Juridische kennis

Q&A

Q&A
  1. Is de AVG alleen van toepassing op digitale bestanden?

    Nee, het is voor de AVG niet relevant of je gegevens digitaal of analoog verwerkt. Als je persoonsgegevens verwerkt dan is de AVG daarop van toepassing. Zo kan een datalek bijvoorbeeld ook plaatsvinden als vertrouwelijke papieren documenten verloren gaan of in verkeerde handen komen.

    Meer informatie:
    Deel 1: persoonsgegevens de Basics (aan te vragen op deze AVG pagina)
    AVG: Overweging 26; Art 4(1)

  2. Zijn gepseudonimiseerde gegevens nog persoonsgegevens?

    Ja, ook al zijn persoonsgegevens gepseudonimiseerd, het zijn nog steeds persoonsgegevens zijn. De AVG is nog volledig van toepassing. Het kan wel het verschil maken bij veel risico-afwegingen die je moet maken onder de AVG. Door pseudonimisering zijn gegevens namelijk wat minder gevoelig.

  3. Moet je voor het verwerken van persoonsgegevens (voor marketing) altijd toestemming vragen?

    Nee, de AVG geeft drie grondslagen voor het verwerken van persoonsgegevens voor marketingdoeleinden, namelijk: toestemming, noodzakelijk voor de uitvoering van een overeenkomst en het gerechtvaardigd belang.
    Het gerechtvaardigd belang houdt in dat je iemands data mag gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is.

    Omdat de impact op iemands persoonlijk leven bij B2B-marketing over het algemeen minder groot is dan bij B2C, zal je vaker gebruik kunnen maken van deze grondslag. Dat betekent bijvoorbeeld dat je niet per se ondubbelzinnige toestemming nodig hebt om twee B2B-databases, met in de ene database contactgegevens en in de andere database functietitels, aan elkaar te koppelen

  4. Moet iedere organisatie een Functionaris Gegevensbescherming (FG) / DPO in dienst hebben?

    Dit is niet voor alle organisaties het geval. Er zijn criteria opgesteld aan de hand waarvan iedere organisatie zal moeten beoordelen of ze verplicht zijn om een FG aan te stellen. Dit is bijvoorbeeld het geval als een organisatie voor het uitvoeren van zijn kerntaak op grote schaal bijzondere persoonsgegevens verwerkt. Ook ben je verplicht een FG aan te stellen wanneer je organisatie stelselmatig op grote schaal betrokkenen observeert. Denk daarbij aan het volgen van betrokkenen met tracking cookies over meerdere websites, of het vastleggen van locatiepatronen. Waar de grens precies ligt is niet helemaal duidelijk. Om onze leden te helpen bij het bepalen of een FG verplicht is hebben we een handige checklist opgesteld.

    Meer informatie:
    AVG: R.o: .97; Art.37;

  5. Kan ik als ZZP’er mijzelf als FG aanstellen?

    Voor ZZP’ers en eenmanszaken zal het slechts in uitzonderlijke gevallen wettelijk verplicht zijn om een FG aan te stellen. Één van de criteria is namelijk dat de gegevensverwerkingen grootschalig moeten zijn. Als het wél verplicht is dan zul je jezelf niet tot FG kunnen benoemen. Je moet als FG vanuit een onafhankelijke rol kunnen toetsen of de AVG nageleefd wordt. Dat is niet mogelijk wanneer je als eigenaar zelf een belang hebt bij de bedrijfsvoering. Je zult dan iemand moeten inhuren die deze rol kan vervullen.

Downloads AVG

Downloads AVG

Dit zijn onze AVG voorlichtingsdocumenten. De blogs zijn voor iedereen toegankelijk, de publicaties zijn voor DDMA leden aan te vragen via dit webformulier. Geen lid, maar wel belangstelling voor de AVG documentatie? Vul dat in op het formulier, dan nemen wij contact met je op!

Download: Meldplicht Datalekken

Weet jij nog wat een datalek is? En wanneer moet je het lek melden aan de toezichthouder? Wat doe je eigenlijk als je een datalek hebt geconstateerd? Wij hebben een handig stroomschema ontwikkeld dat je stap voor stap door het hele traject leidt.  Lees hier: Voorkom een datalek: Quick wins in gegevensbeveiliging 

Download: Persoonsgegevens, de basics

Mag ik deze persoonsgegevens wel verwerken? We leggen het je uit met de antwoorden op vier basisvragen die je altijd moet stellen als je persoonsgegevens gaat verwerken. Lees hier: Vier vragen die je altijd moet stellen bij de verwerking van persoonsgegevens 

Download: De DPO & Privacy by Design

De AVG brengt nieuwe verplichtingen met zich mee. Bijvoorbeeld het aanstellen van een Functionaris Gegevensbescherming (FG), in het Engels bekend als Data Protection Officer (DPO). In dit document zit een handige checklist om te bepalen of je verplicht bent een DPO te benoemen. Plus een FAQ over die DPO: wat moet die kunnen en wat gaat hij of zij doen? Een van de zaken die een DPO sowieso op zal moeten gaan pakken is Privacy by Design. Daarover schreven we een toelichting.  Lees hier: De DPO in de praktijk 

Download: Verwerkersovereenkomst

Zowel de adverteerder als de dienstverlener is verplicht een verwerkersovereenkomst te sluiten. DDMA stelt een AVG-proof template beschikbaar voor deze overeenkomst, zowel in het Engels als in het Nederlands.  Lees hier: De nieuwe AVG-proof verwerkersovereenkomst

Download: Rechten van betrokkenen

Onder de AVG krijgen betrokkenen – dus de personen op wie de data betrekking heeft – extra rechten, om te zorgen dat ze meer controle hebben over hun data. In dit document van onze AVG voorlichting vind je een handig overzicht van veelgestelde vragen en praktische tips over de rechten van betrokkenen. Lees hier: Meer privacy rechten voor betrokkene onder de AVG 

Download: Boetes en handhaving

Een boete van de Autoriteit Persoonsgegevens kan onder de AVG oplopen tot 20 miljoen, of 4% van de jaaromzet (als dat meer is). Hiermee zijn veel organisaties onterecht bang gemaakt. In dit document leggen we uit hoe handhaving plaatsvindt. Lees hier: Privacy monetization – over boetes handhaving onder de AVG

Download: Toestemming

Toestemming vragen voor het verwerken van persoonsgegevens blijft een heikel punt. Uit de vragen die we bij DDMA krijgen blijkt dat hier na de komst van de AVG nóg meer onduidelijkheden bestaan. Daarom lees je in dit document van onze AVG voorlichting: 5 stellingen over toestemming met een heldere uitleg en voorbeelden. Lees hier: AVG en toestemming

Download: Privacy Impact Assessment

De Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR) noemt het een ‘gegevensbeschermingseffectbeoordeling’, wij houden het bij Privacy Impact Assessment (PIA). In dit document voor leden leggen we uit wanneer het verplicht is om onder de AVG een PIA uit te voeren. Ook bieden we je een template voor een PIA, zodat je direct aan de slag kunt. Lees hier: Privacy impact assessment 

Download: Administratieplicht

Accountability (verantwoording) is misschien wel het meest besproken onderwerp van de AVG. Organisaties moeten kunnen aantonen dat zij voldoen aan de AVG. Hoe? Dat mag je grotendeels zelf bepalen. Organisaties moeten een ‘register van verwerkingsactiviteiten’ bijhouden. Het document administratieplicht van onze AVG voorlichting bevat een template voor een register, in de vorm van een Excel sheet. Lees hier: De papierwinkel van de AVG

Download: Profilering

In oktober 2018 brachten de toezichthouders een concept handleiding uit over profiling en automatische besluitvorming. Met de beschikbare informatie beantwoorden we in dit document van ons voorlichtingstraject de meestgestelde vragen rondom profiling en de AVG. Lees hier: Onduidelijkheid over de regels rondom profilering

Benieuwd welke AVG mythes wij ontdekten?

Benieuwd welke AVG mythes wij ontdekten?

Onze privacy specialisten

Onze privacy specialisten

Heb je een juridische vraag? Bel dan één van onze Legal Counsels Matthias De Bruyne, Sara Mosch of Naomi van der Louw (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden.