De EU-wetgeving inzake de omgang met persoonsgegevens, de Algemene Verordening Gegevensbescherming, wordt vaak aangeduid met het acroniem AVG. Welke invloed heeft de AVG op het gebruik van cookies en online tracking door jouw website? Hoe voldoe jij eraan? En hoe beïnvloedt dit het cookiebeleid en de toestemming voor het plaatsen van cookies op jouw website?

We zullen toelichten wat de regels voor jou en jouw website betekenen. Maar ook hoe de cookies op jouw website kunnen voldoen aan de AVG. Natuurlijk lees je hier ook hoe je bezoekers van jouw website om toestemming voor het plaatsen van cookies moet vragen.

De AVG en cookies

De AVG (een EU-verordening) is het belangrijkste initiatief in 20 jaar op het gebied van gegevensbescherming. Het doel is om "natuurlijke personen te beschermen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens". Oftewel gaat het onder andere om de bezoeker van een website.

Cookies worden slechts eenmaal genoemd in de 88 pagina's lange verordening. Die paar regels hebben echter een aanzienlijk effect op de naleving van cookies:

(30): “Natuurlijke personen kunnen worden geassocieerd met online identificatiegegevens [...] zoals internetprotocoladressen, cookie-identificatiegegevens of andere identificatiegegevens [...]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatiegegevens en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en te identificeren."

Met andere woorden: wanneer cookies een persoon kunnen identificeren, worden deze beschouwd als persoonlijke gegevens.

De AVG-tekst

In april 2016 is de Algemene Verordening Gegevensbescherming, door zowel het Europees Parlement als de Europese Raad, aangenomen. Deze is op 25 mei 2018 in werking getreden.

Maar de geschiedenis gaat verder terug. Het begon als een voorstel in 2012. De onderhandelingen over de AVG-tekst zelf begonnen op 15 december 2015. Dit was tussen het Europees Parlement, de Raad en de Europese Commissie. Ook bekend als formele trialoog-vergaderingen. De trialoog verwijst naar een "discussie tussen drie partijen" en is een gangbare praktijk in de Europese Unie, zoals beschreven in de EU-verdragen. Ze worden gebruikt als de Raad niet instemt met voorstellen van het Parlement, waarna de trialoog-onderhandelingen beginnen.

In april 2016 werd de AVG-tekst aangenomen door de EU-Raad. De enige lidstaat die tegen stemde was Oostenrijk. Volgens Oostenrijk ging de AVG-tekst niet ver genoeg in vergelijking met de richtlijn van 1995. Desalniettemin werd het een week later door het EU-Parlement goedgekeurd met ingang van 25 mei 2018.

De eerste 31 pagina's vormen een soort basis voor de verordening, om de betreffende kwesties en voorwaarden te verduidelijken en uit te werken. De verordening zelf bestaat uit 99 artikelen verdeeld in 11 hoofdstukken van 57 pagina's.

Een reden voor de AVG om cookies slechts eenmaal te vermelden, is dat de ePrivacy-verordening eraan komt. Dit is een lex specialis (Latijn voor bijzondere wetgeving) voor de AVG. Oftewel: een specificatie en uitwerking van de delen van de bestaande regelgeving die betrekking hebben op elektronische communicatie. Enkele van de belangrijkste passages om te lezen, als je geïnteresseerd bent in het volledig lezen van de AVG-tekst, zijn:

  • Artikel 1-4 over de definities van de in de verordening gebruikte termen,
  • Artikel 5-11 over het doel van de verordening,
  • Artikel 12-20 over de rechten van personen met betrekking tot privacy en gegevens,
  • Artikel 24-31 over de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker,
  • Artikel 37-39 over de vereiste voor een functionaris voor gegevensbescherming,
  • Artikel 44-46 over de overdracht van gegevens uit de EU,
  • Artikel 82-83 over de boetes en straffen voor niet-naleving.

Maar... Wat zijn cookies?

Cookies zijn kleine bestanden die automatisch op jouw computer worden geplaatst, terwijl je op internet surft. Op zichzelf zijn het onschadelijke stukjes tekst die lokaal worden opgeslagen en gemakkelijk bekeken en verwijderd kunnen worden.

Maar cookies kunnen veel inzicht geven in jouw activiteit en voorkeuren. Ze kunnen ook worden gebruikt om je te identificeren zónder jouw uitdrukkelijke toestemming. Juridisch gezien is dit een grote schending. Naarmate data-technologieën steeds geavanceerder worden, wordt jouw privacy als gebruiker in toenemende mate aangetast. Vaak zijn de cookies niet eens afkomstig van de website die je bezoekt, maar van derden die jou volgen voor marketingdoeleinden. Dit gebeurt allemaal achter de schermen...

Hoewel niet alle cookies worden gebruikt op een manier die gebruikers zouden kunnen identificeren, zijn de meesten (en de meest bruikbare voor de website-eigenaren) onderworpen aan de AVG. Cookies voor analyse, reclame en functionele diensten, zoals enquête- en chatprogramma's, zijn allemaal voorbeelden van cookies die gebruikers kunnen identificeren. Het probleem met cookies is zowel privacy: 'wat wordt er geregistreerd?', als eentje van transparantie: 'wie volgt jou, met welk doel, waar blijven de gegevens en hoe lang blijven ze bewaard?'.

Hoe zorg je ervoor dat de cookies op jouw website voldoen aan de AVG?

Als website-eigenaar moet je maatregelen nemen, en gegevensprocessen doornemen, om ervoor te zorgen dat de persoonlijke gegevens worden behandeld volgens de nieuwe voorschriften. Met als doel om te voldoen aan de AVG. Scroll ook eens door de infographic van de EU-commissie voor een beeldende introductie in de wereld van cookies en de AVG. 

De AVG ziet bijvoorbeeld een naam, foto, e-mailadres, bankgegevens, berichten op sociale netwerkwebsites, medische informatie of een IP-adres van een computer als persoonlijke gegevens.

Als jouw website of organisatie gegevens verwerkt die (a) direct persoonlijk zijn, of (b) kunnen worden gecombineerd of uitgekozen om een persoon te identificeren, dan moet deze worden herzien om aan de vereisten te voldoen. Breng de gevoelige gegevens in jouw organisatie in kaart en evalueer deze. Doorloop jouw beveiligingsbeleid en zorg ervoor dat de gegevens veilig zijn.

De twee belangrijkste aspecten om op te letten en waar je je bewust van moet zijn:

  1. Hoe je klant- en gebruikersgegevens in jouw organisatie opslaat, en 
  2. De cookies op jouw website (zowel first-party als third-party).

Het vaststellen of aanpassen van jouw cookiebeleid en de toestemming voor het plaatsen van cookies conform de AVG is een belangrijk onderdeel van dit proces.

Wat is AVG-compatibele cookie toestemming? Oftewel: toestemming voor het plaatsen van cookies conform de AVG.

Eén van de meest merkbare vereisten van de AVG ligt in de definitie van wat een goede AVG-cookietoestemming is, wat betekent dat de toestemming moet zijn:

  • Geïnformeerd: waarom, hoe en waar worden de persoonlijke gegevens gebruikt? Het moet voor de gebruiker duidelijk zijn, waaraan de toestemming is gegeven, en het moet mogelijk zijn om de verschillende soorten cookies in en uit te schakelen.
  • Gegeven door middel van een positieve, positieve actie die niet verkeerd kan worden geïnterpreteerd.
  • Gegeven voorafgaand aan de eerste verwerking van de persoonlijke gegevens.
  • Intrekbaar. De gebruiker moet gemakkelijk van gedachten kunnen veranderen en de toestemming herzien of in kunnen trekken.
  • De gebruiker heeft het recht om te worden vergeten. Op verzoek van de gebruiker moeten al zijn of haar persoonlijke gegevens correct worden verwijderd.
  • Alle gegeven toestemmingen moeten worden geregistreerd in een document.

Wat is een AVG-compliant cookie banner?

De bovenstaande vereisten zorgen ervoor dat de meeste cookie banners en -meldingen, die werden gebruikt voorafgaand aan de implementatie van de AVG, niet meer te gebruiken zijn. Geïmpliceerde toestemming en toestemming die eenvoudig wordt gegeven door een site te bezoeken, is bijvoorbeeld niet meer voldoende. Hetzelfde geldt voor pop-ups en banners waarin staat: 'Door deze site te gebruiken, accepteert u cookies'. Een eenvoudige OK-knop voor het accepteren van cookies is ook niet voldoende.

Een voorbeeld van een AVG-conforme cookie banner
Hieronder een afbeelding van onze Custom banner #1, waarin toestemming wordt gevraagd om cookies te plaatsen:

custom-banner-#1-screen1

Deze cookie banner voldoet aan de voorschriften vanwege het volgende:

  1. Alleen de noodzakelijke cookies worden direct geplaatst. Het plaatsen van de overige cookies wordt gepauzeerd, totdat de toestemming voor het plaatsen van de cookies is gegeven.
  2. Deze functie wordt ‘voorafgaande toestemming’ genoemd en is een vereiste van zowel de AVG als de e-Privacyrichtlijn. Volgens de AVG moet je toestemming hebben om cookies te plaatsen die persoonlijke gegevens bijhouden, terwijl je volgens de ePrivacy-richtlijn toestemming van de gebruiker nodig hebt vóórdat je andere cookies, behalve de strikt noodzakelijke, instelt.
  3. De informatie over de cookies is nauwkeurig en specifiek en wordt gepresenteerd in een duidelijke en heldere taal. Ook dit zijn vereisten van de AVG. Als de gebruiker ervoor kiest om de details te tonen, dan vouwt de banner uit in een volledig overzicht van alle actieve cookies en online tracking die op de website worden gebruikt.
  4. Deze lijst is gebaseerd op de resultaten van een maandelijkse scan van alle pagina's van de website, die alle cookies en bekende trackingtechnologieën detecteert en identificeert die op de site worden gebruikt. De cookies worden volledig vermeld inclusief beschrijvingen van oorsprong, duur en doel.
  5. De cookies zijn gegroepeerd in vier begrijpelijke categorieën, die de gebruiker kan aan- of uitvinken.
  6. Noodzakelijke cookies kunnen niet worden uitgeschakeld, omdat ze op de 'white list' staan ​​en nodig zijn om de website goed te laten functioneren. De cookie categorieën die geen persoonlijke gegevens verwerken, kunnen vooraf worden aangevinkt. Denk hierbij aan statistieken cookies mits je Google Analytics privacy vriendelijk instelt. De categorieën die wel persoonlijke gegevens verwerken, moeten actief worden aangevinkt door de gebruiker om aan de vereisten te voldoen.
  7. De gebruiker kan op de pagina met de cookie verklaring zien welke toestemming er gegeven is en kan op elk moment ervoor kiezen om deze te wijzigen of in te trekken.
  8. Alle gegeven toestemmingen worden veilig opgeslagen als documentatie dat de toestemming is gegeven. Dit is ook een AVG-vereiste.
  9. Elke 12 maanden, vanaf het eerste bezoek van de gebruiker aan de site, verschijnt de toestemming opnieuw en vraagt ​​om een ​​verlenging van de toestemming.

Hoe zorg ik ervoor dat mijn cookie verklaring voldoet aan de AVG?

De AVG en de EU ePrivacy-richtlijn vereisen voorafgaande, geïnformeerde toestemming van jouw website bezoekers. Maar de AVG vereist ook dat je elke toestemming documenteert. Tegelijkertijd moet je rekening kunnen houden met welke gebruikersgegevens je deelt met services van Third party’s op jouw website en waar ter wereld de gebruikersgegevens naartoe worden gestuurd.

Een cookiemelding moet voldoen aan de volgende vereisten conform de AVG en ePrivacy verordening:

Transparante cookie verklaring

Een cookie verklaring moet de gebruiker op elk moment een duidelijk en nauwkeurig beeld geven van welke en hoe cookies op de website worden gebruikt. Het is een vereiste van de AVG, dat de cookie verklaring in een duidelijke en begrijpelijke taal is geschreven.

Overzicht en verantwoording voor cookies op uw website

Tijdens een controle word je verplicht om uitgebreid aan te tonen welke gegevensprocessen plaatsvinden op jouw website. Dit is gemakkelijker gezegd dan gedaan, omdat de meeste websites een groot aantal cookies van derden door hun systeem laten stromen.

Toestemming gevraagd door middel van een bevestigende actie

De grootste verandering voor cookies en online tracking met betrekking tot de AVG is dat toestemming moet worden gegeven door een duidelijke bevestigende actie. EU-burgers zijn gewend geraakt, maar waarschijnlijk ook enigszins geïrriteerd, aan de banners op alle websites, waarin het gebruik van cookies wordt vermeld. Soms wordt er gevraagd om op de OK-knop te klikken, maar dan maak je geen expliciete keuze. Conform de AVG is dit niet voldoende. De toestemming moet worden gegeven als een bewuste handeling en het weigeren van cookies moet een daadwerkelijke optie zijn.

Mogelijkheid om de toestemming te allen tijde in te trekken

De gebruiker moet de mogelijkheid hebben om zijn of haar toestemming in te trekken. Het is daarom belangrijk om ervoor te zorgen dat gebruikers te allen tijde toegang hebben tot hun huidige toestemmingsstatus en de instellingen kunnen wijzigen of hun toestemming volledig kunnen intrekken.

Hernieuwing van toestemming

Elke 12 maanden moet de toestemming worden vernieuwd. Dit wordt geteld vanaf het eerste moment van toestemming aan een website.

Gebruiksvriendelijke, no-nonsense cookie banner en verklaring

Een uitdaging van de AVG is dat enerzijds het gebruik van cookies transparant moet zijn. Dit is omdat bezoekers van een website inzicht moeten krijgen in hoe hun gegevens worden gebruikt. Anderzijds moet de communicatie echter duidelijk en gemakkelijk te begrijpen zijn, zodat de bezoekers een echte keuze kan maken.

Voorafgaande toestemming

Met de AVG en de e-Privacyrichtlijn moet de toestemming van de bezoeker worden gegeven vóórdat de cookies worden geplaatst. Onder de AVG heb je voorafgaande toestemming nodig voor het plaatsen van cookies die persoonlijke gegevens bijhouden. De e-Privacyrichtlijn gaat hier nog verder in en vereist dat je toestemming krijgt voor het plaatsen van alle behalve de strikt noodzakelijke cookies.

Toestemmingen moeten als bewijs worden geregistreerd

Alle toestemmingen moeten veilig worden opgeslagen, zodat ze als bewijs kunnen worden gebruikt in geval van controle. Dit wordt met onze oplossing opgeslagen in het zogenoemde toestemmingslog.

Kan ik een sjabloon voor een cookie verklaring gebruiken?

Er zijn talloze diensten op internet die sjablonen of generatoren bieden voor een cookie verklaring op jouw website. Google maar eens op "cookie verklaring generator " en je zult er een flink aantal vinden.

Maar let op! Wees voorzichtig met het gebruik van een standaard een template of generator voor en cookie verklaring. Check of deze voldoet aan alle punten die door de AVG gesteld worden.

Cookiebeleid en GDPR

We raden je aan om geen sjablonen of generators te gebruiken. Het is een AVG-vereiste dat de informatie over cookies en tracking specifiek en nauwkeurig moet zijn. Dat is met een standaard sjabloon of generator lastig te verwezenlijken. Ten eerste zijn alle websites anders en ten tweede kunnen cookies veranderen zonder dat je het merkt. Ongeveer 30% van de cookies wijzigt maandelijks. Het gaat dan vooral om cookies van derden, zoals embedded content, advertenties of analyse-tools.

Met de oplossing van Cookiebot wordt de inhoud van de cookie verklaring getoond op basis van de maandelijkse scan resultaten. Dit overzicht kan je publiceren op een specifieke pagina over de cookie verklaring of opnemen in de pagina met het privacybeleid. Op deze manier is de informatie die je aan jouw bezoekers verstrekt, over de cookies die op jouw site worden gebruikt, altijd nauwkeurig en correct. Bestel je Cookiebot via ons, dan kan je altijd contact met ons opnemen als je inhoudelijke of technische vragen hebt. 

Hoe je cookies en online tracking eenvoudig kunt laten voldoen aan de AVG en ePrivacy regelgeving

Om aan de vereisten te voldoen, kan je zelf een cookie banner ontwikkelen op basis van de AVG. Of je kunt je aanmelden bij Cookiebot voor een volledige cookie en online tracking-oplossing die voldoet aan de AVG en ePrivacy regelgeving. Doe je dit via ons, dan kan je ook gratis gebruik maken van onze support en custom banners. Met de oplossing van Cookiebot integreer je een actieve cookie banner en verklaring, omdat deze na elke maandelijkse scan geüpdate worden met de nieuwste informatie. Hierdoor zijn de cookie banner en verklaring altijd up-to-date en waarheidsgetrouw. De resultaten van het Scan Rapport worden ook gemaild aan een opgegeven mailadres. Zo hou je controle over de cookies en trackers op jouw website.

Door middel van een duidelijke en begrijpelijke banner wordt de toestemming van de gebruiker gevraagd, waarbij de gebruikers eenvoudig kunnen kiezen tussen de verschillende soorten cookies. De gebruikers hebben te allen tijde toegang tot de instellingen van de toestemming en kunnen hun toestemming altijd bewerken of intrekken. Elke twaalf maanden, nadat er voor de eerste keer toestemming is gegeven, wordt er automatisch weer om toestemming gevraagd.

De communicatie in de cookie banner is gebruiksvriendelijk en no-nonsense. Het biedt transparante informatie, maar vermijdt tegelijkertijd overbelasting van informatie. De toestemming wordt gevraagd vóórdat cookies geplaatst worden. Behalve voor de strikt noodzakelijke cookies. Die worden geplaatst om de website te laten functioneren. Alle toestemmingen worden automatisch verzameld via een beveiligde verbinding en opgeslagen als sterk gecodeerde sleutels in een toestemmingslog.

De AVG en soorten tracking cookies

Over het algemeen bestaan er vier verschillende soorten cookies, afhankelijk van hun looptijd en van hun oorsprong. De AVG is van invloed op alle vier typen. De oorsprong en duur van de cookies moeten worden gepresenteerd, zodat de gebruiker deze op een bevestigde en geïnformeerde manier kan accepteren.

Sessie cookies en de AVG

Deze cookies zijn tijdelijk en deze verlopen zodra de gebruiker de site verlaat. Sessie cookies worden voornamelijk gebruikt door webwinkels om items in het winkelmandje te houden terwijl de gebruiker online winkelt. In het algemeen zijn cookies onderworpen aan de AVG als cookies persoonlijke gegevens verzamelen. Sessie cookies zijn meestal van First Party cookies en maken de werking van de website mogelijk. Daarom zijn het vaak noodzakelijke cookies en zijn ze zelden onderworpen aan de AVG.

Permanente cookies en de AVG

Permanente cookies zijn cookies die niet uit de browser van de bezoeker worden verwijderd, zodra ze hun sessie op een website beëindigen. Hun duur hangt af van de vervaldatum die erin staat. Volgens de wet moeten ze op zijn minst om de 12 maanden worden verwijderd, maar een cookie kan voor altijd op de schijf blijven. Permanente cookies kunnen worden ingesteld door de website zelf of door derden die op de website actief zijn. De gegevens die ze opslaan, zijn afhankelijk van hun doel. Dit bepaalt of ze al dan niet onderworpen zijn aan de AVG. Een voorbeeld van permanente cookies zijn cookies die inloggegevens, contactinformatie en klantnummers onthouden, zodat de gebruiker ze niet elke keer hoeft in te voeren wanneer ze de site gebruiken. Maar permanente cookies kunnen eigenlijk elk doel dienen. Als een permanent cookie gegevens verzamelt, die als persoonlijk worden beschouwd volgens de definitie van de AVG, dan is deze onderworpen aan de verordening en moet je voorafgaande toestemming van de gebruiker krijgen vóórdat je dit type cookie gebruikt.

First-party cookies en de AVG

First party cookies worden geplaatst vanaf de website zelf. Deze cookies worden vaak geplaatst om de website informatie te geven over de gegevens en voorkeuren van de gebruiker. Over het algemeen zijn de meeste third-paty cookies degene die persoonlijke gegevens bijhouden. Dit plaatst first-party cookies echter niet automatisch op de witte lijst. Het hangt af van welke gegevens de cookie bijhoudt. Als de gegevens, op zichzelf of in combinatie, een specifieke persoon kunnen identificeren, zijn het persoonlijke gegevens en hebt je toestemming van jouw gebruikers nodig om ze in te stellen.

Third-party cookies en de AVG

Cookies van derden zijn cookies, die zijn ingesteld door derden, die op jouw website worden gebruikt. Als je analyses gebruikt, advertenties weergeeft, embedded content toont of jouw website wordt gehost, dan heb je cookies van derden op jouw website. Voor veel website-eigenaren is het moeilijk om een compleet en blijvend overzicht te kunnen konen, omdat third-party vaak veranderen. Wat is hun doel, waar komen ze vandaan, welke gegevens verzamelen ze en waar ter wereld worden ze naartoe gestuurd? Als eigenaar van een website word je verantwoordelijk gehouden voor het volgen van persoonlijke gegevens via jouw website en ben je verplicht jouw gebruikers hierover te informeren en hun gegevens te beschermen in overeenstemming met hun toestemmingsstatus.

Je kan een gratis QuickScan bij ons aanvragen om een ​​beeld te krijgen van de cookies die op jouw site worden gebruikt. De gratis QuickScan scant maximaal 100 subpagina's van jouw site en de resultaten van deze QuickScan ontvang je in een rapport per e-mail. In dit rapport vind je informatie over alle cookies en tracking op deze 100 pagina's.

Het doel van cookies van derden is vaak het verzamelen van bepaalde informatie voor het uitvoeren van verschillende onderzoeken naar gedrag, demografie en niet in de laatste plaats voor gerichte marketing enz.

Wat is de definitie van persoonlijke gegevens conform de AVG?

In de Algemene verordening gegevensbescherming worden de te beschermen gegevens als volgt gedefinieerd:

(26): De beginselen van gegevensbescherming moeten van toepassing zijn op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Persoonsgegevens die zijn gepseudonimiseerd, maar die aan een natuurlijke persoon kunnen worden toegeschreven door het gebruik van aanvullende informatie, moeten worden beschouwd als informatie over een identificeerbare natuurlijke persoon.

Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen die redelijkerwijs waarschijnlijk zullen worden gebruikt, zoals het uitkiezen. Hetzij door de verantwoordelijke, hetzij door een andere persoon om de natuurlijke persoon direct of indirect te identificeren. Om na te gaan of het redelijkerwijs waarschijnlijk is dat middelen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de hoeveelheid tijd die nodig is voor identificatie, rekening houdend met de beschikbare technologie op het moment van de verwerking en technologische ontwikkelingen. De beginselen van gegevensbescherming mogen daarom niet van toepassing zijn op anonieme informatie, namelijk informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet langer identificeerbaar is.

Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme informatie, ook niet voor statistische of onderzoeksdoeleinden.

Wat zijn gevoelige persoonlijke gegevens volgens de AVG?

Gevoelige persoonlijke gegevens bevatten gegevens over ras of etnische afkomst, politieke meningen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, het seksleven of seksuele geaardheid van een persoon, gezondheidsgegevens, genetische gegevens en biometrische gegevens. Een IP-adres of een naam wordt beschouwd als persoonlijke gegevens, maar NIET als gevoelige persoonlijke gegevens. Zie artikel 9.2 (a) en overwegingen 51 en 71 van de AVG voor meer informatie.

Overzicht van algemene persoonlijke gegevens versus gevoelige persoonlijke gegevens

Gemeenschappelijke persoonlijke identificeerbare informatie (PII):

  • Naam, adres, telefoon, e-mail
  • Geslacht, leeftijd enz.
  • Sollicitatie, CV, functie
  • Aankoopgeschiedenis en klantinformatie
  • Kredietinformatie, schuld etc.
  • IP nummer

Gevoelige persoonlijke identificeerbare informatie (PII):

  • Ras en etnische achtergrond (niet nationaliteit)
  • Genetische en biometrische gegevens
  • Politieke of religieuze overtuiging
  • Vakbondsvoorwaarden
  • Gezondheid en seksuele relaties

Wat betekent "gegevensverwerking"?

Gegevens verwerken is elke vorm van bewerking uitvoeren op persoonlijke gegevens, al dan niet geautomatiseerd. Voorbeelden van gegevensbewerkingen die in de AVG worden genoemd, zijn: verzamelen, vastleggen, organiseren, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, openbaar maken door uitzenden, verspreiden of anderszins beschikbaar stellen, uitlijnen, combineren, beperken wissen of vernietigen.

Wie is een "betrokkene/data subject" in de AVG?

Een betrokkene is de persoon wiens gegevens worden verwerkt.

Wie is een "gegevensbeheerder" in de AVG?

Een gegevensbeheerder is de partij die het doel en de middelen van de gegevensverwerking bepaalt. In het kader van bijvoorbeeld een bedrijf of een website, en zijn klanten en gebruikers, is de gegevensbeheerder het bedrijf of de website, die de gegevens van zijn klanten en gebruikers verwerkt om zijn diensten te optimaliseren. Of wat het bedrijf of de website ook wil te bereiken door middel van de gegevensverwerking.

Wie is een 'gegevensverwerker' in de AVG?

Een gegevensverwerker is de partij die de gegevensverwerking uitvoert namens de verwerkingsverantwoordelijke. Als het gaat om websites, zijn gegevensverwerkers meestal tools en geïntegreerde derde partijen zoals bijvoorbeeld Google Analytics, Hotjar, sociale mediaknoppen, enz.

Wie is een 'gegevensontvanger' in de context van de AVG?

De ontvanger is de partij aan wie de gegevens worden verstrekt.

Wie wordt in de AVG als een 'derde partij/third party' beschouwd?

Een derde partij is iemand anders dan de gegevensbeheerder of gegevensverwerker die, onder rechtstreeks gezag van de verantwoordelijke of de verwerker, gemachtigd is om persoonsgegevens te verwerken. In de context van een website worden third party cookies niet geplaatst door de website zelf, maar is een gevolg van de integratie van hulpmiddelen, embedded content, video of diensten.

Wat wordt bedoeld met toestemming in de AVG?

Toestemming van de persoon wiens gegevens worden verwerkt, moeten vrij gegeven, geïnformeerd en ondubbelzinnige zijn. Waarmee de gebruiker, door verklaring of door een duidelijke bevestigende actie, instemt met de verwerking van persoonsgegevens die op hem of haar betrekking hebben.

Wat is een inbreuk op persoonsgegevens in de context van de AVG?

Een inbreuk op persoonsgegevens betekent een inbreuk op de beveiliging die leidt tot de onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Wat betekent gegevensportabiliteit in de AVG?

Gegevensportabiliteit is het recht om iemands persoonlijke gegevens te ontvangen van een gegevensbeheerder, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat, en hebben het recht om die gegevens zonder enige belemmering van de eerstgenoemde naar een andere controller te verzenden (zie artikel 20 in de AVG).

AVG handhaving en sancties

Een EU-wetgeving van deze omvang en dit belang is het resultaat van een langdurig proces. In januari 2012 heeft de Europese Commissie een alomvattende hervorming van de gegevensbeschermingsregels uit 1995 voorgesteld (de RICHTLIJN 95/46 / EG), waardoor Europa op de hoogte is van het digitale tijdperk.

Op 4 mei 2016 zijn de officiële teksten van de verordening en de richtlijn in alle officiële talen in het publicatieblad van de EU (EU Official Journal) gepubliceerd. De verordening is op 25 mei 2018 van kracht geworden. Sinds deze datum lopen organisaties die niet aan de vereisten voldoen, of hun inspanningen documenteren, het risico om boetes opgelegd te krijgen tot € 20 miljoen of 4% van de wereldwijde jaaromzet van het bedrijf van het voorgaande boekjaar, indien dit hoger is.