search arrow arrow-left download facebook linkedin twitter share googleplus mail check phone
Terug

FAQ

Hieronder veelgestelde vragen en antwoorden over de AVG.

Wat is AVG?
De AVG staat voor Algemene verordening gegevensbescherming en is per 25 mei 2018 van toepassing en geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De Engelse naam voor de AVG is General Data Protection Regulation (GDPR). De AVG zorgt ervoor dat er versterking en uitbreiding van privacy rechten zijn. Daarnaast krijgen organisaties meer verantwoordelijkheden en krijgen toezichthouders meer bevoegdheden, zoals het opleggen van hoge boetes.

 

Wat wordt er verstaan onder persoonsgegevens?
Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. De gegevens moeten op zodanige wijze iets over de persoon zeggen dat zij daarmee unieke informatie over diegene bevatten. Dit betekent bijvoorbeeld dat NAW-gegevens, telefoonnummers, e-mailadressen, leeftijd, CV, medische informatie, bankgegevens en videobeelden persoonsgegevens (kunnen) zijn. Van belang is om op te merken dat de context waarin een gegeven wordt gebruikt moet worden betrokken bij de beantwoording van de vraag of er sprake is van persoonsgegevens. Een voorbeeld hiervan is, dat een persoon kan worden geïdentificeerd door het combineren van bepaalde gegevens. Zo is enkel een geboortedatum geen persoonsgegeven, maar kan de geboortedatum in combinatie met bijvoorbeeld een woonadres toch als zodanig worden aangemerkt.

 

Wat houdt verwerken van persoonsgegevens in?
Het verwerken van persoonsgegevens omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. De wet ziet op zowel analoge als geautomatiseerde verwerkingsprocessen.

 

Mag mijn organisatie persoonsgegevens verwerken?
Dat mag alleen onder bepaalde voorwaarden. Zo mag een organisatie niet meer dan nodig persoonsgegevens opslaan en moet de organisatie daar een wettelijke grondslag voor hebben. Bijzondere en strafrechtelijke persoonsgegevens verwerken is verboden, tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering.

 

Wat zijn de wettelijke grondslagen om persoonsgegevens te mogen verwerken?

  1. U heeft toestemming nodig van de betrokken personen.
  2. Het verwerken van persoonsgegevens is nodig om te voldoen aan een overeenkomst
  3. Het verwerken van persoonsgegevens is nodig om een wettelijke verplichting na te komen
  4. Het verwerken van persoonsgegevens is nodig om vitale belangen (bijvoorbeeld als het essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen) te beschermen.
  5. Het verwerken van persoonsgegevens is nodig voor het algemeen belang of uitoefening van openbaar gezag.
  6. Het verwerken van persoonsgegevens is nodig voor de behartiging van de gerechtvaardigde belangen (bijvoorbeeld dat een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten).

 

Wat houdt een Functionaris voor de gegevensbescherming (FG) in?
Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Een FG is in bepaalde gevallen verplicht voor een organisatie:

  1. Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen. Dit geldt niet voor rechtbanken.
  2. Als het op grote schaal volgen van individuen een kernactiviteit is van uw organisatie. Belangrijk hierbij is het aantal mensen dat gevolgd wordt, de hoeveelheid gegevens die wordt verwerkt en hoelang de organisatie die individuen blijft volgen.
  3. Organisaties die als kerntaak hebben het verwerken van bijzondere persoonsgegevens, zoals ras, politieke voorkeur, geloofsovertuiging, etc.

 

Welke informatie moeten organisaties kunnen aanleveren?
Organisaties hebben door de Algemene verordening gegevensbescherming (AVG) een stevige informatieplicht. Organisaties moeten betrokkenen duidelijk kunnen informeren over wat zij met uw persoonsgegevens doen:

  1. Welke persoonsgegevens zij van u verwerken;
  2. Voor welk specifiek doel zij dat doen;
  3. Of zij gegevens delen of doorverkopen aan derden.

 

Met wat voor privacy rechten moet een organisatie rekening houden?

  1. Het recht om persoonsgegevens over te dragen. Dit betekent dat mensen het recht hebben persoonsgegevens te ontvangen die een organisatie van hen heeft;
  2. Het recht op inzage, zodat de betrokkenen persoonsgegevens die u verwerkt in kan zien.
  3. Het recht op rectificatie en aanvulling, zodat betrokkenen persoonsgegevens die u verwerkt kan (laten) wijzigen.
  4. Het recht op beperking van de verwerking zodat betrokkenen minder gegevens kunnen laten verwerken door u.
  5. Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
  6. Het recht om bezwaar te maken tegen de gegevensverwerking.
  7. Het recht om vergeten te worden. Dit geldt niet altijd maar alleen in de volgende situaties:
    1. als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor het is verzameld door de organisatie;
    2. bij het intrekken van een eerdere toestemming voor het gebruik van de persoonsgegevens aan de organisatie;
    3. als de betrokkene bezwaar maakt tegen de verwerking. De rechten van de betrokkene zouden dan zwaarder moeten wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.;
    4. bij onrechtmatige verwerking van persoonsgegevens door organisaties;
    5. na de wettelijke bepaalde bewaartermijn, waardoor organisaties verplicht zijn om de gegevens na een bepaalde tijd te wissen;
    6. als de betrokkene jonger is dan 16 jaar en de persoonsgegevens via een app of website verzameld zijn.

 

Hoe kunnen datalekken ontstaan?

  1. Door menselijke of technische fouten kun je persoonsgegevens kwijtraken, vernietigen of per ongeluk openbaar maken;
  2. Je organisatie kan gehackt worden waardoor gevoelige informatie in handen valt van (vaak kwaadwillende) derden;
  3. Virussen, malware en ransomware die je computernetwerk binnendringen, doordat bijvoorbeeld een medewerker een geïnfecteerde e-mailbijlage opent.

 

Wat zijn gegevensbeschermingsautoriteiten?
Gegevensbeschermingsautoriteiten zijn onafhankelijke overheidsinstanties die onderzoeks- en corrigerende bevoegdheden hebben en toezien op de toepassing van de wet voor gegevensbescherming. Zij geven deskundig advies over kwesties met betrekking tot gegevensbescherming en handelen klachten af over schendingen van de Algemene Verordening Gegevensbescherming en de van toepassing zijnde nationale wetten. Elke EU-lidstaat heeft zo’n autoriteit. De gegevensbeschermingsautoriteit in de EU-lidstaat waar uw onderneming/organisatie zich bevindt is het eerste aanspreekpunt voor vragen over gegevensbescherming. Indien uw onderneming/organisatie in meerdere EU-lidstaten gegevens verwerkt, of deel uitmaakt van een groep ondernemingen die in meerdere EU-lidstaten zijn gevestigd, kan het eerste aanspreekpunt de gegevensbeschermingsautoriteit in een andere lidstaat zijn.

Ga voor meer informatie naar de website van de Europese Commissie of Autoriteit Persoonsgegevens. Klik hier om weer terug te gaan naar de Centennium Privacy Quickscan.