1. AVG/GDPR

2. Persoonsgegevens

3. Rollen

4. Risico’s

1. AVG/GDPR

Wat is GDPR/AVG?

General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG), staat voor een ééngemaakt Europees privacybeleid dat van toepassing gaat vanaf 25 mei 2018 en aangepast is aan de huidige digitale maatschappij.

Voor ondernemingen betekent deze verordening:

 • Transparantie tegenover de betrokkenen van wie ze data verwerken
 • Correcte verwerking, bescherming en opvolging van datastromen
 • Contractuele waarborgen voor dataverwerking door anderen, datatransfers buiten de EU

Voor de personen van wie gegevens verwerkt worden betekent deze verordening:

 • Transparantie: wie doet wat met mijn gegevens?
 • Toestemming voor bepaalde verwerkingen
 • Uitgebreide rechten: toegang, verbetering, wissing,…

Wanneer gaat de GDPR (AVG) van kracht?

Op 25 mei 2018 gaat de General Data Protection Regulation in de Europese Unie van kracht. Vanaf dan moet u als organisatie kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt.

Voor wie geldt de GDPR (AVG)?

De GDPR geldt voor alle bedrijven die, onafhankelijk van hun grootte, onder de volgende criteria vallen:

 • Gevestigd zijn in de EU
 • Gevestigd zijn buiten de EUR, maar goederen en/of diensten leveren aan EU burgers
 • Persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU burgers

Wat indien mijn bedrijf niet voldoet aan de nieuwe regelgeving?

Ondernemingen die niet GDPR-compliant zijn, riskeren een administratieve boete die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (als die hoger is).

Wie voert de controle uit over de naleving van de GDPR?

Elk land heeft een autoriteit die:

 • toezicht houdt op de naleving van de privacywetgeving;
 • advies geeft aan overheden, ondernemingen, betrokkenen, …;
 • waarschuwingen en boetes uitdeelt;
 • de invoering van gedragscodes en certificeringen monitort;
 • klachten van betrokkenen behandelt. 

In België is dit de Gegevensbeschermingsautoriteit.

Is het opstellen van een dataregister verplicht?

In slechts een klein aantal gevallen zal een dataregister niet verplicht zijn. De GDPR lijkt KMO’s (minder dan 250 personen in dienst) uit te sluiten maar zegt dat zij ook verplicht zijn een dataregister op te stellen wanneer zij verwerkingen uitvoeren die niet incidenteel zijn, wanneer de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen of wanneer het bijzondere categorieën van gegevens betreft.

De grote meerderheid van de KMO’s zal één of meerdere verwerkingen doen die niet incidenteel zijn (bijhouden klantenbestand of personeelsregister bv.) en bijgevolg verplicht zijn een register bij te houden.

Beginnen met het aanmaken van een dataregister? Start hier

Is het wettelijk bepaald welke elementen in een dataregister moeten opgenomen worden?

Het register bevat minstens volgende gegevens:

 • Naam en contactgegevens verwerkingsverantwoordelijke (desgevallend ook die van de DPO)
 • Verwerkingsdoeleinden
 • Beschrijving van de categorieën van betrokkenen en persoonsgegevens
 • Categorieën van ontvangers van de persoonsgegevens
 • Doorgiften van persoonsgegevens aan derde land of internationale organisatie
 • Beoogde termijnen waarbinnen de gegevens worden gewist
 • Beschrijving van de technische en organisatorische beveiligingsmaatregelen

Wat is privacy by design?

Het idee achter privacy by design is dat u privacy al vanaf het begin van het ontwerpprocces van nieuwe producten, diensten en processen meeneemt, door na te denken over de benodigde technische en organisatorische maatregelen en die in te bouwen in processen en systemen.

De twee doelstellingen van privacy by design:

 • Het waarborgen van rechtmatige gegevensverwerking
 • Het waarborgen van de rechten van betrokkenen

2. Persoonsgegevens

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle informatie waardoor een natuurlijke persoon geïdentificeerd wordt of identificeerbaar is. Algemene kenmerken die niet gelinkt kunnen worden aan een persoon zijn geen persoonsgegevens.

Algemene kenmerken die geen persoonsgegevens op zich zijn:

 • algemeen e-mailadres ([email protected], [email protected])
 • bedrijfsnaam zonder naam van persoon
 • BTW nummer bedrijf (≠ persoon met BTW nummer!)
 • geanonimiseerde persoonsgegevens waarbij elke link met een persoon onomkeerbaar verbroken is (bvb: “150 klanten bestelden in 2017 product x”)
 • gegevens van overleden personen

Let wel: een combinatie van zo’n algemene kenmerken kan een persoon wél identificeerbaar maken en wordt dan wél aanzien als persoonsgegeven.

Wat zijn gevoelige persoonsgegevens?

Sommige gegevens zijn door hun aard gevoelig en worden extra beschermd, zoals gegevens m.b.t.

 • Ras of etnische afkomst
 • Politieke opvattingen
 • Religieuze of levensbeschouwelijke opvattingen
 • Lidmaatschap vakbond
 • Genetische gegevens (DNA, …)
 • Biometrische gegevens (fysieke, fysiologische en gedragskenmerken van een persoon, gezichtsherkenning, vingerafdrukken, …)
 • Informatie gerelateerd aan iemands (fysieke en mentale) gezondheid
 • Seksueel gedrag of seksuele geaardheid

Wanneer mag ik persoonsgegevens verwerken?

Je mag persoonsgegevens verwerken wanneer:

 • Je de toestemming hebt van de betrokkene
 • Ofwel wanneer het noodzakelijk is:
  • Voor het uitvoeren van een overeenkomst (bv. verwerken van het adres van iemand die een online bestelling geplaatst heeft en waar deze bestelling geleverd moet worden)
  • Om te voldoen aan een wettelijke verplichting (bv. werkgevers moeten gegevens van werknemers doorgeven aan bv. de sociale zekerheid)
  • Om de vitale belangen van de betrokkene te beschermen
  • Voor het uitvoeren van een taak van algemeen belang
  • Voor het behartigen van een gerechtvaardigd belang (bv. een onderneming in de nucleaire sector heeft een gerechtvaardigd belang om enkele specifieke persoonsgegevens te verwerken van haar personeel ten einde de veiligheid van het personeel te garanderen)

Wanneer spreekt men over een verwerking van persoonsgegevens?

Een verwerking van persoonsgegevens kan handmatig of geautomatiseerd gebeuren, op papier of digitaal.

 • Verzamelen             
 • Gebruiken
 • Vastleggen               
 • Doorzenden
 • Ordennen                 
 • Verspreiden
 • Structureren            
 • Ter beschikking stellen
 • Opslaan                      
 • Aligneren
 • Bijwerken                 
 • Combineren
 • Wijzigen                     
 • Afschermen
 • Opvragen                  
 • Wissen
 • Raadplegen                              
 • Vernietigen

Welke types van verwerking zijn er?

 • Aggregatie van gegevens:
  Onder aggregatie van gegevens verstaan we het combineren en verwerken in een beknopte vorm, gericht op de statistische analyse van een specifieke parameter. Die geaggregeerde gegevens kunnen moeilijk nog gelinkt worden aan personen, maar kunnen wel een idee geven van een groep personen die men beoogt of kunnen wel opnieuw aan bepaalde personen gekoppeld worden mits de juiste linken.

  Bijvoorbeeld: uit dataverwerking blijkt dat advocatenkantoren van +25 werknemers de grootste afnemer van een bepaald softwarepakket zijn. De softwareproducent kan daarop gericht reclame sturen voor dat pakket, naar alle andere klanten die eveneens voldoen aan een criterium +25 werknemers.

 • Pseudonimisering:
  Bij pseudonimisering worden gegevens zodanig gebruiken dat ze ontkoppeld worden van de betrokkenen, en dat de schakel om ze opnieuw te koppelen apart bewaard en beveiligd worden.

  Bijvoorbeeld:
  • encryptie;
  • populaire opzoekingen in een databank kunnen losgekoppeld worden van gebruikersprofielen, zodat deze data afzonderlijk gebruikt kunnen worden om gericht producten te verbeteren of populaire producten te promoten.
 • Anonimisering:
  Anonimisering is het onomkeerbaar verbreken en wissen van elke link met een persoon.
  Geanonimiseerde gegevens mogen vrij verwerkt worden, aangezien elke link met een identificeerbaar persoon verdwenen is. GDPR is hierop niet van toepassing.
 • Profilering:
  Een bijzondere vorm van gegevensverwerking is profilering. Hieronder verstaat men het geautomatiseerd, systematisch en diepgaand onderzoeken en vergelijken van bepaalde kenmerken van personen om hen op te delen in categorieën en op basis daarvan bepaalde beslissingen te nemen.

  Bijvoorbeeld: klanten van een boekhoudpakket matchen met de klantendatabase van een bank, om zo zicht te krijgen op het financieel profiel van de klant om op die manier gerichte reclame te kunnen sturen.

Hoe lang mag ik persoonsgegevens bijhouden?

De GDPR is hier niet helemaal duidelijk in en het zal aan u zijn om hier een beoordeling van te maken per verwerkingsactiviteit. U zal hier rekening moeten houden met eventuele bepaalde wettelijke verplichtingen en vorderingstermijnen (vb. bijhouden van gegevens van ex-werknemers).

Wat als ik persoonsgegevens doorgeef buiten de EER?

EER = de Europese Economische Ruimte (EU + Noorwegen + Ijsland + Liechtenstein)
Binnen de EER is de GDPR regelgeving van toepassing en is er voldoende bescherming bij een transfer van persoonsgegevens. 

De volgende landen buiten de EER bieden afdoende bescherming bij een transfer van persoonsgegevens: Andorra, Argentinië, Canada, Faroer Eilanden, Guernsey, Jersey (UK), Zwitserland, Isle of Man, Israël, Nieuw-Zeeland, Uruguay en Japan. 

Voor transfer van persoonsgegevens naar een land buiten de EER, dat geen gelijkaardige bescherming biedt, kan een door de EU goedgekeurde Contract Template gebruikt worden (de zogenaamde ‘Model Contract Clauses’). Gebruik van deze template, zonder aanpassingen, biedt voldoende bescherming om een transfer mogelijk te maken tussen de partijen die het contract ondertekenden.

Bedrijven in de VS kunnen adequate beschermingsmaatregelen nemen onder het Privacy Shield, waardoor de gegevens die vanuit de EER overgemaakt worden voldoende beschermd zijn. Een lijst van bedrijven in de VS aan wie men veilig data kan overmaken is te consulteren: https://www.privacyshield.gov/list

Indien geen van bovenstaande situaties van toepassing is, zou een transfer van persoonsgegevens niet mogen, omdat rechten van de betrokkene onvoldoende beschermd zijn.

3. Rollen

Wat is een betrokkene (data subject)?

Een betrokkene (data subject) is een natuurlijk persoon aan wie de gegevens gelinkt kunnen worden en van wie de gegevens verwerkt worden.  GDPR wordt toegepast wanneer de betrokkene zich bevindt (≠ domicilie, ≠ nationaliteit) in de Europese Economische Ruimte (= EU + Noorwegen + IJsland + Liechtenstein), ongeacht de duur van het verblijf OF de verwerking in het kader van activiteiten van een onderneming in de EU gebeurt.

Wat zijn de vragen die een betrokkene kan stellen?

 • Het recht om geïnformeerd te worden over hoe en welke persoonsgegevens van hem verwerkt worden
 • Het recht op verwijdering van zijn persoonsgevens (recht om ‘vergeten te worden’)
 • Het recht op overdraagbaarheid van gegevens naar een andere verwerker (data portability)
 • Het recht op correctie wanneer de persoonsgegevens niet correct of onvolledig zijn
 • Het recht van inzage: de betrokkene heeft het recht om een kopie te vragen van zijn verwerkte persoonsgevens
 • Het recht van verzet: de betrokkene kan vragen om zijn gegevens niet te gebruiken voor direct marketing, om zijn gegevens niet te verwerken o.b.v. gerechtvaardigde gronden en/of om zijn gegevens niet te verwerken voor wetenschappelijk of historisch onderzoek

Hoe snel moet ik reageren op vragen van betrokkenen?

U dient binnen de maand te reageren op het verzoek van de betrokkene. Dat betekent niet noodzakelijk dat u het verzoek moet inwilligen, maar u dient wel de betrokkene een antwoord te geven wat er met zijn verzoek gebeurd is en indien dit niet ingewilligd werd, de redenen opgeven hiervoor.

Wat is een verwerker (processor)?

De verwerker is de persoon die/het bedrijf dat de verwerking uitvoert, meestal in opdracht van de verwerkingsverantwoordelijke. De verwerker kiest zelf niet welke gegevens verwerkt worden, of waarom of hoe.

Wat zijn mijn verplichtingen als verwerker?

Als verwerker moet ik:

 • Zorgen voor de veiligheid en vertrouwelijkheid van de gegevens die ik verwerk
 • Enkel gegevens verwerken op basis van instructies van de verwerkingsverantwoordelijke
 • De gepaste processen en projectbrieven hebben om bij een datalek snel te kunnen handelen (opmerken, identificeren en aangifte doen aan de verwerkingsverantwoordelijke)
 • Weten dat ik enkel een sub-verwerker mag aanstellen mits akkoord van de verwerkingsverantwoordelijke

Wat is een verwerkingsverantwoordelijke (controller)?

Een verwerkingsverantwoordelijke is diegene die beslist welke gegevens worden verwerkt, voor welk doel en hoe. De verantwoordelijke zal het enige contactpunt voor de betrokkene zijn i.v.m. zijn gegevens en zal indien nodig de toestemming van de betrokkene vragen.

Bijvoorbeeld: een advocaat voert persoonsgegevens van zijn cliënt in in een kantoorbeheerssoftware. De advocaat is in dit geval de verwerkingsverantwoordelijke, het softwarebedrijf is hier de verwerker en de client is de betrokkene.

Wat zijn mijn verplichtingen als verwerkingsverantwoordelijke?

Als verwerkingsverantwoordelijke moet ik:

 • Al mijn activiteiten aangaande verwerking van persoonsgegevens nakijken en er controleerbare documentatie van bijhouden
 • Gepaste technische en organisatorische maatregelen nemen om de veiligheid van persoonsgegevens te garanderen
 • Alle genomen maatregelen documenteren deze aan de Gegevensbeschermingsautoriteit voorleggen indien nodig
 • De gepaste processen en projectbrieven hebben om bij een datalek snel te kunnen handelen (opmerken, identificeren en aangifte doen aan de bevoegde instanties)

Wat is een DPO en wat doet hij?

DPO staat voor Data Protection Officer, ofwel een persoon die verantwoordelijk is voor de gegevensbescherming.

De taken van een Data Protection Officer bestaan uit:

 • De onderneming en haar medewerkers informeren en adviseren omtrent hun verplichtingen om te voldoen aan de privacywetgeving.
 • Monitoren van het al dan niet voldoen aan de regels van de GDPR
 • Als contactpersoon fungeren over alles wat te maken heeft met gegevensbescherming

De taak van de DPO kan toegewezen worden aan een bestaande medewerker zolang de professionele taken van de medewerker compatibel zijn met deze van de DPO en dit niet leidt tot belangenconflicten.

Men kan ook een externe DPO aanstellen om deze taken op zich te nemen.

Wanneer is het aanstellen van een DPO verplicht?

U bent verplicht om een Data Protecion Officer (DPO) aan te stellen wanneer de kerntaken van uw onderneming bestaan uit op grote schaal systematisch personen te monitoren of speciale categorieën van gegevens te verwerken.

4. Risico's

Wat is een DPIA?

DPIA staat voor Data Protecion Impact Assesment of gegevensbeschermingseffectbeoordeling. Men verstaat hieronder een proces dat ertoe strekt om risico’s te evalueren in verband met de rechten en vrijheden van natuurlijke personen, die ontstaan of dreigen te ontstaan naar aanleiding van de verwerking van persoonsgegevens, evenals om de mogelijkheden tot beheersing van deze risico’s te evalueren. Met andere woorden, een risicoanalyse.

Wanneer moet ik een DPIA uitvoeren en wanneer niet?

U moet een DPIA uitvoeren wanneer er sprake is van hoge risico’s voor de rechten en vrijheden van de betrokkenen.

Categorieën verwerkingen waarbij er steeds sprake is van zo’n verhoogd risico en bijgevolg DPIA verplicht is:

 • In het geval van systematische, uitgebreide en geautomatiseerde beoordeling van persoonlijke kenmerken van betrokkenen, zoals profilering, die kan leiden tot ingrijpende besluiten over hen
 • In het geval van grootschalige verwerking van bijzondere of strafrechtelijke gegevens
 • In het geval van stelsematige en grootschalige monitoring van openbaar toegankelijke ruimten

Wanneer spreekt men over een datalek (data breach)?

Een datalek of een databreach is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens.

Bijvoorbeeld:

 • Een virus wist alle klantengegevens uit de database
 • een werknemer stuurt per ongeluk zijn logingegevens van een direct marketing mailing tool door aan collega’s van een andere afdeling;
 • hackers krijgen toegang tot loongegevens van werknemers en plaatsen deze publiekelijk online.

Moet een datalek steeds gerapporteerd worden aan de toezichthoudende autoriteit?

U dient de Gegevensbeschermingsautoriteit te verwittigen, tenzij het niet waarschijnlijk is dat het gegevenslek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De melding moet binnen de 72 uur nadat je kennis genomen hebt van de inbreuk plaatsvinden.

Moet een datalek steeds gerapporteerd worden aan de betrokkenen?

Wanneer de inbreuk een hoog risico zou kunnen vormen voor de rechten en vrijheden van de betrokkenen, dan moet je deze personen zelf ook verwittigen van het datalek.