AVG

AVG-beginselen

De AVG hanteert de volgende beginselen voor de verwerking van persoonsgegevens:

Rechtmatigheid, behoorlijkheid en transparantie
Verwerking dient voor de betrokkene gerechtvaardigd, eerlijk en duidelijk te zijn.

Doelbinding
De verwerking dient gebaseerd te zijn op welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Minimale gegevensverwerking
De verwerking dient beperkt te zijn tot wat noodzakelijk is voor het doel.

Juistheid
Incorrecte persoonsgegevens dienen gecorrigeerd of gewist te worden.

Opslagbeperking
Persoonsgegevens dienen niet langer opgeslagen te worden dan nodig is voor het doel van de verwerking.

Integriteit en vertrouwelijkheid
De verwerkingsverantwoordelijke en verwerker dienen technische en organisatorische maatregelen te nemen om een passende beveiliging van persoonsgegevens te waarborgen. Dat houdt in dat persoonsgegevens beschermd zijn tegen onder meer ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Verantwoordingsplicht
De verwerkingsverantwoordelijke dient te kunnen aantonen dat hij zich aan deze beginselen van de AVG houdt.

Rechtmatigheid

Een verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
Toestemming
De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. De toestemming is aantoonbaar, ondubbelzinnig, vrijelijk gegeven en intrekbaar.
Contractuele verplichting
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
Wettelijke verplichting
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Vitaal belang
De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
Algemeen belang
De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Gerechtvaardigde belang
De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Bijzondere persoonsgegevens

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden, tenzij er een geldige uitzondering voor de verwerking van toepassing is.

Beveiliging van de verwerking

De verwerkingsverantwoordelijke en de verwerker dienen passende technische en organisatorische maatregelen  te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.

Rechten van betrokkenen

Onder de AVG hebben betrokkenen verschillende rechten om de verwerking van hun persoonsgegevens te beschermen.
Recht om geïnformeerd te worden
Betrokkenen hebben recht op transparante communicatie en informatie, gemakkelijk toegankelijk en in beknopte, begrijpelijke en duidelijke taal.
Recht op inzage
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van diens persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen in die persoonsgegevens.
Recht op rectificatie
De betrokkene heeft het recht op correctie en completering van diens persoonsgegevens.
Recht op gegevenswissing („recht op vergetelheid”)
De betrokkene heeft het recht op het verwijderen van diens persoonsgegevens zonder onredelijke vertraging.
Wanneer de persoonsgegevens openbaar zijn gemaakt neemt de verwerkingsverantwoordelijke redelijke maatregelen om andere verwerkingsverantwoordelijken te informeren dat de betrokkene heeft verzocht om iedere koppeling naar, of kopie of reproductie van diens persoonsgegevens te wissen.
Recht op beperking van de verwerking
In bepaalde gevallen heeft de betrokkene het recht om de verwerking van diens persoonsgegevens te  beperken, bijvoorbeeld als er (mogelijk) sprake is van incorrecte gegevens.
Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking
De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking.
Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht diens persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen.
Recht van bezwaar
Een betrokkene heeft het recht bezwaar te maken tegen verwerking van diens gegevens op grond van algemeen belang of gerechtvaardigd belang en wanneer persoonsgegevens ten behoeve van direct marketing, met inbegrip van profilering, worden verwerkt.
Recht niet te worden onderworpen  aan geautomatiseerde individuele besluitvorming, waaronder profilering
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

Privacy statement

Een van de beginselen van de AVG is rechtmatigheid, behoorlijkheid en transparantie.
Dat betekent onder meer dat je verplicht om gebruikers op een duidelijke manier te informeren over de verwerking van persoonsgegevens. Dat doe je bijvoorbeeld met een privacy statement, een informatief bericht aan klanten, gebruikers en relaties over de verwerking van persoonsgegevens.
In een privacy statement dient in ieder geval het volgende te worden benoemd:

De identiteit van de verantwoordelijke.
Bedrijfsnaam, inclusief de adresgegevens van het bedrijf en een contactadres voor privacy gerelateerde vragen.
Contactgegevens van de Functionaris Gegevensbescherming (als die er is).

De doeleinden en grondslagen van de verwerking (je moet alle doeleinden beschrijven).
Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief.
Als de website cookies gebruikt (wat vrijwel altijd zo is), dan ben je verplicht uit te leggen wat cookies zijn en wat je daarmee doet. Bijvoorbeeld het vastleggen van IP-adressen voor beveiliging en optimalisering van de website.

Welke (categorieën van) gegevens worden verzameld.
Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
Als klanten op nieuwsbrieven geplaatst worden, moeten ze daar expliciet toestemming voor gegeven hebben. Ook moet er in elke nieuwsbrief staan hoe men er weer vanaf komt.
Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.

Categorieën van ontvangers van de persoonsgegevens.
Je moet vermelden aan wie de gegevens worden doorgegeven. Bijvoorbeeld omdat de gegevens bij dienstverleners van SaaS-oplossingen worden opgeslagen, maar ook als gegevens worden verzameld en aan een partner worden doorgegeven. Soms volstaat het om alleen de categorie te noemen (zoals ‘betaaldiensten’), maar vaak zul je de specifieke partij moeten noemen.
Worden de gegevens aan een ‘derde land’ verstrekt, bijvoorbeeld omdat de servers in een ander land staan, dan moet je dat ook vermelden. Daarbij moet je ook vermelden of het land adequaat is verklaard (dit zijn in elk geval alle landen in de EU) of dat er passende waarborgen zijn getroffen. Het is belangrijk dat er in een ander land niet makkelijker omgegaan mag worden met persoonsgegevens.

De rechten van de betrokkenen
zoals het recht op inzage en het recht op correctie en hoe betrokkenen gebruik kunnen maken van hun rechten.
Je moet toelichten welke technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Als gegevens met toestemming zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden.
Vermelding van eventueel gebruik van geautomatiseerde gegevensverzameling.
Als er sprake is van geautomatiseerde besluitvorming of profiling, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
Wanneer gegevens niet van betrokkene zelf zijn verkregen, de bron waar de persoonsgegevens vandaan komen, ook als ze van een openbare bron komen.

Het privacy statement wordt gezien als een eenzijdige overeenkomst. Houdt er dus rekening mee dat als je klanten of gebruikers in je privacyverklaring meer belooft dan wat de wet voorschrijft, je klanten daarop mogen rekenen, bijvoorbeeld een belofte om de persoonsgegevens niet aan derden door te geven.

Verwerkersovereenkomst

De verwerking door een verwerker wordt geregeld in een overeenkomst, die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin m.b.t. de verwerking worden omschreven:

Het onderwerp.
De duur.
De aard.
Het doel.
Het soort persoonsgegevens.
De categorieën van betrokkenen.
De rechten en verplichtingen van de verwerkingsverantwoordelijke.

Die verwerkersovereenkomst bepaalt met name dat de verwerker:

De persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
Waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Passende technische en organisatorische maatregelen neemt om een op het risico afgestemd beveiligingsniveau te waarborgen.
Wanneer een verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd.
De verwerkingsverantwoordelijke bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de betrokkene te beantwoorden.
Na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.

De verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.

Verwerkingsregister

Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten bij.
Dit register bevat alle volgende gegevens:

Naam en contactgegevens van de verwerkingsverantwoordelijke(n) en van de functionaris voor gegevensbescherming.
De verwerkingsdoeleinden.
De categorieën van betrokkenen en de categorieën van persoonsgegevens.
De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties.
Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (benoemen).
Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist.
Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten, die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

Naam en contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke, voor rekening waarvan de verwerker handelt, en van de functionaris voor gegevensbescherming.
De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd.
Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (benoemen)

Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen