Een zaak beperkt zich niet altijd tot één rechtsgebied. Wij dus ook niet.

Veel gestelde vragen


Wat zijn de belangrijkste verschillen tussen de Wbp en de AVG?

Er gelden dezelfde uitgangspunten als onder de Wbp, maar met een aantal belangrijke wijzigingen:

  • Verantwoordelijke moet aantoonbaar compliant zijn.
  • Uitbreiding van de rechten van betrokkenen.
  • Register van verwerkingsactiviteiten.
  • Geen meldingsplicht meer bij de Autoriteit (voorafgaand aan verwerkingen).
  • Data Protection Impact Assessment (DPIA).
  • Privacy by design en privacy by default.
  • Functionaris gegevensbescherming (FG).

Naar boven


Welke gegevens dient het Register van verwerkingsactiviteiten te bevatten?

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden;
  • De categorieën van betrokkenen en de categorieën van persoonsgegevens;
  • De categorieën van de ontvangers;
  • Of er doorgifte plaatsvindt aan een derde land of een internationale organisatie, welk land of welke organisatie dat is en de documenten inzake de passende waarborgen;
  • De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Naar boven


Is het Register van verwerkingsactiviteiten verplicht?

  • Voor organisaties met meer dan 250 medewerkers;
  • Voor organisaties met minder dan 250 medewerkers als persoonsgegevens worden verwerkt die:
    • een hoog risico inhouden voor de rechten en vrijheden van betrokkenen;
    • waarvan de verwerking niet incidenteel is;
    • die vallen in de categorie bijzondere persoonsgegevens.

Naar boven


Wat is een Data Protection Impact Assessment (DPIA)?

Data Protection Impact Assessment (DPIA) is een toets om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Naar boven


Hoe bepaalt u of u een DPIA moet uitvoeren?

De Autoriteit Persoonsgegevens heeft criteria opgesteld om het risico van een verwerking van persoonsgegevens te bepalen.

De Autoriteit Persoonsgegevens komt nog met een lijst met verwerkingen waarvoor een DPIA verplicht is.

Naar boven


Wanneer is een Data Protection Impact Assessment (DPIA) verplicht?

Alleen verplicht als een gegevensverwerking waarschijnlijk een hoog risico oplevert op inbreuk op de privacy van betrokkenen. Dat geldt in ieder geval als:

  1. Systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd;
  2. Op grote schaal bijzondere persoonsgegevens worden verwerkt;
  3. Op grote schaal mensen in publiek toegankelijk gebied worden gevolgd.

Naar boven


Wat is een functionaris gegevensbescherming (FG)?

Een professional met deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

  • Intern of extern.
  • Onafhankelijk.

Naar boven


Welke verplichte taken heeft een functionaris gegevensbescherming (FG)?

  • Adviseren en informeren over verplichtingen;
  • Toezien op naleving van wetgeving en beleid, met in begrip van het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van personeel;
  • Adviseren bij DPIA’s en toezien op de uitvoering daarvan;
  • Samenwerken met de AP en optreden als contactpunt voor de AP en betrokkenen.

Naar boven


Voor wie is een functionaris gegevensbescherming (FG) verplicht?

  1. Overheidsinstanties: Rijksoverheid, provincies, gemeenten, Kadaster, etc.
  2. Publieke organisaties: Zorg- en onderwijsinstellingen.
  3. Organisaties die op grote schaal individuen volgen.
  4. Organisaties die op grote schaal bijzondere gegevens verwerken.

Lees meer: Guidelines functionaris gegevensbescherming

Naar boven


Wanneer moet ik een verzoek om gegevens te wissen inwilligen?

Een verzoek om wissing moet worden ingewilligd als:

  • Uw klant de toestemming voor het verzamelen en/of verwerken intrekt.
  • Uw klant bezwaar maakt tegen de verwerking. Het recht van bezwaar tegen direct marketing is onder de AVG absoluut.
  • U verwerkt de persoonsgegevens onrechtmatig.
  • De bewaartermijn van de gegevens verstreken is.

Het persoonsgegevens betreft van een individu jonger dan 16.

Lees meer: Let op! Elk individu kan uw organisatie na 25 mei vragen om vergeten te worden

Naar boven


Wanneer mag ik een verzoek om gegevens te wissen weigeren?

Wissing mag worden geweigerd als:

  •  U de gegevens nodig hebt om het recht op vrijheid van meningsuiting en informatie te beschermen.
  • U met de verwerking van de persoonsgegevens voldoet aan uw wettelijke plicht.
  • U de gegevens verwerkt ten behoeve van openbaargezag of een algemeen belang bijvoorbeeld op het gebied van volksgezondheid.
  • U de persoonsgegevens in het algemeen belang moet archiveren.
  • U de gegevens nodig hebt voor een rechtsvordering.

Lees meer: Let op! Elk individu kan uw organisatie na 25 mei vragen om vergeten te worden

 Naar boven


Blijft de NEN 7510 gelden?

De NEN 7510 blijft onder de AVG een belangrijke norm voor informatiebeveiliging in de zorg. Net zoals dat nu het geval is, zijn beveiligingsstandaarden belangrijk onder de AVG. Volgens de huidige beleidsregels “Beveiliging van persoonsgegevens” van de Autoriteit Persoonsgegevens raadt zij het volgen van beveiligingsstandaarden met klem aan. De AP noemt NEN 7510 expliciet als zo’n standaard. Indien het BSN wordt verwekt is de toepassing van NEN 7510 verplicht.

Naar boven


Welke wetten blijven er in de zorg van kracht?

  • Wet op de geneeskundige behandelingsovereenkomst (WGBO);
  • Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
  • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
  • Zorgverzekeringswet (Zvw);
  • Wet marktordening gezondheidszorg (Wmg);
  • Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
  • Wet gebruik burgerservicenummer in de zorg

Naar boven


Wat houdt het recht op informatie in voor de persoon wiens gegevens verwerkt worden?

Als verwerkingsverantwoordelijke heeft u de plicht om het publiek te informeren over uw gegevensverwerkingen. Meer specifiek hebben betrokkenen het recht om te weten wat er met hun persoonsgegevens gebeurt en waarom. Ook moeten zij bewust worden gemaakt van de risico’s van de gegevensverwerking, de regels die ervoor gelden, de waarborgen en de manier waarop zij hun rechten met betrekking tot de verwerking van gegevens kunnen uitoefenen.

Naar boven


In welke gevallen hoeft u de persoon wiens gegevens u verwerkt niet te informeren?

In een aantal gevallen hoeft u de personen van wie u de persoonsgegevens verwerkt niet te informeren:

  • Wanneer de betreffende persoon zelf gegevens heeft aangeleverd. Het is dan aannemelijk dat die persoon al op de hoogte is.
  • Wanneer u de persoon al eerder per e-mail informeerde.
  • Wanneer u de gegevens via een derde verkreeg.
  • Wanneer de oorspronkelijke verkrijger van deze gegevens de betreffende persoon al op de hoogte heeft gesteld.
  • Wanneer informatieverstrekking aan de betreffende persoon onmogelijk is, of onevenredig veel inspanning kost, of als er sprake is van beroepsgeheim.

Naar boven


Op welk moment moet de betrokkenen geïnformeerd worden?

Wanneer u de gegevens bij de betrokkene zelf verzamelt, dan moet u de betrokkene informeren bij het moment van de verkrijging van de gegevens. Als u de gegevens niet van betrokkene zelf hebt gekregen, dan moet u de betrokkene binnen een redelijke termijn na ontvangst van de gegevens informeren. De AVG stelt dat dit in ieder geval niet langer dan één maand na ontvangst van de gegevens is.

Naar boven


Hoe verhoudt de Europese AVG zich tot de nationale wetgeving?

De AVG is een verordening en dus Europese privacywetgeving die boven de nationale wetgeving staat.

Naar boven