Persoonsgegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon. Een identificeerbaar individu is iedereen die direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die door het bijelkaar voegen kan leiden tot de identificatie van een specifiek persoon, is ook persoonsgegevens.
Voorbeelden van persoonsgegevens zijn:

• naam en achternaam;
• een adres;
• een e-mailadres;
• een identiteitskaartnummer;
• locatiegegevens;
• een IP-adres (Internet Protocol);
• een cookie-ID;
• bankrekeningen;
• belastingverslagen;
• biometrische gegevens (zoals vingerafdrukken);
• een BSN;
• paspoortnummer;
• testresultaten;
• schoolcijfers;
• browsergeschiedenis;
• Een foto van een individu;
• Een kenteken enz.

Meer informatie:

• Beginselen voor gegevensbescherming

De AVG maakt onderscheid tussen twee hoofdrollen: die van de verwerkingsverantwoordelijke en de gegevensverwerker. Dit onderscheid is van cruciaal belang omdat de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.

Verwerkingsverantwoordelijken en verwerkers kunnen natuurlijke personen of rechtspersonen zijn, bijvoorbeeld: een overheidsinstantie, een bedrijf, een stichting, een overheidsinstantie, een vereniging enz.
Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt de wijze van en het doel van de verwerking. Verwerkers verwerken persoonsgegevens namens de verwerkingsverantwoordelijke. De verwerking door verwerkers moet worden geregeld in een overeenkomst met de verwerkingsverantwoordelijke of met een andere rechtshandeling.

Voorbeelden van verwerkingsverantwoordelijken:

• bedrijven die de persoonsgegevens van hun klanten verwerken om een verkoop te voltooien;
• financiële instellingen die persoonsgegevens van hun cliënten verwerken;
• verenigingen die de gegevens van hun leden verwerken;
• scholen of universiteiten die persoonsgegevens van studenten en docenten verwerken;
• ziekenhuizen die persoonsgegevens van hun patiënten verwerken;
• overheidsinstanties die persoonsgegevens van burgers verwerken.

Voorbeelden van gegevensverwerkers:

• een mkb huurt een boekhouddienst in om zijn boeken en administratie bij te houden, het mkb is een gegevensbeheerder en de boekhouddienst een gegevensverwerker;
• een payroll-bedrijf verwerkt persoonsgegevens voor een mkb. Het payroll-bedrijf treedt op als verwerker als zij de persoonsgegevens uitsluitend namens het mkb verwerkt. Het mkb bepaalt het doel en de middelen van de gegevensverwerking en is dus verantwoordelijk voor de verwerking.
• een mkb geeft een marketingbedrijf opdracht om e-mailadressen te verzamelen via websites van derden. Het marketingbedrijf doet dit volgens de uitdrukkelijke instructies van het mkb en voor de exclusieve doeleinden van het mkb. Het marketingbedrijf treedt op als verwerker voor deze verzameling.
   

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker

Nee, het is niet nodig om je verwerkingsregister openbaar te maken. Je moet het register echter wel op verzoek van de gegevensbeschermingsautoriteit ter beschikking kunnen stellen.

Meer informatie:

• De regels naleven

De AVG of de algemene verordening gegevensbescherming stelt een geharmoniseerde reeks regels vast die van toepassing zijn op alle verwerking van persoonsgegevens door (publieke of particuliere) organisaties, ongeacht hun omvang, gevestigd in de Europese Economische Ruimte (EER) of gericht zijn op personen in de EU. Het primaire doel van de AVG is ervoor te zorgen dat persoonsgegevens overal in de EER dezelfde hoge beschermingsstandaard genieten, de rechtszekerheid voor zowel personen als organisaties die gegevens verwerken, te vergroten en een hoge mate van bescherming voor individuen te bieden.

De verordening is op 24 mei 2016 in werking getreden en is van toepassing sinds 25 mei 2018.

De EDPB publiceert regelmatig persberichten, nieuwsberichten, blogs en andere inhoud op de EDPB-website en socialemediakanalen (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) om de gegevensbeschermingsgemeenschap en het grote publiek op de hoogte te houden van de werkzaamheden.

Pseudonimisering bestaat uit het transformeren van persoonsgegevens zodat deze niet langer aan een specifieke persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een individu worden toegeschreven. In de praktijk kan dit betekenen dat persoonsgegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset worden vervangen door indirect identificerende gegevens (alias, volgnummer, enz.). Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens en vallen onder de AVG.

Geanonimiseerde gegevens zijn gegevens die zodanig geanonimiseerd zijn dat de persoon niet of niet langer identificeerbaar is op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt. Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens.
 

Meer informatie:

• Beveilig persoonsgegevens

Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

• het doel van de verwerking (bv. klantenloyaliteit);
• de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
• wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
• indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
• waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
• waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

Meer informatie:

• De regels naleven

Ja, dat kan, maar de AVG legt bepaalde verplichtingen op aan bedrijven die persoonsgegevens delen. Jouw organisatie moet personen informeren dat jij hun gegevens deelt met een derde partij. Je moet hen ook informeren over jouw doeleinden, de veiligheid, de toegang en de bewaartermijnen die van toepassing zullen zijn.

• Elke verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn.
• Verzamel alleen persoonsgegevens voor gespecificeerde, expliciete en legitieme doeleinden. De verwerking van de gegevens van een persoon moet strikt beperkt zijn tot het (de) oorspronkelijk vastgestelde doel(en) en moet daarom niet worden verwerkt voor latere of andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden.
• Alleen persoonsgegevens verwerken die noodzakelijk en evenredig zijn in het licht van het beoogde doel.
• Alle persoonsgegevens die jij verwerkt, moeten nauwkeurig en up-to-date zijn. Onjuiste persoonsgegevens moeten worden gecorrigeerd of verwijderd.
• De opslag van persoonsgegevens van natuurlijke personen moet beperkt zijn in de tijd, in het licht van het doel waarvoor deze gegevens zijn verzameld en verwerkt. Als zodanig moeten de persoonsgegevens van natuurlijke personen worden verwijderd of geanonimiseerd zodra deze gegevens niet langer nodig zijn.
• De verwerking van de gegevens van personen moet op een veilige manier gebeuren. In die zin moeten robuuste cyberbeveiligingscontroles worden ingevoerd om ervoor te zorgen dat de gegevens van personen adequaat worden beschermd.

Ten slotte is de verwerkingsverantwoordelijke verantwoordelijk. Dit betekent dat het verantwoordelijk is voor en moet kunnen aantonen dat de bovenstaande principes worden nageleefd.

Meer informatie:

• Beginselen voor gegevensbescherming

De AVG is van toepassing op het gebruik van cookies wanneer deze worden gebruikt voor de verwerking van persoonsgegevens, maar er zijn ook specifiekere regels voor cookies zoals de e-Privacy Richtlijn.

Het opslaan van een cookie of het verkrijgen van toegang tot een reeds opgeslagen cookie in de eindapparatuur van een gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker adequaat is geïnformeerd (met name over de doeleinden van de verwerking) en zijn toestemming heeft gegeven.

De enige uitzondering zijn technisch noodzakelijke cookies. Organisaties hoeven geen toestemming te vragen bij het gebruik van technisch noodzakelijke cookies op hun websites.
 

Meer informatie:
•    Rechtmatige verwerking van persoonsgegevens