Privacy en persoonsgegevens

Is de Algemene Verordening Gegevensbescherming (‘AVG’) op mijn organisatie van toepassing?

De AVG is van toepassing als er sprake is van gehele of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, er geen sprake is van de uitzonderingsvallen waarop de AVG niet van toepassing is, uw organisatie is gevestigd in de Europese Unie of wanneer de verwerking van persoonsgegevens verband houdt met het monitoren van gedrag of het aanbieden van goederen of diensten aan betrokkenen binnen de Europese Unie.

Wat wordt bedoeld met persoonsgegevens?

Persoonsgegevens staan voor alle informatie over een geïdentificeerde of een identificeerbare persoon (de betrokkene). Natuurlijke personen zijn direct identificeerbaar aan de hand van indicatoren zoals een naam, adres en geboortedatum. Indirect zijn personen identificeerbaar aan de hand van uiterlijke kenmerken, sociale en economische kenmerken en online identificatoren zoals IP-adressen.

Wie worden bedoeld met betrokkenen?

Met ‘betrokkene’ wordt bedoeld een geïdentificeerde of identificeerbare natuurlijke persoon op wie persoonsgegevens betrekking hebben.

Wanneer is sprake van verwerking van persoonsgegevens?

Volgens de AVG is een verwerking elke bewerking of het geheel van bewerkingen met betrekking tot persoonsgegevens. Hieronder wordt onder andere verstaan het:

  • verzamelen;
  • vastleggen;
  • opslaan;
  • bijwerken of wijzigen;
  • opvragen;
  • raadplegen;
  • gebruiken;
  • verstrekken;
  • wissen en vernietigen.

De AVG is alleen van toepassing als de verwerking geautomatiseerd gebeurt of als de gegevens bedoeld zijn om in een bestand te worden opgenomen.

Op welke soorten verwerking is de AVG niet van toepassing?

Op sommige verwerkingen is de AVG niet van toepassing. Hieronder worden de verwerkingen verstaan die plaatsvinden:

  • in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
  • door lidstaten in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid;
  • door politie en justitie in het kader van de opsporing en vervolging van strafbare feiten;
  • door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.

Wie wordt bedoeld met verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking van persoonsgegevens. Deze verantwoordelijke is verplicht om de waarborgen te nemen die bij die verwerking nodig zijn. Een verwerking van persoonsgegevens die onder de AVG valt heeft altijd een verwerkingsverantwoordelijke, zelfs als diegene zich er niet bewust van is.

Wanneer ben je bewerker of verwerker?

De verwerker is degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat de verwerker aan diens gezag is onderworpen. Dit wil met zoveel woorden zeggen dat de verwerking van persoonsgegevens de primaire taak van de verwerker moet zijn en dat de verwerker niet ondergeschikt mag zijn aan de verwerkingsverantwoordelijke. Een verwerker is dus nooit in dienst van de verantwoordelijke. Bijvoorbeeld een salarisadministratiebureau dat voor een opdrachtgever de gegevens en salarissen van werknemers verwerkt.

In hoeverre mag ik persoonsgegevens verwerken?

Persoonsgegevens mogen alleen worden verwerkt als:

  • er een geoorloofde grondslag is, zoals toestemming van de betrokkenen of een noodzaak voor de uitvoering van een overeenkomst;
  • er een helder en gerechtvaardigd doel is voor de verzameling van persoonsgegevens en de uiteindelijke verwerking verenigbaar is met dat doel;
  • u niet meer gegevens verzamelt dan nodig zijn;
  • u de persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor ze zijn verzameld;
  • u technische en organisatorische beschermingsmaatregelen neemt die de persoonsgegevens beschermen tegen verlies of het in verkeerde handen vallen.

Voor extra privacygevoelige persoonsgegevens zoals gezondheidsgegevens gelden nog aanvullende voorwaarden.

Wanneer is sprake van bijzondere persoonsgegevens?

Bijzondere persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon,  gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Bijzondere persoonsgegevens zijn gezien hun aard extra gevoelig. De verwerking van deze bijzondere persoonsgegevens is verboden, tenzij er een uitzondering van toepassing is of er toestemming is verkregen van de betrokkene.

In welke gevallen mogen bijzondere persoonsgegevens worden verwerkt?

Bijzondere persoonsgegevens mogen alleen verwerkt worden indien:

  • de betrokkene uitdrukkelijke toestemming heeft gegeven;
  • de verwerking noodzakelijk is voor de uitvoering van regels op het gebied van arbeids- en sociale zekerheidsrecht;
  • de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
  • de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is;
  • de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
  • de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsprekende bevoegdheid;
  • de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
  • de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten;
  • de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid, of
  • de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Deze uitzonderingen zijn uitgewerkt in nadere regelgeving en kennen specifieke voorwaarden, regels en beperkingen.

Welke grondslagen bestaan er voor de verwerking van persoonsgegevens?

Op grond van de AVG mogen persoonsgegevens slechts verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Dit betekent dat er geen persoonsgegevens verzameld mogen worden zonder dat er vooraf een doel hiervoor is bepaald. Deze uitdrukkelijk omschreven doelen moeten daarnaast gerechtvaardigd zijn. De doelen zijn gerechtvaardigd indien de verwerking gebaseerd kan worden op één van hieronder opgenoemde grondslagen:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  • verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

In welke gevallen is verwerking van persoonsgegevens onrechtmatig?

Verwerking van persoonsgegevens is onrechtmatig als geen sprake is van één of meer gerechtvaardigde doeleinden voor het verzamelen van persoonsgegevens en/of het doel voor de verwerking van de persoonsgegevens niet uitdrukkelijk vooraf is omschreven en/of de verwerking van de persoonsgegevens niet onder een van de uitzonderingen op het verwerkingsverbod valt.

Mogen persoonsgegevens worden doorgegeven aan mensen of organisaties die zich buiten de grenzen van de Europese Unie bevinden?

Doorgifte van persoonsgegevens aan derde landen is alleen toegestaan als wordt voldaan aan bepaalde voorwaarden. De specialisten op het gebied van privacy van PlasBossinade kunnen u daarbij helpen.

Mag ik zoveel persoonsgegevens verwerken als ik zelf wil?

Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel toereikend en ter zake dienend zijn. Bovendien mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Dit wordt ook wel aangeduid met ‘dataminimalisatie’.

Met andere woorden, er mogen niet te veel, maar ook niet te weinig gegevens worden verwerkt voor het doel. Wanneer u namelijk te weinig gegevens verwerkt, dan kan er ten onrechte een onvolledig beeld ontstaan van de betrokkene.

Ben ik verantwoordelijke of ben ik bewerker/verwerker?

Wanneer u het doel en de middelen vaststelt voor de verwerking van persoonsgegevens dan bent u verantwoordelijke. Dit kan zowel een natuurlijke persoon zijn als een rechtspersoon als een overheidsorganisatie. Als u doel en middelen samen met anderen vaststelt, kunt u samen met die anderen collectief verantwoordelijke zijn.

Met specifieke juridische bevoegdheid wordt bedoeld de situatie dat het verwerken van persoonsgegevens verplicht is opgedragen aan de verwerkingsverantwoordelijke aan de hand van een specifieke juridische bevoegdheid, bijvoorbeeld de verwerking van persoonsgegevens door de Belastingdienst.

Met impliciete bevoegdheid wordt bedoeld de situatie dat op grond van de gangbare regels en maatstaven die gelden in het maatschappelijk verkeer de verwerkingsverantwoordelijkheid toekomt aan een specifieke natuurlijke of rechtspersoon. Dit is bijvoorbeeld de werkgever die de persoonsgegevens van werknemers verwerkt.

Wanneer u persoonsgegevens verwerkt in opdracht van een ander zonder dat er een gezagsverhouding of een hiërarchische verhouding is tot degene onder wiens verantwoordelijkheid de persoonsgegevens worden verwerkt, dan bent u bewerker.

Heb ik een bewerkersovereenkomst nodig?

De AVG bepaalt dat zodra er sprake is van een relatie verantwoordelijke – bewerker, een bewerkersovereenkomst verplicht is. Van een relatie verantwoordelijke – bewerker is bijvoorbeeld sprake als door een opdrachtgever een salarisadministratiebureau wordt ingeschakeld.

De AVG stelt vereisten aan de minimale inhoud van een bewerkersovereenkomst. De inhoud van een bewerkersovereenkomst is in sterke mate afhankelijk van de soort verwerking van persoonsgegevens en de onderlinge afspraken tussen partijen.

De specialisten van PlasBossinade op het gebied van privacy kunnen u helpen bij het opstellen van een bewerkersovereenkomst.

Wanneer en hoe moet ik de betrokkene informeren over de verwerking van zijn of haar persoonsgegevens?

Als u persoonsgegevens direct van de betrokkene zelf ontvangt, dient u de betrokkene op het moment van de verkrijging van die gegevens over de verwerking daarvan te informeren.

Wanneer de persoonsgegevens tevens bestemd zijn om aan een andere ontvanger verstrekt te worden dan moet de betrokkene uiterlijk op het moment van de eerste verstrekking worden geïnformeerd.

Als informatieverstrekking aan alle betrokkenen onmogelijk is of onevenredig veel inspanning vergt of wanneer door het informeren het doel van de verwerking onmogelijk of ernstig in gevaar wordt gebracht dan geldt er geen informatieverplichting jegens betrokkenen, maar moeten er wel passende maatregelen worden genomen.

Als de betrokkene weet dat en waarvoor zijn gegevens worden verwerkt bestaat er geen informatieplicht. Er is ook geen informatieplicht als persoonsgegevens vertrouwelijk dienen te blijven, bijvoorbeeld op grond van een beroepsgeheim of statutaire geheimhoudingsverplichting. Een informatieverplichting jegens de betrokkene bestaat evenmin wanneer de verkrijging of verstrekking van persoonsgegevens uitdrukkelijk bij wet wordt voorgeschreven en de wet voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

Welke informatie moet ik de betrokkene verstrekken over de verwerking van zijn gegevens?

Indien u bij de betrokkene zelf gegevens verzamelt, dient u tenminste de volgende informatie aan de betrokkene te verstrekken:

  • uw identiteit en uw contactgegevens, of eventueel de contactgegevens van uw vertegenwoordiger;
  • indien er een Functionaris Gegevensbescherming is aangesteld, zijn contactgegevens;
  • de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn verzameld;
  • de grondslag voor de verwerking van persoonsgegevens;
  • indien u zich baseert op de grondslag ‘gerechtvaardigd belang’, wat dit gerechtvaardigd belang is;
  • indien de gegevens worden doorgegeven aan derden, de ontvanger of de categorieën van de ontvangers;
  • in geval de gegevens worden doorgegeven aan derde landen:
    • of er sprake is van een adequaatheidsbesluit van de Europese Commissie,
    • of passende en geschikte waarborgen zijn genomen, hoe er een kopie van kan worden verkregen of waar die waarborgen kunnen worden geraadpleegd;
  • de bewaartermijn, of de criteria ter bepaling van deze termijn;
  • welke rechten de betrokkene heeft ten aanzien van zijn persoonsgegevens;
  • dat de betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens over de verwerking van zijn persoonsgegevens;
  • of de verwerking van de persoonsgegevens noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst is of een wettelijke plicht en wat de mogelijke gevolgen zijn indien de persoonsgegevens niet worden verstrekt;
  • indien er sprake is van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica alsook het belang en de verwachte gevolgen van de bewerking voor de betrokkene.

Daarnaast dient u verdere informatie aan de betrokkene te vermelden indien het noodzakelijk is om tegen de betrokkene een behoorlijke en transparante verwerking te waarborgen.

Indien u de gegevens voor een ander doel gaat gebruiken dan waarvoor ze verzameld zijn, dan moet de betrokkene opnieuw geïnformeerd worden of dit nieuwe doel en alle informatie zoals die hierboven is opgesomd.

Wat wordt bedoeld met passende maatregelen?

Bij de verwerking van persoonsgegevens moeten volgens de AVG passende technische en organisatorische maatregelen worden getroffen die leiden tot een passend beveiligingsniveau. Hiermee wordt bedoeld dat de genomen maatregelen in verhouding met het risico moeten zijn: naarmate het risico groter is voor de betrokkenen dienen de getroffen beveiligingsmaatregelen zwaarder te worden. Volgens de Autoriteit Persoonsgegevens dient de verwerkingsverantwoordelijke: “altijd de rechten van de betrokkenen te waarborgen en moet er sprake zijn van adequate, vakkundig toegepaste beveiliging waarbij de organisatie optimaal benut wat het vakgebied informatiebeveiliging te bieden heeft.”

Mag ik zomaar een mailing versturen aan mijn klanten?

U mag uw eigen klanten ongevraagd een mailing sturen als deze betrekking heeft op vergelijkbare producten en diensten als u eerder geleverd heeft. Nieuwsbrieven aan uw klantenbestand moeten altijd een opt-out mogelijkheid bevatten.

Mag ik zomaar een mailing versturen aan niet-klanten?

Ongevraagd een mailing sturen aan mensen die niet tot uw bestaande klantenkring behoren mag niet zomaar.  Als het gaat om een door u gekocht klantenbestand moeten zowel de verkoper als de koper zich vergewissen van de toestemming van alle betrokkenen om hun gegevens voor dit doel te gebruiken.

Wanneer is sprake van een datalek?

Onder een datalek wordt verstaan elk verlies en elke situatie waarin persoonsgegevens in handen terecht (kunnen) komen van mensen die daartoe niet bevoegd zijn. Denk bijvoorbeeld aan een gestolen laptop met persoonsgegevens, een computerhack, maar ook een USB-stick die in de koffie valt.

Wanneer moet ik een datalek melden?

Een datalek moet gemeld worden aan de Autoriteit Persoonsgegevens als die beveiligingsinbreuk ‘leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’.

Alleen als het incident waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkenen, moeten zij ook op de hoogte worden gesteld. Als de gegevens op de gestolen laptop zodanig versleuteld zijn dat een derde deze niet kan openen, is er dus geen meldplicht aan de betrokkenen.

Op het niet naleven van de meldplicht kan een forse boete gesteld worden.

Bij welke instantie moet ik een datalek melden?

Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens. Hiervoor kan gebruik worden gemaakt van een speciaal formulier op de website van de Autoriteit Persoonsgegevens.

Wat zijn de gevolgen als ik niet voldoe aan de AVG?

Wanneer u niet voldoet aan de AVG kan de Autoriteit Persoonsgegevens u in het uiterste geval een boete opleggen. De maximum boete bedraagt € 20 miljoen of 4% van de wereldwijde jaaromzet van uw organisatie als dat hoger is.

Welke eisen worden er gesteld aan de beveiliging van persoonsgegevens?

Zowel de verantwoordelijke als de verwerker moeten passende technische en organisatorische maatregelen treffen om persoonsgegevens die zij verwerken te beveiligen. Daarbij mag rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.

Moet ik een verwerkingsregister bijhouden?

De hoofdregel in de AVG is dat een verantwoordelijke een register van verwerkingsactiviteiten dient bij te houden. Op deze hoofdregel bestaat een uitzondering. Een verantwoordelijke hoeft namelijk geen verwerkingsregister bij te houden als deze minder dan 250 personen in dienst heeft. Op deze uitzondering bestaat echter ook weer een uitzondering. Zo moet een verantwoordelijke die minder dan 250 werknemers in dienst heeft weer wel een register bijhouden indien:

  • het waarschijnlijk is dat de verwerking die wordt verricht een risico inhoudt voor de rechten en vrijheden van de betrokkene;
  • de verwerking niet incidenteel is;
  • de verwerking bijzondere persoonsgegevens betreft;
  • er persoonsgegevens zijn verwerkt in verband met strafrechtelijke veroordelingen en strafbare feiten.

In het register moet de volgende informatie worden opgenomen:

  • naam en contactgegevens van de organisatie, of indien van toepassing haar vertegenwoordiger;
  • indien van toepassing, naam en contactgegevens van partijen met wie de organisatie gezamenlijk verantwoordelijke is;
  • contactgegevens van de functionaris voor gegevensbescherming ingeval deze is aangesteld;
  • de verwerkingsdoeleinden;
  • beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
  • indien van toepassing, doorgifte van gegevens aan een derde land of een internationale organisatie. Daarbij ook de documenten inzake de passende waarborgen vermelden.
  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden gewist;
  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

In het register worden niet de persoonsgegevens van betrokkenen zelf opgenomen. Het register dient slechts inzicht te geven in de verwerkingsactiviteiten. Het register dient te allen tijde een volledig en actueel overzicht te bevatten van de verwerkingen. Verandert dus een verwerkingsactiviteit, dan moet het register daarop worden aangepast.

Moet ik een Functionaris voor Gegevensbescherming (‘FG’) hebben?

U moet een FG aanstellen in de volgende gevallen, waarbij het niet uitmaakt of u verantwoordelijke of verwerker bent:

  • u bent een overheidsorganisatie;
  • uw kernbezigheden bestaan uit regelmatige, stelselmatige en grootschalige observatie;
  • uw kernbezigheden bestaan uit grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens.

Welke taken heeft een Functionaris Gegevensbescherming (‘FG’)?

Een FG heeft ten minste de volgende taken:

  • informeren en adviseren over privacywet- en –regelgeving;
  • toezien op naleving van privacywet- en –regelgeving, inclusief het interne privacybeleid;
  • adviseren over en toezien op de uitvoering van PIA’s;
  • fungeren als aanspreekpunt voor betrokkenen;
  • optreden als aanspreekpunt voor en samenwerken met de Autoriteit Persoonsgegevens.

Moet ik een Privacy Impact Assessment (‘PIA’) uitvoeren?

U moet een PIA uitvoeren wanneer er hoge risico’s zijn voor ‘de rechten en vrijheden’ van de betrokkenen. Dat is volgens de AVG sneller het geval wanneer bij de verwerking van persoonsgegevens gebruikt wordt gemaakt van nieuwe technieken.

In drie gevallen is volgens de AVG altijd sprake van een hoog risico zodat een PIA verplicht is:

  • systematische, uitgebreide en geautomatiseerde beoordeling van persoonlijke aspecten van betrokkenen, zoals profilering, die kan leiden tot ingrijpende besluiten over hen;
  • grootschalige verwerking van bijzondere of strafrechtelijke gegevens;
  • stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Welke rechten heeft een betrokkene ten aanzien van zijn persoonsgegevens?

De betrokkene heeft het recht op inzage in zijn gegevens. Als hij daarop een beroep doet, dan moet u hem een kopie verstrekken van alle gegevens die u over deze persoon verwerkt.

De betrokkene heeft vervolgens het recht op verbetering. Als hij terecht aangeeft dat zijn gegevens onjuist zijn, dan bent u verplicht die onjuiste gegevens te verbeteren.

De betrokkene heeft bovendien recht op verwijdering van zijn gegevens. Dat recht heeft hij wanneer u zijn gegevens onrechtmatig verwerkt, u wettelijk verplicht bent zijn gegevens te wissen, u de gegevens niet langer nodig heeft gelet op de doeleinden waarvoor ze verwerkt worden, de toestemming voor de verwerking wordt ingetrokken, hij bezwaar maakt tegen de verwerking van zijn gegevens of u de gegevens uitsluitend verwerkt voor direct-marketing doeleinden.

De betrokkene heeft daarnaast recht op overdraagbaarheid van zijn gegevens, ofwel dataportabiliteit. Dit houdt het recht in om gegevens beschikbaar gesteld te krijgen op zo’n manier dat hij die gegevens zelf weer makkelijk aan een andere organisatie kan doorgeven.

De betrokkene heeft ten slotte het recht van bezwaar tegen de verwerking van zijn gegevens op basis van een overheidstaak of op basis van een belangenafweging.

Wat betekent privacy by design?

Het idee van privacy by design is dat privacy vanaf het begin van het ontwerpproces wordt meegenomen, door na te denken over de benodigde technische en organisatorische maatregelen en die in te bouwen in processen en systemen. Het toepassen van privacy by design zal een rol spelen in de beoordeling van de rechtmatigheid van de verwerking van persoonsgegevens. De AVG legt in het kader van privacy by design een focus op pseudonimisering en dataminimalisatie.

Start chatgesprek

Medewerkers zijn nu beschikbaar

Onze medewerkers zijn nu online om uw zakelijke vragen te beantwoorden. Vul de naam van uw organisatie in en klik op "Start chat" om een chatgesprek te starten.

Sorry, de chat is momenteel niet beschikbaar