De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven, maar ook voor kleine mkb'ers en zzp'ers. En voor de overheid. Verder geldt de AVG niet alleen voor organisaties, maar ook voor individuele personen die gegevens verwerken.
In de AVG heet die de verwerkingsverantwoordelijke. Of de verwerker, als de organisatie gegevens verwerkt voor een opdrachtgever. De persoon van wie de organisatie persoonsgegevens verwerkt, wordt de betrokkene genoemd. Dat is dus degene over wie de gegevens gaan.
De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke. Ongeacht wat er in de verwerkersovereenkomst staat. Bij de beoordeling van een verwerking kijkt de Autoriteit Persoonsgegevens altijd naar de feitelijke situatie.
Antwoord. De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.
De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven, maar ook voor kleine mkb'ers en zzp'ers. En voor de overheid. Verder geldt de AVG niet alleen voor organisaties, maar ook voor individuele personen die gegevens verwerken.
De volgende gegevens zijn volgens de AVG geen persoonsgegevens: gegevens over organisaties (rechtspersonen);gegevens van overleden personen.
De aard en het doel van de verwerking. De soort(en) persoonsgegevens die worden verwerkt en de categorieën van betrokkenen. De verplichting van de verwerker om de persoonsgegevens alleen ten behoeve van verwerkingsverantwoordelijke te verwerken.
Sindsdien treedt Microsoft alleen nog op als verwerker voor al haar online diensten, verwerkt de persoonsgegevens nog maar voor drie doelen, verwerkt de gebruiksgegevens niet voor profiling, data analytics, marktonderzoek of advertenties, en geeft effectieve auditrechten aan de Rijksoverheid.
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Dat heet de verantwoordingsplicht (accountability). Door hieraan te voldoen levert u een belangrijke bijdrage aan de bescherming van ieders grondrecht op privacy.
De eigenaar van de gegevens is verantwoordelijk, maar ook degene die met de persoonsgegevens aan de slag gaat heeft een bepaalde verantwoordelijkheid. De wet spreekt in dat geval over een verantwoordelijke (degene die de gegevens verzamelt heeft) en de bewerker (degene die de gegevens verwerkt).
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.
Het kan daarbij gaan om het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.
De verwerkingsverantwoordelijke en verwerker zijn onder de AVG hoofdelijk aansprakelijk. In de situatie waarin er meerdere verwerkingsverantwoordelijken of verwerkers bij eenzelfde verwerking zijn betrokken, kan de betrokkene iedere verwerkingsverantwoordelijke of verwerker voor de gehele schade aanspreken.
11.1 Deze verwerkersovereenkomst is geldig zolang verwerker de opdracht heeft van verantwoordelijke om gegevens te verwerken op grond van de overeenkomst tussen verantwoordelijke en verwerker.
De AVG is niet van toepassing op: gegevens over overledenen. gegevens over rechtspersonen.
De tegenhanger van een natuurlijk persoon is een rechtspersoon. Dit is een organisatie of abstracte entiteit die zelfstandig in het rechtsverkeer kan optreden, bijvoorbeeld een stichting. De AVG is er dus voor de bescherming van persoonsgegevens van natuurlijke personen.
Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat dit alleen mag als het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit zo is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Mensen hebben recht op inzage in de persoonsgegevens die organisaties van hen verwerken. Dit recht is bedoeld om mensen meer grip te geven op hun persoonsgegevens. Ook kunnen zij hiermee controleren of organisaties zich aan de regels houden bij het verwerken van hun gegevens.
Sommige gegevens zijn zo delicaat dat ze alleen in heel specifieke gevallen mogen worden verwerkt. Een naam en adres zijn eerder onschuldige gegevens, maar dat geldt niet voor bv. gezondheid, politieke opvattingen, religieuze overtuigingen, seksuele voorkeuren of uw gerechtelijk verleden.