Pseudonimisering bestaat uit het transformeren van persoonsgegevens zodat deze niet langer aan een specifieke persoon kunnen worden toegeschreven zonder het gebruik van aanvullende informatie, mits deze aanvullende informatie afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet aan een individu worden toegeschreven. In de praktijk kan dit betekenen dat persoonsgegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset worden vervangen door indirect identificerende gegevens (alias, volgnummer, enz.). Gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens en vallen onder de AVG.

Geanonimiseerde gegevens zijn gegevens die zodanig geanonimiseerd zijn dat de persoon niet of niet langer identificeerbaar is op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt. Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens.
 

Meer informatie:

• Beveilig persoonsgegevens

Sommige soorten persoonsgegevens behoren een speciale categorie persoonsgegevens, wat betekent dat ze meer bescherming verdienen, zogenaamde bijzondere persoonsgegevens. bijzondere persoonsgegevens omvatten gegevens die informatie onthullen over:

• de gezondheid van een individu;
• de seksuele geaardheid van een individu;
• het ras of de etniciteit van een persoon;
• politieke opvattingen, religieuze of filosofische overtuigingen van een individu; het lidmaatschap van een vakbond van een individu;
• de biometrische en genetische gegevens van een individu.

De verwerking van bijzondere persoonsgegevens van een persoon zijn over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen.

Meer informatie:

• Beginselen voor gegevensbescherming
   

Persoonsgegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon. Een identificeerbaar individu is iedereen die direct of indirect kan worden geïdentificeerd. Verschillende stukjes informatie die door het bijelkaar voegen kan leiden tot de identificatie van een specifiek persoon, is ook persoonsgegevens.
Voorbeelden van persoonsgegevens zijn:

• naam en achternaam;
• een adres;
• een e-mailadres;
• een identiteitskaartnummer;
• locatiegegevens;
• een IP-adres (Internet Protocol);
• een cookie-ID;
• bankrekeningen;
• belastingverslagen;
• biometrische gegevens (zoals vingerafdrukken);
• een BSN;
• paspoortnummer;
• testresultaten;
• schoolcijfers;
• browsergeschiedenis;
• Een foto van een individu;
• Een kenteken enz.

Meer informatie:

• Beginselen voor gegevensbescherming

Wanneer er twee of meer verwerkingsverantwoordelijken zijn die gezamenlijk het doel en de middelen van de verwerking bepalen, worden zij beschouwd als gezamenlijke verwerkingsverantwoordelijken. Zij besluiten samen om persoonsgegevens voor een gezamenlijk doel te verwerken. Gezamenlijke verwerking kan vele vormen aannemen en de deelname van de verschillende verwerkers kan ongelijk zijn. 

Gezamenlijke verwerkingsverantwoordelijken moeten daarom hun respectievele verantwoordelijkheden voor de naleving van de AVG bepalen.

Het is belangrijk op te merken dat gezamenlijk beheer leidt tot gezamenlijke verantwoordelijkheid voor een verwerkingsactiviteit.

• Voorbeeld van gezamenlijk beheer: Bedrijven A en B hebben gezamenlijk een product gelanceerd en willen een evenement organiseren om dit product te promoten. Daartoe besluiten zij gegevens uit hun (potentiële) klantendatabases te delen, en op basis daarvan de lijst van genodigden voor het evenement te bepalen. Ze zijn het ook eens over de wijze van verzending van de uitnodigingen voor het evenement, hoe feedback te verzamelen tijdens het evenement en follow-up marketingacties. Bedrijven A en B kunnen worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens in verband met de organisatie van het promotieevenement, aangezien zij gezamenlijk beslissen over het gezamenlijk omschreven doel en de essentiële gegevensverwerkingen voor deze casus.

Meer informatie:
Verwerkingsverantwoordelijke of gegevensverwerker

 

Organisaties moeten, in het geval van directe verzameling van persoonsgegevens van de betrokken personen, op beknopte en transparante wijze informatie over de verwerkingen verstrekken, in begrijpelijke, gemakkelijk toegankelijke, duidelijke en eenvoudige taal. Dit kan schriftelijk (bijvoorbeeld aan de achterzijde van een inschrijving) of langs elektronische weg (bijvoorbeeld op een website). Indien de betrokkene daarom verzoekt, kunt je deze informatie ook mondeling verstrekken, maar je moet dit achteraf kunnen bewijzen.

Zelfs wanneer de gegevens indirect worden verzameld, d.w.z. als je de persoonsgegevens niet rechtstreeks van een persoon zelf krijgt, maar bijvoorbeeld via een derde partij, moet je dezelfde gedetailleerde informatie aan personen verstrekken.

Een gegevensbeschermingseffectbeoordeling (DPIA) is een schriftelijke beoordeling die jouw organisatie moet maken om de impact van een geplande verwerking te evalueren. Het helpt jou om de juiste maatregelen te identificeren om de risico’s aan te pakken en om naleving aan te tonen.

Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van een geplande verwerkingen door jouw organisatie door een DPIA uit te voeren, is het verplicht om een DPIA uit te voeren wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van individuen.

Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:

• de verwerking — op grote schaal — van gevoelige persoonsgegevens of gegevens in verband met strafrechtelijke veroordelingen; 
• een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in vragen of op vergelijkbare wijze van invloed zijn op personen;
• systematische monitoring van een voor het publiek toegankelijk gebied op grote schaal.

De EDPB heeft richtlijnen opgesteld met de criteria waarmee je rekening moet houden bij de afweging of een gegevensbeschermingseffectbeoordeling al dan niet verplicht is. Gegevensbeschermingsautoriteiten (DPA’s) hebben ook lijsten gepubliceerd van verwerkingen waarvoor een DPIA geldt. Daarnaast hebben verschillende DPA’s handleidingen, software of zelfbeoordelingstools ontwikkeld om je te helpen bij jouw beoordeling.
 

Meer informatie:

• De regels naleven

De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.

Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de doeleinden van de verwerking;
• de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
• de contactgegevens van de verwerkingsverantwoordelijke;
• de contactgegevens van de FG (indien er een FG is);
• de ontvangers of categorieën ontvangers van de gegevens;
• Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
• de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.

Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:

• de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
• het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
• het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
• indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
• in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
• de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
• of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.

Meer informatie:

• Respecteer de rechten van individuen
  
   

Verwerking van persoonsgegevens betekent elke vorm van activiteit (verwerkingshandeling) die wordt uitgevoerd op of met persoonsgegevens. Dit omvat het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, onderzoeken, gebruiken, verstrekken door middel van doorzending, verspreiding of anderszins ter beschikking stellen, afstemmen of combineren, beperken, verwijderen of vernietigen van persoonsgegevens.

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

Een geldige overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker is krachtens de AVG verplicht. Een afwezigheid hiervan kan worden bestraft met een administratieve boete tot 10 miljoen euro of maximaal 2 % van de totale jaaromzet van een onderneming, afhankelijk van wat hoger is.

Om je te helpen bij het opzetten van een verwerkersovereenkomst, hebben de Deense en Sloveense gegevensbeschermingsautoriteiten, evenals de Europese Commissie, modelovereenkomsten ontwikkeld.

Meer informatie:

• Verwerkingsverantwoordelijke of gegevensverwerker