Gratis  Privacyverklaring (privacybeleid) opstellen

Een privacyverklaring kan je helpen om een betere ondernemer te zijn. Deze rechtsgeldige privacyverklaring bepaalt wat je klanten, bezoekers of personeel van je mogen verwachten en wat je van hen verwacht. Met de juiste gegevens is een schriftelijke privacyverklaring de beste manier om te voldoen aan je wettelijke verplichting.

Lees meer over het gebruik van ons gratis model privacyverklaring, wat je moet opnemen in de privacyverklaring en hoe je jezelf en je bedrijfsbelangen kunt beschermen in deze handige gids voor ondernemers die persoonsgegevens verwerken.

1. Wat is een privacyverklaring?
2. Heb ik een privacyverklaring nodig?
3. Welke informatie staat in een privacyverklaring?
4. Hoe stel ik een privacyverklaring op met Rocket Lawyer?
5. Wat moet ik weten voordat ik een privacyverklaring maak?
6. Wat moet ik doen na het opstellen van een privacyverklaring?
7. Veelgestelde vragen over privacyverklaringen
8. Vragen over privacyverklaringen van Rocket Lawyer
9. Juridische woordenlijst

Een privacyverklaring is een schriftelijke verklaring van je organisatie over wat je met verzamelde persoonsgegevens doet. Deze gegevens kunnen betrekking hebben op klanten, bezoekers, leerlingen, leden, personeel of patiënten. Juridisch wordt er van betrokkenen gesproken. Je bent wettelijk verplicht om alle betrokkenen van wie je persoonsgegevens verwerkt te informeren over wat je precies verzamelt en hoe je dat doet. De meestgebruikte manier hiervoor is het hanteren van een privacyverklaring.

Met een privacyverklaring weten je bezoekers, medewerkers en andere betrokkenen precies wat jij of je organisatie met hun persoonsgegevens doet, voor welke doelen en hoe ze hun rechten kunnen uitoefenen. Het bepaalt waar jij als verwerkingsverantwoordelijke verantwoordelijk voor bent en welke acties je onderneemt als er iets met de persoonsgegevens van de betrokkenen gebeurt.

Een privacyverklaring wordt ook wel genoemd: privacybeleid, privacy policy, privacy statement of AVG privacyverklaring.

Je hebt een privacyverklaring nodig als je persoonlijke gegevens verzamelt die je tot een persoon kunt herleiden. Sterker nog, het is in dat geval wettelijk verplicht. Persoonsgegevens zeggen iets over een specifieke persoon zoals zijn naam, adres of geloof. Je klanten, leden, bezoekers, personeel of patiënten moeten je privacyverklaring eenvoudig kunnen raadplegen. Zet je privacyverklaring daarom op een makkelijk vindbare plek op je website of overhandig een papieren versie.

Een privacybeleid opstellen hoeft niet veel werk te zijn. Door een aantal makkelijke vragen te beantwoorden, creëer je met onze privacy policy generator je eigen op maat gemaakte AVG privacy statement. Op zoek naar een voorbeeld privacyverklaring? Klik op 'Stel je document op' en bekijk het privacyverklaring AVG voorbeeld.

Privacyverklaring Engels
Heb je veel bezoekers of klanten uit het buitenland, dan voldoen je aan je informatieplicht door je privacyverklaring (ook) in het Engels aan te bieden. Zo weet je zeker dat je alle betrokkenen van wie je persoonsgegevens verzamelt op de juiste voorlicht over de verwerking ervan. Je kunt nu bij ons makkelijk je eigen privacyverklaring Engels opstellen.

Een privacyverklaring moet elk aspect van de rechten en plichten van zowel jou als de betrokkenen bevatten. De volgende onderwerpen over de relatie tussen de verwerkingsverantwoordelijke en betrokkene staan altijd in een privacyverklaring opgenomen:

• de naam en contactgegevens van jou als verwerkingsverantwoordelijke
• de naam en contactgegevens van je vertegenwoordiger in de EU, indien van toepassing
• de naam en contactgegevens van de functionaris voor gegevensbescherming, indien van toepassing
• de doelen waarvoor je de persoonsgegevens gebruikt
• de ontvangers of categorieën van ontvangers van de persoonsgegevens, indien van toepassing
• of en waarom een betrokkene zijn persoonsgegevens moet verstrekken en wat de gevolgen zijn als hij die niet verstrekt
• of je de persoonsgegevens door gaat geven buiten de EU of aan een internationale organisatie en op welke juridische basis
• hoelang je de gegevens bewaart
• welke cookies je gebruikt en waarvoor je ze gebruikt
• welke rechten een betrokkene hebben, zoals het recht op inzage, correctie en verwijdering
• hoe betrokkenen hun rechten kunnen uitoefenen
• het recht van een betrokkene om zijn gegeven toestemming voor een bepaalde verwerking in te kunnen trekken
• het recht van een betrokkene om een klacht in te dienen bij de Autoriteit Persoonsgegevens
• eventueel het meldingsnummer van de verwerking bij de Autoriteit Persoonsgegevens
• of je gebruikmaakt van geautomatiseerde besluitvorming en hoe je besluiten neemt

Het is eenvoudig om online een gratis privacyverklaring te maken. Beantwoord enkele vragen en wij stellen je document voor je samen. Het hele proces kan minder dan 10 minuten duren.

De privacyverklaring generator van Rocket Lawyer zal je begeleiden bij het opstellen van je op maat gemaakte privacyverklaring. Nadat je je type privacyverklaring hebt gekozen en je je document start, genereren we automatisch de juridische taal die voor je privacyverklaring is vereist aan de hand van hoe je de interviewvragen beantwoordt. Als je niet over alle informatie beschikt die je nodig hebt, kun je vragen overslaan en je document opslaan voor later.

Je hebt altijd en overal toegang tot je privacyverklaring, op elk apparaat. Als Premium lid van Rocket Lawyer kun je je privacyverklaring kopiëren of bewerken. Je kunt het ook downloaden in pdf- of Word-formaat en het op elk gewenst moment afdrukken.

Je hoeft niet te weten hoe je zelf een privacyverklaring moet opstellen om de modellen van Rocket Lawyer te gebruiken. Het kan echter handig zijn om alle benodigde informatie van tevoren te verzamelen.

Als je een privacyverklaring wilt opstellen, helpt het om van tevoren over bepaalde keuzes nagedacht te hebben en de volgende informatie bij de hand te hebben:

• wil je een Nederlandstalige of Engelstalige privacyverklaring?
• verzamel je persoonsgegevens via een eigen website?
• verzamelt een ander, verzamel je alleen zelf of samen met een ander persoonsgegevens via een website?
• van welke categorieën personen verzamel je persoonsgegevens als je geen website hebt, bijvoorbeeld klanten, personeel, leerlingen of leden?
• van welke categorieën persoonsgegevens verzamel je adresgegevens, bijvoorbeeld geboorteplaats, bankrekeningnummer en medische gegevens?
• voor welk doel verzamel je persoonsgegevens, bijvoorbeeld een wettelijke verplichting, het onderhouden van klantrelaties of marketing doeleinden?
• kunnen de verzamelde persoonsgegevens gebruikt worden voor commerciële doeleinden van andere bedrijven?
• welke cookies gebruik je op je website: functionele cookies, geanonimiseerde analytische cookies, niet- geanonimiseerde analytische cookies en/of tracking cookies?
• wat is de naam en het e-mailadres van de contactpersoon of afdeling waar een betrokkene terechtkan voor vragen en verzoeken aangaande je verwerking van zijn persoonsgegevens?
• heb je de verweking van persoonsgegevens gemeld bij de Autoriteit Persoonsgegevens en zo ja, onder welk meldingsnummer?

Heb je vragen over je opgestelde privacyverklaring of twijfel je bijvoorbeeld aan een bepaalde clausule, vraag dan een advocaat om je privacyverklaring te controleren met de Vraag een Advocaat dienst van Rocket Lawyer. Je krijgt altijd persoonlijk antwoord van de advocaat. De meeste vragen worden binnen 4 kantooruren beantwoord. Als Premium lid heb je ook toegang tot een gratis consult van 30 minuten over elke nieuwe juridische kwestie. Premiumleden die meer hulp nodig hebben, kunnen tot 33% besparen op juridische kosten bij het inhuren van een advocaat uit ons netwerk.

Krijg toegang tot verschillende juridische documenten die zijn opgesteld voor personen en organisaties die met persoonsgegevens werken, waaronder:

• een verwerkersovereenkomst: verplicht wanneer je verwerking van persoonsgegevens aan een ander uitbesteedt (beschikbaar in het Nederlands en Engels)
• een verwerkingsregister (of register van verwerkingsactiviteiten): verplicht als je niet incidenteel persoonsgegevens verwerkt
• een cookieverklaring: verplicht wanneer je een website hebt waarop je cookies gebruikt of door anderen laat gebruiken
• een protocol melding datalekken: verplicht bij gegevensverwerking als organisatorische maatregel ter bescherming van de persoonsgegevens

Hieronder volgt een overzicht van veelgestelde vragen over AVG privacyverklaringen. Staat je vraag er niet bij, neem dan contact met ons op: 070 378 9825.

De Algemene Verordening Gegevensbescherming, ook wel de AVG of met de Engelse afkorting GDPR genoemd, beoogt privacygevoelige gegevens te beschermen. De AVG stelt daarom regels aan organisaties die met persoonsgegevens werken.

Ja, de AVG is van toepassing op alle organisaties die persoonsgegevens verwerken. Kleine ZZP’ers en MKB’ers vallen hier ook onder.

Op 25 mei 2018 heeft de Algemene Verordening Gegevensbescherming de Nederlandse privacywet Wet Bescherming Persoonsgegevens (Wbp) vervangen. De AVG heeft dezelfde uitgangspunten als de Wbp, maar met een aantal belangrijke wijzigingen:

• de verwerkingsverantwoordelijke moet aantoonbaar AVG compliant zijn
• de rechten van betrokkenen worden uitgebreid
• het register van verwerkingsactiviteiten is veelal verplicht
• er is geen meldingsplicht meer voorafgaand aan verwerkingen
• soms is een Data Protection Impact Assessment verplicht als de verwerking van persoonsgegevens risico’s met zich meebrengt
• soms is een functionaris gegevensbescherming verplicht, bijvoorbeeld bij verwerking van bijzondere persoonsgegevens
• de boetes die de Autoriteit Persoonsgegevens kan opleggen zijn vele malen hoger onder de AVG dan onder de Wbp

Met betrokkenen worden de personen bedoeld van wie persoonsgegevens worden verwerkt. Voorbeelden van betrokkenen zijn bezoekers, klanten, personeel, leerlingen en leden.

Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon. Dit kan direct zijn, maar ook indirect als de informatie tot een persoon te herleiden is. Voorbeelden van persoonsgegevens zijn namen, adressen, IP-adressen, postcodes met huisnummer, foto’s en medische gegevens.

Als het bij de verwerking van persoonsgegevens gaat om gevoelige informatie, dan wordt er gesproken over bijzondere persoonsgegevens. Voorbeelden van bijzondere persoonsgegevens zijn genetische gegevens, biometrische gegevens ter identificatie van een persoon, medische gegevens en gegevens die informatie bevatten over ras, seksuele voorkeur, politieke of religieuze opvattingen, strafrechtelijke gegevens of het lidmaatschap van een vakbond.

Onder het verwerken van persoonsgegevens valt alles wat je kunt doen met persoonsgegevens. Enkele voorbeelden zijn:

• het ordenen van de persoonsgegevens
• het invoeren van klant- of personeelsgegevens
• het raadplegen van iemands telefoonnummer om hem te bellen
• het gebruiken van adresgegevens om een pakket te sturen
• het analyseren van persoonsgegevens om koopgedrag te voorspellen

Nee, toestemming is niet altijd noodzakelijk om onder AVG rechtmatig persoonsgegevens te verwerken. Verkregen toestemming is slechts 1 van de gronden waarop je persoonsgegevens mag verwerken. Zo is toestemming bijvoorbeeld niet vereist als de gegevens worden verwerkt omdat dit nodig is voor:

• de uitvoering van de overeenkomst van een tussenpersoon en zijn klanten
• de uitvoering van een overeenkomst
• te voldoen aan een wettelijke plicht
• ter bescherming van een vitaal belang

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en die persoon niet om toestemming gevraagd kan worden.

Volgens de AVG moet bij direct marketing de toestemming van een betrokkene voor verwerking van zijn persoonsgegevens aan 4 eisen voldoen:

• vrije toestemming: een betrokkene is vrij om toestemming te geven maar ook te weigeren (weigering om toestemming te geven mag er niet toe leiden dat de persoon geen dienst of product kan afnemen)
• specifieke toestemming: er mag geen twijfel bestaan voor welk specifiek gebruik een betrokkene toestemming heeft gegeven
• geïnformeerde toestemming: voordat een betrokkene toestemming geeft voor verwerking, moet hij duidelijk geïnformeerd zijn over de verwerking van zijn persoonsgegevens
• ondubbelzinnige toestemming: de betrokkene moet zijn toestemming ondubbelzinnig en actief hebben gegeven (een vooraf aangevinkt vakje voor gegeven toestemming is dus niet toegestaan)

De AVG zelf bevat geen wettelijk voorgeschreven bewaartermijnen. Over het algemeen geldt dat je persoonsgegevens niet langer mag bewaren dan nodig is om je doelen te bereiken. Een wettelijke bewaartermijn valt hier ook onder. Voor sommige categorieën persoonsgegevens gelden wel specifieke wettelijke bewaartermijnen:

• verzuimgegevens van personeel: 2 jaar na einde dienstverband
• reïntegratiedossier van personeel: 2 jaar na einde reïntegratie
• sollicitatiegegevens: 4 weken na het einde van de sollicitatieprocedure
• loonbelastingverklaring personeel: 5 jaar na uitdiensttreding
• kopie identiteitsbewijs personeel: 5 jaar na uitdiensttreding
• medische gegevens personeel: doorgaans 15 jaar
• leerlingendossier: 2 jaar nadat het kind van school is gegaan

Ja, je mag onder bepaalde voorwaarden een verzoek weigeren om persoonsgegevens te verwijderen. Zo mag je weigeren omdat je met de verwerking moet voldoen aan een wettelijke plicht of omdat je de persoonsgegevens nodig hebt voor een rechtszaak.

Ja, de AVG geldt doorgaans ook voor visitekaartjes. Visitekaartjes bevatten zijn namelijk persoonsgegevens en zodra je die systematisch bewaart, is er sprake van verwerking. Toestemming daarvoor heb je overigens niet nodig want je mag aannemen dat je die impliciet hebt gekregen toen je het kaartje ontving.

Voor sommige cookies heb je geen toestemming nodig. Functionele cookies zoals cookies om in te loggen, mag je zonder toestemming plaatsen. Hetzelfde geldt voor analytische cookies, zolang ze geen of geringe gevolgen hebben voor de privacy van je bezoekers. Alle andere cookies zijn alleen toegestaan met toestemming. Je moet daarbij duidelijk aangeven:

• wat cookies zijn
• welke informatie je over bezoekers verzamelt
• op welke wijze je die informatie verzamelt
• wat je met die informatie doet
• dat de bezoeker de cookies niet hoeft te accepteren
• wat er in je cookieverklaring staat

Je bent verwerkingsverantwoordelijke als jij degene bent die het doel van en middelen voor de verwerking van persoonsgegevens (binnen je organisatie) vaststelt. Besteed je het feitelijke beheer over de verwerking uit aan een andere organisatie, dan wordt deze de bewerker genoemd. Als verwerker heb je de feitelijke beschikking over de persoonsgegevens.

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de AVG en hij moet kunnen aantonen dat een verwerking van persoonsgegevens daaraan voldoet (de verantwoordingsplicht). Onderdelen hiervan zijn:

• een register van verwerkingsactiviteiten bijhouden (de registerplicht)
• onder bepaalde omstandigheden een functionaris gegevensbescherming aanstellen
• voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uitvoeren
• passende beveiligingsmaatregelen treffen met het oog op de bescherming van persoonsgegevens
• in het geval van een datalek melding doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de betrokkenen
• afspraken maken met eventuele verwerkers
• medewerking verlenen aan de Autoriteit Persoonsgegevens
• de rechten van betrokkenen respecteren

De belangrijkste plichten van een verwerker zijn:

• hij mag alleen handelen in opdracht van de verwerkingsverantwoordelijke
• hij is verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hij verwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht)
• hij moet passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen
• hij mag geen subverwerkers inschakelen zonder toestemming van de verwerkingsverantwoordelijke
• hij moet de verwerkingsverantwoordelijke zo snel mogelijk op de hoogte stellen van een datalek
• hij moet medewerking verlenen bij een verzoek van Autoriteit Persoonsgegevens
• hij moet in bepaalde gevallen een functionaris gegevensbescherming aanstellen

Verwerkingsactiviteiten zijn alle vormen van bewerking van persoonsgegevens. Enkele voorbeelden van verwerkingsactiviteiten zijn:

• het versturen van een nieuwsbrief naar e-mailadressen
• het volgen van gedrag van websitebezoekers
• het raadplegen van een patiëntenlijst van een medische instelling
• het raadplegen van gegevens van een sollicitant of medewerker van een uitzendbureau
• het overdragen van personeelsdossiers aan een archiefvernietigingsbedrijf
• het inzien van een ledenlijst van een vereniging

Aangezien niet iedere leverancier een verwerker is, hoef je niet met elke leverancier een verwerkersovereenkomst te sluiten. Volgens de AVG ben je wel verplicht een verwerkersovereenkomst te sluiten als je de verwerking van persoonsgegevens uitbesteedt.

Je organisatie is verplicht om een functionaris gegevensbescherming (ook wel data protection officer of data privacy officer genoemd) aan te stellen indien:

• je organisatie vanuit een kernactiviteit personen op grote schaal volgt, bijvoorbeeld door cameratoezicht
• je organisatie als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerkt, zoals seksuele voorkeur of religieuze overtuiging

De vereiste vaardigheden van een functionaris gegevensbescherming bestaan in ieder geval uit:

• kennis van nationale en Europese privacywetgeving over gegevensbescherming
• kennis van de gegevensverwerkingen die de organisatie uitvoert
• kennis van IT en informatiebeveiliging
• kennis van de organisatie en de sector waarin de organisatie actief is
• vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te ontwikkelen

Een functionaris gegevensbescherming heeft de volgende taken:

• het adviseren en informeren over verplichtingen
• het toezien op naleving van wetgeving en beleid
• het adviseren bij DPIA’s en toezien op de uitvoering daarvan
• het samenwerken met de Autoriteit Persoonsgegevens en optreden als contactpersoon voor de Autoriteit en betrokkenen

Een Data Protection Impact Assessment (DPIA of gegevensbeschermingseffectbeoordeling) is een instrument waarmee je vooraf de privacy risico’s van je verwerking in kaart brengt om vervolgens maatregelen te kunnen nemen om deze risico’s te verkleinen.

Een DPIA moet in ieder geval de volgende onderdelen bevatten:

• een beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden
• een beoordeling van de noodzaak en de evenredigheid van de verwerkingen
• een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
• de voorgenomen maatregelen om de risico’s aan te pakken en aan te tonen dat aan de AVG is voldaan

Je bent niet verplicht om voor elke gegevensverwerking een DPIA uit te voeren. Dit moet alleen indien je organisatie:

• systematisch persoonsgegevens verwerkt, waaronder profiling
• op grote schaal bijzondere persoonsgegevens verwerkt
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, zoals met cameratoezicht

PIA staat voor Privacy Impact Assessment en DPIA staat voor Data Protection Impact Assessment. Beide termen betekenen echter hetzelfde en worden in het Nederlands vertaald met gegevensbeschermingseffectbeoordeling (GEB).

Onder de AVG hebben betrokkenen de volgende rechten:

• recht op informatie over wat een organisatie met zijn persoonsgegevens doet
• recht op dataportabiliteit
• recht op vergetelheid
• recht op inzage
• recht op rectificatie en aanvulling
• recht op beperking van de verwerking
• recht op een menselijke blik bij besluiten
• recht om bezwaar te maken

Het recht op dataportabiliteit is het recht van een betrokkene om zijn persoonsgegevens over te dragen aan of mee te nemen naar een andere partij.

Nee, je mag in principe geen kosten berekenen voor dataportabiliteit.

Het recht op vergetelheid is het recht van een betrokkene om vergeten te worden, dat wil zeggen dat zijn persoonsgegevens worden verwijderd.

Een betrokkene heeft geen recht op vergetelheid indien:

• je verwerking noodzakelijk is om het recht op vrijheid van levensovertuiging en informatie uit te oefenen
• je verwerking noodzakelijk is omdat je een wettelijke verplichting tot verwerking hebt, zoals een fiscale bewaarplicht
• je verwerking noodzakelijk is om openbaar gezag of een taak van algemeen belang uit te oefenen
• je organisatie heeft de plicht om de persoonsgegevens in het algemeen belang te archiveren
• je organisatie heeft de persoonsgegevens nodig voor een juridische procedure

Het recht op inzage is het recht van een betrokkene om de persoonsgegevens die je van hem verwerkt in te zien.

Het recht op informatie houdt in dat een betrokkene het recht heeft om te weten wat er met zijn persoonsgegevens gebeurt en waarom.

Het recht op rectificatie en aanvulling is het recht van een betrokkene om de persoonsgegevens die van hem verwerkt worden te wijzigen.

Het recht op beperking van de verwerking is het recht van een betrokkene om minder gegevens te laten verwerken.

Bij een verzoek om inzage moet de verwerkingsverantwoordelijke een kopie van de persoonsgegevens aan de betrokkende verstrekken. Bij het recht op dataportabiliteit moeten de gegevens verstrekt worden in een vorm die het voor de betrokkene makkelijk maakt om zijn gegevens te hergebruiken en door te geven aan een andere organisatie.

Soms nemen organisaties een besluit op basis van automatisch verwerkte persoonsgegevens, zoals een automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst. De AVG geeft mensen recht op een menselijke blik bij besluiten die over hen gaan.

Constateert de Autoriteit Persoonsgegevens dat een organisatie de verwerking van persoonsgegevens niet op orde heeft, dan kan de toezichthouder boetes opleggen. De boetes zijn hoog. De Autoriteit Persoonsgegevens mag tot € 20 miljoen aan boetes opleggen en zelfs tot 4% van de totale jaaromzet, als dat bedrag hoger is.

Heb je een vraag over je Rocket Lawyer privacyverklaring of ander AVG document die niet op deze pagina beantwoord wordt, neem dan contact met ons op: 070 378 9825. We helpen je graag verder!

Ja, een elektronisch ondertekend AVG document is rechtsgeldig. Met Rocket Lawyer kun je bijvoorbeeld je AVG verwerkersovereenkomst naar je toekomstige verwerker e-mailen en hij kan het vervolgens ondertekenen met behulp van onze online handtekeningservice.

Ja, met je Premium lidmaatschap van Rocket Lawyer kun je gebruikmaken van onze Vraag een Advocaat dienst om je opgestelde AVG document te laten beoordelen door een advocaat gespecialiseerd in privacy wetgeving. Ook kun je deze dienst gebruiken om juridische vragen te stellen aan een gespecialiseerde advocaat.

Om je AVG document handmatig aan te passen hoef je alleen maar in te loggen op je Rocket Lawyer account, het document te selecteren dat je wilt bewerken en vervolgens bewerken te selecteren. Als je de oorspronkelijke versie als zodanig wilt opslaan, selecteer je eerst kopiëren en bewerk je vervolgens de gekopieerde versie.

Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse privacy wetgeving die invulling geeft aan de Europese richtlijn General Data Protection Regulation (GDPR). Voorheen was de Wet bescherming persoonsgegevens (Wbp) van toepassing.

Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder die de AVG handhaaft. Taken van de AP zijn onder meer toezicht, advisering en voorlichting.

Betrokkenen
De natuurlijke personen van wie persoonsgegevens worden verwerkt.

Bewerkersovereenkomst
Onder de voormalige privacywetgeving Wet Bescherming Persoonsgegevens had de AVG verwerkersovereenkomst een andere naam: bewerkersovereenkomst.

Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands godsdienst, ras, politieke voorkeur, gezondheid, seksuele voorkeur, lidmaatschap van een vakbond of strafblad.

Cookie
Een cookie is een klein tekstbestandje dat een website op de harde schijf van de computer, laptop, tablet of smart phone zet zodra iemand de website bezoekt.

Cookiebanner
Een cookiebanner is een pop-up die verschijnt wanneer een bezoeker voor het eerst komt op een website en waar in het kort wordt uitgelegd welke soort cookies de site en voor welke cookies toestemming van de bezoeker wordt gevraagd.

Cookieverklaring
Een cookieverklaring (of cookie statement, cookiebeleid of cookie policy) is een uitleg op een website over het gebruik van cookies op de website, hun doeleinden en de manier waarop bezoekers hun toestemming kunnen geven voor het plaatsen ervan.

Datalek
Elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Hoewel de term datalek breder is dan deze omschrijving, geldt in het kader van de AVG deze definitie.

Datalekregister
Iedere organisatie die verwerkingsverantwoordelijke is, moet als onderdeel van de verantwoordingsplicht een datalekregister opstellen. Hierin staan alle datalekken die er zijn geweest, ongeacht of de organisatie deze moet melden aan de Autoriteit Persoonsgegevens of niet.

Data protection impact assessment (DPIA)
De Engelse term voor een gegevensbeschermingseffectbeoordeling.

EU-US Privacy Shield
EU-US Privacy Shield is een overeenkomst tussen de Verenigde Staten en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd.

Functionaris gegevensbescherming (FG)
De functionaris gegevensbescherming (of data protection officer - DPO) is degene die binnen een organisatie als taak heeft om in de gaten te houden of de AVG wordt nageleefd en eventuele datalekken te melden.

Gegevensbeschermingsrecht
Alle relevante nationale en internationale wetgeving, die regels bevat met betrekking tot bescherming van persoonsgegevens.

Gegevensbeschermingseffectbeoordeling (GEB)
Een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment - DPIA) is een proces dat de verwerkingsverantwoordelijke doorloopt om de risico’s van de gegevensverwerking in kaart te brengen om vervolgens aan de hand daarvan maatregelen te nemen om de gesignaleerde risico’s te verkleinen of voorkomen.

General Data Protection Regulation (GDPR)
De General Data Protection Regulation (GDPR) is de Europese privacy wetgeving, die in Nederland vorm heeft gekregen in de AVG.

Meldplicht datalekken
Dit is de plicht die de AVG organisaties oplegt om bepaalde datalekken te melden bij de Autoriteit Persoonsgegevens.

Persoonsgegevens
Elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacy Impact Assessment (PIA)
Privacy Impact Assessment is een synoniem voor Data Protection Impact Assessment.

Privacyverordening
Een synoniem voor de Algemene Verordening Gegevensbescherming (AVG).

Protocol meldplicht datalekken
Een protocol meldplicht datalekken is een AVG compliant document waarin de procedure staat beschreven die een organisatie moet volgen wanneer er persoonsgegevens zijn gelekt, kwijtgeraakt, gestolen of op andere wijze in verkeerde handen zijn gekomen.

Register van de verwerkingsactiviteiten
Register van de verwerkingsactiviteiten is een synoniem voor verwerkingsregister.

Subverwerker
Een persoon of organisatie die namens de verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

Toezichthouder
De bij wet aangestelde overheidsinstantie die verantwoordelijk is voor de naleving en handhaving van de privacywet AVG. In Nederlands is de toezichthouder de Autoriteit Persoonsgegevens (AP).

Verantwoordingsplicht
De verantwoordingsplicht is de verplichting voor organisaties om aan te kunnen tonen dat zij bij de verwerking van persoonsgegevens voldoen aan de privacy wetgeving AVG.

Verwerken
Alle handelingen die een persoon of organisatie kan uitvoeren met persoonsgegevens, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerker
De verwerker is de persoon of organisatie die in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. Voorbeelden hiervan zijn internet service providers, clouddienstverleners en callcenters die direct marketing voor een opdrachtgever uitvoeren. Zij gebruiken de ontvangen persoonsgegevens alleen voor de doelen die hun opdrachtgever als verwerkingsverantwoordelijke heeft bepaald.

Verwerkersovereenkomst
Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke als opdrachtgever en een verwerker als opdrachtnemer waarbij de opdrachtnemer persoonsgegevens verwerkt die de opdrachtgever heeft aangedragen. Voorbeelden van verwerking zijn het verrichten van marketingactiviteiten en het bezorgen van postpakketten.

Verwerkingsregister
Een verwerkingsregister is een document waarin je als verwerkingsverantwoordelijke of verwerker de verwerking van persoonsgegevens AVG compliant vastlegt.

Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is de persoon of organisatie die beslist waarom en hoe de persoonsgegevens binnen een organisatie of bedrijf worden verwerkt. Ook bepaalt hij welke persoonsgegevens worden verwerkt en geeft hij instructies voor de gegevensverwerking.

Wet Bescherming Persoonsgegevens (Wbp)
De privacywet Wet Bescherming Persoonsgegevens is de voorloper van de Algemene Verordening Gegevensbescherming (AVG).