Hier vind je een kort en compleet schema met de belangrijkste informatie over de privacyverordening. Wij hebben dit schema gebaseerd op de vier hoofdonderwerpen waar je aandacht aan moet besteden, namelijk: gegevens, maintenance, organisatie en communicatie. Dit overzicht is handig om te gebruiken als handvat of als je iets snel wilt checken tijdens je werk.
- Ondubbelzinnige toestemming
- Noodzakelijk voor uitvoeren overeenkomst
- Wettelijke plicht
- Bescherming vitale belangen
- Taak van algemeen belang
- Gerechtvaardigd belang
* Laatste grond geldt niet langer voor overheid in het uitvoeren van hun taak.
- Rechtmatigheid, eerlijkheid en transparantie
- Gespecificeerde, expliciete en rechtmatige doelbinding
- Minimale gegevensverwerking en opslag
- Juistheid
- Doeltreffendheid
- Integriteit
- Verantwoordingsplicht
- De bewijslast ligt bij de organisatie aan wie toestemming is verleend.
- Betrokkenen moeten deze toestemming altijd eenvoudig kunnen intrekken.
- Bepalingen die niet aan de regels voldoen zijn nietig.
- Toestemming moet op een duidelijke manier gevraagd worden en apart van andere zaken.
Doorgifte buiten EU is slechts onder voorwaarden toegestaan. Multinationals kunnen bindende bedrijfsvoorschriften opstellen en door de nationale toezichthouder laten goedkeuren.
Het verwerken van bijzondere persoonsgegevens is niet toegestaan of er gelden strikte voorwaarden.
Verwerking van persoonsgegevens van kinderen jonger dan 16 jaar is alleen toegestaan na toestemming van een ouder of wettelijk vertegenwoordiger. Organisaties moeten zich redelijk inspannen om de toestemming te controleren, met het oog op de technische mogelijkheden hiervan.
Profilering met juridische gevolgen is slechts onder voorwaarden toegestaan. Profilering met aanzienlijke gevolgen voor betrokkenen moet gebaseerd zijn op menselijke beoordeling.
Historische, statistische of wetenschappelijke doeleinden zijn uitgezonderd
Organisaties moeten o.a. analyseren welke verwerkingen worden uitgevoerd door henzelf of hun leveranciers, welke soorten gegevens het betreft, voor welke doeleinden zij dit doen en welke beveiligingsmaatregelen getroffen zijn.
Verwerkersovereenkomsten met leveranciers of afnemers zijn nodig in het geval persoonsgegevens worden verwerkt.
Voor nieuwe en bestaande diensten moet een risico analyse worden uitgevoerd. Bij diensten/systemen met een hoog risico moet vervolgens een Privacy Impact Assessment worden uitgevoerd.
Organisaties moeten persoonsgegevens met passende technische en organisatorische maatregelen beveiligen.
Systemen en processen zullen moeten worden ingericht en beheerd om tegemoet te komen aan de rechten van betrokkenen. (Recht van inzage, rectificatie en het “recht om vergeten te worden”)
Betrokkenen hebben het recht op een kopie van hun (persoons)gegevens in een elektronisch en bruikbaar formaat.
Organisaties moeten beleid opstellen en aantoonbaar technische en organisatorische maatregelen nemen om er voor te zorgen dat persoonsgegevens transparant en in overeenstemming met de regels worden verwerkt.
Beperk de opslagperiode en verwijder of archiveer (indien toegestaan) gegevens tijdig
Organisaties moeten in bepaalde gevallen een functionaris voor de gegevensbescherming aanstellen. Dit is het geval als het verwerken gedaan wordt door een publiek lichaam of autoriteit, als de corebusiness gegevens verwerken is, of als er grote hoeveelheden bijzondere gegevens verwerkt worden.
Implementeer processen voor het uitoefenen van rechten. Betrokkenen mogen informatie opvragen over: doel, categorieën persoonsgegevens, ontvangers, bewaartermijn, rechten van betrokkene, het recht om een klacht in te dienen en mogen bezwaar maken tegen profilering.
Implementeer processen voor het melden van datalekken.
Om de risico’s te minimaliseren moeten organisaties en hun medewerkers bewust zijn van de belangrijkste elementen van de regelgeving.
Weeg privacyaspecten mee bij het ontwikkelen van nieuwe producten en diensten.
De wetgeving stimuleert organisaties om certificering op het gebied van privacy te halen. Deze certificering mag door de toezichthouder of het nationaal accreditatie lichaam worden uitgegeven.
De toezichthouder in het land van de feitelijke hoofdvestiging van de organisatie zal verantwoordelijk zijn voor het toezicht.
Informatie en communicatie moeten in een begrijpelijke vorm en in duidelijke (gewone) taal zijn opgesteld, zeker als deze zich richt tot kinderen.
Datalekken moeten binnen 72 uur aan de toezichthouder gemeld worden en in sommige gevallen is directe melding aan de betrokkene vereist. In gevallen waar het datalek niet gemeld is binnen 72 uur moet een met reden omklede melding gedaan worden bij de toezichthouder.
Contactgegevens van de FG moeten worden gepubliceerd en aan de toezichthouder worden gestuurd en betrokkenen moeten contact op kunnen nemen om hun rechten uit te oefenen.
De toezichthouder mag documenten en gegevens opvragen en heeft de bevoegdheid om toegang te krijgen tot alle persoonsgegevens en de locaties waar deze zijn opgeslagen.
Betrokkenen moeten op een uiterst zichtbare manier expliciet worden geïnformeerd over de mogelijkheid om bezwaar te maken tegen profilering.