Wet- en regelgeving

De AVG, voluit de Algemene Verordening Gegevensbescherming of in het Engels de GDPR (General Data Protection Regulation), is de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. De wet is van toepassing op alle organisaties die persoonsgegevens verwerken van mensen binnen de EU, ongeacht waar het bedrijf zelf gevestigd is. Voor bedrijven is de AVG belangrijk omdat het duidelijke regels oplegt over hoe ze met persoonsgegevens moeten omgaan, met als doel de privacy van burgers beter te beschermen. Ondernemingen zijn verplicht transparant te zijn over wat ze met gegevens doen, moeten passende beveiligingsmaatregelen nemen en kunnen hoge boetes krijgen bij overtredingen. Voor bedrijven in België betekent dit onder andere dat ze zich ook moeten houden aan specifieke richtlijnen van de Gegevensbeschermingsautoriteit (GBA), die toeziet op de naleving van de AVG.

Volgens de AVG zijn persoonsgegevens alle gegevens die iets zeggen over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat het gaat om informatie die direct of indirect herleidbaar is tot een individu. Denk aan namen, adressen, telefoonnummers, e-mailadressen, IP-adressen, locatiegegevens en zelfs bedrijfsgegevens als deze gekoppeld zijn aan een persoon, zoals de naam van een zaakvoerder bij een eenmanszaak. In de AVG worden ook bijzondere categorieën van persoonsgegevens onderscheiden, zoals informatie over gezondheid, religie, etniciteit of politieke voorkeur. Deze zijn extra gevoelig en mogen alleen onder strikte voorwaarden worden verwerkt.

Verwerken van persoonsgegevens betekent volgens de AVG elke bewerking of reeks van bewerkingen die wordt uitgevoerd op persoonsgegevens, al dan niet via geautomatiseerde processen. Het begrip is bewust ruim gedefinieerd. Onder verwerken vallen niet alleen het verzamelen of opslaan van gegevens, maar ook het raadplegen, gebruiken, wijzigen, doorsturen, combineren, verwijderen of zelfs enkel bewaren ervan. Vrijwel elke handeling die je als organisatie uitvoert met persoonsgegevens valt dus onder verwerking. Dit betekent dat ook handelingen zoals het bijhouden van een klantenbestand, het versturen van nieuwsbrieven of het analyseren van websitegedrag onder de verwerkingsverantwoordelijkheid vallen.

De AVG is de overkoepelende Europese privacywet die in alle EU-lidstaten geldt. De Belgische privacywetgeving, voluit de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ook wel WVP genoemd), vult de AVG aan met specifieke bepalingen voor België. Deze wet bepaalt onder meer de oprichting en bevoegdheden van de Gegevensbeschermingsautoriteit (GBA) en legt bepaalde bijkomende verplichtingen op, zoals rond het gebruik van camerabewaking of de verwerking van gevoelige gegevens. Voor Belgische bedrijven betekent dit dat ze zich niet alleen aan de AVG moeten houden, maar ook rekening moeten houden met nationale regels die de wet aanvullen of verduidelijken.

Gerechtvaardigd belang is één van de zes wettelijke grondslagen waarop je als organisatie persoonsgegevens mag verwerken volgens de AVG. In de context van B2B wordt deze grondslag vaak gebruikt, bijvoorbeeld bij direct marketing, het onderhouden van klantrelaties of het beveiligen van IT-systemen. Het betekent dat je een duidelijk belang hebt bij de verwerking, dat belang noodzakelijk is, en dat het privacybelang van de betrokkene niet zwaarder weegt. Als B2B-bedrijf moet je dit belang kunnen aantonen én motiveren waarom de verwerking proportioneel is. Een zogeheten belangenafweging of "balancing test" is hierbij cruciaal. Let wel: gerechtvaardigd belang is geen vrijbrief. Transparantie en respect voor de rechten van betrokkenen blijven verplicht.

Je bent verwerkingsverantwoordelijke volgens de AVG zodra jouw organisatie het doel en de middelen bepaalt voor het verwerken van persoonsgegevens. Dat betekent dat jij beslist waarom en hoe persoonsgegevens worden verzameld, opgeslagen of gebruikt. Dit geldt zowel voor interne verwerking, zoals HR-data van medewerkers, als voor externe verwerking zoals klant- of prospectgegevens in een CRM-systeem. In de praktijk zijn de meeste organisaties in België die persoonsgegevens verwerken verwerkingsverantwoordelijke, of ze nu actief zijn in B2B of B2C. Zelfs wanneer je samenwerkt met een externe partij voor bijvoorbeeld IT of marketing, blijf jij in veel gevallen eindverantwoordelijk voor de gegevens die worden verwerkt namens jouw organisatie.

Een gegevensverwerker is een organisatie of persoon die persoonsgegevens verwerkt namens een verwerkingsverantwoordelijke. Je bent dus verwerker wanneer je niet zelf bepaalt waarom de gegevens worden verzameld, maar enkel handelt in opdracht van een andere partij. Denk aan marketingbureaus, softwareleveranciers, cloudproviders of callcenters die data verwerken voor klanten. In die rol mag je alleen gegevens verwerken binnen het kader van de instructies die je krijgt. Volgens de AVG moet er altijd een verwerkingsovereenkomst worden afgesloten tussen de verwerker en de verantwoordelijke, waarin onder meer afspraken staan over beveiliging, vertrouwelijkheid en de omgang met datalekken.

De Gegevensbeschermingsautoriteit (GBA) is de officiële toezichthouder op privacy en gegevensbescherming in België. De GBA controleert of organisaties zich houden aan de regels van de AVG en de Belgische privacywetgeving. Ze heeft de bevoegdheid om klachten van burgers te behandelen, audits uit te voeren, aanbevelingen te geven en, indien nodig, sancties of boetes op te leggen. Daarnaast speelt de GBA ook een voorlichtende rol: ze publiceert richtlijnen, adviezen en praktische tools om bedrijven te helpen correct om te gaan met persoonsgegevens. Belgische organisaties doen er goed aan de richtlijnen van de GBA nauwgezet te volgen, zeker bij twijfel over de toepassing van de AVG in specifieke situaties.

Wanneer twee of meer organisaties samen het doel en de middelen bepalen voor de verwerking van persoonsgegevens, zijn ze gezamenlijke verwerkingsverantwoordelijken – in AVG-termen ‘joint controllers’. In dat geval moeten zij onderling duidelijke afspraken maken over wie welke verplichtingen op zich neemt, zoals de communicatie naar betrokkenen, de verwerking van verzoeken en het melden van datalekken. Deze afspraken moeten schriftelijk worden vastgelegd in een gezamenlijke regeling. Toch blijven beide partijen afzonderlijk aansprakelijk ten opzichte van de betrokkene. Transparantie is ook hier verplicht: betrokkenen moeten eenvoudig kunnen achterhalen wie waarvoor verantwoordelijk is binnen de gezamenlijke verwerking.

Een verwerkingsovereenkomst is verplicht wanneer je als organisatie een externe partij inschakelt om persoonsgegevens te verwerken. Volgens de AVG moet deze overeenkomst een aantal vaste elementen bevatten. Zo moet duidelijk zijn welke persoonsgegevens worden verwerkt, met welk doel, onder welke instructies en voor welke duur. Daarnaast moeten er afspraken worden gemaakt over passende beveiligingsmaatregelen, geheimhoudingsplichten, omgang met subverwerkers, meldplichten bij datalekken, ondersteuning bij verzoeken van betrokkenen en het wissen of teruggeven van gegevens na beëindiging van de overeenkomst. Zonder zo’n overeenkomst is de verwerking onrechtmatig, wat grote juridische en financiële risico’s met zich meebrengt.

Volgens de AVG zijn er zes wettelijke grondslagen waarop organisaties persoonsgegevens mogen verwerken. De belangrijkste zijn toestemming van de betrokkene, het uitvoeren van een overeenkomst, en het voldoen aan een wettelijke verplichting. Andere toegestane grondslagen zijn het beschermen van vitale belangen, het uitvoeren van een taak van algemeen belang en het gerechtvaardigd belang van de organisatie. Elke verwerking moet gebaseerd zijn op minstens één van deze grondslagen. Je mag dus nooit zomaar gegevens verzamelen of gebruiken zonder een duidelijke reden. Als organisatie ben je bovendien verplicht om die gekozen grondslag te kunnen onderbouwen en documenteren, bijvoorbeeld in je verwerkingsregister.

De AVG geeft betrokkenen een reeks rechten waarmee zij controle kunnen uitoefenen over hun persoonsgegevens. Ze hebben onder meer recht op informatie, inzage in hun gegevens, correctie van fouten, en het recht om gegevens te laten verwijderen – ook wel het recht op vergetelheid genoemd. Daarnaast mogen betrokkenen de verwerking laten beperken, bezwaar maken tegen verwerking, en hun gegevens overdragen naar een andere partij (dataportabiliteit). In sommige gevallen kunnen ze ook bezwaar maken tegen automatische profilering. Als organisatie moet je op elk van deze verzoeken tijdig en adequaat reageren. Je bent verplicht om betrokkenen te informeren over deze rechten, bijvoorbeeld via je privacyverklaring.

Ja, volgens de AVG ben je als organisatie verplicht om betrokkenen duidelijk te informeren over de verwerking van hun persoonsgegevens. Je moet uitleggen welke gegevens je verzamelt, waarom je dat doet, op welke grondslag, hoe lang je ze bewaart, en met wie je ze eventueel deelt. Deze informatie moet transparant, begrijpelijk en makkelijk vindbaar zijn – vaak gebeurt dit via een privacyverklaring op je website. Ook als je gegevens indirect hebt verkregen, bijvoorbeeld via een databroker of openbare bron, ben je verplicht om de betrokkene alsnog te informeren binnen een redelijke termijn. Transparantie is één van de kernprincipes van de AVG en essentieel voor vertrouwen.

Wanneer iemand gebruik wil maken van zijn of haar AVG-rechten, zoals het recht op inzage, correctie of verwijdering, moet je als organisatie snel en zorgvuldig reageren. Je hebt in principe één maand de tijd om het verzoek te behandelen. Je moet de identiteit van de aanvrager verifiëren, beoordelen of het verzoek geldig is en vervolgens de gevraagde actie ondernemen of motiveren waarom dat niet kan. Zorg ervoor dat je interne processen of een vast aanspreekpunt hebt ingericht om deze verzoeken te beheren. Een goed systeem en duidelijke werkwijze helpen om te voldoen aan je verplichtingen en klachten bij de toezichthouder te voorkomen.

Profilering is toegestaan onder de AVG, ook in een B2B-context, zolang je je houdt aan de regels rond transparantie, grondslagen en rechten van betrokkenen. Profilering betekent dat je op basis van persoonsgegevens automatisch een profiel opstelt, bijvoorbeeld voor het inschatten van koopgedrag of interesses. Dit mag alleen als je daar een wettelijke grondslag voor hebt, zoals gerechtvaardigd belang of toestemming. Je moet duidelijk uitleggen dat je aan profilering doet en betrokkenen de mogelijkheid bieden om bezwaar te maken. Gevoelige gegevens mogen niet zomaar worden gebruikt, en profilering mag niet leiden tot discriminerende of oneerlijke gevolgen voor de betrokkene.

Toestemming is alleen geldig onder de AVG als die vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. In een B2B-context betekent dat bijvoorbeeld dat je niet zomaar een vakje vooraf mag aanvinken op een formulier, en dat het voor de ontvanger duidelijk moet zijn waarvoor hij toestemming geeft. De toestemming moet aantoonbaar zijn: je moet kunnen bewijzen dat iemand bewust akkoord is gegaan met de verwerking van zijn persoonsgegevens. Dit geldt ook voor direct marketing naar zakelijke e-mailadressen van natuurlijke personen, zoals zelfstandigen of werknemers. Let op dat toestemming altijd herroepbaar moet zijn, zonder nadelige gevolgen voor de betrokkene.

De AVG schrijft geen vaste bewaartermijnen voor persoonsgegevens voor, maar stelt wel dat je gegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Zodra je het doel hebt bereikt, moet je de gegevens verwijderen of anonimiseren. Wat als “noodzakelijk” geldt, hangt af van de aard van de verwerking en eventuele wettelijke verplichtingen, zoals fiscale of arbeidsrechtelijke bewaartermijnen. Het is belangrijk om als organisatie zelf een bewaartermijn te bepalen, dit te documenteren in je verwerkingsregister en betrokkenen hierover te informeren in je privacyverklaring.

De documentatieplicht onder de AVG houdt in dat je als organisatie moet kunnen aantonen dat je voldoet aan de privacyregels. Dit wordt ook wel de verantwoordingsplicht genoemd. De kern hiervan is het bijhouden van een verwerkingsregister, waarin je alle gegevensverwerkingen in kaart brengt: welke persoonsgegevens je verwerkt, met welk doel, op welke grondslag, wie erbij betrokken zijn, hoe lang je de data bewaart en welke beveiligingsmaatregelen je neemt. Naast het register moet je ook andere documenten kunnen voorleggen, zoals verwerkersovereenkomsten, beleid rond datalekken, en eventueel uitgevoerde DPIA’s. Zonder goede documentatie loop je als organisatie het risico op boetes bij controle.

Een DPIA, of Data Protection Impact Assessment, is een risicoanalyse die je moet uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De AVG verplicht dit bijvoorbeeld bij grootschalige verwerking van gevoelige gegevens, systematische monitoring of profilering. Ook in sectoren zoals marketing, gezondheidszorg of HR kan een DPIA verplicht zijn. In België adviseert de Gegevensbeschermingsautoriteit specifieke situaties waarin je zo’n beoordeling moet uitvoeren. De DPIA helpt je om privacyrisico’s vooraf in kaart te brengen en tijdig maatregelen te nemen om die risico’s te beperken.

Om je organisatie AVG-compliant te maken, moet je een combinatie van juridische, organisatorische en technische maatregelen nemen. Dit begint bij het in kaart brengen van alle gegevensverwerkingen via een verwerkingsregister. Vervolgens stel je een duidelijk privacybeleid op, zorg je voor correcte informatieverstrekking aan betrokkenen, sluit je verwerkersovereenkomsten af met externe partijen en implementeer je beveiligingsmaatregelen. Daarnaast moet je kunnen omgaan met datalekken, verzoeken van betrokkenen behandelen en – indien nodig – een DPO aanstellen. AVG-compliance is geen eenmalige actie, maar een continu proces van evaluatie, bijsturing en transparantie.

Als je organisatie niet voldoet aan de AVG, loop je het risico op sancties van de toezichthouder, in België is dat de Gegevensbeschermingsautoriteit (GBA). De GBA kan waarschuwingen, verplichte aanpassingen of boetes opleggen. Financiële sancties kunnen oplopen tot 20 miljoen euro of 4% van je wereldwijde jaaromzet, afhankelijk van welke het hoogste is. Naast boetes kan niet-naleving leiden tot reputatieschade, verlies van klantenvertrouwen en juridische claims van betrokkenen. Ook kleinere ondernemingen zoals KMO’s kunnen worden gecontroleerd of beboet als zij persoonsgegevens verkeerd verwerken of onvoldoende beveiligd hebben.

Een FG (Functionaris voor Gegevensbescherming), ook wel DPO (Data Protection Officer), is een persoon binnen of buiten je organisatie die toeziet op naleving van de AVG. Je bent verplicht een DPO aan te stellen als je organisatie op grote schaal bijzondere persoonsgegevens verwerkt, als je systematisch mensen monitort (zoals via profilering), of als je een publieke instantie bent. In België geldt deze verplichting bijvoorbeeld ook voor ziekenhuizen, verzekeraars en onderwijsinstellingen. Zelfs als het niet verplicht is, kan het aanstellen van een DPO nuttig zijn om risico’s te beperken en AVG-compliance professioneel aan te pakken. Vergeet niet je DPO aan te melden bij de GBA.

Er is sprake van een datalek wanneer persoonsgegevens verloren zijn gegaan, ongeoorloofd zijn ingezien of op enige wijze zijn blootgesteld aan onbevoegden. Dit kan door hacking, verlies van een laptop of USB-stick, een verkeerd geadresseerde e-mail of een menselijke fout. Zodra je een datalek vaststelt, ben je verplicht het incident te registreren en – als het een risico vormt voor de rechten van betrokkenen – binnen 72 uur te melden bij de Gegevensbeschermingsautoriteit. In sommige gevallen moet je ook de betrokken personen zelf informeren. Het is belangrijk dat je een intern datalekkenbeleid hebt waarin de stappen en verantwoordelijkheden duidelijk zijn vastgelegd.

Een beveiligingsincident is een bredere term die verwijst naar elke verstoring of fout in de beveiliging van informatiesystemen. Niet elk incident leidt automatisch tot een datalek. Er is pas sprake van een datalek als persoonsgegevens betrokken zijn en er een risico is voor de privacy van individuen. Bijvoorbeeld: als een interne server tijdelijk offline gaat zonder dat er data verloren gaan of toegankelijk zijn geworden, is dat een beveiligingsincident, maar geen datalek. Pas als er sprake is van toegang tot of verlies van persoonsgegevens, moet je nagaan of je meldplichtig bent onder de AVG.

Als je een datalek moet melden in België, doe je dit bij de Gegevensbeschermingsautoriteit via hun online meldingsformulier. Je moet hierbij informatie geven over de aard van het datalek, de betrokken persoonsgegevens, de gevolgen voor de betrokkenen, de getroffen beveiligingsmaatregelen en de acties die je hebt ondernomen. De melding moet zo volledig mogelijk zijn en binnen 72 uur na ontdekking gebeuren. De GBA beoordeelt vervolgens of verdere opvolging of sancties nodig zijn. Ook als je later aanvullende informatie hebt, kun je je melding nog aanvullen. Zorg ervoor dat je organisatie een duidelijk intern proces heeft voor het herkennen en melden van datalekken.

De AVG schrijft geen vaste lijst voor van beveiligingsmaatregelen, maar vereist dat je passende technische en organisatorische maatregelen neemt, afhankelijk van het type gegevens en het risico. Voor KMO’s in België betekent dit minimaal het gebruik van sterke wachtwoorden, versleuteling van gevoelige data, toegangsbeheer, regelmatige software-updates en beveiligde back-ups. Daarnaast is het belangrijk om medewerkers te trainen in privacybewust handelen, en processen in te richten voor het melden van datalekken. De Gegevensbeschermingsautoriteit kijkt bij controle vooral of je maatregelen proportioneel en aantoonbaar zijn. Documentatie van je beveiligingsbeleid is daarom essentieel.

Een privacyverklaring moet volgens de AVG duidelijk, begrijpelijk en volledig zijn. Je bent verplicht om in deze verklaring uit te leggen welke persoonsgegevens je verzamelt, waarom je dat doet, op basis van welke wettelijke grondslag, en hoe lang je deze gegevens bewaart. Daarnaast moet je aangeven met wie je gegevens deelt, of je data doorstuurt naar derde landen buiten de EU, welke rechten betrokkenen hebben (zoals inzage, correctie en verwijdering), en hoe zij die rechten kunnen uitoefenen. Ook de contactgegevens van je organisatie en – indien van toepassing – je DPO moeten vermeld worden. De privacyverklaring moet makkelijk vindbaar zijn, bijvoorbeeld op je website of bij het eerste contactmoment.

Een goed intern privacybeleid begint met een duidelijk overzicht van welke persoonsgegevens je verwerkt, waarom je dat doet en wie binnen je organisatie toegang heeft tot deze gegevens. Vervolgens leg je procedures vast over hoe je persoonsgegevens beveiligt, hoe je omgaat met verzoeken van betrokkenen, en wat de stappen zijn bij een datalek. Ook moet je beleid bevatten over bewaartermijnen, verwerkersrelaties en, indien van toepassing, het uitvoeren van DPIA’s. Voor veel KMO’s in België is het verstandig om een template als uitgangspunt te gebruiken en deze af te stemmen op de eigen sector en schaalgrootte. Betrek alle relevante afdelingen, zodat het beleid werkbaar én up-to-date blijft.

Je bent verplicht om je verwerkingsregister en andere AVG-documentatie actueel te houden. Er is geen vaste frequentie vastgelegd in de wet, maar in de praktijk betekent dit dat je je documentatie moet bijwerken zodra er iets verandert aan je gegevensverwerkingen. Denk aan het opstarten van een nieuwe marketingcampagne, het invoeren van een nieuw CRM-systeem, of het aangaan van een samenwerking met een externe verwerker. Daarnaast is het verstandig om minimaal één keer per jaar je verwerkingsregister en privacybeleid te herzien. Zo voorkom je dat je achterloopt met je verplichtingen en ben je voorbereid bij een controle door de Gegevensbeschermingsautoriteit.

Ja, de AVG is ook volledig van toepassing op de B2B-markt in België. De wet maakt geen onderscheid tussen B2B en B2C: zodra je persoonsgegevens verwerkt van natuurlijke personen, zoals namen, e-mailadressen of telefoonnummers van werknemers, vertegenwoordigers of eenmanszaken, is de AVG van kracht. In de praktijk betekent dit dat ook zakelijke databases, CRM-systemen en e-mailcampagnes moeten voldoen aan de regels rond transparantie, grondslagen en beveiliging. Zelfs als je alleen met bedrijfsgegevens werkt, moet je nagaan of daar persoonsgegevens in voorkomen, en zo ja, dan zijn de AVG-verplichtingen van toepassing.

Voor e-mailmarketing in België gelden zowel de AVG als de Telecommunicatiewet. Volgens de AVG moet je een geldige verwerkingsgrondslag hebben, zoals gerechtvaardigd belang of expliciete toestemming, zeker bij natuurlijke personen zoals zelfstandigen of werknemers. De Telecommunicatiewet bepaalt daarnaast dat je alleen commerciële e-mails mag sturen als je vooraf toestemming hebt gekregen, tenzij er sprake is van een bestaande klantrelatie én je enkel eigen gelijkaardige producten of diensten promoot. In alle gevallen moet je transparant zijn, een duidelijke opt-out aanbieden en je verwerking toelichten in je privacyverklaring. Ook bij B2B-contacten blijft zorgvuldigheid essentieel.

Als je adverteert op social media zoals LinkedIn en gebruikmaakt van persoonsgegevens, bijvoorbeeld via remarketinglijsten of klantuploads, dan valt dat onder de regels van de AVG. Je hebt dan een duidelijke grondslag nodig, zoals toestemming of gerechtvaardigd belang. Ook moet je betrokkenen informeren over hoe hun gegevens worden gebruikt, bijvoorbeeld via je privacyverklaring. Upload je bijvoorbeeld een lijst met e-mailadressen om een doelgroep aan te maken, dan moet je kunnen aantonen dat je deze gegevens rechtmatig hebt verkregen én gebruikt. Verder ben je mede verantwoordelijk met het socialmedia platform voor de gegevensverwerking, wat betekent dat je afspraken moet maken over gedeelde verantwoordelijkheid (joint controllership).

Bij B2B telemarketing in België moet je rekening houden met zowel de AVG als de Belgische Telecommunicatiewet. De AVG is van toepassing zodra je persoonsgegevens gebruikt, zoals namen van contactpersonen of rechtstreekse telefoonnummers. Hiervoor heb je een geldige grondslag nodig, zoals gerechtvaardigd belang, en je moet transparant zijn over de verwerking via bijvoorbeeld je privacyverklaring. De Telecommunicatiewet verbiedt ongevraagde commerciële oproepen naar natuurlijke personen, zoals zelfstandigen, vrije beroepen of vennoten, tenzij zij vooraf toestemming hebben gegeven of er sprake is van een bestaande klantrelatie. Rechtspersonen zoals BV’s en NV’s vallen buiten deze regel, maar ook hier blijft zorgvuldigheid belangrijk. Bovendien ben je verplicht om vóór elk belmoment de Bel-me-niet-meer-lijst te raadplegen. Bij elk gesprek moet je duidelijk maken wie je bent, wat het doel is, en de mogelijkheid bieden om bezwaar te maken tegen verdere communicatie. Zorg dat je bellijsten actueel en correct zijn, en dat je werkwijze voldoet aan de principes van transparantie en minimale gegevensverwerking.

Om aan de AVG te voldoen bij het verzamelen van persoonsgegevens via je website, moet je bezoekers duidelijk informeren over welke gegevens je verzamelt, waarom je dat doet en hoe lang je deze bewaart. Dit geldt voor contactformulieren, nieuwsbriefinschrijvingen, chatfuncties en tools zoals Google Analytics of Hotjar. Je moet toestemming vragen voor niet-noodzakelijke cookies en tracking, en bezoekers de mogelijkheid bieden hun voorkeuren aan te passen. Daarnaast moet je je privacyverklaring makkelijk toegankelijk maken en zorgen dat gegevens versleuteld worden verzonden, bijvoorbeeld via een HTTPS-verbinding. Log je IP-adressen of gedrag? Dan valt dat ook onder de AVG.

Ketenverantwoordelijkheid volgens de AVG betekent dat je als organisatie niet alleen verantwoordelijk bent voor je eigen gegevensverwerkingen, maar ook voor hoe je partners, leveranciers of verwerkers omgaan met persoonsgegevens die jij aanlevert. In een B2B-context is dit bijzonder relevant, omdat er vaak wordt samengewerkt met externe partijen zoals CRM-providers, marketingbureaus of IT-dienstverleners. Je blijft als verwerkingsverantwoordelijke verplicht om passende garanties af te dwingen via verwerkersovereenkomsten, waarin je duidelijke afspraken maakt over beveiliging, vertrouwelijkheid, rechten van betrokkenen en datalekken. Je moet ook nagaan of de hele keten compliant is met de AVG, zeker als er sprake is van doorgifte aan andere partijen of onderaannemers.

Als je diensten of producten verkoopt aan klanten buiten de Europese Unie, moet je ervoor zorgen dat je AVG-compliant blijft bij de verwerking van persoonsgegevens van EU-burgers. De AVG blijft namelijk van toepassing zodra je gegevens verwerkt van personen binnen de EU, ook als je organisatie zelf buiten de EU gevestigd is of werkt met niet-EU-klanten. Verwerk je gegevens van klanten in bijvoorbeeld de VS of Azië, dan moet je extra aandacht besteden aan de veiligheid en rechtsgrond van die gegevensdoorgifte. Je mag persoonsgegevens alleen doorgeven aan landen met een passend beschermingsniveau of via beschermingsmechanismen zoals standaardcontractbepalingen (Standard Contractual Clauses – SCC's) of bindende bedrijfsvoorschriften (BCR’s).

Ja, je mag persoonsgegevens opslaan in de cloud of in landen buiten de EU, maar alleen als je passende waarborgen kunt garanderen. Volgens de AVG moet je ervoor zorgen dat de opslaglocatie in een land ligt met een gelijkwaardig beschermingsniveau als binnen de EU. Voor landen buiten de Europese Economische Ruimte (EER) moet je nagaan of er een adequaatheidsbesluit is van de Europese Commissie. Is dat er niet, dan moet je gebruikmaken van aanvullende maatregelen, zoals standaardcontractbepalingen of specifieke contractuele clausules. Bij het gebruik van clouddiensten zoals Amazon, Google Cloud of Microsoft Azure moet je ook nagaan of zij gegevens opslaan of laten verwerken in de VS of andere derde landen, en dien je dit op te nemen in je privacyverklaring.

Als je gegevensverwerker buiten de EU gevestigd is, ben je verplicht om extra juridische en technische maatregelen te nemen om te voldoen aan de AVG. Allereerst moet je nagaan of het betreffende land een adequaatheidsbesluit heeft van de Europese Commissie. Is dat niet het geval, dan moet je gebruikmaken van standaardcontractbepalingen (SCC’s) of andere toegestane waarborgen. Deze afspraken leg je vast in een verwerkersovereenkomst waarin ook de regels rond gegevensbeveiliging, datalekken en subverwerkers zijn geregeld. Je moet ook beoordelen of de wetgeving in het land van de verwerker een risico vormt voor de bescherming van persoonsgegevens. Daarnaast ben je verplicht om je klanten of betrokkenen te informeren over de internationale doorgifte van hun gegevens en hen in staat te stellen hun rechten uit te oefenen.