Vergroot contrast

Algemene informatie AVG

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG zorgt onder meer voor:

Voor een overzicht van belangrijke wijzigingen voor organisaties, zie: De AVG in een notendop.

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

Aparte richtlijn politie en justitie

Naast de AVG is er een aparte Richtlijn gegevensbescherming politie en justitie. Deze richtlijn is alleen bedoeld voor politie en justitie.

Nieuws

Alle nieuwsberichten over het onderwerp 'Algemene informatie AVG'

Alle antwoorden op mijn vragenAlgemene vragen over de AVG

  • Waarom is er nieuwe Europese privacywetgeving?

    In de EU heeft nu nog elke lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is de nationale uitvoering van deze richtlijn de Wet bescherming persoonsgegevens (Wbp).

    De Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving de afgelopen jaren herzien.

  • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

    Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

    Toestemming

    In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

    Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

    Nieuwe privacyrechten

    Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

    Recht op vergetelheid
    Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

    Recht op dataportabiliteit
    Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

    Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

  • Wat zijn de belangrijkste veranderingen voor organisaties?

    Als de algemene verordening gegevensbescherming (AVG) van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk gelegd op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

    De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.

    Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

  • Wat levert de AVG mij als organisatie op?

    Als de Algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

    Bent u in meerdere EU-lidstaten actief ? Dan levert de AVG u het volgende op:

    • u heeft minder administratieve kosten en nalevingskosten;
    • u heeft meer rechtszekerheid;
    • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
    • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
  • Waarom kan de AP sommige vragen over de AVG nog niet beantwoorden?

    De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie.

    Dezelfde uitleg in alle EU-landen

    Het is belangrijk dat alle Europese privacytoezichthouders de AVG op dezelfde manier uitleggen. Zodat voor alle organisaties en mensen in de EU dezelfde rechten en plichten gelden.

    De AP is daarom bezig om samen met andere Europese privacytoezichthouders bepaalde regels en begrippen uit de AVG te verduidelijken. De uitkomsten leggen zij vast in zogenoemde guidelines. Bijvoorbeeld in de guidelines over de functionaris voor de gegevensbescherming (FG) en over het recht op dataportabiliteit.

    De Uitvoeringswet

    Hoewel de AVG voor alle EU-landen geldt, biedt de AVG op een aantal punten ruimte voor landen om zelf de regels nader te bepalen. Dat geldt bijvoorbeeld voor een aantal uitzonderingen op het ‘verwerkingsverbod van bijzondere persoonsgegevens’ en ‘de beperkingen van de rechten van betrokkene’.

    Nederland legt de invulling van deze uitzonderingen vooral vast in de zogeheten Uitvoeringswet AVG. Deze wet is nog niet vastgesteld. Dat is aan de regering en het parlement. Wel heeft de AP de staatssecretaris van Veiligheid en Justitie op 6 april 2017 geadviseerd over het wetsvoorstel.

    Zodra de Uitvoeringswet is aangenomen, kan de AP u op meer vragen een antwoord geven.

    Jurisprudentie

    Een wet kan nooit alles regelen. Er zijn altijd uitzonderingen en twijfelgevallen. In praktijk zal moeten blijken hoe rechters in de EU oordelen over individuele privacykwesties. Die zogeheten jurisprudentie zorgt voor meer duidelijkheid over de toepassing van de AVG in de praktijk. De AP gaat er vooralsnog vanuit dat de huidige jurisprudentie deels toepasbaar blijft daar waar de regels niet veranderen.

  • Geldt de nieuwe Europese privacywetgeving ook voor kleine mkb'ers en zzp'ers?

    Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

  • Geldt de AVG ook voor politie en justitie?

    De Algemene verordening gegevensbescherming (AVG) geldt niet voor politie en justitie als zij hun taken voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen uitvoeren. Daarvoor geldt ‘de Richtlijn gegevensbescherming politie en justitie’. Hieronder vallen ook de taken ter bescherming van de openbare veiligheid. Voor andere taken van politie en justitie is de AVG wel van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

    Voor opsporingsdiensten zoals de politie gelden er speciale regels omdat zij de taak hebben om de openbare veiligheid te bewaken en strafbare feiten op te sporen. Zij hebben daarom speciale bevoegdheden nodig om die taken uit te kunnen voeren.

    Tegelijkertijd verwerken opsporingsdiensten hele gevoelige persoonsgegevens. Het is dan extra belangrijk dat zij de grondrechten van burgers, zoals het recht op privacy, goed bewaken. Ook moeten zij alle gegevens die ze verwerken heel goed beveiligen.

    Alle EU-landen moeten de Richtlijn gegevensbescherming politie en justitie implementeren in hun nationale wetgeving. Anders dan de AVG is dit geen kant en klare regeling die direct van toepassing is. De EU-landen moeten zelf een vertaalslag maken.

    Het is aan de regering en het parlement om de Europese Richtlijn gegevensbescherming politie en justitie om te zetten in Nederlandse regelgeving. De Autoriteit Persoonsgegevens (AP) geeft hierover alleen advies aan de minister.

    Zodra er meer bekend is over de implementatie van de richtlijn in Nederland geeft de AP u meer informatie op deze website.

  • Hoe hoog zijn de boetes onder de AVG?

    Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

    1) Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht.
    Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

    2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?
    Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

  • Per wanneer moet ik aan de nieuwe privacyregels voldoen?

    De Algemene verordening gegevensbescherming (AVG) is per 25 mei 2018 van toepassing. Dat betekent dat u vanaf die dag aan de nieuwe privacyregels moet voldoen. Daarom zijn veel organisaties zich nu aan het voorbereiden.

    De AVG is op 25 mei 2016 in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 daadwerkelijk van toepassing. Er is dus een overgangsperiode, bedoeld om organisaties en toezichthouders de kans te geven zich voor te bereiden op de nieuwe wet.

    De Autoriteit Persoonsgegevens heeft 10 stappen opgesteld die u op weg helpen met de voorbereiding op de nieuwe Europese regels.Daarnaast vindt u in het dossier Voorbereiding op de AVG antwoorden op de meestgestelde vragen.

     

  • Moet ik me tijdens de voorbereiding op de AVG nog aan de Wbp houden?

    Ja. Tot 25 mei 2018 moet u zich nog aan de Wet bescherming persoonsgegevens (Wbp) houden. De Algemene verordening gegevensbescherming (AVG) is weliswaar al in werking getreden, maar geldt nu nog niet. In de overgangsperiode tussen Wbp en AVG kunt u voorbereidingen treffen om per 25 mei 2018 aan de AVG te voldoen.

    Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

    Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

  • Heeft de AP een sjabloon voor de registratie van verwerkingen en voor een verwerkersovereenkomst?

    Nee. De Autoriteit Persoonsgegevens (AP) heeft geen sjabloon voorhanden voor de registratie van verwerkingen. Ook is er vanuit de AP geen modelcontract beschikbaar voor een verwerkersovereenkomst.

    In de Algemene verordening gegevensbescherming (AVG) staat weliswaar dat de privacytoezichthouders standaardcontractbepalingen kunnen opstellen voor verwerkersovereenkomsten, maar dit is niet verplicht. De AP is dit vooralsnog niet van plan.

    Documentatieplicht

    Zodra de AVG geldt, heeft u als organisatie een documentatieplicht. Dit houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

    Bent u op zoek naar een hulpmiddel om uw verwerkingen te registreren? Er zijn diverse tools op de markt die u hiervoor kunt gebruiken.

    Verwerkersovereenkomst

    Maakt u, zodra de AVG geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

    In Waar moet de verwerkersovereenkomst onder de AVG aan voldoen? leest u welke onderwerpen u in de verwerkersovereenkomst moet vastleggen.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenSpecifieke vragen over de AVG

  • Mag ik onder de AVG persoonsgegevens van kinderen verwerken?

    Ja, u mag nog steeds gegevens van kinderen verwerken zodra de Algemene verordening gegevensbescherming (AVG) geldt. In sommige gevallen heeft u wel toestemming van de ouders nodig.

    Toestemming bij online verwerking

    Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.

    Let op: richt u zich op kinderen in een ander EU-land? De Algemene verordening gegevensbescherming (AVG) biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. Van die mogelijkheid wordt in Nederland waarschijnlijk geen gebruik gemaakt.

  • Is het BSN een bijzonder persoonsgegeven onder de AVG?

    Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. Maar er komen waarschijnlijk wel speciale regels voor.

    De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is.

  • Veranderen de bewaartermijnen onder de AVG?

    Nee. Zodra de Algemene verordening gegevensbescherming (AVG) van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

    Bewaartermijnen vastleggen en mensen informeren

    Hoe lang u gegevens mag bewaren, verschilt per geval. Als verantwoordelijke moet u onder de AVG wel het volgende regelen:

    • U bepaalt van tevoren hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. U legt de bewaartermijn of de criteria vast in een bewaarbeleid.
    • U neemt de bewaartermijnen ook op in uw register van verwerkingen.
    • U informeert de betrokkenen (de mensen van wie u gegevens verwerkt) over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

    Langere bewaartermijn

    Verwerkt u persoonsgegevens voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking.

    Let op: dat mag alleen als u technische en organisatorische maatregelen neemt om de privacy van de betrokkenen zo goed mogelijk te beschermen. Een voorbeeld van zo’n maatregel is dataminimalisatie. Dat betekent dat u zo min mogelijk persoonsgegevens verzamelt en verwerkt.

  • Waar moet de verwerkersovereenkomst onder de AVG aan voldoen?

    Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG). 

    U moet de volgende onderwerpen vastleggen:

    Algemene beschrijving

    Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

    Instructies verwerking

    De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

    Geheimhoudingsplicht

    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

    Beveiliging

    De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

    Subverwerkers

    De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

    In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

    Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

    Privacyrechten

    De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

    Andere verplichtingen

    De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

    Gegevens verwijderen

    Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

    Audits

    De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

  • Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

    Als organisatie bent u volgens de Algemene verordening gegevensbescherming (AVG) onder meer verplicht een functionaris voor de gegevensbescherming (FG) te benoemen en een data protection impact assessment (DPIA) uit te voeren als u op grote schaal:

    • individuen volgt; of
    • bijzondere persoonsgegevens van individuen verwerkt.

    Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn. In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen.

    Criteria grootschalige gegevensverwerking

    Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

    • het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
    • de hoeveelheid gegevens die u verwerkt;
    • de duur van de gegevensverwerking;
    • de geografische reikwijdte van de verwerking.

    Voorbeelden van grootschalige verwerkingen

    Hieronder vindt u een aantal voorbeelden van verwerkingen die de Europese toezichthouders als grootschalig zien (bron: Guidelines on Data Protection Officers).

    • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
    • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
    • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
    • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
    • Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
    • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

    Voorbeeld van een niet-grootschalige verwerking

    De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

    Standaard

    De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger bepaalt of u volgens de AVG op grote schaal (bijzondere) persoonsgegevens verwerkt en dus een FG moet aanstellen en een DPIA moet uitvoeren. Zodra hierover meer bekend is, vindt u die informatie op deze website.

  • Mag ik onder de AVG aan direct marketing doen zonder toestemming van de ontvanger?

    Ja, net als nu mag u straks onder de Algemene verordening gegevensbescherming (AVG) een persoon of organisatie bellen of post sturen met een aanbod zonder dat u daarvoor toestemming heeft. Maar als u een aanbod verstuurt via een digitaal kanaal, zoals e-mail, fax of sms, heeft u wel voorafgaande toestemming nodig.

    Onder de nieuwe regels houden mensen het recht om bezwaar te maken tegen klassieke direct marketing. En het recht om hun toestemming in te trekken als het gaat om digitale kanalen. U moet mensen in beide gevallen wel duidelijker informeren. Dit geldt zowel voor commerciële, ideële als charitatieve direct marketing.

    Duidelijke informatie

    Onder de AVG moet u ontvangers van uw aanbod bij het eerste contact goed informeren over het doel waarvoor u gegevens verwerkt en met welke organisaties u de gegevens eventueel deelt.

    Wilt u de persoonsgegevens gebruiken of verkopen voor marketingdoeleinden? Dan moet u de ontvanger daar heel duidelijk over informeren. U mag dat niet verstoppen in de kleine lettertjes.

    U moet de ontvanger ook duidelijk informeren over het recht van bezwaar. Dat betekent dat u klanten bij het eerste contact de mogelijkheid moet bieden om zich af te melden voor direct marketing. Het afmelden moet gratis zijn en net zo makkelijk als de manier waarop iemand zich kan aanmelden.

    Recht van bezwaar

    Het recht van bezwaar houdt in dat iemand aan kan geven dat u zijn of haar gegevens niet meer mag verwerken voor direct marketing. Daarnaast zijn er algemene afmeldmogelijkheden. Zoals het Bel-Me-Niet register, het Postfilter of een NEE-sticker op de brievenbus.

    Als iemand zich heeft afgemeld, moet u zich daaraan houden. Biedt u telefonisch iets aan? Dan moet u tijdens het telefoongesprek wijzen op de afmeldmogelijkheden. U moet mensen ook de mogelijkheid bieden zich daarvoor in te schrijven.

    Verschillende regels voor reclamepost en digitale reclame

    Er gelden verschillende regels voor reclamepost en digitale reclame om mensen en organisaties te beschermen tegen te veel reclame. Wanneer u als bedrijf bijvoorbeeld een folder verspreidt, dan kost u dat geld. Een e-mail is gratis, waardoor u onbeperkt e-mails kunt sturen. Als alle organisaties dat zouden doen, dan maken zij deze communicatiekanalen onbruikbaar voor mensen en organisaties.

    Als het gaat om digitale reclame, geldt er wel een uitzondering voor bestaande klanten. Die mag u wel blijven benaderen. Zolang u maar duidelijk in elk contact aangeeft hoe iemand zich weer kan afmelden.

  • Moet ik mijn gegevensverwerkingen straks nog melden bij de AP?

    Nee. Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP).

    U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen (accountability).

    Let op: uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Als de AVG van toepassing is, moet u dus nog steeds datalekken melden bij de AP.

  • Mag ik onder de AVG een zwarte lijst opstellen?

    Het is op dit moment nog niet zeker of je onder de Algemene verordening gegevensbescherming (AVG) een zwarte lijst mag opstellen. Dat hangt af van wat er in de nationale Uitvoeringswet van de AVG komt te staan. Deze wet is nog niet definitief.

    Wat staat er in de AVG?

    De AVG is een Europese privacywet. Daarin staat dat het verwerken van persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten alleen is toegestaan wanneer:

    - deze gegevens worden verwerkt onder toezicht van de overheid of;
    - als de verwerking is toegestaan bij unierechtelijke of lidstaatrechtelijke bepalingen.

    De EU-landen mogen onder de AVG dus zelf bepalen of het aan private partijen onder voorwaarden is toegestaan om strafrechtelijke gegevens te delen met derde partijen.

    Nederlandse Uitvoeringswet

    Het ministerie van Justitie en Veiligheid heeft in het wetsvoorstel voor de Uitvoeringswet wel opgenomen dat private partijen persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten voor derden mogen verwerken. Maar alleen als zij daarvoor toestemming hebben van de Autoriteit Persoonsgegevens (AP).

    Als deze bepaling ook in de definitieve Uitvoeringswet AVG komt te staan, is het gebruik van zwarte lijsten door private partijen ook na 25 mei 2018 toegestaan na toestemming van de AP.

    Wanneer de Uitvoeringswet wordt vastgesteld is nog niet bekend.

    Meer informatie over zwarte lijsten onder de huidige Wet bescherming persoonsgegevens (Wbp).

     

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over beveiliging onder de AVG

Hulpmiddelen voor professionals