De AVG is een Europese richtlijn over privacybescherming die geldt in alle landen van de Europese Unie. Deze is van toepassing op alle organisaties die persoonsgegevens verwerken. Voor Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen om te controleren of iedereen zich aan de verplichtingen van de AVG houdt. Bij overtredingen van de AVG, mag de AP een hoge boete opleggen.

Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) biedt individuen meer bescherming en legt organisaties die persoonsgegevens verwerken meer verplichtingen op. Enkele verplichtingen zijn: je moet persoonlijke gegevens zoals van klanten, personeel en websitebezoekers goed beveiligen je hebt een Privacyverklaring waarmee je hen informeert over je gebruik van persoonlijke gegevens je moet toestemming vragen van de bezoekers van je website voor gebruik van bepaalde cookies en het melden van gebruik van overige cookies met een Cookieverklaring schriftelijk afsluiten van een Verwerkersovereenkomst als je persoonsgegevens overdraagt aan een ander toestemming vragen voor het versturen van een nieuwsbrief en in iedere nieuwsbrief aangeven hoe iemand zich eenvoudig kan afmelden

Wanneer verwerk je persoonsgegevens?

Je verwerkt persoonsgegevens zodra je iets met persoonsgegevens doet, zoals verzamelen, opslaan, raadplegen, gebruiken, combineren, doorzenden of verwijderen. Persoonsgegevens zijn alle gegevens die direct of indirect tot een individu te herleiden zijn. Dus de combinatie ‘eigenaren van een Ferrari’ met ‘bewoners van straat X in dorp Y’ kan ook een persoonsgegeven zijn als in die straat maar 1 persoon met een Ferrari woont. Bijna iedere organisatie houdt zich wel bezig met het verwerken van persoonsgegevens , van een simpele ledenlijst van een vereniging tot een geavanceerde tool van een marketing bedrijf die bezoekers van websites bepaalde advertenties laat zien.

Welke maatregelen moet je treffen voor de bescherming van privacy?

De privacybescherming van de AVG komt er op neer dat je zonder toestemming alleen persoonsgegevens mag gebruiken die strikt noodzakelijk zijn, voor dit noodzakelijke doel. Daarnaast hebben de betrokkenen een aantal rechten, zoals het recht om hun gegevens in te zien of te vragen dat je hun gegevens (deels) verwijdert. Je bent verplicht hen hierover goed in te lichten. Ten slotte moet je organisatorische en technische maatregelen treffen zodat persoonsgegevens niet in verkeerde handen kunnen vallen.

Hoe voldoe je aan de privacywet (AVG)?

Of je nu als ZZP’er, vereniging of bedrijf persoonsgegevens verzamelt, je hebt de volgende documenten nodig: een Privacyverklaring , wanneer je persoonsgegevens bewaart die niet strikt noodzakelijk zijn om te bewaren een Cookieverklaring , zodra je cookies op je website gebruikt een Verwerkersovereenkomst , als je (een deel van) het verwerken van de persoonsgegevens uitbesteedt (denk bijvoorbeeld aan een externe salarisadministratie) of je zelf persoonsgegevens in opdracht van een ander verwerkt een Protocol Meldplicht Datalekken , zodat je een procedure hebt voor wanneer persoonsgegevens kwijtraken, gehackt worden of gedeeld worden met onbevoegden een Verwerkingsregister , waarin je alle handelingen rondom de verwerking van persoonsgegevens bijhoudt in sommige gevallen heb je een DPIA nodig

Je hebt een Privacyverklaring nodig als je persoonlijke gegevens verzamelt die je tot een persoon kunt herleiden. Sterker nog, het hebben van een Privacyverklaring is in dat geval wettelijk verplicht. Persoonsgegevens zeggen iets over een specifieke persoon zoals zijn naam, adres of geloof. Je klanten, leden, bezoekers, personeel of patiënten moeten je Privacyverklaring eenvoudig kunnen raadplegen. Zet je Privacyverklaring daarom op een makkelijk vindbare plek op je website of overhandig een papieren versie. We bieden de volgende Privacyverklaringen aan: Privacyverklaring Algemeen Privacyverklaring Personeel Privacyverklaring Sollicitanten

Een Cookieverklaring is volgens AVG wettelijk verplicht als je een website hebt en cookies gebruikt of derden toestaat om cookies te gebruiken. Dit laatste is het geval als je op je website bijvoorbeeld YouTube hebt embedded of een Facebook knop gebruikt. Als je je bezoekers niet duidelijk informeert over cookies riskeer je een hoge boete.

Verwerkersovereenkomst

Zodra je als organisatie persoonsgegevens overdraagt aan een ander bedrijf om die te verwerken, heb je een Verwerkingsovereenkomst nodig. Denk daarbij niet alleen aan het verwerken van gegevens voor marketingdoeleinden, maar ook aan het uitbesteden van je salarisadministratie of het bezorgen van bestellingen bij een webshop. Let op: je hebt zelfs een Verwerkingsovereenkomst nodig als je deze taken aan een eigen dochteronderneming uitbesteedt.

Protocol Meldplicht Datalekken

Zodra medewerkers binnen je organisatie persoonsgegevens verwerken, heb je een Protocol Meldplicht Datalekken nodig. Volgens de AVG ben je verplicht organisatorische en technische maatregelen te treffen ter bescherming van persoonsgegevens. Een belangrijke organisatorische maatregel hierbij is het Protocol Meldplicht Datalekken.

Je hebt een Verwerkingsregister nodig zodra je aan 1 van de volgende voorwaarden voldoet: de verwerking van persoonsgegevens is niet incidenteel je verwerkt bijzondere categorieën persoonsgegevens (zoals medische gegevens, seksuele voorkeur of etnische afkomst) je organisatie heeft 250 personen in dienst of meer de verwerking van persoonsgegevens brengt een risico met zich mee voor de rechten en vrijheden van betrokkenen

Informatiebeveiligingsbeleid

Je hebt een Informatiebeveiligingsbeleid als je met persoonsgegevens en gevoelige bedrijfsinformatie werkt. Dat is dus praktisch elk bedrijf. Een Informatiebeveiligingsbeleid stelt je organisatie in staat om afspraken en richtlijnen rondom informatiebeveiliging vast te leggen. Zo wordt duidelijk aan welke regels je medewerkers moeten voldoen bij het werken met informatie. Het Informatiebeveiligingsbeleid biedt ondersteuning aan je gegevensbeschermingsbeleid (Data protection policy), waarmee je organisatie voldoet aan de AVG verantwoordingsplicht. Met een Privacyverklaring voldoe je aan de AVG transparantieplicht, ook wel informatieplicht genoemd.

Het uitvoeren van een DPIA is wettelijk verplicht wanneer je verwerking een hoog privacyrisico oplevert voor de betrokkenen. In de volgende situaties is daar in ieder geval sprake van: je beoordeelt personen met behulp van persoonskenmerken, zoals de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens je neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens (profilering) zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet je verwerkt bijzondere persoonsgegevens je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd, waarbij het gebruik eigenlijk een kernactiviteit van je bedrijf betreft je koppelt verschillende databases met persoonsgegevens aan elkaar je gebruikt gegevens van kwetsbare personen zoals werknemers, kinderen of patiënten je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn je gebruikt gegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen In alle andere gevallen is het verstandig om een DPIA uit te voeren, waardoor je op tijd weet welke risico's je verwerking met zich meebrengt en je hierop aanpassingen kunt doen.

AVG

Documenten

AVG Veelgestelde vragen

Wat is de AVG?

De AVG is een Europese richtlijn over privacybescherming die geldt in alle landen van de Europese Unie. Deze is van toepassing op alle organisaties die persoonsgegevens verwerken. Voor Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen om te controleren of iedereen zich aan de verplichtingen van de AVG houdt. Bij overtredingen van de AVG, mag de AP een hoge boete opleggen.
Algemene verordening gegevensbescherming (AVG)
De Algemene verordening gegevensbescherming (AVG) biedt individuen meer bescherming en legt organisaties die persoonsgegevens verwerken meer verplichtingen op. Enkele verplichtingen zijn:
- je moet persoonlijke gegevens zoals van klanten, personeel en websitebezoekers goed beveiligen
- je hebt een Privacyverklaring waarmee je hen informeert over je gebruik van persoonlijke gegevens
- je moet toestemming vragen van de bezoekers van je website voor gebruik van bepaalde cookies en het melden van gebruik van overige cookies met een Cookieverklaring
- schriftelijk afsluiten van een Verwerkersovereenkomst als je persoonsgegevens overdraagt aan een ander
- toestemming vragen voor het versturen van een nieuwsbrief en in iedere nieuwsbrief aangeven hoe iemand zich eenvoudig kan afmelden
Wanneer verwerk je persoonsgegevens?

Je verwerkt persoonsgegevens zodra je iets met persoonsgegevens doet, zoals verzamelen, opslaan, raadplegen, gebruiken, combineren, doorzenden of verwijderen. Persoonsgegevens zijn alle gegevens die direct of indirect tot een individu te herleiden zijn. Dus de combinatie ‘eigenaren van een Ferrari’ met ‘bewoners van straat X in dorp Y’ kan ook een persoonsgegeven zijn als in die straat maar 1 persoon met een Ferrari woont. Bijna iedere organisatie houdt zich wel bezig met het verwerken van persoonsgegevens, van een simpele ledenlijst van een vereniging tot een geavanceerde tool van een marketing bedrijf die bezoekers van websites bepaalde advertenties laat zien.
Welke maatregelen moet je treffen voor de bescherming van privacy?

De privacybescherming van de AVG komt er op neer dat je zonder toestemming alleen persoonsgegevens mag gebruiken die strikt noodzakelijk zijn, voor dit noodzakelijke doel. Daarnaast hebben de betrokkenen een aantal rechten, zoals het recht om hun gegevens in te zien of te vragen dat je hun gegevens (deels) verwijdert. Je bent verplicht hen hierover goed in te lichten. Ten slotte moet je organisatorische en technische maatregelen treffen zodat persoonsgegevens niet in verkeerde handen kunnen vallen.
Hoe voldoe je aan de privacywet (AVG)?
Of je nu als ZZP’er, vereniging of bedrijf persoonsgegevens verzamelt, je hebt de volgende documenten nodig:
- een Privacyverklaring, wanneer je persoonsgegevens bewaart die niet strikt noodzakelijk zijn om te bewaren
- een Cookieverklaring, zodra je cookies op je website gebruikt
- een Verwerkersovereenkomst, als je (een deel van) het verwerken van de persoonsgegevens uitbesteedt (denk bijvoorbeeld aan een externe salarisadministratie) of je zelf persoonsgegevens in opdracht van een ander verwerkt
- een Protocol Meldplicht Datalekken, zodat je een procedure hebt voor wanneer persoonsgegevens kwijtraken, gehackt worden of gedeeld worden met onbevoegden
- een Verwerkingsregister, waarin je alle handelingen rondom de verwerking van persoonsgegevens bijhoudt
- in sommige gevallen heb je een DPIA nodig
Privacyverklaring
Je hebt een Privacyverklaring nodig als je persoonlijke gegevens verzamelt die je tot een persoon kunt herleiden. Sterker nog, het hebben van een Privacyverklaring is in dat geval wettelijk verplicht. Persoonsgegevens zeggen iets over een specifieke persoon zoals zijn naam, adres of geloof. Je klanten, leden, bezoekers, personeel of patiënten moeten je Privacyverklaring eenvoudig kunnen raadplegen. Zet je Privacyverklaring daarom op een makkelijk vindbare plek op je website of overhandig een papieren versie. We bieden de volgende Privacyverklaringen aan:
Cookieverklaring

Een Cookieverklaring is volgens AVG wettelijk verplicht als je een website hebt en cookies gebruikt of derden toestaat om cookies te gebruiken. Dit laatste is het geval als je op je website bijvoorbeeld YouTube hebt embedded of een Facebook knop gebruikt. Als je je bezoekers niet duidelijk informeert over cookies riskeer je een hoge boete.
Verwerkersovereenkomst

Zodra je als organisatie persoonsgegevens overdraagt aan een ander bedrijf om die te verwerken, heb je een Verwerkingsovereenkomst nodig. Denk daarbij niet alleen aan het verwerken van gegevens voor marketingdoeleinden, maar ook aan het uitbesteden van je salarisadministratie of het bezorgen van bestellingen bij een webshop. Let op: je hebt zelfs een Verwerkingsovereenkomst nodig als je deze taken aan een eigen dochteronderneming uitbesteedt.
Protocol Meldplicht Datalekken

Zodra medewerkers binnen je organisatie persoonsgegevens verwerken, heb je een Protocol Meldplicht Datalekken nodig. Volgens de AVG ben je verplicht organisatorische en technische maatregelen te treffen ter bescherming van persoonsgegevens. Een belangrijke organisatorische maatregel hierbij is het Protocol Meldplicht Datalekken.
Verwerkingsregister
Je hebt een Verwerkingsregister nodig zodra je aan 1 van de volgende voorwaarden voldoet:
- de verwerking van persoonsgegevens is niet incidenteel
- je verwerkt bijzondere categorieën persoonsgegevens (zoals medische gegevens, seksuele voorkeur of etnische afkomst)
- je organisatie heeft 250 personen in dienst of meer
- de verwerking van persoonsgegevens brengt een risico met zich mee voor de rechten en vrijheden van betrokkenen
Informatiebeveiligingsbeleid

Je hebt een Informatiebeveiligingsbeleid als je met persoonsgegevens en gevoelige bedrijfsinformatie werkt. Dat is dus praktisch elk bedrijf. Een Informatiebeveiligingsbeleid stelt je organisatie in staat om afspraken en richtlijnen rondom informatiebeveiliging vast te leggen. Zo wordt duidelijk aan welke regels je medewerkers moeten voldoen bij het werken met informatie. Het Informatiebeveiligingsbeleid biedt ondersteuning aan je gegevensbeschermingsbeleid (Data protection policy), waarmee je organisatie voldoet aan de AVG verantwoordingsplicht. Met een Privacyverklaring voldoe je aan de AVG transparantieplicht, ook wel informatieplicht genoemd.
DPIA
Het uitvoeren van een DPIA is wettelijk verplicht wanneer je verwerking een hoog privacyrisico oplevert voor de betrokkenen. In de volgende situaties is daar in ieder geval sprake van:
- je beoordeelt personen met behulp van persoonskenmerken, zoals de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
- je neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens (profilering) zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
- je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet
- je verwerkt bijzondere persoonsgegevens
- je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd, waarbij het gebruik eigenlijk een kernactiviteit van je bedrijf betreft
- je koppelt verschillende databases met persoonsgegevens aan elkaar
- je gebruikt gegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
- je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
- je gebruikt gegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen
In alle andere gevallen is het verstandig om een DPIA uit te voeren, waardoor je op tijd weet welke risico's je verwerking met zich meebrengt en je hierop aanpassingen kunt doen.

Vraag een advocaat

Krijg snel antwoord op je juridische vraag

Rocket Lawyer advocatennetwerk^™

AVG

Documenten

Privacyverklaring (privacybeleid)

Privacyverklaring English (Dutch Law)

Cookieverklaring

Verwerkersovereenkomst

Algemene Verordening Gegevensbescherming (AVG) Documenten

Protocol Meldplicht Datalekken

Verwerkingsregister

DPIA

Informatiebeveiligingsbeleid

Wat is de AVG?

Algemene verordening gegevensbescherming (AVG)

Wanneer verwerk je persoonsgegevens?

Welke maatregelen moet je treffen voor de bescherming van privacy?

Hoe voldoe je aan de privacywet (AVG)?

Privacyverklaring

Cookieverklaring

Verwerkersovereenkomst

Protocol Meldplicht Datalekken

Verwerkingsregister

Informatiebeveiligingsbeleid

DPIA

Vraag een advocaat

Rechtwijzers

Privacyverklaring (privacybeleid)

Privacyverklaring English (Dutch Law)

Cookieverklaring

Verwerkersovereenkomst

Algemene Verordening Gegevensbescherming (AVG) Documenten

Protocol Meldplicht Datalekken

Verwerkingsregister

DPIA

Informatiebeveiligingsbeleid

Wat is de AVG?

Algemene verordening gegevensbescherming (AVG)

Wanneer verwerk je persoonsgegevens?

Welke maatregelen moet je treffen voor de bescherming van privacy?

Hoe voldoe je aan de privacywet (AVG)?

Privacyverklaring

Cookieverklaring

Verwerkersovereenkomst

Protocol Meldplicht Datalekken

Verwerkingsregister

Informatiebeveiligingsbeleid

DPIA

Op zoek naar iets anders?