Veelgestelde vragen

Wat is het verschil tussen de General Data Protection Regulation (GDPR) en de Algemene Verordening Gegevensbescherming (AVG)?


Er is geen verschil. Het zijn verschillende benamingen voor dezelfde Europese privacywetgeving. Wij gebruiken in de FAQ’s de afkorting GDPR.




Vanaf wanneer geldt de GDPR?


De GDPR is vanaf 25 mei 2018 van toepassing. Uw organisatie heeft dus nog een aantal maanden om zich goed voor te bereiden. Tot die tijd geldt in Nederland nog steeds de Wet bescherming persoonsgegevens. Een paar maanden lijkt veel, maar u moet eigenlijk al de eerste stappen gezet hebben. Lees hier meer.




Hoe kan ik starten met voldoen aan de Europese privacywetgeving?


Om u te helpen bij uw keuzes en de stappen, hebben wij een stappenplan opgesteld. Hiermee kunt u gestructureerd werken aan compliancy, en maken wij concreet welke acties u moet ondernemen. U bepaalt zelf welke stappen u zelf uitvoert, en welke stappen u wilt uitbesteden.




Welke extra rechten krijgen de mensen van wie u de persoonsgegevens verwerkt?


Door de GDPR krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun Europese privacyrechten worden namelijk versterkt en uitgebreid. In deze Europese privacywetgeving staat hoe u geldige toestemming krijgt van mensen om hun persoonsgegevens te verwerken. Daarnaast moet het voor die mensen net zo makkelijk zijn om hun toestemming in te trekken als het is om die te geven.

Naast versterking van de bestaande rechten krijgen mensen door de GDPR een aantal aanvullende rechten. Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Daarnaast kunnen zij straks van de organisatie eisen dat zij de verwijdering doorgeven aan alle andere derde partijen die deze gegevens hebben ontvangen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van uw organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat uw organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener.




Heeft de GDPR ook voordelen voor mijn organisatie?


Hoewel we de implicaties van de nieuwe regelgeving en de administratieve last niet moeten onderschatten, zitten er ook voordelen aan. Als de GDPR van toepassing is, hoeft u zich nog maar aan één Europese wet te houden wanneer u persoonsgegevens verwerkt. Indien u in meerdere EU-lidstaten actief bent, levert de Europese privacywetgeving u het volgende op:

  • u heeft minder administratieve kosten en nalevingskosten;
  • u heeft meer rechtszekerheid;
  • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
  • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop);




Wanneer moet ik een functionaris voor de gegevensbescherming (Data Protection Officer) aanstellen?


Sinds de GDPR van toepassing is, bent u verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen wanneer uw organisatie:

  • een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak);
  • op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners;
  • op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is.




Wat zijn vrijwillige en gezamenlijke functionarissen voor de gegevensbescherming?


Is uw organisatie niet verplicht om een functionaris gegevensbescherming te benoemen? Dan mag u uiteraard ook vrijwillig een FG aanstellen. Let op: voor een vrijwillige FG gelden dezelfde regels als voor de verplichte FG.

De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden en vereisten van de FG. U mag ook met een groep organisaties een gezamenlijke FG aanstellen. Voorwaarde is dat deze goed bereikbaar is vanuit alle vestigingen.




In de GDPR wordt gesproken over een verplichting tot privacy by design en privacy by default. Wat betekent dit?


De verplichting tot privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor moet zorgen dat persoonsgegevens worden beschermd.
De verplichting tot privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.




Wie moet binnen mijn organisatie betrokken zijn bij het Europese privacywetgeving-dossier?


We zien dat veel bedrijven dit dossier neerleggen bij ICT en/of Legal. Dit is echter een te beperkte groep. Onze ervaring leert dat bijvoorbeeld marketing- en HR-afdelingen heel anders naar cyberrisico’s en mogelijke datalekken kijken en daardoor ook andere risicobeperkende maatregelen instellen. Vaak zonder overleg met Legal en ICT. Zo kan het gebeuren dat werk wordt uitbesteed aan (bijvoorbeeld) een partij in India zonder dat anderen binnen de organisatie dit weten, en data van Nederlandse burgers terecht komen in India. Terwijl dit wettelijk verboden is. Eigenlijk moet dus iedereen worden betrokken bij het Europese privacywetgeving-dossier.




Mijn vraag staat hier niet bij?


Neem gerust vrijbijvend contact met ons op. U kunt ons telefonisch bereiken via 06 - 46 738 611, of via mail: info@gdprcoach.nl




Op welke organisaties is de GDPR van toepassing?


De GDPR is niet alleen van toepassing op organisaties in de EU, maar ook voor organisaties buiten de EU als zij goederen of diensten aanbieden aan EU-burgers, of het gedrag van EU-onderdanen monitoren. Het geldt voor alle bedrijven die de persoonsgegevens verwerken en houden van personen die in de Europese Unie verblijven, ongeacht de locatie van het bedrijf of de locatie van de gegevensbestanden.




Wat zijn persoonlijke data?


Alle informatie die betrekking heeft op een natuurlijk persoon of 'Data Subject', die kan worden gebruikt om de persoon direct of indirect te identificeren. Het kan alles zijn: van een naam, een foto, een e-mailadres, bankdetails, berichten op sociale netwerken, medische informatie of een computer-IP-adres.




Wat is het verschil tussen een gegevensverantwoordelijke en een gegevensverwerker?


Een gegevensverantwoordelijke is de entiteit die de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens bepaalt, terwijl de gegevensverwerker een entiteit is die persoonsgegevens namens de gegevensverantwoordelijke regelt.




Hoe zit het met personen jonger dan 16 jaar?


Ouderlijke toestemming is nodig om de persoonlijke gegevens van kinderen onder de 16 jaar te verwerken voor online diensten.




Wat is het verschil tussen een verordening en een richtlijn?


Een verordening is een bindend wetgevingsbesluit. Het moet in zijn geheel in de hele EU toegepast worden, terwijl een richtlijn een wetgevingshandeling is die een doelstelling geeft die alle EU-landen moeten bereiken. Het is echter aan de individuele landen om te beslissen hoe. Het is belangrijk om op te merken dat de GDPR een verordening is, in tegenstelling tot de vorige wetgeving, die een richtlijn is.




Is de GDPR alleen van toepassing op EU-bedrijven?


Nee. De GDPR is van toepassing op elke organisatie wereldwijd die gericht is op de verwerking van gegevens van mensen in de EU.




Betekent Brexit dat de GDPR niet van toepassing is op het Verenigd Koninkrijk?


Nee. De Britse regering heeft bevestigd dat post-Brexit de GDPR-voorschriften van kracht blijven.




Wat zijn de regels met betrekking tot toestemming?


De gegevensbeheerder moet kunnen aangeven dat de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
Echter, toestemming voor kinderen onder de 16 jaar moet worden gegeven door de ouder of verzorger van het kind, en verifieerbaar zijn (artikel 8). Gegevensbeheerders moeten in staat zijn om "toestemming" te bewijzen (opt-in) en toestemming kan worden ingetrokken door betrokkenen.




Wat betekent 'Right to be forgotten'?


Artikel 17 verwijst naar het recht om te wissen, vaak aangeduid als het 'recht om vergeten te worden' of 'het recht op vergetelheid', waarbij de gegevensbeheerder op verzoek de persoonsgegevens van de betrokkene wist, zonder onnodige vertraging.




Wanneer moet ik een mogelijke inbreuk melden?


Artikel 33 vereist dat een inbreuk met betrekking tot persoonsgegevens wordt gemeld, "... zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur na kennisname ervan." Indien dit niet mogelijk is, dient dit met redenen aangegeven te worden bij de toezichthoudende autoriteit.




Welke uitdagingen kunnen we verwachten?


Van discussies met collega's in de IT, cyberveiligheid, privacy en compliance teams horen we een reeks uitdagingen. Hieronder vindt u een selectie van gegevensbeschermingsfouten die we dagelijks tegenkomen. Ongestructureerde gegevens: zeker in bestanden, spreadsheets, duplicatie van gegevens door verschillende teams
Silo mentaliteit: teams werken zelden samen, maar creëren hun eigen data winkels
Gebrek aan controle over uitgang: weinig controles om te voorkomen dat PII de organisatie verlaat
Gebrek aan interne controle: data sprawl en duplicatie binnen SharePoint
Persoonlijke gegevens worden al te lang behouden en nooit veilig verwijderd of verwijderd
Weinig transparantie: organisaties verstoppen hun (gebrek aan effectieve) controles
IT: vaak gebrek aan passende technische controles
Data repositories: vaak is er geen idee welke systemen omgaan met of delen van persoonsgegevens





©2017 by GDPR Coach