Transcription of Handleiding Algemene verordening gegevensbescherming
1 Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming Auteur(s): Bart W. Schermer, Dominique Hagenauw, Nathalie Falot Opdrachtgever: Ministerie van Justitie en Veiligheid Contactpersoon: Pauline Verhaak, Handleiding Algemene verordening gegevensbescherming Inhoudsopgave 1 Inleiding 9. Stroomdiagrammen en checklists 10. Schema 1: Is de verordening op u van toepassing? 10. Schema 2: Welke uitvoeringswet is op u van toepassing?
2 11. Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker? 12. Schema 4: Is uw gegevensverwerking rechtmatig? 13. Schema 5: Wanneer moet u de betrokkene informeren over een verwerking van persoonsgegevens? 14. Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke? 15. Checklist 2: Wat zijn de plichten van de verwerker? 16. Checklist 3: Welke informatie moet u verstrekken aan de betrokkene? 17. Checklist 4: Eisen aan de verwerkersovereenkomst 18. 2 De Algemene verordening gegevensbescherming 19. E n gegevensbeschermingswet voor de hele Europese Unie 19.
3 Wat regelt de verordening ? 20. Wat regelt de Uitvoeringswet? 21. Welke beginselen vormen het uitgangspunt bij de bescherming van persoonsgegevens? 21. 3 Is de verordening op mijn gegevensverwerkingen van toepassing? 23. Verwerk ik gegevens? 24. Verwerk ik persoonsgegevens? 24. Bijzondere categorie n van persoonsgegevens en persoonsgegevens van strafrechtelijke aard 26. Gevoelige gegevens 26. Nationaal identificatienummer 26. Pseudonimisering en anonimisering 27. Is er sprake van de geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand? 28. Valt mijn verwerking binnen het toepassingsbereik van de verordening ?
4 28. Is de verordening op alle verwerkingen van persoonsgegevens van toepassing? 28. Waar is de verordening van toepassing? 29. Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker? 32. Ben ik een verwerker? 33. 4 Is mijn gegevensverwerking legitiem? 35. voor welke doelen mag ik persoonsgegevens verzamelen? 35. Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb? 35. Wanneer is mijn verwerkingsdoel gerechtvaardigd? 36. Toestemming 37. Noodzakelijk voor de uitvoering van een overeenkomst 38. Noodzakelijk om te voldoen aan een wettelijke plicht 38.
5 Noodzakelijk om de vitale belangen te beschermen 39. Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag 39. Noodzakelijk voor de behartiging van het gerechtvaardigde belang 39. Welke voorwaarden worden aan de toestemming gesteld? 40. Mag ik bijzondere categorie n van persoonsgegevens verwerken? 41. Welke uitzonderingen kent de verordening op het verbod op het verwerken van bijzondere categorie n van persoonsgegevens? 41. Wat zijn de Algemene uitzonderingsgronden op het verwerkingsverbod van bijzondere categorie n van persoonsgegevens?
6 42. 5. Handleiding Algemene verordening gegevensbescherming Specifieke uitzonderingen 43. Mag ik persoonsgegevens van strafrechtelijke aard verwerken? 45. Wat wordt bedoeld met specifieke verwerkingssituaties'? 47. Verwerken van persoonsgegevens en vrijheid van meningsuiting 47. Toegang tot offici le documenten 47. Nationaal identificatienummer 48. Arbeidsverhouding 48. Wetenschappelijk en historisch onderzoek, statistiek en archivering in algemeen belang 48. Kerken en religieuze verenigingen 48. Openbare registers 49. 5 Wat zijn mijn plichten als verwerkings-verantwoordelijke?
7 50. Wat zijn mijn plichten als verwerkingsverantwoordelijke? 50. Hoe toon ik aan dat ik aan mijn verplichtingen voldoe? 51. Wat is de registerplicht? 52. Wat is een register van verwerkingsactiviteiten? 52. Is er een vormvereiste aan het register? 52. Moet ik altijd een register bijhouden? 52. Wat moet ik in het register opnemen? 52. Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? 53. Wie moet ik toegang geven tot het register? 53. Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? 53. Wat is een functionaris voor gegevensbescherming ?
8 53. Wanneer moet ik verplicht een functionaris voor gegevensbescherming aanstellen? 53. Kan ik ook vrijwillig een functionaris voor gegevensbescherming aanstellen? 54. Welke eisen worden gesteld aan een functionaris voor gegevensbescherming ? 54. Kan ik een functionaris voor gegevensbescherming extern aanstellen of inhuren? 55. Welke taken heeft een functionaris voor gegevensbescherming ? 55. Wat is de positie van een functionaris voor gegevensbescherming ? 56. Is een functionaris voor gegevensbescherming eindverantwoordelijk voor de naleving van de verordening ? 57. Wat is een gegevensbeschermingseffectbeoordeling?
9 57. Wanneer moet ik een gegevensbeschermingseffectbeoordeling uitvoeren? 58. Wanneer is er sprake van een hoog risico'? 58. Moet ik voor elke verwerking een gegevensbeschermingseffectbeoordeling uitvoeren? 58. Wat houdt het uitvoeren van een gegevensbeschermingseffectbeoordeling in? 59. Wat moet ik met de resultaten van de gegevensbeschermingseffect beoordeling doen? 59. Kan een functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling uitvoeren? 59. Wat is een voorafgaande raadpleging'? 60. Welke informatie moet ik aan de toezichthouder verstrekken bij een voorafgaand raadpleging?
10 60. Wanneer krijg ik antwoord van de Autoriteit Persoonsgegevens? 60. Wat houdt privacy door ontwerp en standaardinstellingen' in? 61. Hoe maak ik aantoonbaar dat ik met deze uitgangspunten rekening heb gehouden? 62. Aan welke beveiligingseisen moeten mijn verwerkingen voldoen? 62. Hoe stel ik vast welke beveiligingsmaatregelen ik moet treffen? 62. Kan ik mij certificeren of bij een gedragscode aansluiten om aan deze verplichting te voldoen? 64. Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? 64. Wanneer is er sprake van een inbreuk in verband met persoonsgegevens?
