uw bedrijf, en mag u de persoonsgegevens niet verwerken.

Toestemming geven voor gegevensverwerking

De AVG bevat strenge regels als het gaat om toestemming van de betrokkene. Die regels zijn er gekomen om te garanderen dat de betrokkene begrijpt waarvoor hij of zij toestemming geeft. Dit betekent dat gebruikers vrij, uitdrukkelijk, voldoende geïnformeerd en ondubbelzinnig moeten kunnen instemmen (of niet) met een verzoek in duidelijke, heldere bewoordingen. Ze moeten een duidelijke handeling stellen om die toestemming te geven, bijvoorbeeld door een vakje aan te vinken of een formulier te ondertekenen.

Wanneer gebruikers toestemming geven om hun persoonsgegevens te verwerken, dan mag u die alleen verwerken voor het doel waarvoor toestemming is gegeven. U moet gebruikers ook de mogelijkheid geven om hun toestemming weer in te trekken.

Transparante informatie geven

U moet betrokkenen duidelijk meedelen door wie hun persoonsgegevens worden verwerkt en waarom. Vermeldt ten minste het volgende:

  • uw naam
  • waarom u de persoonsgegevens verwerkt
  • wat de rechtsgrondslag is
  • wie de gegevens ontvangt (indien van toepassing)

In sommige gevallen moet u ook het volgende vermelden:

  • in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming (DPO)
  • het legitieme belang van uw bedrijf op grond waarvan u de persoonsgegevens wilt verwerken
  • de maatregelen die u neemt wanneer u gegevens naar een land buiten de EU exporteert
  • hoe lang de gegevens worden bewaard
  • de rechten van de betrokkene wat betreft gegevensbescherming (d.w.z. het recht op inzage, verbetering, verwijdering, beperking, bezwaar, overdraagbaarheid enz.)
  • hoe de betrokkene zijn toestemming kan intrekken (wanneer toestemming noodzakelijk is voor verwerking)
  • of er wettelijke of contractuele verplichtingen zijn om de gegevens te verstrekken
  • bij geautomatiseerde besluitvorming, informatie over de logica, betekenis en gevolgen van het besluit

U moet elke betrokkene hierover in heldere, duidelijke taal informeren.

Speciale regels voor kinderen

Verzamelt u van kinderen persoonsgegevens waarvoor toestemming nodig is, bijv. voor een account bij sociale media of om content te downloaden, dan moet u eerst de ouders of voogd om toestemming vragen, bijv. door hun een bericht te sturen. De leeftijdsgrenzen variëren van land tot land, in sommige landen wordt iedereen onder de 16 als kind beschouwd, in andere landen iedereen onder de 13.

Recht op inzage en recht op overdracht

U moet ervoor zorgen dat iedereen alle persoonsgegevens die u over hem of haar bewaart, gratis kan inzien. Krijgt u daarover een vraag, dan moet u de betrokkene:

  • laten weten of u persoonsgegevens over hem of haar bewaart
  • informeren over de gegevensverwerking (het doel, het soort gegevens, de ontvangers van de gegevens enz.)
  • een kopie geven van alle persoonsgegevens die u verwerkt, in een leesbaar formaat

Worden de gegevens verwerkt op basis van toestemming of een contract, dan kan de betrokkene u ook vragen de persoonsgegevens terug te geven of over te dragen aan een ander bedrijf. Dit wordt het "recht op gegevensoverdracht" genoemd. U moet de gegevens in een gangbaar en machineleesbaar formaat ter beschikking stellen.

Recht op verbetering en recht op bezwaar

Is een betrokkene van mening dat de opgeslagen persoonsgegevens over hem of haar onjuist, onvolledig of onzorgvuldig zijn, dan heeft hij of zij het recht om de gegevens onmiddellijk te laten corrigeren of aanvullen.

In zo'n geval moet u ook alle partijen waarmee u de persoonsgegevens heeft gedeeld, laten weten dat deze gewijzigd of verwijderd zijn. Blijken persoonsgegevens die u heeft gedeeld, onjuist te zijn, dan moet u dit ook meedelen aan iedereen die de gegevens heeft geraadpleegd (tenzij dit buitensporige inspanningen zou vergen).

Elke betrokkene mag ook op elk moment bezwaar maken tegen de verwerking van zijn of haar persoonsgegevens voor een bepaalde toepassing als uw bedrijf of organisatie dit doet vanuit uw legitieme belang of voor een opdracht van algemeen belang. Alleen als uw bedrijf een legitiem belang kan aanvoeren dat voorgaat op de belangen van de betrokkene, mag u de persoonsgegevens blijven verwerken.

En zolang niet duidelijk is of uw legitieme belangen voorgaan op de belangen van de betrokkene, heeft de betrokkene het recht om de verwerking van zijn of haar persoonsgegevens te beperken. Direct marketing is echter geen legitiem belang in dit verband: als de betrokkene daarom vraagt, moet u onmiddellijk en definitief stoppen met het verwerken van zijn of haar persoonsgegevens.

Recht op gegevensverwijdering ("het recht om te worden vergeten")

In sommige gevallen kan een betrokkene de gegevensbeheerder vragen om zijn of haar persoonsgegevens te verwijderen, bijvoorbeeld als die gegevens niet meer nodig zijn voor het oorspronkelijke doel. Toch is uw bedrijf daartoe niet verplicht als de gegevens:

  • nodig zijn om de vrijheid van meningsuiting en informatie te garanderen
  • moeten worden bewaard op grond van een wettelijke verplichting
  • moeten worden bewaard om andere redenen van algemeen belang, zoals de volksgezondheid, wetenschappelijk onderzoek of historisch onderzoek
  • onmisbaar zijn voor een rechtszaak

Geautomatiseerde verwerking en profilering

Iedereen heeft het recht om bezwaar te maken tegen besluiten die louter op geautomatiseerde verwerking zijn gebaseerd. Er zijn echter enkele uitzonderingen op deze regel, bijvoorbeeld wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven voor zo'n geautomatiseerd besluit. Tenzij uw bedrijf wettelijk verplicht is om geautomatiseerde besluiten te nemen, moet u de betrokkene altijd:

  • informeren over de geautomatiseerde besluitvorming
  • het recht geven om het automatische besluit te laten controleren door een persoon
  • de mogelijkheid geven het geautomatiseerde besluit te betwisten

Een voorbeeld: een bank mag de besluitvorming over leningen automatiseren, maar moet de klant daarover informeren, en vervolgens de mogelijkheid bieden om het besluit aan te vechten en door een medewerker van de bank te laten herzien.

Inbreuken in verband met persoonsgegevens: kennisgeving

Er is sprake van een inbreuk wanneer persoonsgegevens waarvoor u verantwoordelijk bent, per ongeluk of onrechtmatig met niet-gemachtigde ontvangers worden gedeeld, tijdelijk niet beschikbaar zijn of gewijzigd worden.

Constateert u zo'n inbreuk en kunnen de rechten en vrijheden van personen daarbij in het gedrang komen, waarschuw de gegevensbeschermingsautoriteit (DPA) dan binnen de 72 uur.

Lopen de betrokkenen een groot risico, dan kan uw bedrijf worden verplicht om hen allemaal te informeren.

Informatieverzoeken beantwoorden

Ontvangt uw bedrijf een verzoek van een particulier die een beroep doet op zijn rechten, dan moet u hierop zo snel mogelijk en in ieder geval binnen een maand reageren. Bij ingewikkelde of meervoudige verzoeken kan deze termijn met een maand worden verlengd, mits u de betrokkenen hierover informeert. U mag de betrokkenen geen kosten aanrekenen voor het beantwoorden van zo'n verzoek.

Wijst u een verzoek af, dan moet u de betrokkene informeren over de redenen voor die afwijzing en wijzen op het recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit (DPA).

Effectbeoordelingen

Een beoordeling van het effect op de gegevensbescherming (Data Protection Impact Assessment, DPIA) is verplicht wanneer de beoogde verwerking grote risico's met zich brengt voor de rechten en vrijheden van personen, bijv. wanneer nieuwe technologieën worden gebruikt.

Er is sprake van zulke grote risico's als:

  • personen worden beoordeeld op basis van automatische gegevensverwerking en profilering
  • een openbare ruimte op grote schaal wordt gecontroleerd (bijv. met bewakingscamera's)
  • Bepaalde categorieën gegevens of persoonsgegevens over strafrechtelijke veroordelingen en overtredingen op grote schaal worden verwerkt (bijvoorbeeld medische gegevens)

Let op: Elke gegevensbeschermingsautoriteit mag ook andere soorten gegevensverwerking bestempelen als risicocategorieën.

Als de maatregelen op grond van de DPIA niet alle geconstateerde risico's kunnen elimineren, moet de gegevensbeschermingsautoriteit worden geraadpleegd voordat de beoogde gegevensverwerking van start gaat.

Boekhouding

U moet kunnen aantonen dat uw bedrijf zich aan de AVG houdt en aan alle verplichtingen voldoet, met name wanneer de gegevensbeschermingsautoriteit daarom verzoekt of op inspectie komt.

U kunt dit onder andere doen door nauwkeurig het volgende te registreren en te bewaren:

  • naam en contactgegevens van uw bedrijf voor zover dit betrokken is bij de gegevensverwerking
  • reden(en) voor het verwerken van persoonsgegevens
  • categorieën personen waarvan gegevens worden bewaard
  • categorieën organisaties die persoonsgegevens ontvangen
  • overdrachten van persoonsgegevens naar andere landen of organisaties
  • de duur van de opslag van persoonsgegevens
  • de beveiligingsmaatregelen met betrekking tot de gegevensverwerking

Uw bedrijf moet ook procedures en richtsnoeren op papier zetten en regelmatig bijwerken, en zorgen dat alle medewerkers hiervan op de hoogte zijn.

Waarschuwing

Is uw zaak een MKB-bedrijf en of een micro-onderneming, dan hoeft u uw verwerkingsactiviteiten niet te documenteren, op voorwaarde dat:

  • u niet regelmatig gegevens verwerkt
  • de rechten en vrijheden van de betrokkenen niet in het gedrang komen
  • u geen gevoelige of strafrechtelijke gegevens verwerkt

Gegevensbescherming door ontwerp en door standaardinstellingen

Gegevensbescherming door ontwerp ("by design") betekent dat uw bedrijf al van bij het begin rekening moet houden met de privacy wanneer u aan een nieuwe vorm van gegevensverwerking gaat werken. Dit houdt in dat de gegevensbeheerder alle nodige technische en organisatorische maatregelen moet nemen om de beginselen van gegevensbescherming toe te passen en de rechten van elke betrokkene te beschermen. Dit kunt u doen door, om maar een voorbeeld te noemen, gegevens te anonimiseren.

Gegevensbescherming als standaardinstelling ("default") houdt in dat uw bedrijf als standaardinstelling altijd kiest voor de instelling die de meeste bescherming biedt. Als u bijvoorbeeld uit twee instellingen kunt kiezen, en een ervan voorkomt dat persoonsgegevens door anderen kunnen worden bekeken, dan moet u die kiezen als standaardinstelling.

Schendingen van de regels en sancties

Bedrijven en organisaties die zich niet aan de AVG houden, kunnen voor bepaalde inbreuken worden veroordeeld tot een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet. De gegevensbeschermingsautoriteit kan aanvullende corrigerende maatregelen nemen, en uw bedrijf onder andere verbieden om nog persoonsgegevens te verwerken.

FAQ's - Gegevensbescherming en privacy online Deze link brengt u naar een andere website

EU-wetgeving

Advies van een expert? Wij helpen u op weg.

Vraag advies aan experts

Hebt u vragen over zakendoen in het buitenland? Denkt u aan exporteren of uitbreiden naar een ander EU-land? Zo ja, dan kan het Enterprise Europe Network u gratis advies geven.

U kunt ook gebruikmaken van de zoekfunctie voor ondersteunende diensten om de juiste hulp voor u te vinden.

Laatste controle: 06/07/2022
Deze bladzijde delen