DeAlgemene Verordening Gegevensbescherming (AVG)richtsnoeren vast die betrekking hebben op verschillende aspecten van gegevensbescherming en privacy voor personen binnen de Europese Unie (EU) en de Europese Economische Ruimte (EER), waaronder de wijze waarop organisaties persoonsgegevens moeten omgaan, verwerken en beschermen. Hieronder vindt u een overzicht van de belangrijkste elementen die in GDPR-richtlijnen worden behandeld:

1.Reikwijdte en toepasselijkheid

GDPR is van toepassing op:

• Alle organisaties Alle organisaties Alle organisaties(inclusief bedrijven, non-profitorganisaties en overheden) die persoonsgegevens van personen in de EU of EER verwerken, ongeacht waar de organisatie gevestigd is.
• Verwerkingsverantwoordelijken voor verwerkingsverantwoordelijken(die het doel en de wijze van verwerking bepalen) enGegevensverwerkers(die gegevens verwerken namens verwerkingsverantwoordelijken).

Het is van toepassing op elke vorm van verwerking van persoonsgegevens, inclusief verzameling, registratie, opslag, wijziging, opvragen, raadplegen, gebruiken, openbaarmaking, verwijdering en vernietiging.

2.Kerndefinities

• Persoonsgegevens Persoonsgegevens PersoonsgegevensAlle informatie die direct of indirect een individu kan identificeren (bijv. naam, e-mailadres, IP-adres, locatiegegevens, enz.) )).
• Gevoelige persoonsgegevensSpeciale categorieën gegevens die extra bescherming vereisen, zoals raciale of etnische afkomst, politieke opvattingen, religieuze overtuigingen, gezondheidsgegevens, biometrische gegevens en seksuele geaardheid.
• Data SubjectDe persoon tot wie de persoonsgegevens behoren.
• Verwerkingsverantwoordelijke verwerkingsverantwoordelijkeDe entiteit die de doeleinden en middelen voor de verwerking van persoonsgegevens bepaalt.
• GegevensverwerkerDe entiteit die gegevens verwerkt namens de verwerkingsverantwoordelijke.

3.Beginselen van gegevensverwerking

GDPR is gebaseerd op het volgende:Zeven kernprincipes zeven kernprincipesvan de gegevensverwerking:

1. Rechtmatigheid, eerlijkheid en transparantieGegevens moeten rechtmatig, eerlijk en transparant worden verwerkt. Individuen moeten worden geïnformeerd over de verwerking van hun gegevens.
2. Doelbeperking van het doelPersoonsgegevens moeten worden verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet worden gebruikt op manieren die onverenigbaar zijn met die doeleinden.
3. Gegevensminimalisatie GegevensminimalisatieVerzamelde gegevens moeten adequaat, relevant en beperkt zijn tot wat nodig is voor het beoogde doel.
4. NauwkeurigheidPersoonsgegevens moeten juist zijn en up-to-date worden gehouden.
5. Beperking van de opslag van opslagopslagGegevens mogen niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld.
6. Integriteit en vertrouwelijkheidGegevens moeten veilig worden verwerkt en bescherming bieden tegen ongeoorloofde of onwettige toegang, verlies of schade.
7. Verantwoordelijkheid verantwoordelijkheidVerwerkingsverantwoordelijken zijn verantwoordelijk voor de naleving van de bovenstaande principes en moeten kunnen aantonen dat ze worden nageleefd.

4.Rechtsgronden voor de verwerking

Persoonsgegevens kunnen alleen worden verwerkt als er een geldige rechtsgrondslag is, zoals:

• Toestemming ToestemmingDe persoon heeft uitdrukkelijke toestemming gegeven voor een specifiek doel.
• ContractVerwerking is noodzakelijk voor de uitvoering van een contract met het individu.
• Wettelijke verplichtingVerwerking is noodzakelijk om te voldoen aan de wet.
• Vitale belangenVerwerking is noodzakelijk om iemands leven te beschermen.
• Openbare taakVerwerking is noodzakelijk om een taak van algemeen belang uit te voeren.
• Gerechtvaardigde belangenVerwerking is noodzakelijk voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, tenzij deze wordt overschreven door de rechten van de persoon.

5.Rechten van betrokkenen

GDPR verleent personen verschillende rechten met betrekking tot hun persoonsgegevens:

1. Recht op informatieIndividuen hebben het recht om te weten hoe hun gegevens worden verzameld, gebruikt en gedeeld (via een privacybeleid).
2. Recht op toegangIndividuen kunnen toegang vragen tot hun persoonsgegevens en hoe deze worden verwerkt.
3. Recht op rectificatieIndividuen kunnen verzoeken dat onjuiste of onvolledige gegevens worden gecorrigeerd.
4. Recht op verwijdering ("recht om vergeten te worden")Individuen kunnen onder bepaalde omstandigheden verzoeken om verwijdering van hun persoonsgegevens (bijvoorbeeld wanneer de gegevens niet langer nodig zijn).
5. Recht op beperking van de verwerkingIndividuen kunnen verzoeken dat hun gegevens onder bepaalde voorwaarden worden beperkt tot verwerking.
6. Recht op overdraagbaarheid van gegevensIndividuen kunnen verzoeken dat hun gegevens worden overgedragen aan een andere organisatie of rechtstreeks aan zichzelf in een gestructureerd, veelgebruikt en machineleesbaar formaat.
7. Recht op bezwaar Recht op bezwaarIndividuen kunnen bezwaar maken tegen de verwerking van hun persoonsgegevens voor bepaalde doeleinden, waaronder direct marketing.
8. Rechten met betrekking tot geautomatiseerde besluitvorming en profileringIndividuen hebben het recht om niet onderworpen te zijn aan een beslissing die uitsluitend gebaseerd is op geautomatiseerde verwerking, inclusief profilering, tenzij aan bepaalde voorwaarden is voldaan.

6.Gegevensbeschermingseffectbeoordelingen (DPIA's)

DPIA's moeten worden uitgevoerd wanneer gegevensverwerkingsactiviteiten waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengen. Dit geldt meestal voor grootschalige verwerking, profilering of verwerking van gevoelige gegevens.

7.Data Breach Notifications

Organisaties moeten de relevante gegevensbeschermingsautoriteit (in het Verenigd Koninkrijk, dit is de Information Commissioner's Office of ICO) binnen de hoogte stellen binnen72 uur 72 uur 72 uurbewust te worden van een inbreuk in verband met persoonsgegevens die een risico vormt voor de rechten en vrijheden van individuen. Als de inbreuk waarschijnlijk hoge risico's met zich meebrengt, moeten de getroffen personen ook op de hoogte worden gebracht.

8.Gegevensoverdrachten buiten de EU/EER

Doorgifte van persoonsgegevens naar landen buiten de EU/EER is alleen toegestaan als:

• Het ontvangende land biedt eenadequaat beschermingsniveauzoals bepaald door de Europese Commissie.
• passende waarborgen, zoalsStandaardcontractbepalingen (VCA's)of of ofBindende bedrijfsregels (BCR's), zijn op hun plaats.
• De betrokkene heeft uitdrukkelijke toestemming gegeven.

9.Gegevensbescherming door ontwerp en standaard

Organisaties moeten gegevensbeschermingsmaatregelen opnemen vanaf het begin van een project of proces waarbij persoonsgegevens worden verwerkt. Dit principe staat bekend alsprivacy by design en standaard privacy door ontwerp en standaardDit betekent dat privacy moet worden overwogen in de ontwerpfase en gedurende de hele levenscyclus van de gegevensverwerking.

10.Functionaris voor gegevensbescherming (DPO)

Een FG moet worden benoemd indien:

• De organisatie is een overheidsinstantie.
• De kernactiviteiten omvatten regelmatige en systematische monitoring van individuen op grote schaal.
• De organisatie verwerkt grote hoeveelheden gevoelige persoonsgegevens.

De verantwoordelijkheden van de FG omvatten:

• Toezicht houden op de naleving van de AVG.
• Adviseren over verplichtingen inzake gegevensbescherming.
• fungeren als aanspreekpunt met de gegevensbeschermingsautoriteiten.

11. 11.Boetes en straffen

Organisaties die de GDPR niet naleven, kunnen te maken krijgen met aanzienlijke boetes:

• Tot€ 20 miljoen € 20 miljoenof of of4% van de wereldwijde jaaromzet van het bedrijfWat hoger is, voor de ernstigste overtredingen.
• Minder overtredingen kunnen leiden tot boetes tot maximaal10 miljoen € 10 miljoenof of of2% of annual turnover. . .

12. 12. 12.Verantwoordingsplicht en registratiebehoud

Organisaties moeten documentatie bijhouden om aan te tonen dat GDPR voldoet, waaronder:

• Registraties van verwerkingsactiviteiten.
• Beleid en procedures voor gegevensbescherming.
• DPIA's waar nodig.
• Registraties van verzoeken en antwoorden van betrokkenen.

13. 13. 13.Toestemmingsvereisten voor toestemming

Bij het vertrouwen op toestemming als rechtsgrondslag voor de verwerking van persoonsgegevens moeten de volgende richtlijnen worden gevolgd:

• Toestemming moet vrijelijk, specifiek, geïnformeerd en eenduidig worden gegeven.
• Toestemming moet worden gegeven door een duidelijke bevestigende actie (bijv. opt-in) en niet via vooraf aangevinkte vakken vakken.
• Organisaties moeten kunnen aantonen dat toestemming is verkregen.
• Personen moeten te allen tijde het recht hebben om hun toestemming in te trekken.

GDPR stelt hoge normen voor gegevensbescherming en heeft als doel individuen meer controle te geven over hun persoonsgegevens. Door zich aan deze richtlijnen te houden, kunnen organisaties zorgen voor naleving en het risico op straffen vermijden.