Quiz: Privacywetgeving (AVG)

Antwoord:
Dat het binnen 72 uur gemeld wordt bij de toezichthouder, als het een risico vormt voor betrokkenen

Toelichting:
Volgens de AVG moet een datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens als het waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokken personen. Denk aan identiteitsdiefstal, reputatieschade of financiële schade. Niet elk lek hoeft gemeld te worden — maar een risico-inschatting maken is wél verplicht. Wachten op de uitkomst van intern onderzoek is géén geldige reden om te laat te melden.

Waarom de andere antwoorden niet kloppen:

• Niet elk datalek hoeft gemeld te worden — alleen als er een reëel risico is.
• Ook een verkeerd geadresseerde e-mail kan een meldingsplichtig lek zijn, het hoeft geen hack te zijn.
• De klok van 72 uur begint te lopen bij ontdekking, niet na afronding van het interne onderzoek.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)
• Datalek

Antwoord:
Je mag inzage vragen, fouten laten corrigeren, gegevens laten verwijderen en bezwaar maken tegen verwerking

Toelichting:
De AVG geeft iedereen rechten over zijn of haar persoonsgegevens. Je mag vragen wat een organisatie over je weet, fouten laten corrigeren, gegevens laten verwijderen (in bepaalde gevallen), of bezwaar maken tegen gebruik. Deze rechten gelden bij álle organisaties — dus ook bij commerciële bedrijven, verenigingen en scholen — en daar hoef je niet voor te betalen.

Waarom de andere antwoorden niet kloppen:

• Je hoeft nooit te betalen om je rechten uit te oefenen onder de AVG.
• Een werkgever mag jouw rechten niet zomaar blokkeren — de wet gaat boven interne afspraken.
• De AVG geldt voor álle organisaties, dus je rechten gelden ook bij bedrijven, webshops of apps.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Dat er passende waarborgen zijn, zoals een adequaatheidsbesluit of standaardcontractbepalingen

Toelichting:
De AVG verbiedt niet automatisch overdracht van persoonsgegevens buiten de EU, maar stelt er strikte voorwaarden aan. Een overdracht mag alleen als het ontvangende land een vergelijkbaar niveau van gegevensbescherming biedt. Dat kan bijvoorbeeld via een adequaatheidsbesluit van de Europese Commissie of door het gebruik van standaardcontractbepalingen. Toestemming is alleen toegestaan in uitzonderlijke gevallen.

Waarom de andere antwoorden niet kloppen:

• Toestemming alléén is geen stabiele grondslag voor structurele overdracht — het is bedoeld voor uitzonderingen.
• Iets opnemen in een privacyverklaring geeft geen vrijbrief voor datadoorgifte.
• Ook zakelijke klantgegevens zijn persoonsgegevens en vallen onder dezelfde regels.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)
• EU-VS-privacyschild

Antwoord:
Ze moeten kunnen aantonen dat ze zorgvuldig omgaan met persoonsgegevens en zich aan de regels houden

Toelichting:
De verantwoordingsplicht houdt in dat een organisatie actief moet kunnen aantonen dat ze de AVG naleeft. Dat betekent: beleid opstellen, verwerkingsactiviteiten vastleggen, risico’s beoordelen en passende maatregelen nemen. Niet pas bij een controle, maar als structureel onderdeel van hoe je met gegevens omgaat.

Praktijkvoorbeeld:

• Je moet altijd kunnen uitleggen waarom je gegevens verzamelt, niet alleen als er klachten zijn.
• De plicht om het aan te tonen geldt altijd — dus ook vóórdat iemand erom vraagt.
• Beloven dat je data veilig bewaart is niet genoeg: je moet kunnen laten zíen wat je doet en waarom.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Een webshop vraagt om je geboortedatum terwijl dat niet nodig is voor de bestelling

Toelichting:
Dataminimalisatie betekent: alleen vragen wat je écht nodig hebt voor een duidelijk doel. Als een webshop je geboortedatum vraagt terwijl je alleen iets bestelt, is dat overbodig en dus in strijd met dit principe. Organisaties mogen niet zomaar om extra info vragen “voor de zekerheid”.

Een geboortedatum vragen om te bepalen of iemand mag bestellen is niet alleen meer informatie dan nodig — het voldoet ook niet aan het doel. Wat écht nodig is, is een verklaring dat iemand handelingsbekwaam en bevoegd is om te kopen. Leeftijd geeft daar maar beperkt inzicht in: ook een volwassene kan bijvoorbeeld onder curatele staan. Een simpele bevestiging (“ik ben 18 jaar of ouder en bevoegd om deze aankoop te doen”) is in dit geval passender én privacyvriendelijker.

Waarom de andere antwoorden niet kloppen:

• In de zorg is het relevant om medische informatie te vragen voor goede behandeling.
• Een bank is wettelijk verplicht om bepaalde klantgegevens te registreren (bijvoorbeeld voor identificatie).
• Scholen mogen gegevens vragen die nodig zijn voor administratie en communicatie.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Als iemand bewust, duidelijk en vrijwillig ‘ja’ zegt op basis van goede informatie

Toelichting:
Toestemming is alleen geldig als die vrijwillig, specifiek, geïnformeerd en ondubbelzinnig is gegeven. De persoon moet begrijpen waar hij of zij ‘ja’ tegen zegt, en dit actief aangeven (bijvoorbeeld door iets aan te vinken). Stilte, vooraf aangevinkte vakjes of ingewikkelde voorwaarden tellen niet als toestemming onder de AVG.

Waarom de andere antwoorden niet kloppen:

• Vooraf aangevinkte vakjes of stilzwijgen gelden niet als geldige toestemming.
• Mondeling kan in sommige situaties, maar het moet aantoonbaar en controleerbaar zijn.
• Een privacyverklaring kan geen toestemming vervangen — toestemming moet een duidelijke actie zijn van de gebruiker.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Je mag je persoonsgegevens laten meenemen naar een andere dienst, bijvoorbeeld een andere app of aanbieder

Toelichting:
Met het recht op data-overdraagbaarheid mag je je eigen gegevens opvragen en meenemen naar een andere organisatie. Denk aan je profielgegevens, voorkeuren of contactgeschiedenis bij een app of provider. De organisatie moet deze gegevens in een gestructureerd, gangbaar en machineleesbaar formaat aanleveren — zodat je ze makkelijk elders kunt gebruiken.

Waarom de andere antwoorden niet kloppen:

• Je hebt alleen recht op jouw eigen gegevens — niet die van anderen.
• Gegevens worden niet automatisch overgedragen; je moet hier zelf om vragen.
• Het recht geldt breder dan alleen medische data of betaalde diensten — zolang het om jouw eigen gegevens gaat die je zelf hebt verstrekt.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Als ze mensen op grote schaal volgen, gevoelige gegevens verwerken of een overheidsorganisatie zijn

Toelichting:
Een organisatie is verplicht een FG aan te stellen als zij bijzondere persoonsgegevens verwerkt op grote schaal (zoals medische gegevens), als zij mensen structureel volgt (zoals met cameratoezicht of trackingsoftware), of als zij een overheidsinstantie is. De FG houdt toezicht op de naleving van de AVG binnen de organisatie.

De Functionaris Gegevensbescherming (FG) mag geen beslissingen nemen over wat er met persoonsgegevens gebeurt — zoals het doel van de verwerking — en moet daarom onafhankelijk opereren, los van de dagelijkse uitvoering en besluitvorming binnen de organisatie.

Waarom de andere antwoorden niet kloppen:

• Het aantal werknemers bepaalt niet of het verplicht is.
• Een verzoek van een klant is geen formele reden om een FG aan te stellen.
• Een datalek op zich verplicht niet tot het aanstellen van een FG, al kan het aanleiding zijn voor betere controle.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Je mag in sommige gevallen eisen dat een organisatie je persoonsgegevens verwijdert

Toelichting:
Volgens de AVG heb je in bepaalde situaties het recht om te vragen of een organisatie jouw persoonsgegevens verwijdert. Bijvoorbeeld als je de dienst niet meer gebruikt of als de gegevens onterecht zijn verzameld. Maar dit recht is niet onbeperkt: soms moeten bedrijven gegevens bewaren, bijvoorbeeld vanwege een wettelijke verplichting of garantieperiode.

Waarom de andere antwoorden niet kloppen:

• Gegevens worden niet automatisch gewist; je moet er meestal zelf om vragen.
• Het recht op vergetelheid geldt niet altijd — soms mogen of moeten organisaties gegevens bewaren.
• Toestemming hoef je niet elke maand opnieuw te geven, en is niet altijd de grondslag voor gegevensverwerking.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Dat privacy al vanaf het begin wordt meegenomen in het ontwerp van systemen, producten en processen

Toelichting:
‘Privacy by design’ betekent dat je al bij het bouwen of ontwerpen van een dienst of systeem rekening houdt met privacy. Denk aan: zo min mogelijk gegevens verzamelen, standaardinstellingen op veilig zetten, en zorgen dat je niet méér opslaat dan nodig. Privacy moet dus geen ‘toevoeging achteraf’ zijn, maar zit ingebakken in het ontwerp.

Waarom de andere antwoorden niet kloppen:

• Privacy moet van begin af aan meegenomen worden — niet pas achteraf.
• Gebruikers moeten niet zélf alles hoeven instellen; standaard moet het veilig zijn (privacy by default).
• Ook bij gewone persoonsgegevens gelden privacyregels — niet alleen bij gevoelige data zoals medische dossiers.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)
• Privacy

Antwoord:
Dat systemen standaard zo zijn ingesteld dat er zo min mogelijk persoonsgegevens worden verwerkt

Toelichting:
Volgens de AVG moeten systemen en diensten standaard privacyvriendelijk zijn ingesteld. Dus: geen onnodige gegevens verzamelen, functies die tracking of delen inschakelen alleen als de gebruiker daar zélf voor kiest, en niet méér bewaren dan nodig. De gebruiker moet beschermd zijn, ook als hij of zij niets aanpast.

Privacy by default betekent dat standaard zo min mogelijk persoonsgegevens worden verwerkt. Maar dat kan soms botsen met beveiligingsinstellingen die juist méér gegevens gebruiken om gebruikers beter te beschermen. Denk aan een browserfunctie zoals ‘Enhanced Protection’ die gevaarlijke websites sneller herkent, maar daarvoor wel extra surfgedrag analyseert. In zo’n geval moet het standaard uitstaan, en is het aan de gebruiker om bewust te kiezen voor extra veiligheid ten koste van meer gegevensverwerking.

Waarom de andere antwoorden niet kloppen:

• Privacy moet automatisch goed staan — de gebruiker hoeft het niet zelf aan te zetten.
• Alle persoonsgegevens vallen onder de AVG, niet alleen gevoelige data.
• De verplichting geldt voor álle digitale diensten: websites, apps, platforms en software.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Iedere medewerker die met persoonsgegevens werkt

Toelichting:
De hele organisatie is verantwoordelijk voor het naleven van de AVG — en dus ook elke medewerker die met persoonsgegevens werkt. Je moet zelf zorgen dat je gegevens zorgvuldig verwerkt, niet meer verzamelt dan nodig is, en de informatie goed beveiligt. De FG (Functionaris Gegevensbescherming) geeft advies en houdt toezicht, maar is níét degene die verantwoordelijk is voor jouw dagelijkse handelen.

Waarom de andere antwoorden niet kloppen:

• De FG adviseert en controleert, maar draagt geen eindverantwoordelijkheid voor wat jij doet.
• De directie moet zorgen voor beleid, maar iedereen moet zich eraan houden.
• De IT-afdeling beheert systemen, maar medewerkers verwerken zelf ook gegevens en moeten dus weten wat wel en niet mag.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Dat ze passende beveiligingsmaatregelen nemen, zoals versleuteling en toegang beperken tot bevoegde personen

Toelichting:
De AVG verplicht organisaties om persoonsgegevens goed te beschermen — op een manier die past bij de risico’s. Denk aan versleuteling, sterke wachtwoorden, toegangscontrole en beveiligde opslag. Het gaat niet alleen om techniek, maar ook om duidelijke afspraken binnen het bedrijf (zoals wie wat mag zien of aanpassen).

Waarom de andere antwoorden niet kloppen:

• Alleen antivirussoftware gebruiken is niet genoeg — beveiliging is breder dan dat.
• Alles offline bewaren is onpraktisch en biedt geen garantie op veiligheid.
• Beveiliging betekent beschermen zolang gegevens worden gebruikt of bewaard — niet direct wissen na opslag.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
Iedere organisatie die persoonsgegevens verwerkt van mensen die zich in de EU bevinden, ongeacht waar het bedrijf zit

Toelichting:
De AVG geldt voor alle organisaties die persoonsgegevens verwerken van mensen die zich in de EU bevinden — ongeacht hun nationaliteit en ongeacht waar het bedrijf zelf is gevestigd. Dus ook een bedrijf uit de VS dat diensten levert aan iemand in Nederland met een Amerikaanse nationaliteit moet zich aan de AVG houden. Dit heet de extraterritoriale werking van de wet.

Waarom de andere antwoorden niet kloppen:

• De wet geldt ook voor kleine bedrijven — er is géén drempel qua grootte.
• Alle persoonsgegevens vallen onder de AVG, niet alleen medische of gevoelige gegevens.
• Ook het simpelweg verzamelen of opslaan van gegevens valt al onder de AVG — er hoeft geen verkoop aan te pas te komen.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)

Antwoord:
De privacy van mensen beschermen door regels te stellen voor het omgaan met persoonsgegevens

Toelichting:
De AVG is een Europese privacywet die ervoor zorgt dat organisaties zorgvuldig omgaan met persoonsgegevens. Mensen krijgen hiermee meer controle over wat er met hun gegevens gebeurt. Bedrijven moeten laten zien dat ze daar goed mee omgaan, bijvoorbeeld door toestemming te vragen, data te beveiligen en alleen op te slaan wat echt nodig is.

Waarom de andere antwoorden niet kloppen:

• De AVG beperkt juist wat bedrijven mogen bewaren — het doel is níét om alles te verzamelen.
• Cookies vallen óók onder de AVG, maar die wet gaat veel verder dan alleen reclame.
• Gegevens delen mag onder voorwaarden, zolang dat op een veilige en rechtmatige manier gebeurt.

Meer lezen op Wikipedia over:

• Algemene verordening gegevensbescherming (AVG)
• Privacy