Naar inhoud gaan

Trending thema's

Veelvoorkomende GDPR-begrippen uitgelegd

Martijn

30.01.18 3 min. lezen

Tags:

De GDPR is van toepassing op de verwerking van persoonsgegevens door beheerders en verwerkers in de EU, ongeacht of de verwerking plaatsvindt in de EU of niet. De verordening is ook van toepassing op de verwerking van persoonsgegevens van EU-burgers door een niet in de EU gevestigde beheerder of verwerker, indien hun activiteiten betrekking hebben op het aanbieden van goederen en diensten aan EU-burgers, of op het volgen van gedrag dat plaatsvindt binnen de Europese Unie.

Dit is in een notendop wat de GDPR betekent en wie het betreft. Om de inhoud volledig te begrijpen, moet je vertrouwd raken met de basisbegrippen van GDPR.

Belangrijkste begrippen van de GDPR

Persoonlijke data

De GDPR is alleen van toepassing op persoonlijke gegevens. Dat is alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon, een betrokkene. Een identificator kan een naam, een identificatienummer, locatiegegevens of een online identificator zijn.

Speciale categorieën van persoonlijke gegevens

Sommige gevoelige categorieën van persoonlijke gegevens zijn onderhevig aan aanvullende bescherming. Speciale categorieën van persoonsgegevens omvatten, maar zijn niet beperkt tot, gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, gezondheid, genetische en biometrische gegevens.

Gegevensbeheerder

Een gegevensbeheerder bepaalt alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens. Deze beheerders dragen de primaire verantwoordelijkheid voor naleving van de regels.

Data Processor

Een data processor is elke entiteit die persoonsgegevens verwerkt volgens de instructies van de gegevensbeheerder. Veel serviceproviders zijn bijvoorbeeld processors. Gegevensverwerkers kunnen direct aansprakelijk worden gehouden voor de beveiliging van persoonsgegevens.

Verantwoording

De kern van de GDPR is het concept van verantwoording voor de verwerking van persoonsgegevens. De beheerder is verantwoordelijk voor het naleven van alle privacybeginselen. Bovendien vereist de verordening dat de organisatie naleving van al haar principes kan aantonen.

Toestemming

De toestemming van de betrokkene betekent elke vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van wensen waarmee de betrokkene, door een verklaring of een duidelijke bevestigende handeling, instemt met de verwerking van zijn persoonsgegevens. Organisaties die afhankelijk zijn van toestemming voor hun zakelijke activiteiten, moeten de processen waarmee zij toestemming verkrijgen herzien. Daarbij moeten ze ook voldoen aan de eisen van de GDPR.

Transparantie

De GDPR combineert talrijke transparantieverplichtingen die al in de EU gelden. Gegevensbeheerders moeten op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier informatie verstrekken over de verwerking van persoonsgegevens.

Privacy Impact Assessment (PIA)

Een Privacy Impact Assessment (PIA) is de hoeksteen van het behoud van privacy en bedrijfsprocessen en services die GDPR compliant zijn. Een PIA is bedoeld om een systematische beschrijving van de beoogde verwerkingen te maken en bepaalt de rechtsgrondslag voor de verwerking. PIA’s moeten de aanpak beschrijven die een organisatie zal volgen om de risico’s te beperken.

Privacy by Design

Kort gezegd houdt privacy by design in dat elke nieuwe service of bedrijfsproces die gebruikmaakt van persoonlijke gegevens, de bescherming van die gegevens in aanmerking moet nemen.

Privacy by Default

Privacy by Default betekent simpelweg dat de strengste privacy-instellingen automatisch van toepassing zijn zodra een klant een nieuw product of een nieuwe dienst verwerft. Beheerders of verwerkers mogen alleen gegevens opslaan voor de kortst mogelijke tijd die het kost om een product of dienst te leveren.

Pseudonimiseren

Pseudonimisering is een privacybevorderende techniek waarbij persoonsgegevens worden verwerkt zonder de mogelijkheid om het aan een specifieke persoon te koppelen. Dit wordt bereikt door de informatie niet-toewijsbaar te maken zonder aanvullende informatie, die afzonderlijk moet worden bewaard en onderworpen is aan verschillende technische en organisatorische controles.

Hoewel gepseudonimiseerde informatie nog steeds een vorm van persoonlijke gegevens is, wordt het gebruik ervan sterk aangemoedigd door de GDPR – het wordt zelfs geïdentificeerd als een levensvatbare beveiligingsmaatregel.

Een algemeen begrip van de belangrijkste concepten helpt je aan de slag te gaan.

Martijn

30.01.18 3 min. lezen

Labels

Uitgelicht artikel

Verwante berichten

Newsletter modal

Bedankt voor je interesse in de cybersecurity update. Je ontvangt binnen enkele momenten een e-mail om je inschrijving te bevestigen.

Gated Content modal

Gefeliciteerd – Je kunt de content nu bekijken door op onderstaande button te klikken.