Privacy Beslistool

Slimme beslistool

O.b.v. actuele regelgeving

Nooit een stap vergeten

Incl. definities en voorbeelden

Start de beslistool

Of klik op één van de onderdelen:

Is de AVG hier van toepassing?

Wat is de privacy status van de betrokken partijen?

Welke privacy overeenkomst moet ik afsluiten?

Disclaimer: De tool kan u helpen om het proces stap voor stap te doorlopen op basis van de opties die u invoert. Houd er rekening mee dat dit niet hetzelfde is als juridisch advies. Als u twijfels heeft over juridische verplichtingen, raadpleeg dan een juridisch adviseur.

?

Voordat u begint

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij.

Zorg er daarom voor dat u de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Disclaimer: De tool kan u helpen om het proces stap voor stap te doorlopen op basis van de opties die u invoert. Hoewel iedere privacy casus maatwerk vereist, kan de tool ondersteunen in het proces. Houd er rekening mee dat dit niet hetzelfde is als juridisch advies. Als u twijfels heeft over juridische verplichtingen, raadpleeg dan een juridisch adviseur. ToolsvoorProfessionals.nl is niet aansprakelijk voor beslissingen dan wel handelingen die voortkomen uit de informatie die op deze website ter beschikking worden gesteld.

Akkoord met de disclaimer

Vorige

?

Voordat u begint

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij.

Zorg er daarom voor dat u de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Disclaimer: De tool kan u helpen om het proces stap voor stap te doorlopen op basis van de opties die u invoert. Hoewel iedere privacy casus maatwerk vereist, kan de tool ondersteunen in het proces. Houd er rekening mee dat dit niet hetzelfde is als juridisch advies. Als u twijfels heeft over juridische verplichtingen, raadpleeg dan een juridisch adviseur. ToolsvoorProfessionals.nl is niet aansprakelijk voor beslissingen dan wel handelingen die voortkomen uit de informatie die op deze website ter beschikking worden gesteld.

Akkoord met de disclaimer

Vorige

?

Voordat u begint

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij.

Zorg er daarom voor dat u de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Disclaimer: De tool kan u helpen om het proces stap voor stap te doorlopen op basis van de opties die u invoert. Hoewel iedere privacy casus maatwerk vereist, kan de tool ondersteunen in het proces. Houd er rekening mee dat dit niet hetzelfde is als juridisch advies. Als u twijfels heeft over juridische verplichtingen, raadpleeg dan een juridisch adviseur. ToolsvoorProfessionals.nl is niet aansprakelijk voor beslissingen dan wel handelingen die voortkomen uit de informatie die op deze website ter beschikking worden gesteld.

Akkoord met de disclaimer

Vorige

?

Gaan de gegevens over één of meer natuurlijke personen?

Let op: Natuurlijke personen zijn:

Geen rechtspersonen zoals bedrijven, stichtingen over overheden;
Geen overleden personen, tenzij nationale wetgeving anders bepaalt;
Geen fictieve entiteiten, zoals avatars of robots, tenzij ze direct gekoppeld zijn aan een identificeerbare persoon of personen.

Bron: Herleidbaar uit de definitie van persoonsgegevens uit AVG (art. 4), zie hieronder.

+ Definitie van persoonsgegevens volgens AVG art. 4

Persoonsgegevens: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon" (Art. 4, AVG).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Kan worden afgeleid op welke natuurlijke persoon/personen de gegevens betrekking hebben?

Bepaal of de betrokkene kan worden geïdentificeerd (direct kan worden herkend) of identificeerbaar is (hij/zij kan worden geïdentificeerd door middel van een combinatie met andere gegevens) op basis van de gegevens of andere beschikbare informatie.

Zelfs gegevens die op het eerste gezicht geen persoonsgegevens lijken te zijn, kunnen in combinatie met andere gegevens alsnog leiden tot identificatie van een persoon.
Wanneer persoonsgegevens zijn geanonimiseerd, zijn de gegevens mogelijk niet meer herleidbaar. Dit is echter niet altijd het geval! Klik hier om te kijken of hier sprake van is.

Bron: Herleidbaar uit de definitie van persoonsgegevens uit AVG (art. 4).

+ Voorbeeld van indirecte herleidbaarheid

Wanneer in een dataset de bruine haarkleur van niet-geïdentificeerde personen wordt vermeld, is dit niet herleidbaar naar een persoon wanneer er een groot aantal personen zijn met een bruine haarkleur. Echter, wanneer er behalve haarkleur ook een werkgever wordt vermeld, kan er gemakkelijk uit de dataset worden herleid om wie het gaat als er bij die werkgever maar één persoon werkt met bruin haar.

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Zijn de gegevens volledig geanonimiseerd, zodat herleiding structureel onmogelijk is?

Let op: Het enkel afschermen van directe persoonsgegevens zoals voor- en achternamen voldoet niet als anonimisering wanneer er andere gegevens zijn die het mogelijk maken om te achterhalen om welke personen het gaat. Als dit echter structureel onmogelijk is, gelden de gegevens niet meer als persoonsgegevens.
Pseudonieme gegevens zijn gegevens die gecodeerd zijn en die door middel van een sleutelbestand gedecodeerd kunnen worden. Deze persoonsgegevens zijn d.m.v. het sleutelbestand nog steeds herleidbaar naar natuurlijke personen. Zodoende gelden deze gegevens nog steeds als persoonsgegevens.
Wanneer pseudonieme gegevens naar een andere partij worden gestuurd zonder dat deze andere partij de beschikking heeft over het sleutelbestand, gelden deze gegevens voor de ontvanger niet als persoonsgegevens, mits de gegevens op geen enkele andere manier te herleiden zijn naar de betrokkenen.

Bron: AVG (zie hieronder) en Infocuria, uitspraak in zaak T‑557/20 (klik hier voor het arrest van het gerecht).

+ Anonieme gegevens volgens de AVG (grond 26)

Anonieme gegevens zijn "Gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is" (Grond 26, AVG).

+ Pseudonieme gegevens volgens de AVG (grond 26)

Pseudonimisering is "de verwerking van persoonsgegevens op een zodanige manier dat de gegevens zonder aanvullende informatie niet meer aan een specifieke betrokkene kunnen worden gekoppeld, mits die aanvullende informatie apart wordt bewaard en technische en organisatorische maatregelen zijn getroffen om heridentificatie te voorkomen" (AVG, Art. 4, lid 5).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Is er sprake van een verwerking zoals beschreven in de AVG?

Bij de vorige vraag heeft u aangegeven dat de gegevens direct dan wel indirect te herleiden zijn naar een natuurlijk persoon of personen. Dit betekent dat de gegevens niet zijn geanonimiseerd. Is dit wel het geval, klik dan hier.
Let op: De definitie van een verwerking is erg breed als het gaat om handelingen die als verwerkingen worden gezien. Als u persoonsgegevens bijvoorbeeld alleen verzamelt, raadpleegt of ordent bent u volgens de AVG al een verwerking aan het verrichten. Alleen het kijken naar of waarnemen van een persoonsgegeven zonder vastlegging, verwerking of systematische actie valt niet onder de definitie van verwerking.
Wanneer de persoonsgegevens uitsluitend voor persoonlijke of huishoudelijke doeleinden worden verwerkt, valt dit niet onder de AVG.
Degene die de verwerking verricht, kan zowel een natuurlijk persoon zijn als een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan.

+ Voorbeelden

Voorbeelden van handelingen die buiten de definitie van een verwerking volgens de AVG vallen:

Een persoon leest namen op een computerscherm zonder verdere actie te ondernemen. Er is geen sprake van een handeling die de gegevens beïnvloedt of manipuleert; het blijft bij passieve observatie;
Een persoon maakt een lijst met namen en verjaardagen van vrienden en familie;

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Zijn er meerdere partijen* betrokken bij de verwerking(en)?

* Met partijen die betrokken zijn bij de verwerking worden bedoeld "natuurlijke personen of rechtspersonen, overheidsinstanties, diensten of andere organen die betrokken zijn bij de verwerking" (AVG, art. 4).
Let op: Het is mogelijk dat een partij niet betrokken is bij de uitvoering van de verwerking, wellicht zelfs geen toegang heeft tot de persoonsgegevens, maar wel betrokken is bij de besluitvorming omtrent de verwerking. Deze partij wordt in dat geval alsnog als betrokken gezien.
Een intern medewerker of een zzp'er die onder gezag van de werkgever werkt (intern beheer), wordt niet gezien als een andere partij

Bron: Laan, V.I., en Vaal, E.F. (2021). Hebben we een verwerkersovereenkomst nodig? Over het bepalen van de privacypositie van partijen. Geraadpleegd via deze link.

+ Definitie van een verwerking volgens AVG art. 4

Een verwerking is “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens* of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens" (Art. 4, AVG).

* Persoonsgegevens: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon" (Art. 4, AVG).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Controlevraag: Valle alle gegevens die worden gedeeld niet onder de AVG, of zijn er nog verwerkingen waarvoor je wellicht wel een overeenkomst voor zou moeten afsluiten?

Let op: Toelichting besluitvorming

+ Definitie van een verwerking volgens AVG art. 4

Een verwerking is “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens* of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens" (Art. 4, AVG).

* Persoonsgegevens: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon" (Art. 4, AVG).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Er is geen sprake van het verwerken van persoonsgegevens

Dit betekent dat er:

Ofwel geen sprake is van persoonsgegevens doordat de gegevens niet gaan over een natuurlijk persoon of niet (meer) herleidbaar zijn naar een natuurlijk geïdentificeerd of identificeerbaar persoon;
Ofwel de persoonsgegevens worden niet verwerkt.

De casus valt buiten de scope van de AVG. Wellicht wordt er desondanks gevoelige data verwerkt. Neem in dat geval contact op met bijvoorbeeld een Security Officer.

Let op: Het kan zijn dat een partij voor verschillende verwerkingen verschillende verantwoordelijkheden heeft. Een partij kan bijvoorbeeld voor een verwerking door een leverancier als verantwoordelijke woren aangemerkt, terwijl deze partij voor een andere verwerking bij dezelfde leverancier als verwerker wordt beschouwd. Zorg er daarom voor dat u het besluitvormingsproces altijd voor iedere verwerking of reeks van verwerkingen afzonderlijk doorloopt. Als er nog andere verwerkingen zijn die mogelijk over persoonsgegevens gaan, doorloop de tool dan opnieuw voor deze verwerkingen.

Opnieuw

?

Je hebt aangegeven dat alle persoonsgegevens die worden gedeeld, anoniem zijn. Er is geen privacy overeenkomst nodig.

Let op: Toelichting besluitvorming

+ Definitie van een verwerking volgens AVG art. 4

Een verwerking is “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens* of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens" (Art. 4, AVG).

* Persoonsgegevens: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon" (Art. 4, AVG).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

De privacy status is afhankelijk van de wettelijke bevoegdheid

U heeft aangegeven dat er sprake is van een impliciete dan wel expliciete wettelijke bevoegdheid.

Als er sprake is van een expliciete wettelijke bevoegdheid, is de partij die in de wet als expliciet bevoegd wordt aangemerkt, verwerkingsverantwoordelijk. Teken in dat geval een
verwerkingsovereenkomst met u(w) partij als verwerkingsverantwoordelijke en de andere partij als verwerker
voor deze verwerking of reeks verwerkingen;
Als er sprake is van een impliciete wettelijke bevoegdheid, heeft een partij het recht om de persoonsgegevens te gebruiken, maar dat zegt nog niets over diens privacy status. Is de partij waar u deze beslistool voor invult impliciet wettelijk bevoegd? Ga dan verder met de stappen in de beslistool.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

Is er sprake van een verwerking van persoonsgegevens waarbij één of meerdere partijen impliciet of expliciet wettelijk bevoegd is?

Expliciete bevoegdheid betekent dat een partij op grond van een rechtshandeling is aangewezen als verwerkingsverantwoordelijk;
Impliciete bevoegdheid betekent dat een partij de persoonsgegevens nodig heeft voor het uitvoeren van een taak die is toegewezen op grond van een rechtshandeling.

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Zelfstandig verantwoordelijk

U heeft aangegeven dat er uitsluitend één entiteit betrokken is bij de verwerking(en). Deze entiteit is zodoende zelfstandig verantwoordelijk voor deze verwerking(en).

Er is geen verwerkersovereenkomst nodig met een andere partij.

Zorg wel dat u voldoet aan andere verplichtingen, zoals het kiezen van de juiste grondslag en het informeren van betrokkenen zoals vereist door de AVG.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

Welke privacy overeenkomst er gesloten moet worden, hangt af van de privacypositie van de partijen. Wil je de privacy positie van de partijen stap voor stap bepalen, of staat deze al vast?

Let op: Het is mogelijk dat een partij binnen een casus meerdere privacyposities moet innemen voor verschillende (reeksen) verwerkingen.

+ Definitie van een verwerking volgens AVG art. 4

Een verwerking is “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens* of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens" (Art. 4, AVG).

* Persoonsgegevens: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon" (Art. 4, AVG).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Heeft één van de partijen of beide partijen een gezaghebbende rol ten opzichte van de betrokkene vanuit een traditionele rolverdeling of professionele deskundigheid* en vindt de verwerking binnen dat kader plaats?

Sommige partijen kunnen uit het oogpunt van gegevensbescherming vanwege hun rol verantwoordelijk zijn voor de verwerking(en);
Bijvoorbeeld: Een werkgever m.b.t. de verwerking van persoonsgegevens over zijn werknemers, een uitgever die persoonsgegevens over zijn abonnees verwerkt, of een vereniging die persoonsgegevens over haar leden of contribuanten verwerkt (p. 14, EDPB).

+ Citaat EDPB

"In de praktijk kunnen bepaalde verwerkingsactiviteiten op natuurlijke wijze inherent zijn aan de rol of de activiteiten van een entiteit die uiteindelijk uit het oogpunt van gegevensbescherming verantwoordelijkheden met zich meebrengen [...]. In dit geval zullen bestaande traditionele rollen en professionele deskundigheid die normaliter een bepaalde verantwoordelijkheid inhouden, helpen bij het identificeren van de verwerkingsverantwoordelijke, bijvoorbeeld: een werkgever met betrekking tot de verwerking van persoonsgegevens over zijn werknemers, een uitgever die persoonsgegevens over zijn abonnees verwerkt, of een vereniging die persoonsgegevens over haar leden of contribuanten verwerkt" (p. 14 EDPB).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Wie bepaalt het doel en de essentiële middelen van de verwerking of reeks verwerkingen?

Bepalen: Wanneer een partij instemt met verwerkingen of verwerkingen accepteert of faciliteert wordt dit ook gezien als het bepalen van doelen en middelen, evenals het accepteren van een standaard-oplossing;
Let op: Met doel wordt in dit verband niet bedoeld het loutere bestaan van een commercieel voordeel dat voortvloeit uit een verwerkingsactiviteit.
Het is mogelijk om de partij te zijn die het doel bepaalt, zonder toegang te hebben tot de gegevens.
Essentiële middelen: De eigenschappen van de persoonsgegevens zelf, zoals over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. Zie het citaat hieronder voor het onderscheid met niet-essentiële middelen (zoals de software-keuze).

+ Essentiële vs. niet-essentiële middelen

"De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen" (Laan en Vaal, 2021).

De andere partij

Ik/de partij waar ik deel van uitmaak

Beide partijen

Ga naar de vorige vraag

Opnieuw

?

Eén van de partijen heeft een gezaghebbende rol

De verwerkingsactiviteiten zijn op natuurlijke wijze inherent aan de rol of de activiteiten van de partij die verantwoordelijk is voor gegevensverwerking, bijvoorbeeld vanwege bestaande traditionele rollen of professionele deskundigheid. Deze partij is verwerkingsverantwoordelijk.

Om te bepalen wat de rol is van de andere partij, klik hier.

Ga naar de vorige vraag

Opnieuw

?

Handelt u/de partij waar u deel van uitmaakt in opdracht van de andere partij zonder dat u/de partij waar u deel van uitmaakt zelfstandige zeggenschap heeft over de essentiële middelen?

Essentiële middelen: De eigenschappen van de persoonsgegevens zelf, zoals over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. Zie het citaat hieronder voor het onderscheid met niet-essentiële middelen (zoals de software-keuze).

+ Essentiële vs. niet-essentiële middelen

"De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen" (Laan en Vaal, 2021).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Handelt de andere partij in opdracht van u/de partij waar u deel van uitmaakt zonder dat de andere partij zelfstandig zeggenschap heeft over de essentiële middelen?

Essentiële middelen: De eigenschappen van de persoonsgegevens zelf, zoals over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. Zie het citaat hieronder voor het onderscheid met niet-essentiële middelen (zoals de software-keuze).

+ Essentiële vs. niet-essentiële middelen

"De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen" (Laan en Vaal, 2021).

Ja

Nee

Ga naar de vorige vraag

Opnieuw

?

Bepalen de partijen gezamenlijk het doel en de essentiële middelen of bepalen zij beiden afzonderlijk/zelfstandig over het doel en de essentiële middelen van hun eigen verwerkingen?

Als iedere partij eigen doel en middelen bepaalt, is er sprake van afzonderlijke verwerkingsverantwoordelijken. Bepalen partijen in onderling overleg het doel en de middelen voor de gegevensverwerking, dan is er sprake van een gezamenlijke verwerkingsverantwoordelijkheid.
Let op: Een afzonderlijk verwerkingsverantwoordelijke is géén verwerker omdat het de ontvangen persoonsgegevens gebruikt voor eigen bedrijfsprocessen en niet puur op instructie van een verwerkingsverantwoordelijke. Daarnaast is het de primaire taak van een verwerker om verwerkingsactiviteiten te verrichten en zijn de persoonsgegevens ter beschikking gesteld om die taak uit te voeren.
Voorbeeld: Een bloemist die adressen verwerkt om personeelsleden van partij X bloemen te sturen, is afzonderlijk verwerkingsverantwoordelijk, omdat de verwerkingen noodzakelijk zijn bij het uitvoeren van de taak, waarbij het verwerken van persoonsgegevens niet de primaire taak is.

+ Essentiële vs. niet-essentiële middelen

"De verwerkingsverantwoordelijke neemt beslissingen over de essentiële of wezenlijke middelen, namelijk over het bepalen van welke persoonsgegevens worden verwerkt, over wie, voor hoe lang en met wie de persoonsgegevens worden gedeeld. De verwerker heeft echter wel enige bewegingsvrijheid om te bepalen over de niet-essentiële middelen, namelijk de meer praktische aspecten van de verwerking zoals de keuze voor bepaalde software of hardware, of de gedetailleerde uitwerking van toegepaste beveiligingsmaatregelen" (Laan en Vaal, 2021).

Zij bepalen gezamenlijk

Zij bepalen afzonderlijk

Ga naar de vorige vraag

Opnieuw

?

U of de partij waar u deel van uitmaakt is verwerker, de andere partij verwerkingsverantwoordelijk

Tekenen:

Verwerkingsovereenkomst met de andere partij als verwerkingsverantwoordelijke.
Wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen.

Zorg er voor dat u tevens voldoet aan andere verplichtingen, zoals het kiezen van de juiste grondslag en het informeren van betrokkenen zoals vereist door de AVG.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

U of de partij waar u deel van uitmaakt is verwerkingsverantwoordelijk, de andere partij verwerker

Tekenen:

Verwerkingsovereenkomst met u, of de partij waar u deel van uitmaakt, als verwerkingsverantwoordelijke.
Wanneer een DPIA niet verplicht is, wordt er in sommige organisaties voor gekozen om (in overleg met de Privacy Officer) een verwerkingsovereenkomst light te tekenen.

Zorg er voor dat u tevens voldoet aan andere verplichtingen, zoals het kiezen van de juiste grondslag en het informeren van betrokkenen zoals vereist door de AVG.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

Beide partijen zijn afzonderlijk verwerkingsverantwoordelijk voor deze verwerking(en).

Zij bepalen zelfstandig de doelen en de middelen van de persoonsgegevens die zij verwerken.

Tekenen:

Als de andere partij een organisatie is: Data Sharing Agreement
Als de andere partij een zzp’er is: Geheimhoudingsverklaring

Zorg er voor dat u tevens voldoet aan andere verplichtingen, zoals het kiezen van de juiste grondslag en het informeren van betrokkenen zoals vereist door de AVG.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

De partijen zijn gezamenlijk verantwoordelijk voor deze verwerking(en).

U, of de partij waar u deel van uitmaakt, en de andere partij maken gezamenlijk dan wel aanvullend op elkaar beslissingen omtrent het doel en de middelen van de verwerking.

Tekenen:

Gezamenlijke verwerkingsovereenkomst

Zorg er voor dat u tevens voldoet aan andere verplichtingen, zoals het kiezen van de juiste grondslag en het informeren van betrokkenen zoals vereist door de AVG.

Let op: Het komt voor dat een partij meerdere privacystatussen heeft voor verschillende (reeksen) verwerkingen. Een partij kan bijvoorbeeld voor een reeks verwerkingen verwerkingsverantwoordelijk zijn, terwijl dezelfde partij voor een andere reeks verwerking gezamenlijk verwerkingsverantwoordelijk is met de andere partij. Zorg er daarom voor dat je de casus in stukjes knipt. Doorloop de beslistool voor iedere verwerking of reeks verwerkingen afzonderlijk.

Onder een reeks verwerkingen wordt verstaan een verzameling van onderling samenhangende verwerkingen van persoonsgegevens die een gemeenschappelijk doel of context hebben. Dit kan bijvoorbeeld een reeks handelingen zijn binnen eenzelfde proces, zoals het werven, opslaan en analyseren van klantgegevens voor marketingdoeleinden.

Ga naar de vorige vraag

Opnieuw

?

Wat is de privacy status van de partij(en)?

Welke privacy overeenkomst moet worden gesloten, is afhankelijk van de vraag of de privacy status van de partij(en) is vastgesteld. Weet je de privacy status van de partij(en) niet zeker, klik dan hier om te privacy status in de beslistool te bepalen.

Zelfstandig verwerkingsverantwoordelijk zonder betrokkenheid van een andere partij;

Verwerkingsverantwoordelijk vanuit een expliciete wettelijke bevoegdheid

Verwerkingsverantwoordelijk vanuit een gezaghebbende rol

U(w) partij is verwerker, de andere partij verwerkingsverantwoordelijk

U(w) partij is verwerkingsverantwoordelijk, de andere partij verwerker

De partijen zijn afzonderlijk zelfstandig verwerkingsverantwoordelijk

De partijen zijn gezamenlijk verwerkingsverantwoordelijk

Ga naar de vorige vraag

Opnieuw

verwerkingsovereenkomst met u(w) partij als verwerkingsverantwoordelijke en de andere partij als verwerker

Er is geen verwerkersovereenkomst nodig met een andere partij.

Verwerkingsovereenkomst met de andere partij als verwerkingsverantwoordelijke.

Verwerkingsovereenkomst met u, of de partij waar u deel van uitmaakt, als verwerkingsverantwoordelijke.

Als de andere partij een organisatie is: Data Sharing Agreement

Als de andere partij een zzp’er is: Geheimhoudingsverklaring

Gezamenlijke verwerkingsovereenkomst