In General

10 vragen/antwoorden om u te begeleiden

Op wie is de AVG van toepassing?

De AVG is van toepassing op:

  • een onderneming of eenheid die, persoonsgegevens verwerkt in het kader van de activiteiten van een van zijn of haar in de EU gevestigde bijkantoren, ongeacht waar de gegevens worden verwerkt; of
  • een onderneming die buiten de EU is gevestigd en goederen/diensten (betaald of gratis) aanbiedt of het gedrag van personen in de EU volgt.

Meer lezen :

Als uw onderneming een midden- en kleinbedrijf (mkb-bedrijf) is dat persoonsgegevens verwerkt zoals hierboven beschreven, moet u de AVG naleven. Als de verwerking van persoonsgegevens echter niet een kernactiviteit van uw onderneming vormt en uw activiteit geen risico’s voor personen met zich meebrengt, zijn sommige verplichtingen van de AVG niet op u van toepassing. „Kernactiviteiten” moeten activiteiten omvatten waarbij gegevensverwerking een onlosmakelijk deel uitmaakt van de activiteiten van de verwerkingsverantwoordelijke of verwerker.

Zijn de regels van toepassing op KMO-bedrijven?

Ja, de toepassing van de verordening gegevensbescherming is niet afhankelijk van de grootte van uw onderneming, maar van de aard van de activiteiten ervan. Activiteiten die grote risico’s met zich meebrengen voor de rechten en vrijheden van personen, ongeacht of die activiteiten door een mkb-bedrijf of een grote onderneming worden uitgevoerd, geven aanleiding tot de toepassing van strengere regels. Sommige van de verplichtingen van de AVG gelden echter niet voor alle mkb-bedrijven.

Meer lezen:

Bedrijven met minder dan 250 werknemers hoeven bijvoorbeeld geen registers bij te houden van hun verwerkingsactiviteiten, tenzij de verwerking van persoonsgegevens een regelmatige activiteit is, een bedreiging vormt voor de rechten en vrijheden van personen, of gevoelige gegevens of criminele antecedenten betreft.

Ook hoeven mkb-bedrijven alleen een functionaris voor gegevensbescherming aan te stellen als verwerking hun hoofdactiviteit vormt en dit specifieke bedreigingen vormt voor de rechten en vrijheden van personen (zoals het toezicht op personen of de verwerking van gevoelige gegevens of criminele antecedenten), en met name wanneer dit op grote schaal gebeurt.

Zijn de regels inzake gegevensbescherming van toepassing op gegevens over een onderneming?

Neen, de regels zijn enkel van toepassing op persoonsgegevens over personen, ze regelen niet de gegevens over ondernemingen of andere rechtspersonen. Informatie met betrekking tot eenpersoonsbedrijven kan echter uit persoonsgegevens bestaan indien die de identificatie van een natuurlijk persoon mogelijk maakt. De regels zijn ook van toepassing op alle persoonsgegevens die betrekking hebben op natuurlijke personen in het kader van een beroepsactiviteit, zoals werknemers van een onderneming/organisatie, zakelijke e‑mailadressen in de vorm van „voornaam.achternaam@bedrijf.eu” of zakelijke telefoonnummers van werknemers.

Welke gegevens mogen worden verwerkt en onder welke voorwaarden?

Het soort en de hoeveelheid persoonsgegevens die een onderneming/organisatie mag verwerken, hangt af van de redenen voor de verwerking (gebruikte juridische reden) en het beoogde gebruik van de persoonsgegevens. De onderneming/organisatie moet verschillende belangrijke regels eerbiedigen

Meer lezen :

, waaronder:

  • persoonsgegevens moeten op een wettige en transparante manier worden verwerkt, waarbij billijkheid ten opzichte van de personen van wie persoonsgegevens worden verwerkt, moet worden gewaarborgd („wettelijkheid, billijkheid en transparantie”);
  • er moeten specifieke doeleinden zijn voor de verwerking van de gegevens en de onderneming/organisatie moet die doeleinden duidelijk maken aan de personen van wie de persoonsgegevens worden verzameld. Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”);
  • de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
  • de onderneming/organisatie moet verzekeren dat de persoonsgegevens accuraat en actueel zijn, rekening houdend met de doeleinden waarvoor zij worden verwerkt, en zo niet deze corrigeren („accuraatheid”);
  • de onderneming/organisatie mag de persoonsgegevens niet verder gebruiken voor andere doeleinden die niet verenigbaar zijn met het oorspronkelijke doel;
  • de onderneming/organisatie moet verzekeren dat persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor zij zijn verzameld („opslagbeperking”);
  • de onderneming/organisatie moet passende technische en organisatorische waarborgen invoeren die de beveiliging van de persoonsgegevens garanderen, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technologie („integriteit en vertrouwelijkheid”).

Hoeveel gegevens mogen worden verzameld?

Persoonsgegevens mogen alleen worden verwerkt waar het redelijkerwijs niet haalbaar is de verwerking op een andere manier uit te voeren. Waar mogelijk is het beter om anonieme gegevens te gebruiken. Wanneer persoonsgegevens nodig zijn, moeten zij toereikend en ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor de doeleinden („minimale gegevensverwerking”). Uw onderneming/organisatie als verwerkingsverantwoordelijke moet beoordelen hoeveel gegevens nodig zijn en verzekeren dat er geen irrelevante gegevens worden verzameld.

Hoe lang kunnen gegevens worden bewaard en moeten ze worden bijgewerkt?

Gegevens moeten voor de kortst mogelijke tijd worden opgeslagen. Voor de berekening van die periode moet rekening worden gehouden met de redenen waarom uw onderneming/organisatie de gegevens dient te verwerken en met eventuele wettelijke verplichtingen om de gegevens gedurende een vaste periode te bewaren.

Meer lezen :

Uw onderneming/organisatie dient termijnen vast te stellen voor het wissen of het herzien van de opgeslagen gegevens.

Bij wijze van uitzondering mogen persoonsgegevens gedurende een langere periode worden bewaard met het oog op archivering in het algemeen belang of voor wetenschappelijk of historisch onderzoek, mits passende technische en organisatorische maatregelen zijn getroffen (zoals anonimisering, versleuteling enz.).

Tevens moet uw onderneming/organisatie ervoor zorgen dat de bewaarde gegevens juist zijn en bijgewerkt blijven.

Waarover moeten personen van wie gegevens worden verzameld, worden geïnformeerd?

Op het moment dat persoonsgegevens worden verzameld, moeten de betrokken personen duidelijk worden geïnformeerd over ten minste het volgende:

  • de identiteit van uw onderneming/organisatie (uw contactgegevens en die van uw functionaris voor gegevensbescherming, indien beschikbaar);
  • waarom uw onderneming/organisatie hun persoonsgegevens wenst te gebruiken (doeleinden);
  • de persoonsgegevenscategorieën in kwestie;
  • de juridische grondslag om hun gegevens te verwerken;
  • hoe lang de gegevens worden bewaard;
  •  welke andere personen/ondernemingen/organisaties die gegevens  krijgen;
  • of hun persoonsgegevens zullen worden doorgegeven aan een ontvanger buiten de EU;
  • dat zij recht hebben op een kopie van de gegevens (recht van inzage van persoonsgegevens) en andere grondrechten op het gebied van gegevensbescherming (zie volledige lijst van rechten);
  • hun recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit;
  • hun recht om hun toestemming op elk moment in te trekken;
  • waar van toepassing, het bestaan van geautomatiseerde besluitvorming en de daaraan ten grondslag liggende logica, inclusief de gevolgen daarvan.

Meer lezen :

De informatie kan op verzoek van de betrokkene schriftelijk worden verstrekt, mondeling wanneer de identiteit van die persoon met andere middelen is aangetoond, of, in voorkomend geval, via elektronische middelen. Uw onderneming/organisatie dient de informatie te verstrekken op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier, in duidelijke en eenvoudige taal en kosteloos.

Wanneer gegevens worden verkregen via een andere onderneming of  organisatie , dient uw onderneming/organisatie de hierboven vermelde informatie aan de betrokkene te verstrekken uiterlijk één maand na het verkrijgen van die persoonsgegevens , of, indien uw onderneming/organisatie met de betrokkene communiceert, wanneer die gegevens worden gebruikt om met hem of haar te communiceren, of, indien het de bedoeling is dat de persoonsgegevens aan een andere onderneming/organisatie worden doorgegeven, wanneer de persoonsgegevens voor het eerst worden vrijgegeven.

Tevens is uw onderneming/organisatie verplicht om de betrokkene te informeren over de categorieën gegevens en de (eventueel openbare) bron waaruit die gegevens afkomstig zijn. In specifieke omstandigheden als vermeld in artikels 13, lid 4, en 14, lid 5, van de AVG kan uw onderneming/organisatie worden vrijgesteld van de verplichting om de betrokkenen op de hoogte te stellen. Controleer of uw onderneming/organisatie onder die vrijstelling valt.

Hoe kan ik aantonen dat mijn onderneming/organisatie aan de AVG voldoet?

Het beginsel van verantwoordingsplicht is een van de pijlers van de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG is een onderneming/organisatie verantwoordelijk voor de naleving van alle beginselen inzake gegevensbescherming en moet het naleving kunnen aantonen. De AVG biedt ondernemingen/organisaties een reeks instrumenten waarmee ze die verantwoording kunnen afleggen, waarvan sommige verplicht moeten worden ingevoerd.

Meer lezen :

In specifieke gevallen kan het bijvoorbeeld verplicht zijn een functionaris voor gegevensbescherming aan te stellen of een gegevensbeschermingsbeoordeling uit te voeren. De verwerkingsverantwoordelijken kunnen ervoor kiezen andere instrumenten te gebruiken, zoals gedragscodes en certificeringsmechanismen, om aan te tonen dat de beginselen inzake gegevensbescherming worden nageleefd.

U kunt zich aansluiten bij een gedragscode van een bedrijfsvereniging die door een gegevensbeschermingsautoriteit is goedgekeurd. Een gedragscode kan door middel van een uitvoeringshandeling van de Commissie in de hele EU geldig worden verklaard.

U kunt zich conform de wetgeving van elke lidstaat aansluiten bij een certificeringsmechanisme dat wordt toegepast door een van de certificeringsorganen die door een gegevensbeschermingsautoriteit, een nationale accreditatie-instantie of beide, is geaccrediteerd.

Zowel gedragscodes als certificering zijn optionele instrumenten en het is dus aan uw onderneming/organisatie om te beslissen of een bepaalde gedragscode wordt nageleefd of certificering wordt aangevraagd. Hoewel uw onderneming/organisatie de AVG nog steeds moet eerbiedigen en naleven, kan de aansluiting bij dergelijke instrumenten in overweging worden genomen in het geval van een handhavingsmaatregel tegen u wegens inbreuk op de AVG.

 

Bron : Europese Commissie –  https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_nl

 

News in the Category View all news

How are you getting ready for the end of the Brexit transition period?

After the decision to leave the European Union, the United Kingdom and the EU have agreed on a transition period, which will last until 31 December 2020. The end of such period will have major consequences for European businesses trading with the UK. For instance, tax and customs procedures will change. Therefore, small businesses and […]

Public procurement in EU countries

Contact points and portals for procurement information in EU countries.

Do you want to import products from non EU countries into the European Union?

If you want to import a product from a non European country into the European Union, you need to comply with import rules and taxes. The Trade Helpdesk is specially designed for businesses based outside the EU or importing into the EU. You’ll find all you need to know about exporting to the EU, including: health, […]

Start typing and press Enter to search