De GDPR Quiz

1. Je wilt een marketingmailing versturen aan je bestaande klanten (je hebt een contractuele relatie met deze klanten) over gelijkwaardige producten of diensten die de klanten bij je hebben aangeschaft. Waar moet je rekening mee houden?

Dat je in elke e-mail naar je klant toe de mogelijkheid biedt om zich kosteloos en eenvoudig uit te schrijven voor toekomstige elektronische directe marketingmailing.

Dat je niet zomaar bestaande klanten mag benaderen via de e-mail over bepaalde diensten/producten.

Dat je op voorhand toestemming moet vragen aan de klanten.

2. Voor hoe lang mag je de persoonsgegevens van kandidaten (sollicitanten) bewaren?

Hier geldt geen bewaartermijn.

Deze gegevens mogen worden bijgehouden zolang dat strikt noodzakelijk is voor de doeleinden waarvoor ze verwerkt worden.

Deze gegevens mag ik niet opslaan, omdat dit bijzondere persoonsgegevens zijn.

3. Wat mag je weten over de gezondheidstoestand van je zieke werknemer?

Om welke medische klachten het gaat.

Oorzaak van de arbeidsongeschiktheid.

Enkel of je werknemer geschikt is om te werken of niet, om te oordelen of de werknemer het werk kan hervatten en eventueel of een tijdelijke aanpassing van het werk vereist zal zijn om de werknemer het werk te laten hervatten.

4. Je hebt een online webshop waar verschillende producten worden aangeboden. Wat zou je volgens de GDPR in orde moeten hebben?

Algemene voorwaarden zouden op de site moeten staan.

Je zou een cookie en privacy statement op de website moeten plaatsen.

Niets, de online webshop verwerkt namelijk geen persoonsgegevens.

5. Een betrokkene heeft een verzoek gedaan om zijn of haar persoonsgegevens te verwijderen. Moet je deze gegevens onmiddellijk verwijderen?

Ja, de persoonsgegevens volgens het verzoek van de betrokkene verwijderen.

Nee, eerst nagaan of de uitzondering van het recht op vergetelheid van toepassing is, namelijk of de organisatie (wettelijk) verplicht is om bepaalde persoonsgegevens te bewaren.

Nee, je kunt zelf bepalen wanneer de persoonsgegevens van de betrokkene moeten worden verwijderd.

6. Je onderneming gebruikt een freelancer uit Nederland die je helpt bij het bouwen van je website. Hij komt hierbij in aanraking met persoonsgegevens die op de website worden verzameld van internetgebruikers. Waar moet je op letten?

Ik zorg dat ik een verwerkersovereenkomst sluit met de freelancer waarin afspraken worden gemaakt rond privacy en gegevensbescherming.

Ik zorg dat ik een verwerkersovereenkomst sluit met de freelancer waarin afspraken worden gemaakt rond privacy en gegevensbescherming en informeer internetgebruikers in mijn privacyverklaring omtrent het inschakelen van een verwerker voor dergelijke doeleinden.

Ik moet geen verwerkersovereenkomst sluiten. Nederland behoort immers tot de EU en wordt beschouwd als een veilig land.

7. Een werknemer in je onderneming stuurt een e-mail per ongeluk naar een foutieve bestemmeling en meldt dit aan jou. Wat moet je als werkgever vervolgens ondernemen?

Je laat dit binnen de 72 uur weten aan de Belgische Gegevensbeschermingsautoriteit en laat de correcte bestemmeling weten dat er een datalek heeft plaatsgevonden.

Je noteert dit in een incidentenregister en doet een risico-analyse. Indien je vermoedt dat er sprake is van een risicovol datalek, contacteert je alsnog binnen de 72 uur de Belgische Gegevensbeschermingsautoriteit.

Je noteert dit in een incidentenregister en breng de correcte bestemmeling op de hoogte om de mogelijkheden te bespreken.

8. Je wenst als dienstverlener graag het surfgedrag van de bezoekers van je website te monitoren bij meerdere websites. Hoe rechtvaardigt je dit in je register voor de verwerkingsactiviteiten?

Je hebt een gerechtvaardigd belang om dit te doen. Je wilt immers je diensten zo goed mogelijk kunnen adverteren.

Je kan dit doen omdat je toestemming hebt verkregen van de gegevensbeschermingsautoriteit.

Je mag dit doen indien je toestemming hebt gekregen van de internetgebruiker.

9. Je wenst gebruik te maken van een verwerker die zich niet in de Europese Unie bevindt. Mag dit nog sinds de inwerkingtreding van de GDPR?

Dit mag enkel indien ik hiervoor toestemming verkregen heb van de gegevensbeschermingsautoriteit.

Dit mag indien het land veilig werd verklaard door de Europese Commissie aan de hand van een adequaatheidsbesluit.

Dit mag indien het land veilig werd verklaard of indien er een overeenkomst werd gesloten conform de EU Model Clauses met deze verwerker.

10. Je verwerkt persoonsgegevens voor een bepaald doeleinde en hebt hiervoor de toestemming van betrokkenen gevraagd. Nu wil je de persoonsgegevens voor een ander doeleinde gebruiken. Mag dit gelet op de GDPR?

Ja, ik heb de toestemming van de betrokkene om persoonsgegevens te verwerken.

Nee, ik zou gelet op de GDPR nogmaals de toestemming moeten vragen aan de betrokkenen.

Ja, dit valt onder het gerechtvaardigd belang.

Schiftingsvraag: Hoelang doet onze Operationele Manager er over om een volledige tour te lopen rond de watersportbaan te Gent? (in minuten en seconden)

More Quizzes