les 5 GDPR Flashcards
waar staat GDPR voor?
G = general D = data P = protection R = regulation
waar staat AVG voor?
A = algemene V = verordening G = gegevensbescherming
waar zijn deze wetten van toepassing op? : de E-health wet, de vlaamse decreet gegevensdeling, wet patiëntenrechten, regels mbt beroepsgeheim
geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens
wat zijn persoonsgegevens?
= alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare, levende natuurlijke persoon
= alle informatie die direct gekoppeld kan worden aan het persoonlijk, publieke of professionele leven van een individu
wat wilt verwerking zeggen?
elke operatie of bewerking die met een persoonsgegeven uitgevoerd kan worden
andere betekenis van verwerking
ouderwetse/niet-geïnformeerde bewerking
2 vormen van verwerking
- geautomatiseerde verwerking
- semi geautomatiseerde verwerking
wat wilt geautomatiseerde verwerking zeggen?
verwerking die volledig, zonder menselijke tussenkomst via een geautomatiseerd procedé wordt uitgevoerd
wat wilt semi geautomatiseerde verwerking zeggen?
verwerking die slechts gedeeltelijk, dus met menselijke tussenkomst, via een geautomatiseerd procedé wordt uitgevoerd
wat is een bestand?
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografie gronden verspreid is
wat wilt niet onder bestand? (3)
- persoonlijk adressenbestand
- verwerken van gegevens door een natuurlijke persoon
- verwerking van politionele of gerechtelijke gegevens
anonimisering
verwerking waardoor gegevens niet meer in verband kunnen gebracht worden met een geïdentificeerde of identificeerbare persoon zonder gebruik te moeten maken van middelen die redelijkerwijze niet te verwachten zijn
kenmerken anonimisering (2)
- zodra gegevens geanonimiseerd zijn, zijn ze geen persoonsgegevens meer en dus niet meer onderhevig aan GDPR
- het anonimiseren is wel een handeling die valt onder GDPR
pseudoanonimisering
verwerking waardoor persoonsgegevens niet meer rechtstreeks aan een specifieke natuurlijke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens gebruikt worden
hoe werkt pseudoanonimisering
de aanvullende gegevens moeten apart bewaard worden en de nodige technische en organisatorische maatregelen moeten genomen worden om er voor te zorgen dat deze niet zomaar gelinkt kunnen worden
(pseudoanonimisering = codering)
6 beginselen aan de basis van GDPR
- ) rechtmatigheid, behoorlijkheid en transparantie
- ) doelbinding
- ) minimale gegevensverwerking
- ) juistheid
- ) opslagbeperking
- ) integriteit en vertrouwelijkheid
3 eigenschappen van rechtmatigheid, behoorlijkheid en transparantie (3)
- wettelijke grondslag nodig om gegevens te verwerken
- transparantie over de verwerking
- met hulpverlening als finaliteit
eigenschappen rechtmatige wijze (5)
- toestemming van de betrokkene
- noodzaak voor het uitvoeren van een overeenkomst
- wettelijke verplichting
- noodzaak voor de bescherming van vitale belangen
- noodzaak voor de vervulling van een taak van algemeen belang
wat wilt doelbinding zeggen?
steeds duidelijk doel/reden om gegevens te verwerken
wat is het verschil tussen primaire verwerking en secundaire verwerking? (doelbinding)
primaire verwerking is enkel verwerken voor het doel waarvoor ze werden ingezameld. secundaire verwerking is dat verwerking met een ander doel dan het doel waarvoor het werd verzameld (verwerking door een derde partij)
wat wilt minimale gegevensverwerking zeggen?
enkel de gegevens verzamelen/verwerken die noodzakelijk zijn om het (primaire) doel te bereiken
juistheid: wie is verantwoordelijk?
zowel de persoon die gegevens aanlevert als de persoon die de gegevens verwerkt
juistheid 2 eigenschappen
- recht op aanbrengen van wijzigingen/correcties
- verplichting om steeds na te gaan of de gegevens die verwerkt worden (nog) juist zijn
waar moet je opletten bij juist heid?
verbeteringen/correcties mogen enkel op vraag van de persoon tot wie de gegevens betrekking hebben –> actieve houding van de verwerker nodig
opslagbeperking
identificeerbaar bewaren van persoonsgegevens is beperkt in de tijd
integriteit en vertrouwelijkheid
gegevens moeten dusdanig verwerkt worden op een passende technische of organisatorische manier zodat de beveiliging ervan gewaarborgd is
nodige maatregelen nemen voor optimale veiligheid van de gegevens (3)
- permanente aanpassing
- permanente waakzaamheid
- evalueren
3 stappen van controle
- verantwoordingsplicht
- privacy by design
- controle orgaan overheid
verantwoordingsplicht (2)
- de verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de verordening
- de verwerkingsverantwoordelijke moet de naleving kunnen aantonen
privacy by design + hoe werkt dit?
gegevens bescherming door ontwerp –> bij alle keuzes moet steeds proactief en aangepast nagedacht worden over op welke manier de privacy het best kan worden beschermd
wat wilt privcay by default zeggen?
gegevensbescherming door standaardinstellingen–> privacy is de standaardisntelling bij verwerkingsactiviteiten zonder dat de betrokkene hier zelf maatregelen of acties voor moet ondernemen
welke gegevens zijn extra beschermd?(5)
- gegevens waaruit ras, afkomst, politieke opvattingen, lidmaatschap vakband, religieuze of levensbeschouwelijke opvattingen
- genetische gegevens
- gegevens over gezondheid
- gegevens mbt seksuele gedrag of seksuele gerichtheid
- biometrische gegevens die leiden tot de unieke identificatie van een persoon
9 doeleinden ter uitzondering van verwerkingsverbod
- ) uitdrukkelijke toestemming
- ) vitale belangen
- ) verwerkingen door instanties actief op politiek, levensbeschouwelijk
- ) gegevens die kennelijk openaar zijn gemaakt
- ) instelling, uitoefening of onderbouwing van een rechtsvordering
- ) volkenrechtelijke verplichting
- ) verwerking door ombudsman
- ) verwerking in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard
- ) wetenschappelijk onderzoek, historisch onderzoek, statistische doeleinden
2 specifieke categorieën mbt zorgberoepen
- gezondheidsgegevens
- genetische gegevens
gezondheidsgegevens
persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegevens
genetische gegevens
persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon (met name voortkomen uit analyse van een biologisch monster van die natuurlijke persoon)
