6. L&T_2025-26_Data Protection III and cookies.pptx

# Gegevensbeschermingscompliance en nalevingsacties Dit onderwerp behandelt de praktische implementatie van de AVG, inclusief informatieplichten, het balanceren van belangen en datalekmeldingen, evenals de stappen die organisaties moeten nemen om aan de wettelijke vereisten te voldoen. ## 1. De accountability principe Het accountability principe stelt dat organisaties niet alleen moeten voldoen aan de AVG, maar ook moeten kunnen aantonen dat zij dit doen. Dit vereist proactieve maatregelen en de documentatie daarvan, zodat dit op verzoek kan worden voorgelegd aan een toezichthoudende autoriteit. ### 1.1 Proportionaliteit en nalevingslast De AVG is een horizontale verordening die voor alle verwerkingsverantwoordelijken en -bewerkers geldt. Echter, de nalevingslast moet proportioneel zijn. Dit betekent dat de verplichtingen moeten worden geïmplementeerd als passende maatregelen, afhankelijk van het risico en de omvang van de verwerking. ### 1.2 Vertaling van wettelijke verplichtingen naar praktijk Veel AVG-verplichtingen leiden indirect tot specifieke compliance-acties. Dit betreft de concrete implementatie van de wettelijke teksten in de dagelijkse bedrijfsvoering. ## 2. Informatieverplichtingen De AVG legt specifieke informatieplichten op aan verwerkingsverantwoordelijken, zowel wanneer gegevens direct van de betrokkene worden verzameld als wanneer ze indirect worden verkregen. ### 2.1 Artikel 13 AVG: Informatie bij gegevensverzameling van de betrokkene Wanneer persoonsgegevens direct bij de betrokkene worden verzameld, moet deze worden geïnformeerd over onder meer: * De identiteit en contactgegevens van de verwerkingsverantwoordelijke. * De contactgegevens van de functionaris voor gegevensbescherming (FG), indien van toepassing. * De doeleinden van de verwerking. * De rechtsgrond voor de verwerking. ### 2.2 Artikel 14 AVG: Informatie wanneer gegevens niet van de betrokkene zijn verkregen Indien persoonsgegevens niet van de betrokkene zelf zijn verkregen, moet aanvullende informatie worden verstrekt, bovenop de elementen genoemd in artikel 13: * De categorieën van persoonsgegevens die worden verwerkt. * De bronnen waaruit de persoonsgegevens afkomstig zijn. ### 2.3 Praktische implementatie: Privacyverklaring In de praktijk worden deze informatieplichten vervuld via een privacyverklaring. Deze verklaring moet worden aangepast aan elke relevante categorie van betrokkenen. De structuur van de privacyverklaring is cruciaal voor de transparantie en begrijpelijkheid voor de betrokkene. > **Tip:** Zorg ervoor dat de privacyverklaring duidelijk aangeeft welke gegevens voor welk doel worden verwerkt en op welke rechtsgrondslag. Vermijd algemeenheden en wees specifiek. #### 2.3.1 Structuur van de privacyverklaring De structuur van de privacyverklaring is belangrijk om de betrokkene inzicht te geven in de verwerking. Dit omvat doorgaans: * Welke persoonsgegevens worden verwerkt (identificatiegegevens, contactgegevens, betaalgegevens, etc.). * Waarom deze gegevens worden verwerkt (bv. nieuwsbrieven versturen, bestellingen leveren, verzoeken afhandelen). * De rechtsgrondslag voor de verwerking (wettelijke verplichting, legitiem belang, uitvoering overeenkomst). > **Voorbeeld:** Een privacyverklaring kan de volgende elementen bevatten: > * **Persoonsgegevens:** Naam, adres, e-mailadres, telefoonnummer, bankrekeningnummer. > * **Doeleinden:** Verzenden van nieuwsbrieven, levering van bestellingen, beantwoorden van vragen. > * **Rechtsgrondslag:** Noodzakelijk voor de uitvoering van een overeenkomst, voldoen aan wettelijke vereisten, legitiem belang. ## 3. Balans test Wanneer een verwerking plaatsvindt op basis van het gerechtvaardigd belang (artikel 6.1.f AVG), is een balans test vereist. ### 3.1 Vereisten voor de balans test De verwerkingsverantwoordelijke moet de volgende elementen identificeren en beschrijven: * De belangen, fundamentele rechten en vrijheden van de betrokkenen. * De impact van de verwerking op de betrokkenen, inclusief de aard, context en gevolgen van de verwerking. * De redelijke verwachtingen van de betrokkene. * De uiteindelijke afweging van tegenstrijdige rechten en belangen, inclusief de mogelijkheid van mitigerende maatregelen. ### 3.2 Documentatie van de beoordeling De verwerkingsverantwoordelijke moet de resultaten van deze balans test documenteren. ### 3.3 Rechtsgrondslag: Gerechtvaardigd belang Artikel 6.1.f AVG stelt dat verwerking rechtmatig is indien deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, zwaarder wegen. > **Tip:** De balans test moet zorgvuldig worden uitgevoerd en gedocumenteerd, aangezien dit een cruciaal element is om de rechtmatigheid van de verwerking op basis van gerechtvaardigd belang aan te tonen. ## 4. Melding van datalekken Een datalek is een inbreuk op de beveiliging die leidt tot, accidentele of onrechtmatige, vernietiging, verlies, wijziging of onbevoegde verstrekking van persoonsgegevens. ### 4.1 Beoordeling van risico's De melding van een datalek aan de toezichthoudende autoriteit is afhankelijk van het risico dat het lek oplevert voor de rechten en vrijheden van betrokkenen. Dit risico wordt beoordeeld op basis van de waarschijnlijkheid en de ernst van de mogelijke negatieve gevolgen. Factoren die hierbij een rol spelen zijn: * Het type inbreuk. * De aard, gevoeligheid en omvang van de persoonsgegevens. * De mate waarin betrokkenen identificeerbaar zijn. * Potentiële gevolgen en specifieke kenmerken van de betrokkene of verwerkingsverantwoordelijke. * Het aantal getroffen betrokkenen. ### 4.2 Artikel 33 AVG: Melding aan de toezichthoudende autoriteit Een persoonsgegevenslek moet onverwijld, en in principe binnen 72 uur na kennisname, worden gemeld aan de bevoegde toezichthoudende autoriteit, tenzij het datalek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van betrokkenen. Elke inbreuk moet worden gedocumenteerd. ### 4.3 Artikel 34 AVG: Communicatie aan de betrokkene Indien het datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, moet dit ook onverwijld aan de betrokkenen worden gecommuniceerd. ### 4.4 Compliance-acties bij datalekken Compliance-acties omvatten de volgende stappen: 1. **Detectie, beoordeling en reactie:** Ontwikkel en implementeer procedures voor het detecteren, beoordelen en reageren op datalekken. 2. **Melding aan de toezichthoudende autoriteit:** Indien een risico aanwezig is, meld het lek aan de bevoegde autoriteit (in België via het portaal van de Gegevensbeschermingsautoriteit). 3. **Communicatie aan de betrokkene:** Indien er sprake is van een hoog risico, communiceer het lek aan de betrokkene. 4. **Intern datalekregister:** Documenteer elk datalek in een intern register, ongeacht het risico. 5. **Voorbereiding:** Zorg voor een datalekprocedure, training en bewustwording onder medewerkers. > **Voorbeeld datalekken:** > * **Verlies van USB-sleutel met versleutelde back-up:** Leidt niet direct tot melding aan toezichthouder of communicatie aan betrokkene, maar dient gedocumenteerd te worden. > * **Cyberaanval op online marktplaats (publicatie van inloggegevens, betaalgegevens):** Vereist melding aan toezichthouder en communicatie aan betrokkenen. > * **Ziekenhuissysteemfalen met ontoegankelijkheid van medische dossiers:** Vereist melding aan toezichthouder en communicatie aan betrokkenen. > * **Ransomware-aanval waarbij gegevens niet zijn geëxfiltreerd maar wel versleuteld en herstel vertraging oplevert:** Vereist melding aan toezichthouder, maar geen communicatie aan betrokkene indien geen hoog risico op datalek. > * **Ransomware-aanval waarbij gegevens wel versleuteld zijn, maar met sterke encryptie en een beschikbare back-up en zonder exfiltratie:** Vereist geen melding aan toezichthouder of communicatie aan betrokkene. > * **Ziekenhuis met ransomware-aanval, waarbij alle patiëntendossiers zijn versleuteld en geplande chirurgie moest worden uitgesteld:** Vereist melding aan toezichthouder en communicatie aan betrokkene. > **Belangrijk:** De bevoegde autoriteiten bieden richtlijnen en portals om de melding van datalekken te faciliteren. ## 5. Gegevensbeschermingsautoriteit (DPA) De AVG vereist de oprichting van onafhankelijke toezichthoudende autoriteiten in elke lidstaat. ### 5.1 Benoeming van een Functionaris voor Gegevensbescherming (FG) De benoeming van een FG is verplicht wanneer: * De verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan. * De kernactiviteiten van de verwerkingsverantwoordelijke of -bewerker bestaan uit verwerkingen die regelmatige en stelselmatige grootschalige monitoring van betrokkenen vereisen. * De kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën gegevens (artikel 9 AVG) of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG). * EU- of nationale wetgeving dit voorschrijft. De benoeming kan ook vrijwillig plaatsvinden. ### 5.2 Taken van de FG De FG heeft onder andere de volgende taken: * Informeren en adviseren over gegevensbescherming. * Monitoren van de naleving van de AVG. * Optreden als contactpersoon voor de toezichthoudende autoriteit. > **Tip:** De FG moet onafhankelijk kunnen opereren en mag geen conflicterende belangen hebben. Rollen zoals financieel directeur, marketingmanager of HR-manager zijn doorgaans incompatibel met de functie van FG. ### 5.3 Meldingsplicht FG De contactgegevens van de FG moeten intern en extern worden gepubliceerd en worden gemeld aan de bevoegde toezichthoudende autoriteit. ## 6. Contractuele afspraken Afhankelijk van de rollen van de betrokken partijen bij gegevensverwerking, zijn contractuele afspraken noodzakelijk. ### 6.1 Gegevensverwerkingsovereenkomst (DPA) Een DPA, conform artikel 28.3 AVG, moet specifieke details bevatten over: * Het onderwerp, de duur, de aard, de doeleinden en de categorieën van gegevens en betrokkenen. * De verplichtingen en rechten van de verwerkingsverantwoordelijke. * De verplichtingen van de verwerker, waaronder het verwerken op instructie, geheimhouding, beveiligingsmaatregelen, inschakelen van sub-verwerkers, assistentie bij verzoeken van betrokkenen en meldingen van inbreuken. > **Tip:** De DPA moet meer bevatten dan alleen een herhaling van de AVG-bepalingen; het contract moet concreet maken hoe aan de vereisten wordt voldaan. ### 6.2 Joint controllership agreement Bij gezamenlijke controle (artikel 26 AVG) moet een overeenkomst de respectievelijke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vastleggen, met name met betrekking tot de uitoefening van de rechten van betrokkenen en transparantieverplichtingen. ## 7. Registreer van verwerkingsactiviteiten (ROPA) Organisaties moeten een register bijhouden van hun verwerkingsactiviteiten (artikel 30 AVG). ### 7.1 Inhoud van het register Voor verwerkingsverantwoordelijken omvat het register minimaal: * Naam en contactgegevens van de verwerkingsverantwoordelijke. * Doel(en) van de verwerking. * Categorieën van betrokkenen en persoonsgegevens. * Ontvangers van de persoonsgegevens. * Informatie over gegevensoverdrachten naar derde landen. * Opslagtermijnen (indien mogelijk). * Algemene beschrijving van de beveiligingsmaatregelen. Voor verwerkers geldt een vergelijkbare inhoud, met focus op de namens welke verwerkingen worden uitgevoerd. ### 7.2 Uitzondering voor kleine organisaties Organisaties met minder dan 250 werknemers zijn vrijgesteld van de ROPA-plicht, tenzij de verwerking waarschijnlijk een risico oplevert, niet incidenteel is, of bijzondere categorieën van gegevens betreft. > **Tip:** De ROPA is een essentieel instrument voor compliance en dient als startpunt voor het verkrijgen van een overzicht van alle verwerkingsactiviteiten. ## 8. Gegevensbeschermingseffectbeoordeling (DPIA) Een DPIA is een proces om de noodzaak en proportionaliteit van een verwerking te beoordelen, met name wanneer deze waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. ### 8.1 Wanneer een DPIA uitvoeren? De EDPB richtlijnen identificeren criteria die duiden op een hoog risico, zoals grootschalige verwerking van bijzondere categorieën gegevens, stelselmatige monitoring, of verwerkingen die innovatieve technologieën gebruiken. Lidstaten publiceren ook lijsten van verwerkingen waarvoor een DPIA verplicht is. ### 8.2 Hoe een DPIA uitvoeren? Organisaties hebben flexibiliteit in de methodologie van de DPIA. Dit kan door gebruik te maken van methodologieën die door toezichthoudende autoriteiten worden aangeboden of door een eigen, conforme methodologie te ontwikkelen. De uitkomst moet zijn dat er voldoende maatregelen zijn geïdentificeerd om het risico te beheersen. ## 9. Handhaving van de gegevensbescherming De handhaving van de AVG omvat diverse mechanismen op nationaal en Europees niveau. ### 9.1 Toezichthoudende Autoriteiten en hun Bevoegdheden Nationale toezichthoudende autoriteiten, zoals de Belgische Gegevensbeschermingsautoriteit (GBA), hebben de taak om de toepassing van de AVG te monitoren en handhavend op te treden. Zij hebben bevoegdheden zoals het uitvoeren van onderzoeken, het opleggen van correctieve maatregelen en het afhandelen van klachten. ### 9.2 Andere handhavingsopties Naast de directe acties van de DPA, bestaan er andere handhavingsopties: * Effectieve rechterlijke bescherming (artikel 79 AVG). * Vorderingen tot staking van ongeoorloofde verwerkingen. * Burgerrechtelijke vorderingen op basis van onrechtmatige daad. * Administratief beroep bij de Raad van State of de Marktenhof. * Strafrechtelijke sancties. ### 9.3 Europese Unie: EDPB en One-Stop-Shop De European Data Protection Board (EDPB) speelt een centrale rol in het waarborgen van een uniforme toepassing van de AVG binnen de EU. Het "one-stop-shop" mechanisme zorgt ervoor dat verwerkingsverantwoordelijken en -bewerkers in principe met slechts één toezichthoudende autoriteit te maken krijgen (de "lead supervisory authority") voor grensoverschrijdende verwerkingen. Andere autoriteiten die betrokken zijn ("supervisory authority concerned") kunnen echter ook rechten uitoefenen. > **Tip:** Het "one-stop-shop" principe stroomlijnt de samenwerking tussen toezichthoudende autoriteiten en vergemakkelijkt de naleving voor organisaties die in meerdere lidstaten actief zijn. ## 10. Cookies en vergelijkbare trackingtechnologieën De regelgeving rond cookies is complex en vereist naleving van zowel de AVG als de ePrivacy-richtlijn. ### 10.1 Categorieën van cookies Cookies kunnen worden onderverdeeld in verschillende categorieën: * **Essentiële cookies:** Noodzakelijk voor de werking van de website. * **Functionele cookies:** Verbeteren de gebruikerservaring (bv. taalvoorkeuren). * **Analytische cookies:** Verzamelen informatie over websitegebruik (vaak geanonimiseerd). * **Marketing cookies:** Worden gebruikt voor gerichte advertenties. Daarnaast wordt onderscheid gemaakt tussen **sessiecookies** (verdwijnen na sluiten browser) en **persistente cookies** (blijven langer op het apparaat), en **first-party cookies** (van de bezochte site) versus **third-party cookies** (van derde partijen). ### 10.2 Artikel 5.3 ePrivacy-richtlijn Dit artikel legt specifieke regels op voor het opslaan van informatie op of het verkrijgen van toegang tot informatie uit het eindapparatuur van een gebruiker. Dit vereist doorgaans informed consent. ### 10.3 Praktische implementatie: Cookiebanners De implementatie van cookiebeleid op websites gebeurt vaak via cookiebanners. Deze banners moeten voldoen aan strikte vereisten voor informatieverstrekking en toestemming. #### 10.3.1 Vereisten voor geldige toestemming Toestemming moet: * **Vrijelijk gegeven:** Gebruikers mogen niet onder druk worden gezet om toestemming te geven. * **Specifiek:** Toestemming voor specifieke doeleinden. * **Geïnformeerd:** Gebruikers moeten weten waarvoor ze toestemming geven. * **Ondubbelzinnig:** Een duidelijke actieve handeling is vereist. Het moet net zo eenvoudig zijn om toestemming in te trekken als om deze te geven. > **Voorbeeld:** Een cookiebanner moet duidelijk opties bieden om alle cookies te accepteren, alle af te wijzen, of instellingen aan te passen. Een "Reject all" knop moet op hetzelfde niveau staan als een "Accept all" knop. > **Tip:** De interpretatie en implementatie van "geldige toestemming" evolueert. Houd de richtlijnen van toezichthoudende autoriteiten nauwlettend in de gaten. ### 10.4 De toekomst: een cookieless future? Er wordt steeds meer gezocht naar alternatieven voor traditionele trackingmethoden, wat duidt op een mogelijke verschuiving naar een "cookieless future". --- # De rol en taken van de functionaris voor gegevensbescherming (FG) Hieronder vindt u een gedetailleerd studieoverzicht over de rol en taken van de Functionaris voor Gegevensbescherming (FG), gebaseerd op de verstrekte documentatie. ## 2. De rol en taken van de functionaris voor gegevensbescherming (FG) Dit gedeelte bespreekt de aanstellingscriteria, geschiktheid, onafhankelijkheid en de specifieke taken die de Functionaris voor Gegevensbescherming (FG) binnen een organisatie moet vervullen. ### 2.1 Aanstelling van een FG #### 2.1.1 Wanneer is een FG verplicht? De aanstelling van een FG is verplicht voor verwerkingsverantwoordelijken en verwervers wanneer: * De verwerking wordt uitgevoerd door een overheidsinstantie of openbaar lichaam, met uitzondering van rechtbanken die optreden in hun gerechtelijke hoedanigheid. * De kernactiviteiten van de verwerkingsverantwoordelijke of verwerker bestaan uit verwerkingen die, vanwege hun aard, omvang en/of doeleinden, regelmatige en systematische grootschalige monitoring van betrokkenen vereisen. * De kernactiviteiten van de verwerkingsverantwoordelijke of verwerker bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens, zoals bedoeld in artikel 9 van de AVG, of van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, zoals bedoeld in artikel 10 van de AVG. Daarnaast kan de aanstelling van een FG ook vereist zijn wanneer EU- of nationaal recht hierin voorziet. Organisaties kunnen er ook voor kiezen om vrijwillig een FG aan te stellen. #### 2.1.2 Wie kan worden aangesteld als FG? De FG moet worden aangesteld op basis van professionele kwaliteiten, waaronder: * **Expertkennis:** Diepgaande kennis van de wetgeving inzake gegevensbescherming en de praktijken die daaraan verbonden zijn. * **Vaardigheid:** Het vermogen om de taken die aan de FG zijn toevertrouwd effectief uit te voeren. > **Tip:** De beoordeling van deze kwalificaties moet worden gedocumenteerd. #### 2.1.3 Positie binnen de organisatie en onafhankelijkheid Om zijn taken onafhankelijk te kunnen uitvoeren, mag de FG geen conflicten van belangen hebben met andere functies binnen de organisatie. Functies die onverenigbaar zijn met die van FG zijn onder andere die van directeur, of personen verantwoordelijk voor financiële taken, marketing, HR, IT, compliance of risicobeheer. Het combineren van de functie van FG met die van CISO (Chief Information Security Officer) is wel mogelijk, mits de CISO deel uitmaakt van de 'tweede verdedigingslinie' en de taken beperkt blijven tot een adviserende en informatiefunctie, zonder beslissingsbevoegdheid over technische en organisatorische maatregelen. De FG kan ook verantwoordelijk zijn voor andere afdelingen, zolang dit geen operationele afdelingen betreft. > **Voorbeeld:** De functie van afdelingshoofd compliance mag niet samenvallen met de functie van FG, omdat de FG onafhankelijk moet opereren. ### 2.2 Taken van de FG De FG heeft de volgende kerntaken: 1. **Informeren en adviseren:** De FG moet de verwerkingsverantwoordelijke, de verwerker en het personeel dat verwerkingen uitvoert, informeren en adviseren over hun verplichtingen uit hoofde van de AVG en andere relevante wetgeving inzake gegevensbescherming. 2. **Toezicht op naleving:** De FG houdt toezicht op de naleving van de AVG, andere bepalingen inzake gegevensbescherming en het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens. Dit omvat ook het toezicht op de naleving van de technische en organisatorische maatregelen die zijn genomen om de veiligheid van de verwerking te waarborgen. 3. **Advies bij DPIA's:** De FG adviseert over en begeleidt de uitvoering van een gegevensbeschermingseffectbeoordeling (DPIA) wanneer zulks vereist is. 4. **Coördinatie en contactpunt:** De FG fungeert als contactpunt voor de toezichthoudende autoriteiten op het gebied van gegevensbescherming en werkt met hen samen wanneer zulks passend is. De contactgegevens van de FG moeten zowel intern (bv. op het intranet of in het register van verwerkingsactiviteiten) als extern (bv. in de privacyverklaring) worden gepubliceerd. 5. **Bewustmaking en training:** De FG draagt zorg voor het vergroten van het bewustzijn van het personeel over de risico's, waarborgen en rechten in verband met de verwerking van persoonsgegevens en organiseert trainingen. 6. **Documentatie van interventies:** Alle interventies van de FG moeten worden gedocumenteerd. #### 2.2.1 Verplichtingen van de organisatie jegens de FG Organisaties hebben de plicht om: * De naam en contactgegevens van de FG intern en extern te publiceren. * De FG te informeren over alle kwesties met betrekking tot de bescherming van persoonsgegevens. * De FG de nodige middelen te verstrekken om zijn taken uit te voeren. * De FG toegang te verlenen tot persoonsgegevens en verwerkingsactiviteiten. * De FG in staat te stellen zijn deskundigheid te handhaven. * De interventies van de FG naar behoren en tijdig te documenteren. > **Tip:** Organisaties moeten de contactgegevens van hun FG melden aan de bevoegde gegevensbeschermingsautoriteit. In België gebeurt dit via een specifiek portaal. #### 2.2.2 Communicatie en rapportage De FG moet in alle kwesties die verband houden met de bescherming van persoonsgegevens worden betrokken. De organisatie moet de FG tijdig informeren en de interventies van de FG documenteren. De FG heeft rechtstreeks toegang tot de hoogste leidinggevenden van de organisatie. De FG moet ook bijdragen aan het opstellen en bijhouden van de documentatie van verwerkingsactiviteiten (ROPA) en de beoordeling van de noodzaak en proportionaliteit van verwerkingen. #### 2.2.3 Meldingsplicht aan de toezichthoudende autoriteit De FG moet worden aangemeld bij de betreffende gegevensbeschermingsautoriteit. In België gebeurt dit via het portaal van de Gegevensbeschermingsautoriteit, dat ook wordt gebruikt voor het melden van datalekken. --- # Contractuele regelingen voor gegevensverwerking Dit onderdeel behandelt de noodzaak en structuur van contractuele regelingen tussen organisaties die persoonsgegevens verwerken, met specifieke aandacht voor gegevensverwerkingsovereenkomsten en gezamenlijke controllerschapsovereenkomsten. ## 3. Contractuele regelingen voor gegevensverwerking De Algemene Verordening Gegevensbescherming (AVG) vereist in bepaalde gevallen contractuele afspraken tussen partijen die betrokken zijn bij het zoeken en verwerken van persoonsgegevens. Deze regelingen bepalen de wederzijdse verplichtingen en rechten van de betrokkenen, wat essentieel is voor een correcte naleving van de privacywetgeving. De belangrijkste contractuele instrumenten zijn de gegevensverwerkingsovereenkomst en de gezamenlijke controllerschapsovereenkomst. ### 3.1 Gegevensverwerkingsovereenkomst (Data Processing Agreement - DPA) Een gegevensverwerkingsovereenkomst is een contract tussen een verwerkingsverantwoordelijke (controller) en een verwerker (processor). De AVG legt specifieke verplichtingen op aan zowel de verwerkingsverantwoordelijke als de verwerker in relatie tot deze overeenkomst. #### 3.1.1 Wettelijke grondslag en inhoud Artikel 28, lid 3 van de AVG specificeert de minimumvereisten voor een gegevensverwerkingsovereenkomst. Deze omvatten: * **Beschrijving van de verwerking:** Dit omvat het onderwerp, de duur, de aard en het doel van de verwerking, alsmede het type persoonsgegevens en de categorieën van betrokkenen. * **Verplichtingen en rechten van de verwerkingsverantwoordelijke:** De overeenkomst moet de verantwoordelijkheden van de controller duidelijk definiëren. * **Verplichtingen van de verwerker:** De verwerker moet minimaal voldoen aan de volgende verplichtingen: * Alleen persoonsgegevens verwerken op basis van **gedocumenteerde instructies van de verwerkingsverantwoordelijke**. * De personen die bij de verwerking betrokken zijn, onderwerpen aan een **geheimhoudingsplicht**. * Alle maatregelen nemen om een **passend beveiligingsniveau** te waarborgen. * **Voorafgaande toestemming** van de verwerkingsverantwoordelijke verkrijgen alvorens een subverwerker in te schakelen en een subverwerkingsovereenkomst sluiten. * De verwerkingsverantwoordelijke **assisteren** bij het reageren op verzoeken van betrokkenen en bij het waarborgen van de naleving van beveiligingsmaatregelen en de meldingsplicht bij datalekken. * Alle persoonsgegevens **verwijderen of teruggeven** aan de verwerkingsverantwoordelijke na beëindiging van de dienstverlening. * Alle informatie verstrekken die nodig is om de **naleving van de AVG aan te tonen** en audits door de verwerkingsverantwoordelijke (of een door deze gemachtigde auditor) toestaan en hieraan bijdragen. * De verwerkingsverantwoordelijke **onmiddellijk informeren** indien de verwerker van mening is dat een instructie van de verwerkingsverantwoordelijke in strijd is met de AVG of andere wetgeving. > **Tip:** Het is cruciaal dat de gegevensverwerkingsovereenkomst niet louter de bepalingen van de AVG herhaalt, maar specifieke, concrete informatie bevat over hoe aan de vereisten zal worden voldaan. De contractuele afspraken moeten worden opgesteld in het licht van de specifieke gegevensverwerkingsactiviteit. #### 3.1.2 Aanvullende bepalingen en standaardclausules Naast de wettelijk verplichte inhoud, kunnen aanvullende bepalingen in een bijlage bij de overeenkomst worden opgenomen. Deze kunnen onder meer betrekking hebben op: * Informatie over de vereiste technische en organisatorische maatregelen. * Lijst van subverwerkers (bij specifieke of algemene autorisatie). * Details, procedures en sjablonen voor de assistentie van de verwerker aan de verwerkingsverantwoordelijke met betrekking tot beveiliging, meldingen van datalekken en gegevensbeschermingseffectbeoordelingen (DPIA's). * Details betreffende de assistentie van de verwerker bij het reageren op verzoeken van betrokkenen. * Een procedure en een sjabloon voor het geven van verdere instructies aan de verwerker. De Europese Commissie biedt **standaardcontractclausules** aan voor gegevensverwerkingsovereenkomsten tussen verwerkingsverantwoordelijken en verwerkers binnen de EER. Dit is een onveranderlijk sjabloon dat kan worden aangepast en aangevuld, maar de gebruiker blijft verantwoordelijk voor naleving van de minimumvereisten. #### 3.1.3 Subverwerkingsovereenkomst Wanneer een verwerker een derde inschakelt om verwerkingstaken namens de verwerkingsverantwoordelijke uit te voeren (subverwerking), moet er een **subverwerkingsovereenkomst** worden gesloten. Deze overeenkomst moet voldoen aan dezelfde vereisten als een standaard gegevensverwerkingsovereenkomst (artikel 28, lid 4 juncto lid 3 AVG). De oorspronkelijke verwerker blijft verantwoordelijk voor de naleving van deze verplichtingen tegenover de verwerkingsverantwoordelijke. > **Tip:** Bij internationale gegevensoverdrachten naar derde landen buiten de EER, zijn er specifieke regels en vaak ook standaardcontractclausules van toepassing, die verschillen van de DPA's voor binnen de EER. ### 3.2 Gezamenlijke controllerschapsovereenkomst (Joint Controllership Agreement) Wanneer twee of meer organisaties gezamenlijk de doeleinden van en middelen voor de verwerking van persoonsgegevens bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken (joint controllers). Artikel 26 van de AVG vereist dat de essentiële elementen van hun regeling transparant worden gemaakt voor de betrokkenen. #### 3.2.1 Inhoud van de overeenkomst De gezamenlijke controllerschapsovereenkomst moet ten minste de volgende elementen bevatten: * **Beschrijving van de verwerking:** Duidelijk specificeren welke gegevens worden verwerkt, met welk doel en op welke rechtsgrondslag. * **Bepaling van de respectieve verantwoordelijkheden:** De respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken voor de naleving van de AVG moeten worden vastgelegd. Dit omvat met name: * De uitoefening van de rechten van de betrokkene (wie beantwoordt de verzoeken?). * Transparantieverplichtingen (wie informeert de betrokkenen over de verwerking?). * **Aanwijzing van een contactpunt:** Een contactpunt voor de betrokkenen kan worden aangewezen (optioneel). > **Tip:** Hoewel de AVG geen verplichting oplegt voor een schriftelijke overeenkomst, is het sterk aan te raden om een dergelijke overeenkomst op te stellen om duidelijkheid te scheppen en geschillen te voorkomen. De overeenkomst moet de respectieve rollen en verhoudingen van de gezamenlijke verwerkingsverantwoordelijken ten opzichte van de betrokkenen duidelijk weerspiegelen. #### 3.2.2 Transparantie en rechten van betrokkenen De essentie van de overeenkomst moet ter beschikking worden gesteld van de betrokkene. Belangrijk is dat een betrokkene zijn rechten kan uitoefenen ten opzichte van en tegenover elke gezamenlijke verwerkingsverantwoordelijke, ongeacht de inhoud van de onderlinge regeling. De EDPB (European Data Protection Board) beveelt aan om algemene informatie te verstrekken over de gezamenlijke verwerking, inclusief het onderwerp, het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen. ### 3.3 Registratie van verwerkingsactiviteiten (Records of Processing Activities - ROPA) De AVG verplicht organisaties om een registratie bij te houden van hun verwerkingsactiviteiten. Dit geldt zowel voor verwerkingsverantwoordelijken als voor verwerkers. #### 3.3.1 Minimale inhoud voor verwerkingsverantwoordelijken (Artikel 30.1 AVG) * Naam en contactgegevens van de verwerkingsverantwoordelijke (en eventueel diens wettelijke vertegenwoordiger). * Naam en contactgegevens van de functionaris voor gegevensbescherming (DPO), indien van toepassing. * Doeleinden van de verwerking. * Categorieën van betrokkenen. * Categorieën van persoonsgegevens. * Categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt. * Informatie over eventuele overdrachten van persoonsgegevens naar derde landen of internationale organisaties en de bijbehorende passende waarborgen. * Opslagtermijnen, indien mogelijk. * Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, indien mogelijk. #### 3.3.2 Minimale inhoud voor verwerkers (Artikel 30.2 AVG) * Naam en contactgegevens van de verwerker(s) (en eventueel diens wettelijke vertegenwoordiger). * Naam en contactgegevens van de verwerkingsverantwoordelijke(n) namens wie de verwerker optreedt (en eventueel diens wettelijke vertegenwoordiger). * Naam en contactgegevens van de functionaris voor gegevensbescherming (DPO), indien van toepassing. * Categorieën van verwerkingen die namens elke verwerkingsverantwoordelijke zijn uitgevoerd. * Informatie over eventuele overdrachten van persoonsgegevens naar derde landen of internationale organisaties en de bijbehorende passende waarborgen. * Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, indien mogelijk. > **Uitzondering:** Organisaties met minder dan 250 werknemers zijn in principe vrijgesteld van de verplichting tot het bijhouden van een ROPA, tenzij: > * de verwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen; > * de verwerking niet-af en toe is; > * de verwerking bijzondere categorieën van gegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten omvat. > **Tip:** De ROPA fungeert als een inventarisatie van de verwerkingsactiviteiten en is een essentieel startpunt voor naleving van de AVG. Diverse gegevensbeschermingsautoriteiten stellen sjablonen beschikbaar om organisaties te helpen bij het opstellen van hun ROPA. --- # Gegevensbeschermingseffectbeoordelingen (DPIA) Een gegevensbeschermingseffectbeoordeling (DPIA) is een proces dat wordt gebruikt om de noodzaak en proportionaliteit van gegevensverwerkingsactiviteiten te beoordelen, met name wanneer deze waarschijnlijk een hoog risico opleveren voor de rechten en vrijheden van natuurlijke personen. ### 4.1 Wanneer is een DPIA vereist? Een DPIA is in beginsel vereist wanneer een gegevensverwerking waarschijnlijk een **hoog risico** zal opleveren voor de rechten en vrijheden van natuurlijke personen. De Leidraden van de EDPB (European Data Protection Board) identificeren verschillende criteria die wijzen op dergelijke verwerkingsactiviteiten. #### 4.1.1 Criteria voor een hoge risico-inschatting * **Beoordeling van twee criteria:** Als **twee** van de volgende criteria worden vervuld, is een DPIA verplicht. * **Beoordeling van één criterium:** Als **één** van de volgende criteria wordt vervuld, kan een DPIA afhankelijk van de omstandigheden vereist zijn. De criteria zijn: * **Systematische en grootschalige monitoring:** De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingsactiviteiten die, vanwege hun aard, omvang en/of doeleinden, regelmatige en stelselmatige monitoring van betrokkenen op grote schaal vereisen. * **Grootschalige verwerking van bijzondere categorieën van gegevens:** De kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit de grootschalige verwerking van bijzondere categorieën van gegevens conform artikel 9 AVG en van persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG. * **Nieuwe technologieën:** Het gebruik van nieuwe technologieën, zoals kunstmatige intelligentie, kan potentiële risico's met zich meebrengen. * **Gebruik van innovatieve technologieën of grootschalige profilering:** Dit omvat de toepassing van innovatieve technologische oplossingen of grootschalige profilering die aanzienlijke effecten kan hebben op individuen. * **Gegevens die betrokkenen direct hinderen:** Verwerking van gegevens die fysieke of mentale schade kan toebrengen aan betrokkenen. * **Grootschalige verwerking van persoonsgegevens over kwetsbare personen:** Dit omvat de verwerking van gegevens van kinderen, patiënten, of andere groepen die extra bescherming behoeven. * **Grootschalige verwerking die leidt tot beslissingen met juridische gevolgen of vergelijkbare significante gevolgen:** Dit omvat beslissingen die iemands toegang tot diensten, kansen of rechten beïnvloeden. * **Coördinatie van gegevens van verschillende bronnen:** Het combineren van gegevens uit verschillende bronnen kan leiden tot een gedetailleerder profiel van individuen, wat risico's kan verhogen. * **Data mining en voorspellende analyses:** Het gebruik van data mining en geavanceerde analysemethoden om gedrag te voorspellen of te beoordelen. * **Verwerking van gegevens over gedrag, voorkeuren, of locatie:** Het verzamelen en analyseren van informatie over iemands gedrag, voorkeuren of geografische locatie. * **Verwerking die fysieke monitoring van een bepaald gebied inhoudt:** Denk hierbij aan camerabeveiliging op grote schaal. * **Grootschalige verwerking van biometrische of genetische gegevens:** Dit zijn gevoelige gegevens die, indien misbruikt, ernstige gevolgen kunnen hebben. * **Toepassing van geautomatiseerde besluitvorming met juridische of vergelijkbare significante gevolgen:** Dit is relevant wanneer AI of algoritmes beslissingen nemen die individuen sterk beïnvloeden. #### 4.1.2 Lijsten van nationale autoriteiten Nationale gegevensbeschermingsautoriteiten (DPAs) kunnen specifieke lijsten publiceren van verwerkingsactiviteiten waarvoor een DPIA verplicht is, en ook van activiteiten waarvoor dit niet nodig is. De Belgische Gegevensbeschermingsautoriteit heeft bijvoorbeeld een lijst opgesteld met verwerkingsscenario's waarvoor een DPIA verplicht is. > **Tip:** Raadpleeg altijd de specifieke richtlijnen van de relevante nationale gegevensbeschermingsautoriteit voor een volledig beeld van de verplichtingen. > **Voorbeeld:** Verwerking van biometrische gegevens voor unieke identificatie in openbare ruimtes is een scenario waarvoor de Belgische DPA een DPIA verplicht stelt. ### 4.2 Hoe voer je een DPIA uit? De AVG geeft flexibiliteit in de methodologie die verwerkingsverantwoordelijken kunnen gebruiken om een DPIA uit te voeren. Het is niet verplicht om specifieke templates van gegevensbeschermingsautoriteiten te gebruiken; een eigen, passende methodologie kan worden gehanteerd, mits deze voldoet aan de wettelijke vereisten. #### 4.2.1 Flexibiliteit in methodologie * **Geen verplicht gebruik van templates:** Verwerkingsverantwoordelijken zijn vrij om hun eigen methodologie te ontwikkelen voor het uitvoeren van een DPIA. * **Beschikbare templates:** Data Protection Authorities stellen wel templates beschikbaar die als leidraad kunnen dienen, bijvoorbeeld die van de Franse DPA (CNIL). * **Documentatie:** De resultaten van de DPIA, inclusief de geïdentificeerde maatregelen om het risico te verlagen, moeten gedocumenteerd worden. #### 4.2.2 Stappen in het DPIA-proces Het DPIA-proces kan globaal als volgt worden ingedeeld: 1. **Identificatie:** Bepalen of een DPIA verplicht is (conform nationale lijsten en EDPB-criteria). 2. **Beschrijving van de verwerking:** Het gedetailleerd beschrijven van de verwerkingsactiviteiten, inclusief de doelen, de soorten gegevens, de betrokkenen, en de bewaartermijnen. 3. **Beoordeling van noodzaak en proportionaliteit:** Analyseren of de verwerking noodzakelijk is voor het nagestreefde doel en of deze proportioneel is. 4. **Risicoanalyse:** Identificeren en beoordelen van de risico's voor de rechten en vrijheden van betrokkenen, rekening houdend met de aard, context en doeleinden van de verwerking. 5. **Identificatie van risicobeperkende maatregelen:** Het vaststellen van passende technische en organisatorische maatregelen om de geïdentificeerde risico's te verminderen tot een acceptabel niveau. 6. **Evaluatie en documentatie:** Het documenteren van het gehele proces, de resultaten en de gekozen maatregelen, en het eventueel raadplegen van de DPO. Indien de risico's na het treffen van maatregelen nog steeds hoog zijn, dient de DPA geraadpleegd te worden. > **Tip:** Het raadplegen van een Data Protection Officer (DPO) gedurende het DPIA-proces is essentieel om te zorgen dat alle relevante aspecten worden belicht en dat de gekozen maatregelen effectief zijn. --- # Handhaving van gegevensbescherming en cookiebeheer Dit onderwerp onderzoekt de handhavingsmechanismen voor gegevensbescherming in België en de EU, de rol van toezichthoudende autoriteiten, grensoverschrijdende procedures en de classificatie en het beheer van cookies. ### 5.1 Handhaving van gegevensbescherming De handhaving van de Algemene Verordening Gegevensbescherming (AVG) omvat diverse mechanismen en autoriteiten die toezien op de naleving van de wetgeving. #### 5.1.1 Compliance-acties en principes Het **accountability-principe** vereist dat organisaties aantonen dat zij de nodige maatregelen nemen en over de documentatie beschikken om dit te bewijzen. De AVG is een horizontale verordening, maar houdt rekening met het **proportionaliteitsbeginsel**, waarbij veel verplichtingen proportioneel moeten worden geïmplementeerd op basis van het risico en de omvang van de gegevensverwerking. * **Privacykennisgeving (Privacy Notice):** * Verplichtingen uit artikel 13 AVG (gegevens verzameld bij de betrokkene) en artikel 14 AVG (gegevens niet verkregen bij de betrokkene). * Dient informatie te bevatten over de identiteit en contactgegevens van de verwerkingsverantwoordelijke, de contactgegevens van de functionaris voor gegevensbescherming, de doeleinden van de verwerking en de rechtsgrondslag. * De structuur moet duidelijk en transparant zijn voor de betrokkene, met inzicht in welke gegevens voor welk doel en op welke rechtsgrondslag worden verwerkt. * **Toetsing van belangen (Balancing Test):** * Vereist wanneer de rechtsgrondslag gebaseerd is op het **legitieme belang** (artikel 6.1.f AVG). * De verwerkingsverantwoordelijke moet de belangen van de betrokkene, fundamentele rechten en vrijheden, de impact van de verwerking (aard, context, gevolgen), en de redelijke verwachtingen van de betrokkene identificeren en afwegen tegen de legitieme belangen. * Dit proces moet gedocumenteerd worden. * **Meldingsplicht datalekken:** * Een **persoonsgegevenslek** is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onwettige vernietiging, het verlies, de openbaarmaking of de toegang tot persoonsgegevens. * **Artikel 33 AVG:** Melding aan de toezichthoudende autoriteit binnen 72 uur na kennisname, tenzij het lek waarschijnlijk geen risico oplevert. Alle datalekken moeten gedocumenteerd worden. * **Artikel 34 AVG:** Melding aan de betrokkene wanneer het lek waarschijnlijk een hoog risico oplevert, zonder onnodige vertraging. * De ernst van het lek wordt beoordeeld op basis van de waarschijnlijkheid en de gevolgen, rekening houdend met het type lek, de aard en gevoeligheid van de gegevens, de identificeerbaarheid van personen, en mogelijke gevolgen. * Organisaties moeten geschikte systemen hebben om datalekken te detecteren. #### 5.1.2 De functionaris voor gegevensbescherming (DPO) De aanstelling van een DPO is verplicht in bepaalde gevallen: * Wanneer de verwerking wordt uitgevoerd door een **overheidsinstantie of -orgaan**, met uitzondering van gerechten die in hun gerechtelijke hoedanigheid optreden. * Wanneer de **kernactiviteiten** van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die, gezien hun aard, omvang en/of doel, **regelmatige en stelselmatige grootschalige monitoring** van betrokkenen vereisen. * Wanneer de **kernactiviteiten** bestaan uit **grootschalige verwerking** van bijzondere categorieën gegevens (artikel 9 AVG) of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG). * Wanneer de EU- of nationale wetgeving een aanstelling oplegt. De DPO moet beschikken over deskundige kennis van gegevensbeschermingsrecht en -praktijken en moet zijn taken onafhankelijk kunnen uitvoeren, zonder conflicten van belangen. Rollen zoals die van financieel verantwoordelijke, marketingmanager, HR-manager, IT-verantwoordelijke, of compliance- en risicomanager zijn vaak **incompatibel** met de functie van DPO. #### 5.1.3 Contractuele regelingen Bij het verwerken van gegevens zijn er verschillende rollen en bijbehorende verplichtingen: * **Gegevensverwerkingsovereenkomst (DPIA):** * Vereist wanneer een verwerker namens een verwerkingsverantwoordelijke gegevens verwerkt. * Bevat een beschrijving van de verwerking, de verplichtingen en rechten van de verwerkingsverantwoordelijke, en specifieke verplichtingen voor de verwerker (bijv. handelen op instructie, geheimhouding, beveiligingsmaatregelen, subverwerkers, bijstand aan verwerkingsverantwoordelijke, audits). * De overeenkomst moet specifieker zijn dan de AVG zelf en gedetailleerd de concrete implementatie beschrijven. * **Gezamenlijke verwerkingsverantwoordelijkheidsovereenkomst:** * Regelt de gezamenlijke verwerking van persoonsgegevens door twee of meer verwerkingsverantwoordelijken. * Definieert de respectieve verantwoordelijkheden voor naleving van de AVG, met name met betrekking tot de uitoefening van de rechten van betrokkenen en de transparantieverplichtingen. * Een contactpunt voor betrokkenen kan worden aangewezen. * De essentie van de overeenkomst moet beschikbaar worden gesteld aan betrokkenen. #### 5.1.4 Registers van verwerkingsactiviteiten (ROPA) * **Artikel 30 AVG:** Verplicht voor verwerkingsverantwoordelijken en verwerkers, tenzij de organisatie minder dan 250 personen tewerkstelt en de verwerking niet waarschijnlijk een risico inhoudt, niet incidenteel is, en geen bijzondere categorieën van gegevens of gegevens over strafrechtelijke veroordelingen betreft. * Bevat minimaal informatie over de contactgegevens van de verwerkingsverantwoordelijke/verwerker en de DPO, de doeleinden van de verwerking, categorieën van betrokkenen en gegevens, ontvangers, gegevensoverdrachten naar derde landen, bewaartermijnen en een algemene beschrijving van beveiligingsmaatregelen. #### 5.1.5 Gegevensbeschermingseffectbeoordeling (DPIA) * **Artikel 35 AVG:** Een proces waarbij de verwerking wordt beschreven, de noodzaak en proportionaliteit worden beoordeeld, en de risico's voor de rechten en vrijheden van betrokkenen worden geïdentificeerd en beheerd. * Een DPIA is verplicht wanneer de verwerking waarschijnlijk een hoog risico oplevert. Criteriastelsels, zoals die van de EDPB, helpen bij het bepalen van dit hoge risico. * Nationale toezichthoudende autoriteiten stellen lijsten op van verwerkingen waarvoor een DPIA verplicht is of juist niet. ### 5.2 Handhaving op Europees en nationaal niveau #### 5.2.1 Toezichthoudende autoriteiten in België * De **Gegevensbeschermingsautoriteit (GBA)** is de onafhankelijke toezichthoudende autoriteit in België. * Taken omvatten het behandelen van meldingen van datalekken, klachten van betrokkenen, advisering over wetgevingsvoorstellen en het onderzoeken van inbreuken. * Bevoegdheden omvatten het opleggen van correctieve maatregelen, zoals schikkingen of boetes. * Beslissingen van de GBA kunnen worden aangevochten bij de **Marktenkamer**. #### 5.2.2 Handhavingsopties Naast de administratieve procedures bij de GBA, zijn er andere handhavingsopties: * **Effectieve rechterlijke bescherming (artikel 79 AVG).** * **Vorderingen tot staking** van oneerlijke handelspraktijken. * **Civiele vorderingen** op basis van de algemene aansprakelijkheidsregels. * **Strafrechtelijke sancties** kunnen worden opgelegd in bepaalde gevallen. * Beroepsmogelijkheden bij de **Raad van State** voor administratieve beslissingen, tenzij een specifieke rechter bevoegd is. #### 5.2.3 Europees niveau: De European Data Protection Board (EDPB) * De **EDPB** bestaat uit vertegenwoordigers van alle nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming. * De EDPB geeft bindende beslissingen via de **consistentieprocedure** wanneer toezichthoudende autoriteiten het niet eens worden over grensoverschrijdende gevallen. * Het **"one-stop-shop" mechanisme** (artikel 56 AVG) regelt dat verwerkingsverantwoordelijken of verwerkers met een hoofdvestiging in de EU in principe met slechts één toezichthoudende autoriteit (de leidende toezichthoudende autoriteit - LSA) te maken hebben voor grensoverschrijdende verwerkingen. > **Tip:** Het one-stop-shop mechanisme is ontworpen om grensoverschrijdende handhaving te stroomlijnen en de administratieve last voor organisaties te verminderen. #### 5.2.4 Grensoverschrijdende gevallen en de one-stop-shop * De **leidende toezichthoudende autoriteit (LSA)** is primair verantwoordelijk voor de supervisie van grensoverschrijdende verwerkingen. * Andere toezichthoudende autoriteiten kunnen optreden als **betrokken toezichthoudende autoriteit** als zij relevant zijn voor de verwerking of wanneer een klacht bij hen is ingediend. * Er zijn uitzonderingen op de one-stop-shop, zoals gevallen die betrekking hebben op wettelijke verplichtingen, openbaar belang, spoedeisende zaken, of wanneer de onderlinge bijstand mislukt. ### 5.3 Cookies en soortgelijke trackingtechnologieën Cookies zijn kleine tekstbestandjes die op een apparaat van een gebruiker worden geplaatst en informatie opslaan. #### 5.3.1 Categorieën cookies Cookies kunnen worden ingedeeld op basis van verschillende criteria: * **Essentiële cookies:** Noodzakelijk voor de basisfunctie van de website. * **Functionele cookies:** Verbeteren de gebruikerservaring door voorkeuren te onthouden. * **Analytische cookies:** Verzamelen informatie over hoe gebruikers de website gebruiken (vaak geanonimiseerd). * **Marketing cookies:** Worden gebruikt om gebruikers over websites heen te volgen voor gerichte advertenties. * **Sessiecookies:** Blijven actief gedurende de browsersessie en worden verwijderd bij het sluiten van de browser. * **Persistente cookies:** Blijven langer op het apparaat van de gebruiker staan voor een vooraf bepaalde duur. * **First-party cookies:** Geplaatst door de website die de gebruiker bezoekt. * **Third-party cookies:** Geplaatst door domeinen anders dan die welke door de gebruiker worden bezocht. #### 5.3.2 Juridisch kader * **Artikel 5.3 van de ePrivacy-richtlijn (en artikel 10/2 van de Belgische Wet op de bescherming van persoonsgegevens):** Dit artikel regelt de toegang tot informatie die op het eindapparaat van een gebruiker is opgeslagen of de opslag van informatie op dat eindapparaat. * Dit artikel is van toepassing ongeacht of de informatie persoonsgegevens bevat of niet. * Toestemming is vereist voor het plaatsen of raadplegen van niet-essentiële cookies. #### 5.3.3 Praktische implementatie en geldige toestemming * **Informatieplicht:** Gebruikers moeten worden geïnformeerd over de cookies, hun duur, de opslagperiode van gegevens, en eventuele derde partijen die toegang hebben tot de cookies. Dit moet geïntegreerd worden in de privacykennisgeving. * **Cookiebanners:** Moeten een duidelijke optie bieden om cookies te accepteren, te weigeren, of instellingen aan te passen. * **Geldige toestemming:** Moet vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig en door een duidelijke bevestigende actie zijn. Het moet even eenvoudig zijn om toestemming in te trekken als om deze te geven. > **Voorbeeld:** Een cookiebanner die een 'Accepteer alles' en een 'Weiger alles' knop op hetzelfde niveau toont, voldoet aan de vereisten. Een banner die de gebruiker dwingt om door meerdere niveaus te navigeren om cookies te weigeren, of die misleidende ontwerpelementen gebruikt, is niet compliant. #### 5.3.4 Evoluties en toekomstige trends De interpretatie en handhaving van cookie-gerelateerde regelgeving evolueert voortdurend. Er is een trend naar strengere handhaving, met name met betrekking tot het verkrijgen van geldige toestemming. Een 'cookieless' toekomst wordt onderzocht met alternatieve trackingmethoden. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Verantwoordelijke (Controller) | Een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die, alleen of samen met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens vaststelt. | | Verwerker (Processor) | Een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of ander orgaan die persoonsgegevens verwerkt namens de verantwoordelijke. | | Persoonsgegevens | Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van kenmerken zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer fysieke, fysiologische, genetische, psychische, economische, culturele of sociale kenmerken. | | Verwerking | Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling,megen van elkaar brengen, met elkaar in verband brengen, alsmede afscherming, uitwissing of vernietiging van gegevens. | | Datalek | Een inbreuk op de beveiliging die onbedoeld of onrechtmatig vernietiging, verlies, wijziging of onbevoegde openbaarmaking van persoonsgegevens veroorzaakt, of onbevoegde toegang tot persoonsgegevens veroorzaakt. | | Verwerkingsverantwoordelijke | De entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt. | | Gegevensbeschermingseffectbeoordeling (DPIA) | Een proces om de noodzaak en proportionaliteit van de verwerking van persoonsgegevens te beoordelen, en om de risico's voor de rechten en vrijheden van betrokkenen te identificeren en te beperken. | | Functionaris voor gegevensbescherming (FG) | Een persoon die binnen een organisatie toezicht houdt op de naleving van de AVG, adviseert en optreedt als contactpunt voor toezichthoudende autoriteiten en betrokkenen. | | Legitiem belang | Een juridische grondslag voor de verwerking van persoonsgegevens, waarbij het belang van de verwerkingsverantwoordelijke zwaarder weegt dan de belangen of grondrechten en -vrijheden van de betrokkene, tenzij de betrokkene een kind is. | | Proportionaliteitsbeginsel | Een principe dat vereist dat de implementatie van verplichtingen, zoals de beveiliging van gegevens, evenredig is aan het risico en de omvang van de verwerkingsactiviteit. | | Transparantiebeginsel | Het principe dat informatie over de verwerking van persoonsgegevens duidelijk, begrijpelijk en toegankelijk moet zijn voor de betrokkene. | | Toezichthoudende autoriteit | Een onafhankelijke overheidsinstantie die is ingesteld om de naleving van de AVG te monitoren en te handhaven. | | E-privacy richtlijn | Een EU-richtlijn die specifieke regels bevat voor de bescherming van persoonsgegevens en privacy in de elektronische communicatiesector, inclusief regels voor cookies. | | Cookie | Een klein tekstbestand dat door een website op het apparaat van een gebruiker wordt geplaatst om informatie op te slaan, zoals voorkeuren of sessiegegevens. | | Persoonsgegevens | Alle informatie die direct of indirect herleidbaar is tot een specifieke persoon. | | Gegevensbescherming door ontwerp en door standaardinstellingen (Privacy by Design and by Default) | Principes die vereisen dat gegevensbescherming en privacy vanaf het begin worden geïntegreerd in de ontwikkeling van systemen en processen, en dat standaardinstellingen de privacy maximaliseren. | | Joint Controller | Twee of meer verantwoordelijken die gezamenlijk de doeleinden en middelen van de verwerking van persoonsgegevens bepalen. | | Gegevensverwerkingsovereenkomst (DPA) | Een contract tussen een verwerkingsverantwoordelijke en een verwerker waarin de specifieke verwerkingsactiviteiten, de verantwoordelijkheden en de verplichtingen van beide partijen worden vastgelegd. |