Transcription of Handleiding Algemene verordening gegevensbescherming
1 Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming Auteur(s): Bart W. Schermer, Dominique Hagenauw, Nathalie Falot Opdrachtgever: Ministerie van Justitie en Veiligheid Contactpersoon: Pauline Verhaak, Handleiding Algemene verordening gegevensbescherming Inhoudsopgave 1 Inleiding 9. Stroomdiagrammen en checklists 10. Schema 1: Is de verordening op u van toepassing? 10. Schema 2: Welke uitvoeringswet is op u van toepassing? 11. Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker? 12. Schema 4: Is uw gegevensverwerking rechtmatig? 13. Schema 5: Wanneer moet u de betrokkene informeren over een verwerking van persoonsgegevens ?
2 14. Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke? 15. Checklist 2: Wat zijn de plichten van de verwerker? 16. Checklist 3: Welke informatie moet u verstrekken aan de betrokkene? 17. Checklist 4: Eisen aan de verwerkersovereenkomst 18. 2 De Algemene verordening gegevensbescherming 19. E n gegevensbeschermingswet voor de hele Europese Unie 19. Wat regelt de verordening ? 20. Wat regelt de Uitvoeringswet? 21. Welke beginselen vormen het uitgangspunt bij de bescherming van persoonsgegevens ? 21. 3 Is de verordening op mijn gegevensverwerkingen van toepassing? 23. Verwerk ik gegevens? 24. Verwerk ik persoonsgegevens ? 24. Bijzondere categorie n van persoonsgegevens en persoonsgegevens van strafrechtelijke aard 26. Gevoelige gegevens 26. Nationaal identificatienummer 26.
3 Pseudonimisering en anonimisering 27. Is er sprake van de geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand? 28. Valt mijn verwerking binnen het toepassingsbereik van de verordening ? 28. Is de verordening op alle verwerkingen van persoonsgegevens van toepassing? 28. Waar is de verordening van toepassing? 29. Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker? 32. Ben ik een verwerker? 33. 4 Is mijn gegevensverwerking legitiem? 35. Voor welke doelen mag ik persoonsgegevens verzamelen? 35. Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb? 35. Wanneer is mijn verwerkingsdoel gerechtvaardigd? 36. Toestemming 37. Noodzakelijk voor de uitvoering van een overeenkomst 38. Noodzakelijk om te voldoen aan een wettelijke plicht 38.
4 Noodzakelijk om de vitale belangen te beschermen 39. Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag 39. Noodzakelijk voor de behartiging van het gerechtvaardigde belang 39. Welke voorwaarden worden aan de toestemming gesteld? 40. Mag ik bijzondere categorie n van persoonsgegevens verwerken? 41. Welke uitzonderingen kent de verordening op het verbod op het verwerken van bijzondere categorie n van persoonsgegevens ? 41. Wat zijn de Algemene uitzonderingsgronden op het verwerkingsverbod van bijzondere categorie n van persoonsgegevens ? 42. 5. Handleiding Algemene verordening gegevensbescherming Specifieke uitzonderingen 43. Mag ik persoonsgegevens van strafrechtelijke aard verwerken? 45. Wat wordt bedoeld met specifieke verwerkingssituaties'?
5 47. Verwerken van persoonsgegevens en vrijheid van meningsuiting 47. Toegang tot offici le documenten 47. Nationaal identificatienummer 48. Arbeidsverhouding 48. Wetenschappelijk en historisch onderzoek, statistiek en archivering in algemeen belang 48. Kerken en religieuze verenigingen 48. Openbare registers 49. 5 Wat zijn mijn plichten als verwerkings-verantwoordelijke? 50. Wat zijn mijn plichten als verwerkingsverantwoordelijke? 50. Hoe toon ik aan dat ik aan mijn verplichtingen voldoe? 51. Wat is de registerplicht? 52. Wat is een register van verwerkingsactiviteiten? 52. Is er een vormvereiste aan het register? 52. Moet ik altijd een register bijhouden? 52. Wat moet ik in het register opnemen? 52. Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? 53. Wie moet ik toegang geven tot het register?
6 53. Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? 53. Wat is een functionaris voor gegevensbescherming ? 53. Wanneer moet ik verplicht een functionaris voor gegevensbescherming aanstellen? 53. Kan ik ook vrijwillig een functionaris voor gegevensbescherming aanstellen? 54. Welke eisen worden gesteld aan een functionaris voor gegevensbescherming ? 54. Kan ik een functionaris voor gegevensbescherming extern aanstellen of inhuren? 55. Welke taken heeft een functionaris voor gegevensbescherming ? 55. Wat is de positie van een functionaris voor gegevensbescherming ? 56. Is een functionaris voor gegevensbescherming eindverantwoordelijk voor de naleving van de verordening ? 57. Wat is een gegevensbeschermingseffectbeoordeling? 57. Wanneer moet ik een gegevensbeschermingseffectbeoordeling uitvoeren?
7 58. Wanneer is er sprake van een hoog risico'? 58. Moet ik voor elke verwerking een gegevensbeschermingseffectbeoordeling uitvoeren? 58. Wat houdt het uitvoeren van een gegevensbeschermingseffectbeoordeling in? 59. Wat moet ik met de resultaten van de gegevensbeschermingseffect beoordeling doen? 59. Kan een functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling uitvoeren? 59. Wat is een voorafgaande raadpleging'? 60. Welke informatie moet ik aan de toezichthouder verstrekken bij een voorafgaand raadpleging? 60. Wanneer krijg ik antwoord van de Autoriteit persoonsgegevens ? 60. Wat houdt privacy door ontwerp en standaardinstellingen' in? 61. Hoe maak ik aantoonbaar dat ik met deze uitgangspunten rekening heb gehouden? 62. Aan welke beveiligingseisen moeten mijn verwerkingen voldoen?
8 62. Hoe stel ik vast welke beveiligingsmaatregelen ik moet treffen? 62. Kan ik mij certificeren of bij een gedragscode aansluiten om aan deze verplichting te voldoen? 64. Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? 64. Wanneer is er sprake van een inbreuk in verband met persoonsgegevens ? 64. Moet ik ieder datalek melden aan de Autoriteit persoonsgegevens ? 64. Wanneer moet ik aan de betrokkene mededelen dat er een inbreuk heeft plaatsgevonden? 64. Wanneer moet ik het datalek melden? 65. Welke informatie moet ik bij de melding verstrekken? 65. Wat moet ik verder met de mededeling doen? 66. Afspraken met verwerkers 66. Moet ik een verwerkersovereenkomst sluiten? 66. 6. Handleiding Algemene verordening gegevensbescherming Mag mijn verwerker zomaar andere partijen inschakelen bij het uitvoeren van mijn verwerkingen?
9 67. Wat zijn goedgekeurde gedragscodes en certificeringsmechanismen? 67. Door wie kan een gedragscode of certificeringsmechanisme worden opgesteld? 67. Is iedere gedragscode toereikend om naleving van de verordening aan te tonen? 68. Ontslaat het onderschrijven van een gedragscode of certificering mij van verdere naleving van de verordening ? 68. 6 Wat zijn mijn plichten als verwerker? 69. Moet ik de verwerkingsverantwoordelijke garanties bieden? 69. Moet ik als verwerker verplicht een verwerkersovereenkomst tekenen? 69. Mag ik andere partijen inzetten bij het verwerken van persoonsgegevens ? 69. Welke afspraken moet ik maken met sub-verwerkers? 70. Moet ik mijn verwerkingsactiviteiten registreren? 70. Wanneer hoef ik geen register bij te houden? 70. Wat moet ik in het register opnemen?
10 70. In welke vorm moet ik het register opstellen? 70. Wie moet ik toegang geven tot het register? 70. Moet ik een functionaris voor gegevensbescherming aanstellen? 71. Hoe moet ik de beveiligingseis invullen? 71. Wat moet ik doen bij een inbreuk in verband met persoonsgegevens ? 71. Moet ik meewerken met de Autoriteit persoonsgegevens ? 72. Wat moet ik doen als de verwerkingsverantwoordelijke de verwerkingsactiviteiten be indigt? 72. 7 Hoe ga ik om met de rechten van de betrokkene? 73. Welke rechten hebben betrokkenen? 73. Ben ik verplicht gehoor te geven aan verzoeken van de betrokkene? 73. Hoe snel moet ik reageren op verzoeken van de betrokkene? 73. Aan welke vormvereisten moet de invulling van deze rechten voldoen? 73. Zijn er beperkingen op de rechten van de betrokkenen? 74.
