Handleiding Algemene Verordening Gegevensbescherming
HandleidingAlgemene verordeninggegevensbeschermingen Uitvoeringswet Algemene verordeninggegevensbescherming
HandleidingAlgemene verordeninggegevensbeschermingen Uitvoeringswet Algemene verordeninggegevensbeschermingAuteur(s):Bart W. Schermer, Dominique Hagenauw, Nathalie FalotOpdrachtgever:Ministerie van Justitie en VeiligheidContactpersoon:Pauline Verhaak, p.m.verhaak@minvenj.nl
Handleiding Algemene verordening gegevensbeschermingInhoudsopgave1Inleiding 9Stroomdiagrammen en checklists 10Schema 1:Is de Verordening op u van toepassing? Schema 2:Welke uitvoeringswet is op u van toepassing? Schema 3: Bent u een verwerkingsverantwoordelijke of verwerker? Schema 4:Is uw gegevensverwerking rechtmatig? Schema 5: Wanneer moet u de betrokkene informeren over een verwerking van persoonsgegevens? Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke? Checklist 2: Wat zijn de plichten van de verwerker? Checklist 3: Welke informatie moet u verstrekken aan de betrokkene? Checklist 4: Eisen aan de verwerkersovereenkomst 1011121314151617182 De Algemene verordening gegevensbescherming 192.1Eén gegevensbeschermingswet voor de hele Europese Unie 2.2Wat regelt de Verordening? 2.3Wat regelt de Uitvoeringswet? 2.4 Welke beginselen vormen het uitgangspunt bij de bescherming van persoonsgegevens? 192021213 Is de Verordening op mijn gegevensverwerkingen van toepassing? 233.13.2242426262627Verwerk ik gegevens? Verwerk ik persoonsgegevens? 3.2.1 Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard 3.2.2Gevoelige gegevens 3.2.3Nationaal identificatienummer 3.2.4Pseudonimisering en anonimisering 3.3Is er sprake van de geheel of gedeeltelijk geautomatiseerde verwerking of opnamein een bestand? 3.4Valt mijn verwerking binnen het toepassingsbereik van de Verordening? 3.4.1Is de Verordening op alle verwerkingen van persoonsgegevens van toepassing? 3.4.2Waar is de Verordening van toepassing? 3.5Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker? 3.5.1Ben ik een verwerker? 2828282932334 Is mijn gegevensverwerking legitiem? .5.14.5.2Voor welke doelen mag ik persoonsgegevens verzamelen? Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik zeoorspronkelijk verzameld heb? Wanneer is mijn verwerkingsdoel gerechtvaardigd? Toestemming Noodzakelijk voor de uitvoering van een overeenkomst Noodzakelijk om te voldoen aan een wettelijke plicht Noodzakelijk om de vitale belangen te beschermen Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag Noodzakelijk voor de behartiging van het gerechtvaardigde belang Welke voorwaarden worden aan de toestemming gesteld? Mag ik bijzondere categorieën van persoonsgegevens verwerken? Welke uitzonderingen kent de Verordening op het verbod op het verwerken van bijzondere categorieënvan persoonsgegevens? Wat zijn de algemene uitzonderingsgronden op het verwerkingsverbod van bijzondere categorieënvan persoonsgegevens? 5353637383839393940414142
Handleiding Algemene verordening 4.7.54.7.64.7.7Specifieke uitzonderingen Mag ik persoonsgegevens van strafrechtelijke aard verwerken? Wat wordt bedoeld met ‘specifieke verwerkingssituaties’? Verwerken van persoonsgegevens en vrijheid van meningsuiting Toegang tot officiële documenten Nationaal identificatienummer Arbeidsverhouding Wetenschappelijk en historisch onderzoek, statistiek en archivering in algemeen belang Kerken en religieuze verenigingen Openbare registers 5 Wat zijn mijn plichten als verwerkings-verantwoordelijke? 47484848484950Wat zijn mijn plichten als verwerkingsverantwoordelijke? 50Hoe toon ik aan dat ik aan mijn verplichtingen voldoe? 51Wat is de registerplicht? 52Wat is een register van verwerkingsactiviteiten? 52Is er een vormvereiste aan het register? 52Moet ik altijd een register bijhouden? 52Wat moet ik in het register opnemen? 52Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? 53Wie moet ik toegang geven tot het register? 53Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? 53Wat is een functionaris voor gegevensbescherming? 53Wanneer moet ik verplicht een functionaris voor gegevensbescherming aanstellen? 53Kan ik ook vrijwillig een functionaris voor gegevensbescherming aanstellen? 54Welke eisen worden gesteld aan een functionaris voor gegevensbescherming? 54Kan ik een functionaris voor gegevensbescherming extern aanstellen of inhuren? 55Welke taken heeft een functionaris voor gegevensbescherming? 55Wat is de positie van een functionaris voor gegevensbescherming? 56Is een functionaris voor gegevensbescherming eindverantwoordelijk voor de naleving van de Verordening? 57Wat is een gegevensbeschermingseffectbeoordeling? 57Wanneer moet ik een gegevensbeschermingseffectbeoordeling uitvoeren? 58Wanneer is er sprake van een ‘hoog risico’? 58Moet ik voor elke verwerking een gegevensbeschermingseffectbeoordeling uitvoeren? 58Wat houdt het uitvoeren van een gegevensbeschermingseffectbeoordeling in? 59Wat moet ik met de resultaten van de gegevensbeschermingseffect beoordeling doen? 59Kan een functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling uitvoeren? 59Wat is een ‘voorafgaande raadpleging’? 60Welke informatie moet ik aan de toezichthouder verstrekken bij een voorafgaand raadpleging? 60Wanneer krijg ik antwoord van de Autoriteit Persoonsgegevens? 60Wat houdt ‘privacy door ontwerp en standaardinstellingen’ in? 61Hoe maak ik aantoonbaar dat ik met deze uitgangspunten rekening heb gehouden? 62Aan welke beveiligingseisen moeten mijn verwerkingen voldoen? 62Hoe stel ik vast welke beveiligingsmaatregelen ik moet treffen? 62Kan ik mij certificeren of bij een gedragscode aansluiten om aan deze verplichting te voldoen? 64Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? 64Wanneer is er sprake van een inbreuk in verband met persoonsgegevens? 64Moet ik ieder datalek melden aan de Autoriteit Persoonsgegevens? 64Wanneer moet ik aan de betrokkene mededelen dat er een inbreuk heeft plaatsgevonden? 64Wanneer moet ik het datalek melden? 65Welke informatie moet ik bij de melding verstrekken? 65Wat moet ik verder met de mededeling doen? 66Afspraken met verwerkers 66Moet ik een verwerkersovereenkomst sluiten? 666
Handleiding Algemene verordening gegevensbescherming5.10.25.115.11.15.11.25.11.3Mag mijn verwerker zomaar andere partijen inschakelen bij het uitvoeren van mijn verwerkingen? Wat zijn goedgekeurde gedragscodes en certificeringsmechanismen? Door wie kan een gedragscode of certificeringsmechanisme worden opgesteld? Is iedere gedragscode toereikend om naleving van de Verordening aan te tonen? Ontslaat het onderschrijven van een gedragscode of certificering mij van verdere naleving van de Verordening? 6 Wat zijn mijn plichten als verwerker? 0676767686869Moet ik de verwerkingsverantwoordelijke garanties bieden? 69Moet ik als verwerker verplicht een verwerkersovereenkomst tekenen? 69Mag ik andere partijen inzetten bij het verwerken van persoonsgegevens? 69Welke afspraken moet ik maken met sub-verwerkers? 70Moet ik mijn verwerkingsactiviteiten registreren? 70Wanneer hoef ik geen register bij te houden? 70Wat moet ik in het register opnemen? 70In welke vorm moet ik het register opstellen? 70Wie moet ik toegang geven tot het register? 70Moet ik een functionaris voor gegevensbescherming aanstellen? 71Hoe moet ik de beveiligingseis invullen? 71Wat moet ik doen bij een inbreuk in verband met persoonsgegevens? 71Moet ik meewerken met de Autoriteit persoonsgegevens? 72Wat moet ik doen als de verwerkingsverantwoordelijke de verwerkingsactiviteitenbeëindigt? 727 Hoe ga ik om met de rechten van de betrokkene? e rechten hebben betrokkenen? Ben ik verplicht gehoor te geven aan verzoeken van de betrokkene? Hoe snel moet ik reageren op verzoeken van de betrokkene? Aan welke vormvereisten moet de invulling van deze rechten voldoen? Zijn er beperkingen op de rechten van de betrokkenen? Wat kan er gebeuren als de betrokkene het niet eens is met mijn besluit over zijn rechten? Wat houdt het recht op informatie in? In welke gevallen moet ik de betrokkene informeren? Wanneer hoef ik de betrokkene niet te informeren? Welke informatie moet ik aan de betrokkene verstrekken? Op welk moment moet ik de betrokkene informeren? Mag ik gebruik maken van icoontjes om de betrokkene te informeren? Wat houdt het recht op inzage in? Welke informatie moet ik aan de betrokkene verstrekken? Moet ik ook een kopie van de gegevens aan de betrokkene verstrekken? Hoe weet ik zeker dat degene die het verzoek doet wel de betrokkene is? Wat houdt het recht op rectificatie in? Moet ik ontvangers van de gegevens ook informeren over de wijzigingen? Wat houdt het recht op verwijdering en het recht om vergeten te worden in? Wanneer kan de betrokkene zijn gegevens laten wissen? Wat houdt het ‘recht om vergeten te worden’ in? Moet ik altijd de gegevens verwijderen of zijn er uitzonderingen? Moet ik ontvangers van de gegevens ook informeren over de verwijdering? Het recht op beperking Wanneer heeft de betrokkene recht op beperking van de verwerking? Wat moet ik doen om de gegevensverwerking te beperken? Het recht op verzet Wanneer kan de betrokkene zijn recht op verzet inroepen? Het recht op overdraagbaarheid van gegevens (dataportabiliteit) Welke gegevens moet ik overdragen? 7
Handleiding Algemene verordening gegevensbescherming7.8.27.97.9.17.9.27.9.37.9.4Ben ik verplicht om overgedragen gegevens te accepteren? Het recht niet onderworpen te worden aan geautomatiseerde individuelebesluitvorming waaronder profilering Wat is geautomatiseerde individuele besluitvorming? Wat is profilering? Wat houdt het recht om niet onderworpen te worden aan geautomatiseerde individuelebesluitvorming waaronder profilering in? Zijn er uitzondering op verbod van geautomatiseerde individuele besluitvorming? 8 Onder welke voorwaarden mag ik gegevens naar het buitenland sturen? 8.18.28.2.18.2.28.38.48.5828282828284Mag ik gegevens naar het buitenland sturen? 84Welke landen buiten de Europese Unie bieden een adequaat niveau vangegevensbescherming? 84Hoe zit het met de Europese Economische Ruimte? 85Wat gebeurt er als een lidstaat de Europese Unie verlaat? 85Welke passende beschermingsmaatregelen moet ik treffen wanneer ik gegevensbuiten de EU exporteer? 85Wat zijn bindende bedrijfsvoorschriften? 86Wat als geen van bovenstaande manieren mogelijk zijn om passende waarborgente treffen? 869 Hoe is het toezicht op de naleving geregeld en wat zijn de consequentiesbij niet naleving? 9.19.28188Wie houdt toezicht op de naleving van de Verordening in Nederland? Hoe is het toezicht op Europees niveau georganiseerd? Het Europees Comité voor de gegevensbescherming Welke taken en bevoegdheden heeft de toezichthouder? Ben ik verplicht mee te werken met de toezichthouder? Welke sancties staan er op het niet naleven van de Verordening? Welke acties kan de betrokkene tegen mij ondernemen? Recht op een klacht bij de toezichthouder Recht op een doeltreffende voorziening in rechte tegen de verwerkingsverantwoordelijke Recht op vertegenwoordiging Recht op schadevergoeding 888889909090919191929210Bijlage 9310.110.2Implementatietabel UAVG Organisaties en inhoudelijk deskundigen die waren vertegenwoordigd in deklankbordgroep Handleiding AVG 939.2.19.39.49.59.69.6.19.6.29.6.39.6.4898
Handleiding Algemene verordening gegevensbescherming1Inleiding25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘Verordening’ of ‘AVG’) rechtstreeks vantoepassing in alle lidstaten van de Europese Unie. De Verordening is de opvolger van de Wet beschermingpersoonsgegevens in Nederland. Het doel van de Verordening is om twee belangen te waarborgen: debescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeervan persoonsgegevens binnen de Europese Unie (‘EU’).In deze handleiding worden de belangrijkste bepalingen uit de Verordening en Nederlandse UitvoeringswetAlgemene verordening gegevensbescherming (de ‘Uitvoeringswet’ of ‘UAVG’) toegelicht. De handleidingvervangt de Handleiding Wbp.De handleiding is samengesteld door juridisch adviesbureau Considerati onder auspiciën van het Ministerie vanJustitie en Veiligheid. Een externe klankbordgroep is geraadpleegd bij de totstandkoming van de handleiding.Een overzicht van vertegenwoordigde organisaties en inhoudelijk deskundigen is opgenomen in paragraaf 10.2.Deze handleiding is gericht op iedereen die meer wil weten over de Verordening en de Uitvoeringswet, maaris primair gericht aan ‘verwerkingsverantwoordelijken’, dat wil zeggen, degenen die voor een bepaald doelgegevens van personen willen gaan verwerken. Deze handleiding is in het bijzonder bedoeld voor lezers diereeds enigszins op de hoogte zijn van het gegevensbeschermingsrecht en op zoek zijn naar verdereverdieping, om zo binnen hun organisatie de maatregelen die de Verordening vereist te kunnenimplementeren. Voornaamste doelgroepen zijn daarmee (beginnende) functionarissen voor gegevens bescherming, privacy officers, bedrijfsjuristen, compliance managers, risk managers en security officers.Bij het lezen van deze handleiding is het goed om de volgende twee zaken in het achterhoofd te houden.Allereerst het vraagstuk betreffende het toepasselijk recht (zie hoofdstuk 3). De Verordening heeft recht streekse werking binnen de gehele Europese Unie en harmoniseert daarmee de regels voor de beschermingvan persoonsgegevens. Maar, op specifieke punten biedt de Verordening lidstaten de ruimte om nadereinvulling te geven aan de bepalingen. Deze invulling geschiedt via zogenaamde uitvoeringswetten. Dezehandleiding is geschreven vanuit het perspectief van de Nederlandse Uitvoeringswet. Houd er rekening meedat afhankelijk van uw specifieke situatie niet de Nederlandse, maar een andere uitvoeringswet op uwgegevensverwerkingen van toepassing kan zijn. De inhoud daarvan kan afwijken van hetgeen in dezehandleiding is beschreven.Ten tweede het vraagstuk over de interpretatie van de Verordening. De Verordening is een omvangrijk stukwetgeving met slechts een beperkte schriftelijke toelichting. Op veel punten is het daarom (nog)onduidelijk wat de precieze invulling is die gegeven moet worden aan begrippen en bepalingen. Omdat deVerordening een Europese wet is waarvan de verdere invulling aan de toezichthouder(s) en de Europeserechter is, wordt in deze handleiding slechts zeer beperkt vooruitgelopen op de interpretatie van nu nogonduidelijke begrippen. Daar waar er in het bijzonder onduidelijkheid is over de invulling en interpretatievan begrippen wordt dit expliciet vermeld.In de handleiding wordt waar nuttig verwezen naar de Uitvoeringswet Algemene verordening gegevens bescherming. Daarbij wordt opgemerkt dat het wetsvoorstel nog in de fase van de parlementairebehandeling is en kan wijzigen. In een volgende versie van de handleiding zal meer uitgebreid aandacht aande Uitvoeringswet worden geschonken.De elektronische versie van deze handleiding wordt in het licht van het bovenstaande periodiek herzien omde laatste ontwikkelingen op het gebied van de toepassing en de uitleg van de Verordening mee te nemen.U kunt de laatste versie van deze handleiding vinden op: www.rijksoverheid.nl/avgDen Haag, 8 januari 2018Ministerie van Justitie en Veiligheid9
Handleiding Algemene verordening gegevensbeschermingStroomdiagrammen en checklistsSchema 1: Is de Verordening op u van toepassing?1NeeVerwerkt u gegevens?§3.12JaNeeZijn deze gegevens persoonsgegevens?§3.23JaJaIs de gegevensverwerking geheel ofgedeeltelijk geautomatiseerd?§3.34NeeNeeZijn de handmatig verwerkte gegevensopgenomen in een bestand of zijn ze bedoeldom daarin te worden opgenomen?De Verordening isniet van toepassingop uw verwerking.§3.35JaValt de gegevensverwerking onder één vande uitzonderingen op het materiëletoepassingsbereik van de Verordening?Ja§3.4.16NeeNeeValt de verwerking binnen het territorialetoepassingsbereik van de Verordening?§3.4.2Ja7De Verordening isop uw verwerkingvan toepassing.Voor de vraag welke uitvoeringswetop u van toepassing is zie Schema 2.10
Handleiding Algemene verordening gegevensbeschermingSchema 2: Welke uitvoeringswet is op u van toepassing?Het onderstaande schema laat voor veelvoorkomende situaties zien welke uitvoeringswetgeving vantoepassing is (de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming of deuitvoeringswetgeving van een andere lidstaat). Houd er bij het gebruik van dit schema rekening mee dat hetniet uitputtend is en dat voor de keuze van het toepasselijke recht ook de keuzes in de uitvoeringswetgevingvan de andere lidstaten van belang ordelijkeWoonplaats betrokkeneof plaats gedragingenvan betrokkeneToepasselijk recht zoals volgend uit deVerordening en de UitvoeringswetBuiten de Europese UnieBuiten Nederland, buiten deEuropese UnieVerordening niet van toepassingBuiten de Europese UnieBuiten Nederland, binnen eenandere lidstaat dan NederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen van deandere lidstaat van toepassingBuiten de Europese UnieBinnen NederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen Nederlandsrecht van toepassingBinnen de Europese Unie, in eenandere lidstaat dan NederlandBinnen de Europese Unie,in deze andere lidstaat danNederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen van deandere nationale lidstaat waar deverwerkings verantwoordelijke /verwerkeris gevestigd, is van toepassingBinnen de Europese Unie, in eenandere lidstaat dan NederlandBinnen NederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen van deandere nationale lidstaat van toepassingBinnen de Europese Unie, in eenandere lidstaat dan NederlandBuiten de Europese UnieVerordening van toepassing, nationalebeperkingen en uitzonderingen van deandere nationale lidstaat van toepassingBinnen NederlandBinnen NederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen Nederlandsrecht van toepassingBinnen NederlandIn een andere lidstaat danNederlandVerordening van toepassing, nationalebeperkingen en uitzonderingen Nederlandsrecht van toepassingBinnen NederlandBuiten de Europese UnieVerordening van toepassing, nationalebeperkingen en uitzonderingen Nederlandsrecht van toepassing11
Handleiding Algemene verordening gegevensbeschermingSchema 3: Bent u een verwerkingsverantwoordelijke of verwerker?1Bent u degene die op grond van eenspecifieke juridische bevoegdheid het doel ende middelen voor de verwerking vaststelt?Ja§3.5Nee2Bent u degene die op grond van eenimpliciete bevoegdheid het doel en demiddelen voor de verwerking vaststelt?Ja§3.52Stelt u alleen het doel en middelen vast ofgezamenlijk met anderen?Nee§3.53AlleenOefent u feitelijk gezien invloed uit over deverwerking van de persoonsgegevens enbepaalt u aldus het doel en de middelen voorde verwerking?Samen met anderenJa§3.5U bent deverwerkingsverantwoordelijke.Nee§3.54Staat u onder het gezag van of in een hiërarchischeverhouding tot degene onder wiens verantwoordelijkheid u de persoonsgegevensNee verwerkt?§3.5.1JaNee5Er is sprake van ‘intern beheer’:degene onder wiens gezagu staat of waartoe u in enhiërarchische verhouding staat isde verwerkingsverantwoordelijke.U bent verwerker.§3.5.1§3.5.112U bent met de 3.5
Handleiding Algemene verordening gegevensbeschermingSchema 4: Is uw gegevensverwerking rechtmatig?1NeeHeeft u één of meer duidelijk bepaalde en gerechtvaardigdedoeleinden voor het verzamelen van persoonsgegevens?2§4.1JaNeeHeeft u dat doel of die doeleinden uitdrukkelijk omschreven?§4.1Ja3Verwerkt u bijzondere categorieën van persoonsgegevens?§3.2.1Nee4JaValt uw verwerking van bijzondere categorieën vanpersoonsgegevens onder één van de algemene of specifiekeuitzonderingen op het verbod op de verwerking van dergelijkegegevens in de Verordening of de Uitvoeringswet?5Nee§4.5De gegevensverwerkingis onrechtmatig.JaNeeKunt u uw verwerking (inclusief het verzamelen) baseren op tenminste één van de grondslagen die de Verordening noemt?§4.36JaNeeZijn de gegevens toereikend, ter zake dienend, en beperkt totwat noodzakelijk is om uw doel(einden) te bereiken?§4.37JaNeeNeeGeeft u gegevens door naar een land buiten de Europese Unie?§8.18JaJaWaarborgt dat land een passend beschermingsniveau?§8.29NeeMaakt u gebruik van passende waarborgen of kunt u zichberoepen op één van de uitzonderingen op het verbod opgegevensdoorgifte?Nee§8.3-5Ja10Heb ik voldaan aan alle overigeop mij rustende verplichtingenvan de AVG?Hoofdstuk 5 & 7JaDe gegevensverwerkingis rechtmatig.13
Handleiding Algemene verordening gegevensbeschermingSchema 5: W anneer moet u de betrokkene informeren over eenverwerking van persoonsgegevens?1JaIs de betrokkene reeds op de hoogte van deinformatie?U heeft géén informatieplicht.§7.2.2Nee2JaVerzamelt u de gegevens rechtstreeks bij debetrokkene?§7.2.2NeeU verkrijgt de gegevens buitende betrokkene om.3Is het door u verkrijgen of verstrekken van degegevens uitdrukkelijk bij wet voorgeschrevenen voorziet deze wet in passende maatregelenom de gerechtvaardigde belangen van debetrokkene te beschermen?JaU heeft géén informatieplicht.§7.2.2Nee4Is het voor u onmogelijk om alle betrokkenente informeren of vergt dat een onevenredigeinspanning?U heeft géén informatieplicht aande betrokkene, maar u neemtwel passende maatregelen,waaronder het openbaar makenvan informatie over de verwerking.Ja§7.2.2Nee5§7.2.35Maakt het informeren het verwerkingsdoelonmogelijk of brengt het het ernstig in hetgedrang?§7.2.2Nee6Moeten de persoonsgegevens vertrouwelijkblijven op grond van een beroepsgeheim ofstatutaire geheimhoudingsplicht?JaU heeft géén informatieplicht.§7.2.2NeeU moet de betrokkene binnen een redelijketermijn informeren.§7.2.47Zijn de gegevens (ook) bestemd om aan eenderde te verstrekken?8JaU moet de betrokkene bij hetmoment van verkrijging informeren.U moet de betrokkene uiterlijk op het momentvan de eerste verstrekking informeren.§7.2.4§7.2.4ZIE § 7.2.3: WELKE INFORMATIE MOET U VERSTREKKEN?14
Handleiding Algemene verordening gegevensbeschermingChecklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke?Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgendebeginselen: de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn(“rechtmatigheid, behoorlijkheid en transparantie”); de verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”); de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is(“minimale gegevensverwerking”); de gegevens moeten juist zijn (“juistheid”); de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”); gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moetook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet(de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe: een register van verwerkingsactiviteiten bij te houden (de registerplicht); onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen; voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit tevoeren; de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolleverwerkingsactiviteit te raadplegen (voorafgaande raadpleging); bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp enstandaardinstellingen (privacy by design & default); passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens; in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaaldeomstandigheden ook bij de betrokkenen; afspraken te maken met verwerkers. medewerking te verlenen aan de Autoriteit Persoonsgegevens.Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in tevullen (zie Checklist 3 en Hoofdstuk 7).15
Handleiding Algemene verordening gegevensbeschermingChecklist 2: Wat zijn de plichten van de verwerker?De belangrijkste plichten op grond van de Verordening voor de verwerker zijn: de verwerker mag alleen handelen in opdracht van de verwerkingsverantwoordelijke; de verwerker wordt verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hijverwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht); de verwerker moet passende technische en organisatorische beveiligingsmaatregelen nemen die eenpassend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voorbetrokkenen; de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van deverwerkingsverantwoordelijke; de verwerker moet de verwerkingsverantwoordelijke onverwijld op de hoogte stellen van een datalek; de verwerker is verplicht medewerking te verlenen bij een verzoek van de toezichthouder(Autoriteit Persoonsgegevens) in het kader van de uitoefening van diens taken; de verwerker dient in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.16
Handleiding Algemene verordening gegevensbeschermingChecklist 3: Welke informatie moet u verstrekken aan de betrokkene?U verzamelt de gegevens bij de betrokkene zelfWanneer u de gegevens bij de betrokkene zelf verzamelt, dan moet u tenminste de volgende informatieverstrekken bij de verkrijging: uw identiteit en uw contactgegevens, of de contactgegevens van uw vertegenwoordiger; indien u een functionaris voor de gegevensbescherming hebt aangesteld, de contactgegevens van dezefunctionaris; de doelen waarvoor u persoonsgegevens verwerkt; de grondslag waarop u de verwerking baseert; wanneer u de verwerking baseert op de grondslag ‘gerechtvaardigd belang’: wat uw gerechtvaardigdbelang is; de eventuele ontvangers of categorieën ontvangers van de gegevens; in geval van verstrekking aan derde landen:-- of er een adequaatheidsbesluit van de Commissie bestaat,-- of passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden verkregen,dan wel waar die waarborgen kunnen worden geraadpleegd; de bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan; de rechten van de betrokkene (beschreven in hoofdstuk 7); in het geval van toestemming, dat de betrokkene die toestemming altijd weer kan intrekken; dat de betrokkene het recht heeft een klacht in te dienen over uw verwerking bij de AutoriteitPersoonsgegevens; of het verwerken van persoonsgegevens een wettelijke verplichting is of noodzakelijk is voor deuitvoering of het aangaan van een overeenkomst, of de betrokkene verplicht is die gegevens teverstrekken en wat de gevolgen zijn van het niet verstrekken van die gegevens voor de betrokkene; in geval van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica,het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkene.Verder moet alle andere informatie worden verstrekt die noodzakelijk is om tegenover de betrokkene eenbehoorlijke en transparante verwerking te waarborgen. U moet zelf bepalen welke aanvullende informatienaast deze verplichte elementen het eventueel zou betreffen.Als u de persoonsgegevens voor andere doelen verder gaat verwerken, moet u de betrokkene opnieuwinformeren over dat nieuwe doel en opnieuw alle hierboven genoemde informatie verstrekken, behalvevoor zover de betrokkene al van die informatie op de hoogte is.U verkrijgt de gegevens buiten de betrokkene omWanneer u gegevens verzamelt buiten de betrokkene om, dan moet u in beginsel dezelfde informatieverstrekken als wanneer u de gegevens van de betrokkene zelf heeft gekregen. Het enige dat u moettoevoegen is de bron waaruit de persoonsgegevens zijn verkregen. Als de bron van de informatie niet kanworden vastgesteld dient u algemene informatie over de herkomst te verstrekken.17
Handleiding Algemene verordening gegevensbeschermingChecklist 4: Eisen aan de verwerkersovereenkomstIn een verwerkersovereenkomst dienen tenminste de volgende zaken te worden vermeld: het onderwerp en de duur van de verwerking;de aard en het doel van de verwerking;het soort persoonsgegevens en de categorieën van betrokkenen;de rechten en verplichtingen van de verwerkingsverantwoordelijke.Verder dient in de verwerkersovereenkomst te worden bepaald dat de verwerker: de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van deverwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan eenderde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht); waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moetengebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting; minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als deverwerkingsverantwoordelijke; de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diensverplichtingen met het oog op de beantwoording van verzoeken r
7 Hoe ga ik om met de rechten van de betrokkene? 73 7.1 Welke rechten hebben betrokkenen? 73 7.1.1 Ben ik verplicht gehoor te geven aan verzoeken van de betrokkene? 73 7.1.2 Hoe snel moet ik reageren op verzoeken van de betrokkene? 73 7.1.3 Aan welke vormvereisten moet de invulling van deze rechten voldoen? 73
artikel 4, leden 2 en 3, van die verordening zijn vast gesteld, maar uiterlijk vanaf 29 april 2010. De onder havige verordening dient derhalve ook van toepassing te zijn met ingang van 29 april 2010, teneinde de toe passing van Verordening (EG) nr. 300/2008 en de uit voeringsbesluiten ervan te harmoniseren.
beschikbaarheid en de deskundigheid van organisaties die met de uitvoering en handhaving van de betrokken wetten zijn belast; - wet: Wet algemene bepalingen omgevingsrecht. Artikel 2. Reikwijdte Deze verordening is van toepassing op de uitvoering en handhaving van de betrokken wetten door of in opdracht van burgemeester en wethouders. Paragraaf 2.
(6) De Europese Autoriteit voor voedselveiligheid (EFSA), in gesteld bij Verordening (EG) nr. 178/2002 van het Euro pees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften
2 IsoBouw Airpop Algemene toepassing Veelzijdig en hoogwaardig isolatiemateriaal IsoBouw Airpop Algemene toepassing Airpop , de bouw kan niet zonder Airpop oftewel EPS staat voor geëxpandeerd polystyreen en wordt door IsoBouw Systems altijd geleverd in de brandveilige SE-k
DE ROL VAN SIMULATIE IN DE ALGEMENE ECONOMETRIE J.P.C. Kleijnen FACULTEIT DER ECONOMISCHE WETENSCHAPPEN. 1 De rol van Simulatie in de algemene econometrie. . r er terer, iiict ;ict: odel n nr,en gygt-PPm n 1Pr de lOOp der tijd. Interessanter wordt simulatie evenwel bij econometrische modellen die iets ingewikkelder zijn,
6 Algemene specificaties NRB100 Installatie en Programmering Handleiding Tabel 2: Beschrijving van componenten A Aansluitklemmen B Programmeer knop C Batterij draden D Jumpers voor eindelijn weerstanden E STATUS LED - Rood F PRG LED - Groen G Rode programmeer LEDs H Strobe I OMuur en deksel sabotage schakelaar L Dekse M Rooster N Deksel schroeflocatie O Kabeldoorvoer P Bevestigingsgaten locatie
Veiligheidsinformatieblad overeenkomstig Verordening (EG) nr. 1907/2006 (REACH) met de aanvullende Verordening (EU) 2015/830 24-9-2014 (Versie: 1.0) NL (Nederlands) 4/9 12-12-2018 (Versie: 2.1) ammoniak . % (1336-21-6) Nederland Grenswaarde TGG 8H (mg/m³) 14 mg/m³ Nederland Grenswaarde TGG 15MIN (mg/m³) 36 mg/m³
Jane Phillips Janice Harris John Padginton Michelle Gale Nicolle Marsh Sue Russell Wendy Cupitt Ben Lapworth Ring 10 – . Scrim - Anne Sutherland Amanda Hubbard Claire Hayes Debbie Reynolds Debbie Styles Diana Woodhouse Diane Bradley Francis Bugler Graham Avery Karen James Sue Norman Ring 8 – Jenny Slade VYNE VYNE Ring 10 – Sue Luther Little Meadows LITTLE MEADOWS Ring 12 – Sara Tuck .
