Privacyprofessional
De doelgroep van deze FAQ is de privacyprofessional (doorgaans de privacy officer).
Mag ik nog persoonsgegevens door een Amerikaans bedrijf laten verwerken?
Amerikaanse leveranciers & EU US Data Privacy Framework Het verwerken van persoonsgegevens via een leverancier met een (hoofd)kantoor in de VS kan momenteel op basis van het EU US Data Privacy...
SURFaudit, benchmark en self-assessment
Implementeren Op deze PEC-website lees je alles over het inhoudelijk implementeren van het Toetsingskader Privacy (het inhoudelijke kader en wat moet je geregeld hebben voor een bepaald volwassenheidsniveau). Wil je...
Gebruikt een andere instelling een bepaalde app of tool in het onderwijs?
Wil je weten of een bepaalde app of digitale tool in de onderwijs- en onderzoekssector wordt gebruikt? Kijk in de tabel.
Mag een student heimelijk opnames maken van een gesprek of les?
Een opname voor privégebruik (geluid en/of beeld) valt niet onder de AVG. Je mag een geluidsopname maken, maar niet verspreiden.
Wat is schaduw-IT en hoe kunnen medewerkers dit veilig gebruiken?
Schaduw-IT (ook wel 'shadow IT') gaat over applicaties die niet door de organisatie worden beheerd of aangeboden. Hoe gebruik je deze veilig?
Moet ik een DPIA uitvoeren?
Het uitvoeren van een DPIA is een tijdrovende klus. Voer de DPIA-scan uit om te bepalen of je deze dure analyse nodig hebt.
Wat is een TPM of auditverklaring?
In een verwerkersovereenkomst maak je de afspraken over de periodieke controle (audit) van de beschermingsmaatregelen van de verwerker. Dit kan ook via een zogenaamde TPM (Third Party Memorandum).
Is een foto met een herkenbaar persoon altijd een bijzonder persoonsgegeven?
Een foto met een herkenbaar persoon is niet altijd een bijzonder persoonsgegeven. Dat is alleen in bepaalde situaties het geval.
Aan welk bewijsmateriaal moet ik denken bij het toetsingskader privacy?
Een document waarin je voorbeelden vindt van bewijsmateriaal voor ieder statement van het toetsingskader privacy voor volwassenheidsniveau 3.
Hoe kunnen we het beste omgaan met een quitclaim?
Een onderwijsinstelling is bezig met het opstellen van een quitclaim. De vraag is hoe specifiek zij moeten zijn over het doel van de quitclaim.
Mag onze organisatie gegevens over een student verstrekken aan een verzekeringsmaatschappij?
Mag onze organisatie gegevens over een student verstrekken aan een verzekeringsmaatschappij? Dat hangt er vanaf. Soms is toestemming nodig.
Is een verwerkersovereenkomst tussen een school en een onderzoeksbureau verplicht?
Is een verwerkersovereenkomst tussen een school en een onderzoeksbureau verplicht? Dat hangt af van de context. Anoniem heeft de voorkeur.