In mei 2018 is de General Data Protection Regulation (ook bekend als AVG regelgeving) in werking getreden. De GDPR legt nieuwe regels op rond de verzameling en verwerking van persoonsgegevens. De wet geldt voor organisaties die producten en diensten aanbieden aan mensen binnen de Europese Unie (EU) én voor organisaties die data verzamelen en/of analyseren welke verbonden zijn aan Europese burgers.

Autoriteit Persoonsgegevens (AP)

Dit is een zelfstandig bestuursorgaan dat in Nederland als toezichthouder is aangesteld voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Alle lidstaten van de EU hebben hiervoor een eigen instantie. Zie ook Gegevensbeschermingsautoriteit.

DPO

Een Data Protection Officer is binnen een onderneming verantwoordelijk voor het voldoen aan de regelgeving op het gebied van bescherming van persoonsgegevens. Een dergelijke functionaris is verplicht voor ondernemingen die grote hoeveelheden persoonsgegevens verwerken, beheren of opslaan.

GDPR

GDPR staat voor General Data Protection Regulation, een door de EU vastgestelde verordening die moet zorgen voor betere bescherming van persoonsgegevens. Deze wet is beter bekend als de Algemene Verordening Gegevensbescherming (AVG).

Gegevensbeschermings-autoriteit

De Gegevensbeschermingsautoriteit, voorheen Privacycommissie, houdt toezicht op de naleving van bescherming van persoonsgegevens in België. Ze hebben bevoegdheden van adviesverlening tot onderzoek en vervolging. Alle lidstaten van de EU hebben hiervoor een eigen instantie. Zie ook Autoriteit Persoonsgegevens.

Rechten van het individu

De GDPR richt zich op de rechten van het individu: het recht op informatie en toegang tot persoonsgegevens, recht om vergeten te worden, recht op verbetering en verwijdering van gegevens, recht op bezwaar en beperken van verwerking en het recht op de overdraagbaarheid van gegevens.

Register van de verwerkingsactiviteiten

Het register van verwerkingsactiviteiten bevat informatie over welke persoonsgegevens binnen de onderneming verwerkt worden. De verwerkingsverantwoordelijke moet een register bijhouden van alle verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten, die hij voor verwerkingsverantwoordelijke verricht.

Meldplicht datalekken

De meldplicht datalekken houdt in dat organisaties direct een melding moeten doen zodra zij een ernstig datalek hebben. In de meeste gevallen moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Persoonsgegevens

Alle informatie die direct iets over een persoon zegt óf herleidbaar is naar die persoon. Voorbeelden hiervan zijn: Naam, adres, geboortedatum en –plaats, IP-adres, BSN-nummer, klantnummer, e-mailadres, uiterlijke kenmerken, kenteken, locatiegegevens etc.

Verwerker

Een verwerker is een externe partij die opdracht krijgt van een verwerkingsverantwoordelijke om persoonsgegevens te verwerken. De verwerker werkt dus ten behoeve van de verwerkingsverantwoordelijke. Tussen beide partijen moet een verwerkersovereenkomst afgesloten worden.

Verwerkings-verantwoordelijke

De verwerkingsverantwoordelijke bepaalt waarom er persoonsgegevens worden verzameld en hoe dit gebeurt. Het kan een natuurlijk persoon zijn, een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan.

Verwerkersovereenkomst

Wanneer een verwerkingsverantwoordelijke samenwerkt met een verwerker, is het verplicht een verwerkersovereenkomst af te sluiten. Hierin staat onder andere wat de verwerker precies met de persoonsgegevens mag doen. Een verwerkersovereenkomst sluit uit dat de derde partij de persoonsgegevens voor eigen doelen mag verwerken.