Puntsgewijze samenvatting - CIPP/E
De Basisbeginselen van AVG
Engels Nederlands
Lawfulness, fairness, and transparency rechtmatigheid, behoorlijkheid en
transparantie
Purpose limitation doelbinding
Data minimization dataminimalisatie
Accuracy juistheid
Storage limitation opslagbeperking
Confidentiality and integrity vertrouwelijkheid en integriteit
Persoonsgegevens
Personal data Special personal data
Name (Naam) Ethnicity (Etniciteit)
Address (Adres) Political opinion (Politiek opvatting)
Postal code (Postcode) Religious belief (Religieuze overtuiging)
Email address (Emailadres) Trade union membership (vakbond)
Phone number (Telefoonnummer) Biometric data (Biometrische gegevens)
Date of birth (Geboortedatum) Sexual orientation (Seks geaardheid)
IP address (IP-Adres) Health data (Gezondheidsgegevens)
Bank number (Rekeningnummer) Criminal data (Strafrechtelijke gegevens)
AVG Artikel 6 lid 1 – grondslagen verwerking
1. Consent of the data subject (Toestemming van de betrokkene)
2. Contract (Uitvoeren van een overeenkomst)
3. Legal obligation (Wettelijke verplichting)
4. Vital interests (Vitale belangen beschermen)
5. Task of public interest or exercise of official authority
(taak van algemeen belang/openbaar gezag)
6. Legitimate interests (Gerechtvaardigd belang behartigen)
1
,Rechten van een betrokkene:
• Article 13 and 14 Right to be informed (Recht op informatie)
• Article 15 Right of access (Inzage recht)
• Article 16 Right to rectification (Rectificatie)
• Article 17 Right to erasure (“Vergetelheid”)
• Article 18 Right to restriction of processing (Beperkt verwerking)
• Article 19 Notification rectification/erasure (Kennisgeving rec of wis)
• Article 20 Right to data portability (Overdraagbaarheid)
• Article 21 Right to object (Bezwaar)
• Article 22 Right to automated decisions-making
• Article 77 and 79 Right to lodge a complaint (Klacht)
De EU-instellingen bestaan uit:
1. European Council
2. European Commission (de Commissie)
3. Council of the European union
4. European Parliament
5. Court of Justice of the European Union
6. Court of Human Rights (ECHR)
7. Central Bank (ECB)
8. Court of Auditors
Convention 108 (1981)
• Eerste bindende internationale verdrag inzake gegevensbescherming (Raad van
Europa).
• Legt basisprincipes vast: doelbinding, eerlijkheid, veiligheid.
• Open voor niet-EU-landen.
EU Data Protection Directive 95/46/EC (1995)
• Harmoniseerde nationale wetgeving rond privacy.
• Legde verplichtingen op aan lidstaten m.b.t. verwerking van persoonsgegevens.
• Bood rechten aan data subjects en stelde voorwaarden aan doorgifte buiten EU.
• Was een richtlijn: implementatie via nationale wet nodig.
2
,General Data Protection Regulation (GDPR / AVG, 2016/2018)
• Verordening: directe werking in alle lidstaten.
• Eén uniform privacykader in de EU.
• Brede reikwijdte: geldt ook voor organisaties buiten de EU.
• Nieuwe rechten voor betrokkenen: dataportabiliteit, recht op vergetelheid.
• Accountability-verplichtingen (DPIA, DPO, by design/by default).
• Hoge boetes bij niet-naleving (max €20 mln / 4% wereldwijde omzet).
• Law Enforcement Data Protection Directive (LEDP, 2016)
• Specifiek kader voor politie/justitie.
• Niet onder GDPR: aparte regels voor strafrechtelijke gegevensverwerking.
• Lidstaten moesten deze omzetten in nationale wetgeving.
ePrivacy Directive (2002, gewijzigd 2009)
• Regels voor vertrouwelijkheid van communicatie, cookies, spam, traffic data.
• Toestemming vereist voor tracking en marketing.
• Aanvulling op de GDPR (niet vervanging).
• ePrivacy Regulation (voorgesteld)
• Vervangt ePrivacy Directive (nog niet aangenomen).
• Beoogt uniforme regels elektronische communicatie, OTT-diensten ( WhatsApp).
• Bescherming metadata, simpeler cookiebeheer, strengere regels telemarketing.
NIS Directive (2016)
• Richtlijn over cybersecurity en netwerkbeveiliging.
• Verplicht meldingen van incidenten door essentiële diensten (zoals zorg, energie,
banken).
• Geen privacywet, maar relevant voor gegevensbeveiliging onder GDPR.
• Data Retention Directive (2006, ongeldig verklaard in 2014)
• Verplichtte opslag van telecomdata t.b.v. opsporing.
• Ongeldig verklaard door EU-Hof wegens disproportionaliteit.
• Nationale bewaarplicht mogelijk, mits onder strikte voorwaarden.
3
, Development of the European Data Protection
Jaar Instrument Instantie Juridisch Belang/Essentie
bindend?
1948 Universal Declaration Verenigde Nee Artikel 12 → recht op privacy;
of Human Rights Naties (verklaring) morele basis voor latere
wetgeving.
1950 European Convention Raad van Ja Artikel 8 → recht op
on Human Rights Europa privéleven; basis voor
(ECHR) toezicht via het EHRM.
1968 Recommendation 509 Raad van Nee Eerste formele erkenning dat
Europa technologie privacy bedreigt.
1973 Resolution 73/22 Raad van Nee Bescherming
Europa persoonsgegevens in de
private sector.
1974 Resolution 74/29 Raad van Nee Bescherming
Europa persoonsgegevens in de
publieke sector.
1980 OECD Guidelines OECD Nee 8 kernprincipes voor privacy
& grensoverschrijdende
datastromen.
1981 Convention 108 Raad van Ja Eerste bindende
Europa internationale verdrag over
data protection.
1995 Data Protection Europese Ja, via Eerste EU-poging tot
Directive (95/46/EG) Unie nationale harmonisatie van nationale
omzetting privacywetgeving.
2000 Charter of EU (tot 2009) Artikel 8 → bescherming
Fundamental Rights → vanaf persoonsgegevens als
2009 fundamenteel recht.
2009 Treaty of Lisbon EU Ja Artikel 16 VWEU → maakt
recht op databescherming
expliciet en afdwingbaar.
2016 General Data EU Ja, direct Vervangt de richtlijn van
Protection Regulation werkend 1995; volledige EU-
(GDPR) harmonisatie.
2016 Law Enforcement EU Ja, via Specifiek voor politie en
Data Protection omzetting justitie; aparte regels.
Directive (LEDP)
2018 Convention 108+ Raad van Ja Modernisering van
Europa Convention 108, afgestemd
op GDPR.
4
De Basisbeginselen van AVG
Engels Nederlands
Lawfulness, fairness, and transparency rechtmatigheid, behoorlijkheid en
transparantie
Purpose limitation doelbinding
Data minimization dataminimalisatie
Accuracy juistheid
Storage limitation opslagbeperking
Confidentiality and integrity vertrouwelijkheid en integriteit
Persoonsgegevens
Personal data Special personal data
Name (Naam) Ethnicity (Etniciteit)
Address (Adres) Political opinion (Politiek opvatting)
Postal code (Postcode) Religious belief (Religieuze overtuiging)
Email address (Emailadres) Trade union membership (vakbond)
Phone number (Telefoonnummer) Biometric data (Biometrische gegevens)
Date of birth (Geboortedatum) Sexual orientation (Seks geaardheid)
IP address (IP-Adres) Health data (Gezondheidsgegevens)
Bank number (Rekeningnummer) Criminal data (Strafrechtelijke gegevens)
AVG Artikel 6 lid 1 – grondslagen verwerking
1. Consent of the data subject (Toestemming van de betrokkene)
2. Contract (Uitvoeren van een overeenkomst)
3. Legal obligation (Wettelijke verplichting)
4. Vital interests (Vitale belangen beschermen)
5. Task of public interest or exercise of official authority
(taak van algemeen belang/openbaar gezag)
6. Legitimate interests (Gerechtvaardigd belang behartigen)
1
,Rechten van een betrokkene:
• Article 13 and 14 Right to be informed (Recht op informatie)
• Article 15 Right of access (Inzage recht)
• Article 16 Right to rectification (Rectificatie)
• Article 17 Right to erasure (“Vergetelheid”)
• Article 18 Right to restriction of processing (Beperkt verwerking)
• Article 19 Notification rectification/erasure (Kennisgeving rec of wis)
• Article 20 Right to data portability (Overdraagbaarheid)
• Article 21 Right to object (Bezwaar)
• Article 22 Right to automated decisions-making
• Article 77 and 79 Right to lodge a complaint (Klacht)
De EU-instellingen bestaan uit:
1. European Council
2. European Commission (de Commissie)
3. Council of the European union
4. European Parliament
5. Court of Justice of the European Union
6. Court of Human Rights (ECHR)
7. Central Bank (ECB)
8. Court of Auditors
Convention 108 (1981)
• Eerste bindende internationale verdrag inzake gegevensbescherming (Raad van
Europa).
• Legt basisprincipes vast: doelbinding, eerlijkheid, veiligheid.
• Open voor niet-EU-landen.
EU Data Protection Directive 95/46/EC (1995)
• Harmoniseerde nationale wetgeving rond privacy.
• Legde verplichtingen op aan lidstaten m.b.t. verwerking van persoonsgegevens.
• Bood rechten aan data subjects en stelde voorwaarden aan doorgifte buiten EU.
• Was een richtlijn: implementatie via nationale wet nodig.
2
,General Data Protection Regulation (GDPR / AVG, 2016/2018)
• Verordening: directe werking in alle lidstaten.
• Eén uniform privacykader in de EU.
• Brede reikwijdte: geldt ook voor organisaties buiten de EU.
• Nieuwe rechten voor betrokkenen: dataportabiliteit, recht op vergetelheid.
• Accountability-verplichtingen (DPIA, DPO, by design/by default).
• Hoge boetes bij niet-naleving (max €20 mln / 4% wereldwijde omzet).
• Law Enforcement Data Protection Directive (LEDP, 2016)
• Specifiek kader voor politie/justitie.
• Niet onder GDPR: aparte regels voor strafrechtelijke gegevensverwerking.
• Lidstaten moesten deze omzetten in nationale wetgeving.
ePrivacy Directive (2002, gewijzigd 2009)
• Regels voor vertrouwelijkheid van communicatie, cookies, spam, traffic data.
• Toestemming vereist voor tracking en marketing.
• Aanvulling op de GDPR (niet vervanging).
• ePrivacy Regulation (voorgesteld)
• Vervangt ePrivacy Directive (nog niet aangenomen).
• Beoogt uniforme regels elektronische communicatie, OTT-diensten ( WhatsApp).
• Bescherming metadata, simpeler cookiebeheer, strengere regels telemarketing.
NIS Directive (2016)
• Richtlijn over cybersecurity en netwerkbeveiliging.
• Verplicht meldingen van incidenten door essentiële diensten (zoals zorg, energie,
banken).
• Geen privacywet, maar relevant voor gegevensbeveiliging onder GDPR.
• Data Retention Directive (2006, ongeldig verklaard in 2014)
• Verplichtte opslag van telecomdata t.b.v. opsporing.
• Ongeldig verklaard door EU-Hof wegens disproportionaliteit.
• Nationale bewaarplicht mogelijk, mits onder strikte voorwaarden.
3
, Development of the European Data Protection
Jaar Instrument Instantie Juridisch Belang/Essentie
bindend?
1948 Universal Declaration Verenigde Nee Artikel 12 → recht op privacy;
of Human Rights Naties (verklaring) morele basis voor latere
wetgeving.
1950 European Convention Raad van Ja Artikel 8 → recht op
on Human Rights Europa privéleven; basis voor
(ECHR) toezicht via het EHRM.
1968 Recommendation 509 Raad van Nee Eerste formele erkenning dat
Europa technologie privacy bedreigt.
1973 Resolution 73/22 Raad van Nee Bescherming
Europa persoonsgegevens in de
private sector.
1974 Resolution 74/29 Raad van Nee Bescherming
Europa persoonsgegevens in de
publieke sector.
1980 OECD Guidelines OECD Nee 8 kernprincipes voor privacy
& grensoverschrijdende
datastromen.
1981 Convention 108 Raad van Ja Eerste bindende
Europa internationale verdrag over
data protection.
1995 Data Protection Europese Ja, via Eerste EU-poging tot
Directive (95/46/EG) Unie nationale harmonisatie van nationale
omzetting privacywetgeving.
2000 Charter of EU (tot 2009) Artikel 8 → bescherming
Fundamental Rights → vanaf persoonsgegevens als
2009 fundamenteel recht.
2009 Treaty of Lisbon EU Ja Artikel 16 VWEU → maakt
recht op databescherming
expliciet en afdwingbaar.
2016 General Data EU Ja, direct Vervangt de richtlijn van
Protection Regulation werkend 1995; volledige EU-
(GDPR) harmonisatie.
2016 Law Enforcement EU Ja, via Specifiek voor politie en
Data Protection omzetting justitie; aparte regels.
Directive (LEDP)
2018 Convention 108+ Raad van Ja Modernisering van
Europa Convention 108, afgestemd
op GDPR.
4
