Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

• Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

Organisaties moeten, in het geval van directe verzameling van persoonsgegevens van de betrokken personen, op beknopte en transparante wijze informatie over de verwerkingen verstrekken, in begrijpelijke, gemakkelijk toegankelijke, duidelijke en eenvoudige taal. Dit kan schriftelijk (bijvoorbeeld aan de achterzijde van een inschrijving) of langs elektronische weg (bijvoorbeeld op een website). Indien de betrokkene daarom verzoekt, kunt je deze informatie ook mondeling verstrekken, maar je moet dit achteraf kunnen bewijzen.

Zelfs wanneer de gegevens indirect worden verzameld, d.w.z. als je de persoonsgegevens niet rechtstreeks van een persoon zelf krijgt, maar bijvoorbeeld via een derde partij, moet je dezelfde gedetailleerde informatie aan personen verstrekken.

Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.

Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.

Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:

• de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen; 
• een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
• systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.

De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
 

Meer informatie:

• De regels naleven

De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.

Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de doeleinden van de verwerking;
• de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
• de contactgegevens van de verwerkingsverantwoordelijke;
• de contactgegevens van de FG (indien er een FG is);
• de ontvangers of categorieën ontvangers van de gegevens;
• Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
• de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.

Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:

• de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
• het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
• het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
• indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
• in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
• de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
• of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.

Meer informatie:

• Respecteer de rechten van individuen
  
   

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker
   

Tot de taken van de FG behoren onder meer:

• de organisatie en haar medewerkers informeren en adviseren over de naleving van de relevante privacywetgeving;
• toezicht houden op de naleving van de relevante privacywetgeving;
• advies verstrekken over verzoeken met betrekking tot de gegevensbeschermingseffectbeoordeling (DPIA);
• het optreden als contactpunt voor de gegevensbeschermingsautoriteit (DPA) en met die gegevensbeschermingsautoriteit samen te werken;
• het optreden als aanspreekpunt voor individuen.

Daarnaast wordt de aanwezigheid van de FG over het algemeen aanbevolen wanneer beslissingen met gevolgen voor gegevensbescherming worden genomen. De FG moet ook onmiddellijk worden geraadpleegd zodra zich een datalek of een ander incident heeft voorgedaan.

Meer informatie:

• Functionarisgegevensbescherming
   

Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:

• met toestemming van de betrokken personen;
• wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst (een contract tussen jouw organisatie en een individu);
• om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
• wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang uit hoofde van EU- of nationale wetgeving;
• het beschermen van de vitale belangen van een individu;
• voor de gerechtvaardige belangen van jouw organisatie — behalve wanneer de belangen en rechten van individuen zwaarder wegen.
• arnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van gevoelige gegevens.

Meer informatie:

•    Rechtmatige verwerking van persoonsgegevens
 

• Elke verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn.
• Verzamel alleen persoonsgegevens voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van de gegevens van een persoon moet strikt beperkt zijn tot het (de) oorspronkelijk vastgestelde doel(en) en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
• Alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
• Alle persoonsgegevens die jij verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of verwijderd.
• De opslag van persoonsgegevens van natuurlijke personen moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens van natuurlijke personen worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn.
• De verwerking van de gegevens van personen moet op een veilige manier gebeuren. In die zin moeten robuuste cyberbeveiligingscontroles worden ingevoerd om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd.

Ten slotte is de verwerkingsverantwoordelijke verantwoordelijk. Dit betekent dat het verantwoordelijk is voor en moet kunnen aantonen dat de bovenstaande principes worden nageleefd.

Meer informatie:

• Beginselen voor gegevensbescherming