Schema Algemene Verordening Gegevensbescherming

Hier vind je een kort en compleet schema met de belangrijkste informatie over de privacyverordening. Wij hebben dit schema gebaseerd op de vier hoofdonderwerpen waar je aandacht aan moet besteden, namelijk: gegevens, maintenance, organisatie en communicatie. Dit overzicht is handig om te gebruiken als handvat of als je iets snel wilt checken tijdens je werk.

1. Gegevens - mag het?

1.1 Rechtmatig verkregen gegevens - grondslagen voor rechtmatige verwerking (Art. 6)

- Ondubbelzinnige toestemming
- Noodzakelijk voor uitvoeren overeenkomst
- Wettelijke plicht
- Bescherming vitale belangen
- Taak van algemeen belang
- Gerechtvaardigd belang
* Laatste grond geldt niet langer voor overheid in het uitvoeren van hun taak.

1.2 Beginselen van toepassing op verwerking van persoonsgegevens (Art. 5, 6 - 11)

- Rechtmatigheid, eerlijkheid en transparantie
- Gespecificeerde, expliciete en rechtmatige doelbinding
- Minimale gegevensverwerking en opslag
- Juistheid
- Doeltreffendheid
- Integriteit
- Verantwoordingsplicht

1.3 Aantoonbare toestemming voor bepaalde doeleinden (Art. 7)

- De bewijslast ligt bij de organisatie aan wie toestemming is verleend.
- Betrokkenen moeten deze toestemming altijd eenvoudig kunnen intrekken.
- Bepalingen die niet aan de regels voldoen zijn nietig.
- Toestemming moet op een duidelijke manier gevraagd worden en apart van andere zaken.

1.4 Doorgifte van persoonsgegevens (Art. 45-47, 76-78)

Doorgifte buiten EU is slechts onder voorwaarden toegestaan. Multinationals kunnen bindende bedrijfsvoorschriften opstellen en door de nationale toezichthouder laten goedkeuren.

1.5 Bijzondere persoonsgegevens (o.a. etniciteit, gezondheid) (Art. 9, 16)

Het verwerken van bijzondere persoonsgegevens is niet toegestaan of er gelden strikte voorwaarden.

1.6 Extra bescherming voor kinderen onder de 16 jaar (Art. 8)

Verwerking van persoonsgegevens van kinderen jonger dan 16 jaar is alleen toegestaan na toestemming van een ouder of wettelijk vertegenwoordiger. Organisaties moeten zich redelijk inspannen om de toestemming te controleren, met het oog op de technische mogelijkheden hiervan.

1.7 Profilering (‘profiling’) (Art. 22)

Profilering met juridische gevolgen is slechts onder voorwaarden toegestaan. Profilering met aanzienlijke gevolgen voor betrokkenen moet gebaseerd zijn op menselijke beoordeling.

1.8 Uitzondering voor bepaalde doelen (Art. 5/89, 17-23)

Historische, statistische of wetenschappelijke doeleinden zijn uitgezonderd

2. Maintenance - hoe ga je er mee om?

2 .1 Implementatie en documentatie (Art. 5/24)

Organisaties moeten o.a. analyseren welke verwerkingen worden uitgevoerd door henzelf of hun leveranciers, welke soorten gegevens het betreft, voor welke doeleinden zij dit doen en welke beveiligingsmaatregelen getroffen zijn.


2.2 Checken, bekijken en sluiten verwerkersovereenkomsten (Art. 28/29, 14 )

Verwerkersovereenkomsten met leveranciers of afnemers zijn nodig in het geval persoonsgegevens worden verwerkt.


2.3 Risicoanalyses en PIA (DPIA/compliance review) (Art. 24/25)

Voor nieuwe en bestaande diensten moet een risico analyse worden uitgevoerd. Bij diensten/systemen met een hoog risico moet vervolgens een Privacy Impact Assessment worden uitgevoerd.

2.4 Informatiebeveiliging (Art. 24/32/35, 13)

Organisaties moeten persoonsgegevens met passende technische en organisatorische maatregelen beveiligen.


2.5 Beheer van toestemming en rechten van betrokkenen (Art. 7/ 15-19)

Systemen en processen zullen moeten worden ingericht en beheerd om tegemoet te komen aan de rechten van betrokkenen. (Recht van inzage, rectificatie en het “recht om vergeten te worden”)


2.6 Dataportabiliteit (Art. 20)

Betrokkenen hebben het recht op een kopie van hun (persoons)gegevens in een elektronisch en bruikbaar formaat.


2.7 Aannemen beleid, implementeren technische en organisatorische maatregelen (Art. 24/32)

Organisaties moeten beleid opstellen en aantoonbaar technische en organisatorische maatregelen nemen om er voor te zorgen dat persoonsgegevens transparant en in overeenstemming met de regels worden verwerkt.


2.8 Bewaartermijn (Art. 5/89, 10)

Beperk de opslagperiode en verwijder of archiveer (indien toegestaan) gegevens tijdig

3. Organisatie - hoe richt je de organisatie en processen in?

3.1 Functionaris voor de gegevensbescherming / data protection officer (Art. 37-39, 62)

Organisaties moeten in bepaalde gevallen een functionaris voor de gegevensbescherming aanstellen. Dit is het geval als het verwerken gedaan wordt door een publiek lichaam of autoriteit, als de corebusiness gegevens verwerken is, of als er grote hoeveelheden bijzondere gegevens verwerkt worden.


3.2 Rechten van betrokkenen (inzage, correctie, verwijderen, compensatie, bezwaar) (Art. 15-17/ 2/1/22/24, 35-42)

Implementeer processen voor het uitoefenen van rechten. Betrokkenen mogen informatie opvragen over: doel, categorieën persoonsgegevens, ontvangers, bewaartermijn, rechten van betrokkene, het recht om een klacht in te dienen en mogen bezwaar maken tegen profilering.


3.3 Meldplicht datalekken (Art. 33/34)

Implementeer processen voor het melden van datalekken.


3.4 Getrainde medewerkers, een privacybewuste organisatie (Art. 5/24/28)

Om de risico’s te minimaliseren moeten organisaties en hun medewerkers bewust zijn van de belangrijkste elementen van de regelgeving.


3.5 Privacy relevant voor ontwikkeling van producten en diensten (privacy by design/default) (Art. 25)

Weeg privacyaspecten mee bij het ontwikkelen van nieuwe producten en diensten.


3.6 Certificering (Art. 42/43/83)

De wetgeving stimuleert organisaties om certificering op het gebied van privacy te halen. Deze certificering mag door de toezichthouder of het nationaal accreditatie lichaam worden uitgegeven.


3.7 Toezicht (Art. 56/60)

De toezichthouder in het land van de feitelijke hoofdvestiging van de organisatie zal verantwoordelijk zijn voor het toezicht.

4. Communicatie - hoe communiceer je erover

4.1 Duidelijke en begrijpelijke communicatie over persoonsgegevens (Art. 7/8/14/15/21)

Informatie en communicatie moeten in een begrijpelijke vorm en in duidelijke (gewone) taal zijn opgesteld, zeker als deze zich richt tot kinderen.


4.2 Melden datalekken bij toezichthouder en betrokkenen (Art. 33/34)

Datalekken moeten binnen 72 uur aan de toezichthouder gemeld worden en in sommige gevallen is directe melding aan de betrokkene vereist. In gevallen waar het datalek niet gemeld is binnen 72 uur moet een met reden omklede melding gedaan worden bij de toezichthouder.


4.3 Contactgegevens functionaris voor de gegevensbescherming (FG) (Art. 37, 63)

Contactgegevens van de FG moeten worden gepubliceerd en aan de toezichthouder worden gestuurd en betrokkenen moeten contact op kunnen nemen om hun rechten uit te oefenen.


4.4 Communicatie met de toezichthouder (Art. 31/58, 60)

De toezichthouder mag documenten en gegevens opvragen en heeft de bevoegdheid om toegang te krijgen tot alle persoonsgegevens en de locaties waar deze zijn opgeslagen.


4.5 Bezwaar tegen profilering (Art. 22)

Betrokkenen moeten op een uiterst zichtbare manier expliciet worden geïnformeerd over de mogelijkheid om bezwaar te maken tegen profilering.

Terug naar blog