GDPR FAQ


Wij hebben alvast alle veelgestelde vragen over GDPR voor jou beantwoord.


Gratis Demo

GDPR algemeen


1. De wetgeving
1.1. Wat is de GDPR?
GDPR staat voor General Data Protection Regulation en is een privacywet die van kracht is in alle lidstaten van de Europese Unie. Het doel van de wet is zorgen dat bedrijven de privacy van individuele gebruikers beter respecteren. De GDPR biedt individuen meer controle over hun eigen persoonlijke data. Daarnaast zorgt de GDPR voor meer transparantie rondom het gebruik van data en vereist het beveiliging en controles om data te beschermen. In het Nederlands wordt de GDPR ook wel de AVG (Algemene Verordening Gegevensbescherming) genoemd. De AVG is een Nederlandse versie van de GDPR. Mocht er, bijvoorbeeld door vertaling, discussie bestaan over wat onder de wetgeving valt, zal de GDPR altijd leidend zijn.
1.2. Vanaf wanneer gaat de GDPR in?
Vanaf 28 mei 2018 moeten alle bedrijven die in de Europese Unie gevestigd zijn voldoen aan de GDPR eisen. Omdat het een wet is, en geen richtlijn, is hij direct na invoering geldig in alle landen in de Europese Unie en is ook van toepassing op alle partijen die daarbuiten die met landen binnen de EU zaken doen.
2. De data
2.1. Op welke data is de wet wel en niet van toepassing?
De GDPR is van toepassing op alle data die opzichzelfstaand of in combinatie met andere data herleidbaar zijn tot een individu. Hier vallen verschillende vormen van data onder, denk onder ander aan foto’s, (e-mail)adressen, bankadressen, IP- of MAC-adres en tracking cookies op een website. Ook als je persoonsgegevens pseudonimiseert (bijvoorbeeld door middel van hashing of encryptie) geldt de GDPR-wetgeving omtrent persoonsgegevens. Alleen wanneer alle identificerende factoren uit het gegeven zijn en er geen reconstructie mogelijk is, zijn de gegevens anoniem.
De GDPR is niet van toepassing op alle anonieme of geanonimiseerde data, waarbij de gegevens niet zijn terug te leiden op individuen.
2.2. Wat zijn gevoelige persoonsgegevens?
Sommige persoonsgegevens zijn extra beschermt in de nieuwe wetgeving en mogen alleen in specifieke omstandigheden gebruikt en verwerkt worden. Dit zijn bijvoorbeeld gegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze overtuiging of lidmaatschap van een vakbond kan blijken. Gegevens over gezondheid, seksueel gedrag en gerichtheid, of strafrechtelijke veroordeling vallen onder de extra gevoelige persoonsgegevens en zijn dus extra beschermd.
2.3. Wat wordt er verstaan onder het verwerken van persoonsgegevens?
Verwerken is binnen de GDPR wetgeving een zeer breed begrip. Opslaan, gebruiken, analyseren, combineren en verwijderen zijn allemaal acties die onder verwerken vallen. Eigenlijk kan je ervan uit gaan dat je bezig bent met het verwerken van persoonsgegevens zodra je expliciet met individuele persoonsgegevens in aanraking komt.
3. De boetes
3.1 Hoe hoog zijn de boetes bij overtreding?
Er worden hoge boetes uitgeschreven bij het overtreden van de GDPR wetgeving. Er geldt na 28 mei 2018 een tweeledig boetregime. Er wordt een onderscheid gemaakt tussen het niet voldoen aan zwaardere verplichtingen en minder zware verplichtingen. Voor de het niet voldoen aan zwaardere verplichtingen geld een hogere boete dan voor het niet voldoen aan minder zware verplichtingen. Een zware boete betreft 20 miljoen euro of 4% van de wereldwijde omzet. Deze boete kan worden uitgeschreven voor bijvoorbeeld het overtreden van de basisbeginselen van de GDPR, denk aan het niet vragen van toestemming. Daarnaast kan de zware boete uitgeschreven worden voor het overtreden van de verplichtingen met betrekking tot de rechten van het individu, denk bijvoorbeeld aan het recht om vergeten te worden. Minder zware boetes zijn maximaal 10 miljoen euro of 2% van de wereldwijde omzet. Deze worden uitgeschreven voor het niet, of te weinig, implementeren in verband met privacy by design of privacy bij default. Daarnaast kunnen minder zware boetes uitgeschreven worden voor het inschakelen van een verwerker zonder een verwerkers overeenkomst.

GDPR & jouw gebruikers


1. Rechten gebruikers in de GDPR
1.1 Welke rechten hebben de gebruikers na de invoering van de GDPR?
Het doel van de GDPR wetgeving is zorgen voor meer privacy met betrekking tot de persoonsgegevens van de gebruiker. Om ervoor te zorgen dat de privacy van de gebruikers ook echt gewaarborgd kan worden, hebben de gebruikers meerdere rechten. Zij hebben recht van rectificatie; de opgeslagen gegevens moeten ten alle tijden gewijzigd kunnen worden, op verzoek van de gebruiker. Daarnaast hebben de gebruikers recht van inzage; de gebruikers moeten ten alle tijden hun eigen gegevens die bij jouw organisatie bekend zijn in kunnen zien. In de GDPR wetgeving is het recht op dataportibiliteit nieuw, de gebruiker mag ten alle tijden van jouw organisatie vragen om zijn/haar eigen gegevens te verplaatsen naar een andere organisatie, bijvoorbeeld de concurrent. Ook heeft de gebruiker het recht om vergeten te worden. Dit heeft te maken met het toestemming geven. Na 2 jaar, en bij sommige gegevens (zoals sollicitatiegegevens) al na 1 jaar, moet de gegeven toestemming expliciet verlengd worden. Als dit niet gebeurd, moet de gebruiker uit de datebase verwijderd worden en wordt hij/zij dus vergeten.
Het geven van toestemming is een van de grootste veranderingen in de GDPR wetgeving ten opzichte van de huidige privacywetgeving. Vanaf 25 mei moet voor elke actie en elk doel voor de persoonsgegevens expliciet toestemming gegeven worden. Na maximaal 2 jaar moet deze toestemming weer verlengd worden.
1.2. Wat betekent het recht op dataportibiliteit?
Het recht op dataportibiliteit staat ook wel bekend als het recht op gegevensoverdraagbaarheid. Dit houdt in dat mensen (een deel van) hun persoonsgegevens overdragen van de ene aanbieder aan de andere. Dit recht valt onder de hogere controle die individuen krijgen over hun persoonsgegevens onder de nieuwe GDPR-wetgeving.
1.3. Moeten gegevens ook verwijderd woeden als ik ze overgedragen heb?
Nee, als een gebruiker verzoekt om de gegevens over te dragen, impliceert dit niet direct een verzoek op het recht van verzet of vergetelheid. Om de gegevens te verwijderen moet de gebruiker hiertoe een expliciet verzoek doen. Maar, als iemand overstapt is de vraag of je de persoonsgegevens nog nodig hebt. Als dit niet het geval is moeten de gegevens, in het kader van dataminimalisatie, wel verwijderd worden.
1.4. Waarover moeten gebruikers door mij geïnformeerd worden als ik data verzamel?
Als organisatie ben je verplicht om klanten en gebruikers te informeren over hoe hun persoonsgegevens verwerkt worden. Daarnaast moeten de klanten en gebruiker geïnformeerd worden over waarom de gegeven worden verwerkt, welke rechten zij hebben en op welke manier zij gebruik van hun rechten kunnen maken. Het informeren van klanten en gebruikers kan door middel van een privacy statement, maar je zou het ook op een andere manier kunnen aanpakken. Denk aan een inlogomgeving, waarin bepaalde informatie staat of een informatief filmpje.

GDPR & jouw bedrijf


1. De impact van de GDPR wetgeving
1.1. Is de GDPR van toepassing op mijn bedrijf?
Ja, de GDPR wet is van toepassing op alle organisaties, van elke grootte en binnen elke sector. Het is van belang dat de GDPR wordt nageleefd, want wanneer dit niet het geval is kunnen er boetes opgelegd worden tot 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro.
1.2. Moet mijn bedrijf een Data Protection Officer (DPO) aanstellen?
Een DPO, of functionaris voor gegevensbescherming (FG), is de persoon die binnen het bedrijf controleert of alle data volgens de GDPR wetgeving wordt bewaard, gebruikt en gedeeld. Het is niet voor elk bedrijf verplicht om een DPO aan te stellen. Het is wel verplicht voor overheidsinstanties, bedrijven die bij de dataverwerking op grote schaal observatie vereisen en bedrijven die gevoelige persoonsgegevens verwerken. Buiten deze gevallen is het aanstellen van een DPO niet verplicht, maar wel te adviseren.
1.3 Wat gebeurt er als mijn organisatie in meerdere landen actief is?
De GDPR is actief in alle landen binnen de Europese Unie. Het zou hierdoor makkelijker moeten worden, omdat de wetgeving overal gelijk is. Als jouw organisatie ook actief is in landen buiten de Europese Unie moeten ook die vestigingen voldoen aan de GDPR wetgeving.
1.4 Is de GDPR wetgeving ook van toepassing op zakelijke contacten (B2B)?
Ja, de regelgeving is van toepassing op alle persoonsgegevens die herleidbaar zijn. De wet maakt hierbij geen onderscheid tussen persoonlijke en zakelijke contacten. Een implicatie is dat een mail naar een info@bedrijf.nl adres sturen geen enkel probleem geeft, maar een mail naar pieter@bedrijf.nl is voortaan expliciete opt-in toestemming nodig. Het verschil tussen de beide mailadressen is dat het tweede mailadres direct te herleiden is tot Pieter, terwijl dit bij het eerste mailadres niet het geval is. Dit is gelijk aan hoe het straks bij de consumentenmarkt moet gaan (B2C). Je moet kunnen bewijzen, met een audit-trail, dat je deze toestemming hebt gekregen en hoe deze is verkregen. Impliciete toestemming, door een soft opt-in met enkel een opt-out optie is per 28 mei 2018 niet meer toegestaan. Wel is de impact op de privacy doorgaans minder als werkcontactgegevens worden verwerkt, zeker in tegenstelling tot bijvoorbeeld een privételefoonnummer, maar de privacywetgeving in de vorm van de GDPR blijft van toepassing als het persoonsgegevens betreft.
1.5. Wat is de impact voor de medewerkers van mijn bedrijf?
De impact van de GDPR op de werkzaamheden van de medewerkers van jouw bedrijf kunnen erg groot zijn. Een gevolg van de GDPR wetgeving is jij en jouw collega's geen persoonsgegevens meer via de mail met elkaar mogen delen, zeker als dit niet is opgenomen in het verwerkingsregister. Dit register bevat een overzicht van wie, waarom welke data mag zien, en moet goed bijgehouden worden.
Er zijn meerdere gevolgen van de GDPR voor uw organisatie. HROffice geeft gratis infosessies over de GDPR aan. Schrijf je nu in voor een GDPR infosessie.
Inschrijven GDPR infosessie
2. Klaar voor de GDPR wetgeving?
2.1 Wat kan ik doen zodat mijn bedrijf voldoen aan de GDPR wetgeving?
Er moet veel gebeuren om jouw bedrijf helemaal klaar te maken voor 28 mei. HROffice heeft een overzicht gemaakt, waarin in vier stappen duidelijk wordt wat jouw bedrijf kan doen om te voldoen aan de vereisten van de GDPR. Hierin wordt onder andere besproken dat het belangrijk is dat jouw organisatie en de medewerkers zich bewust zijn van de GDPR wetgeving. Klik op de button voor informatie over GDPR en hoe jij jouw bedrijf klaarmaakt voor 28 mei.

GDPR & belangrijke documenten


1. Belangrijke documenten binnen de GDPR
1.1 Welke documenten zijn van belang voor de nieuwe GDPR wetgeving?
Meerdere documenten zijn van belang om te voldoen aan de GDPR wetgeving. Ten eerste is het van belang dat jouw bedrijf een verwerkingsregister bijhoudt. In dit verwerkingsregister moet staan wie, wanneer, waarom tot welke data toegang heeft. Dit register moet bijgehouden worden en op verzoek van de Autoriteit Persoonsgegevens (AP) aan hen aangeleverd kunnen worden. Een tweede belangrijk document is de verwerkersovereenkomst. Voorheen heette dit een bewerkersovereenkomst. In deze overeenkomst worden de verantwoordelijkheden van de verwerker van de data en de eigenaar van de data vastgesteld. Het derde en laatste belangrijkste document in de GDPR wetgeving is het privacystatement. Het is niet nieuw opgenomen binnen de GDPR, maar er zijn wel toevoegingen vergeleken met de vorige privacy wetgeving. In dit statement staat welke maatregelen er worden genomen om de privacy van de gebruiker te garanderen.
1.2. Moeten er dingen veranderen aan mijn privacystatement, en zo ja, wat?
Veel dingen zullen hetzelfde blijven. Zo moet je bijvoorbeeld blijven informeren welke persoonsgegevens je verwerkt en voor welke doeleinden je dit doet. Daarnaast moet je gebruikers nu informeren over hun rechten en duidelijk maken voor hoe lang je welke gegevens bewaart en of je ze doorgeeft aan derden. Tenslotte moet je in je privacystatement aangegeven dat gebruikers een klacht kunnen indienen bij de autoriteit persoonsgegevens (AP).
1.3. Moet ik altijd een verwerkersovereenkomst afsluiten?
Ja, als je een verwerker inschakelt, of jij als verwerker wordt ingeschakeld, moet er een verwerkersovereenkomst afgesloten worden. Dit is geen nieuwe regel, want dit is nu ook al zo. De GDPR stelt een vast lijstje met onderwerpen die behandeld moeten worden in een verwerkersovereenkomst
1.4. Wat moet er volgens de GDPR in de verwerkersovereenkomst opgenomen worden?
Er moet, zodra er een verwerker van de data wordt ingesteld een verwerkersovereenkomst afgesloten worden. Deze overeenkomst moet een paar onderwerpen dekken: een algemene beschrijving van de verwerking, instructies van de verwerking, geheimhoudingsplicht, beveiliging, gebruik van subverwerkers, privacyrechten, andere verplichtingen (denk aan meldplicht), verwijdering van gegevens en meewerken aan audits.


HROffice 2.0 is klaar voor 28 mei, jij ook?



Meer weten over GDPR? Kom naar één van onze GDPR infosessies

Inschrijven GDPR infosessie

Jouw voordelen als recruiter



Totale controle met jouw recruitment dashboard


Via een aanpasbaar dashboard heb je een overzicht van alle openstaande vacatures, bijhorende sollicitanten en de fase van het proces waarin zij verkeren. Dit zorgt voor een directe tijdswinst en efficiëntieslag.

Gratis Demo

Award Winning Recruitment


Elk jaar valt het ATS Systeem HROffice Recruitment weer in de prijzen met haar recruitment software en bijbehorende klantresultaten. Met HROffice Recruitment ben je als recruiter verzekerd van de allerbeste software.

Gratis Demo

Vanaf dag 1 voordeel


Het ATS Systeem HROffice recruitment heeft onder andere haar populariteit te danken aan het feit dat elke organisatie direct ermee aan de slag kan. Geen ingewikkelde implementaties, koppelingen of wachttijden. Vanaf dag 1 ervaar je direct de voordelen van het HROffice Recruitment ATS systeem.

Gratis demo

Recruitment Nederland bouwt op HROffice Recruitment



Als wij HROffice Recruitment niet hadden dan hebben we zeker 1,5 fte extra nodig”. Slachtofferhulp werkt sinds 2008 met het ATS van HROffice en haar recruitment is vanaf dat moment beter beheersbaar. Het verloop van projecten is beter te monitoren en er zijn geen verborgen kosten meer.Slachtofferhulp Nederland








De voordelen van een ATS Systeem


HROffice Recruitment ATS

Recruitment wordt een steeds belangrijker onderdeel c.q. bedrijfsproces van hedendaagse bedrijven. Zowel bij bestaande ondernemingen als snel groeiende organisaties is het van belang recruitment zeer groot. Primair omdat een high performance organisatie afhankelijk is van zijn mensen en dus talent. Om talent aan te trekken en binnen te houden is het absoluut van elementair belang om dat recruitment en de bijbehorende processen op orde zijn. Met applicant tracking en dus een applicant tracking systeem (ATS) zoals HROffice Connect kunt u deze processen stroomlijnen. Het automatiseren van vacatures, sollicitaties en de afhandeling staan hierin centraal. Dit zorgt voor een optimaal proces, de beste candidate experience en de beste kansen om toptalent aan te trekken.

Gratis Demo


Vragen of wil je maatwerkadvies?

Contact opnemen

Begin vandaag met HROffice Recruitment


Ontdek zelf direct de voordelen van het ATS Systeem van HROffice Recruitment

Gratis uitproberen