Transcription of Handleiding Algemene verordening gegevensbescherming
1 Handleiding Algemene verordening gegevensbeschermingen Uitvoeringswet Algemene verordening gegevensbeschermingen Uitvoeringswet Algemene verordening gegevensbeschermingHandleiding Algemene verordening gegevensbeschermingAuteur(s): Bart W. Schermer, Dominique Hagenauw, Nathalie FalotOpdrachtgever: Ministerie van Justitie en VeiligheidContactpersoon: Pauline Verhaak, Algemene verordening gegevensbeschermingen Uitvoeringswet Algemene verordening gegevensbescherming5 Handleiding Algemene verordening gegevensbescherming1 Inleiding 9 Stroomdiagrammen en checklists 10 Schema 1: Is de verordening op u van toepassing? 10 Schema 2: Welke uitvoeringswet is op u van toepassing? 11 Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker? 12 Schema 4: Is uw gegevensverwerking rechtmatig? 13 Schema 5: Wanneer moet u de betrokkene informeren over een verwerking van persoonsgegevens ?
2 14 Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke? 15 Checklist 2: Wat zijn de plichten van de verwerker? 16 Checklist 3: Welke informatie moet u verstrekken aan de betrokkene? 17 Checklist 4: Eisen aan de verwerkersovereenkomst 182 De Algemene verordening gegevensbescherming E n gegevensbeschermingswet voor de hele Europese Unie Wat regelt de verordening ? Wat regelt de Uitvoeringswet? Welke beginselen vormen het uitgangspunt bij de bescherming van persoonsgegevens ? 213 Is de verordening op mijn gegevensverwerkingen van toepassing? Verwerk ik gegevens? Verwerk ik persoonsgegevens ? Bijzondere categorie n van persoonsgegevens en persoonsgegevens van strafrechtelijke aard Gevoelige gegevens Nationaal identificatienummer Pseudonimisering en anonimisering Is er sprake van de geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand? Valt mijn verwerking binnen het toepassingsbereik van de verordening ?
3 Is de verordening op alle verwerkingen van persoonsgegevens van toepassing? Waar is de verordening van toepassing? Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker? Ben ik een verwerker? 334 Is mijn gegevensverwerking legitiem? Voor welke doelen mag ik persoonsgegevens verzamelen? Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb? Wanneer is mijn verwerkingsdoel gerechtvaardigd? Toestemming Noodzakelijk voor de uitvoering van een overeenkomst Noodzakelijk om te voldoen aan een wettelijke plicht Noodzakelijk om de vitale belangen te beschermen Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag Noodzakelijk voor de behartiging van het gerechtvaardigde belang Welke voorwaarden worden aan de toestemming gesteld? Mag ik bijzondere categorie n van persoonsgegevens verwerken?
4 Welke uitzonderingen kent de verordening op het verbod op het verwerken van bijzondere categorie n van persoonsgegevens ? Wat zijn de Algemene uitzonderingsgronden op het verwerkingsverbod van bijzondere categorie n van persoonsgegevens ? 42 Inhoudsopgave6 Handleiding Algemene verordening Specifieke uitzonderingen Mag ik persoonsgegevens van strafrechtelijke aard verwerken? Wat wordt bedoeld met specifieke verwerkingssituaties ? Verwerken van persoonsgegevens en vrijheid van meningsuiting Toegang tot offici le documenten Nationaal identificatienummer Arbeidsverhouding Wetenschappelijk en historisch onderzoek, statistiek en archivering in algemeen belang Kerken en religieuze verenigingen Openbare registers 495 Wat zijn mijn plichten als verwerkings-verantwoordelijke? Wat zijn mijn plichten als verwerkingsverantwoordelijke? Hoe toon ik aan dat ik aan mijn verplichtingen voldoe?
5 Wat is de registerplicht? Wat is een register van verwerkingsactiviteiten? Is er een vormvereiste aan het register? Moet ik altijd een register bijhouden? Wat moet ik in het register opnemen? Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? Wie moet ik toegang geven tot het register? Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? Wat is een functionaris voor gegevensbescherming ? Wanneer moet ik verplicht een functionaris voor gegevensbescherming aanstellen? Kan ik ook vrijwillig een functionaris voor gegevensbescherming aanstellen? Welke eisen worden gesteld aan een functionaris voor gegevensbescherming ? Kan ik een functionaris voor gegevensbescherming extern aanstellen of inhuren? Welke taken heeft een functionaris voor gegevensbescherming ? Wat is de positie van een functionaris voor gegevensbescherming ? Is een functionaris voor gegevensbescherming eindverantwoordelijk voor de naleving van de verordening ?
6 Wat is een gegevensbeschermingseffectbeoordeling? Wanneer moet ik een gegevensbeschermingseffectbeoordeling uitvoeren? Wanneer is er sprake van een hoog risico ? Moet ik voor elke verwerking een gegevensbeschermingseffectbeoordeling uitvoeren? Wat houdt het uitvoeren van een gegevensbeschermingseffectbeoordeling in? Wat moet ik met de resultaten van de gegevensbeschermingseffect beoordeling doen? Kan een functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling uitvoeren? Wat is een voorafgaande raadpleging ? Welke informatie moet ik aan de toezichthouder verstrekken bij een voorafgaand raadpleging? Wanneer krijg ik antwoord van de Autoriteit persoonsgegevens ? Wat houdt privacy door ontwerp en standaardinstellingen in? Hoe maak ik aantoonbaar dat ik met deze uitgangspunten rekening heb gehouden? Aan welke beveiligingseisen moeten mijn verwerkingen voldoen? Hoe stel ik vast welke beveiligingsmaatregelen ik moet treffen?
7 Kan ik mij certificeren of bij een gedragscode aansluiten om aan deze verplichting te voldoen? Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? Wanneer is er sprake van een inbreuk in verband met persoonsgegevens ? Moet ik ieder datalek melden aan de Autoriteit persoonsgegevens ? Wanneer moet ik aan de betrokkene mededelen dat er een inbreuk heeft plaatsgevonden? Wanneer moet ik het datalek melden? Welke informatie moet ik bij de melding verstrekken? Wat moet ik verder met de mededeling doen? Afspraken met verwerkers Moet ik een verwerkersovereenkomst sluiten? 667 Handleiding Algemene verordening Mag mijn verwerker zomaar andere partijen inschakelen bij het uitvoeren van mijn verwerkingen? Wat zijn goedgekeurde gedragscodes en certificeringsmechanismen? Door wie kan een gedragscode of certificeringsmechanisme worden opgesteld? Is iedere gedragscode toereikend om naleving van de verordening aan te tonen?
8 Ontslaat het onderschrijven van een gedragscode of certificering mij van verdere naleving van de verordening ? 686 Wat zijn mijn plichten als verwerker? Moet ik de verwerkingsverantwoordelijke garanties bieden? Moet ik als verwerker verplicht een verwerkersovereenkomst tekenen? Mag ik andere partijen inzetten bij het verwerken van persoonsgegevens ? Welke afspraken moet ik maken met sub-verwerkers? Moet ik mijn verwerkingsactiviteiten registreren? Wanneer hoef ik geen register bij te houden? Wat moet ik in het register opnemen? In welke vorm moet ik het register opstellen? Wie moet ik toegang geven tot het register? Moet ik een functionaris voor gegevensbescherming aanstellen? Hoe moet ik de beveiligingseis invullen? Wat moet ik doen bij een inbreuk in verband met persoonsgegevens ? Moet ik meewerken met de Autoriteit persoonsgegevens ? Wat moet ik doen als de verwerkingsverantwoordelijke de verwerkingsactiviteiten be indigt?
9 727 Hoe ga ik om met de rechten van de betrokkene? Welke rechten hebben betrokkenen? Ben ik verplicht gehoor te geven aan verzoeken van de betrokkene? Hoe snel moet ik reageren op verzoeken van de betrokkene? Aan welke vormvereisten moet de invulling van deze rechten voldoen? Zijn er beperkingen op de rechten van de betrokkenen? Wat kan er gebeuren als de betrokkene het niet eens is met mijn besluit over zijn rechten? Wat houdt het recht op informatie in? In welke gevallen moet ik de betrokkene informeren? Wanneer hoef ik de betrokkene niet te informeren? Welke informatie moet ik aan de betrokkene verstrekken? Op welk moment moet ik de betrokkene informeren? Mag ik gebruik maken van icoontjes om de betrokkene te informeren? Wat houdt het recht op inzage in?
10 Welke informatie moet ik aan de betrokkene verstrekken? Moet ik ook een kopie van de gegevens aan de betrokkene verstrekken? Hoe weet ik zeker dat degene die het verzoek doet wel de betrokkene is? Wat houdt het recht op rectificatie in? Moet ik ontvangers van de gegevens ook informeren over de wijzigingen? Wat houdt het recht op verwijdering en het recht om vergeten te worden in? Wanneer kan de betrokkene zijn gegevens laten wissen? Wat houdt het recht om vergeten te worden in? Moet ik altijd de gegevens verwijderen of zijn er uitzonderingen? Moet ik ontvangers van de gegevens ook informeren over de verwijdering? Het recht op beperking Wanneer heeft de betrokkene recht op beperking van de verwerking? Wat moet ik doen om de gegevensverwerking te beperken? Het recht op verzet Wanneer kan de betrokkene zijn recht op verzet inroepen? Het recht op overdraagbaarheid van gegevens (dataportabiliteit) Welke gegevens moet ik overdragen?
