{"id":173,"date":"2026-01-20T00:00:00","date_gmt":"2026-01-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/nl\/gdpr-compliance-checklist-voor-website-eigenaren\/"},"modified":"2026-01-20T00:00:00","modified_gmt":"2026-01-19T23:00:00","slug":"gdpr-compliance-checklist-voor-website-eigenaren","status":"publish","type":"post","link":"https:\/\/helloblog.io\/nl\/gdpr-compliance-checklist-voor-website-eigenaren\/","title":{"rendered":"GDPR-compliance checklist voor website-eigenaren: compleet en praktisch (met WordPress-tips)"},"content":{"rendered":"\n

De GDPR (AVG) is nog steeds een van de meest uitgebreide privacywetten ter wereld. Zodra je persoonsgegevens van EU-inwoners verwerkt\u2014of je nu een kleine blog runt, een WooCommerce-shop beheert of een SaaS-platform bouwt\u2014moet je aan de regels voldoen. Doe je dat niet, dan kan dat uitlopen op boetes tot \u20ac20 miljoen<\/strong> of 4% van je wereldwijde jaaromzet<\/strong> (wat hoger is).<\/p>\n\n\n\n

Onderstaande checklist is bedoeld als praktische kapstok: welke inventarisaties, policies, contracten, processen en technische maatregelen je nodig hebt om GDPR-compliance te bereiken \u00e9n te onderhouden. Ik behandel ook expliciet wat dit betekent voor WordPress-sites.<\/p>\n\n\n\n

\n\n

Let op<\/h4>\n\n\n

Dit is een algemene gids en geen juridisch advies. Als je situatie complex is (bijv. internationale doorgifte, grootschalige profiling of gevoelige data), schakel een privacyjurist in.<\/p>\n\n<\/div>\n\n\n\n

Wat is GDPR (AVG) precies?<\/h2>\n\n\n\n

De General Data Protection Regulation (GDPR)<\/strong>\u2014in het Nederlands meestal AVG<\/strong> genoemd\u2014is EU-wetgeving die sinds 25 mei 2018<\/strong> geldt. De wet zet duidelijke regels neer voor het verzamelen, gebruiken, opslaan en delen<\/strong> van persoonsgegevens. De reikwijdte is extraterritoriaal: ook organisaties buiten de EU<\/strong> vallen eronder als ze persoonsgegevens van EU-inwoners verwerken.<\/p>\n\n\n\n

Eerst dit: bepaal je rol (Controller vs Processor)<\/h2>\n\n\n\n

Voor je aan checklists begint, moet je scherp hebben welke pet je op hebt. GDPR gebruikt hiervoor vaste rollen. In de praktijk kun je overigens meerdere rollen tegelijk hebben, afhankelijk van het proces.<\/p>\n\n\n\n

De drie kernrollen onder GDPR<\/h3>\n\n\n\n
    \n\n
  • Data Controllers<\/strong>: organisaties die bepalen waarom<\/em> en hoe<\/em> persoonsgegevens worden verwerkt. Zij dragen de primaire verantwoordelijkheid voor GDPR-compliance.<\/li>\n\n\n
  • Data Processors<\/strong>: partijen die persoonsgegevens verwerken namens<\/em> een controller. Ook zij moeten passende technische en organisatorische maatregelen nemen.<\/li>\n\n\n
  • Data Subjects<\/strong>: de personen van wie je data verwerkt. De GDPR is er om hun rechten te beschermen.<\/li>\n\n<\/ul>\n\n\n\n

    De 7 principes van GDPR (je fundament)<\/h2>\n\n\n\n

    Alles in GDPR hangt uiteindelijk aan deze basisprincipes. Als je maatregelen ontwerpt (privacy policy, cookie setup, logging, security), toets dan steeds hieraan.<\/p>\n\n\n\n

      \n\n
    1. Lawfulness, fairness, and transparency<\/strong>: verwerk persoonsgegevens rechtmatig en informeer mensen duidelijk over het gebruik.<\/li>\n\n\n
    2. Purpose limitation<\/strong>: verzamel data alleen voor specifieke, legitieme doelen.<\/li>\n\n\n
    3. Data minimization<\/strong>: verzamel niet meer dan noodzakelijk.<\/li>\n\n\n
    4. Accuracy<\/strong>: houd data correct en actueel.<\/li>\n\n\n
    5. Storage limitation<\/strong>: bewaar data niet langer dan nodig.<\/li>\n\n\n
    6. Integrity and confidentiality<\/strong>: beveilig tegen ongeautoriseerde toegang met passende maatregelen.<\/li>\n\n\n
    7. Accountability<\/strong>: je moet kunnen aantonen dat je compliant bent.<\/li>\n\n<\/ol>\n\n\n\n

      Complete GDPR-compliance checklist<\/h2>\n\n\n\n

      Hieronder staat de checklist opgesplitst in thema\u2019s. Bij elk punt staat op wie het van toepassing is en welke artikelen uit de GDPR erbij horen.<\/p>\n\n\n\n

      Data<\/h3>\n\n\n\n

      1) Je organisatie heeft een lijst van alle soorten persoonsgegevens die je hebt, de bron, met wie je deelt, wat je ermee doet en hoe lang je bewaart<\/h4>\n\n\n\n

      Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Maak een concrete inventaris van de feitelijke datatypen (denk aan \u2018kolommen\u2019): bijvoorbeeld naam, BSN, adres. Documenteer per datatype: de bron, de partijen met wie je deelt, het doel van de verwerking en de bewaartermijn.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      2) Je organisatie heeft een lijst van plekken waar persoonsgegevens staan en hoe data tussen die plekken stroomt<\/h4>\n\n\n\n

      Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Dit gaat verder dan \u2018de database\u2019. Het kan MySQL zijn, maar ook exports, spreadsheets, logging, supporttools of zelfs offline opslag (papier). Breng ook de datastromen tussen systemen in kaart.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      3) Je hebt een publiek toegankelijke privacy policy die alle processen rond persoonsgegevens beschrijft<\/h4>\n\n\n\n

      Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Je privacy policy moet uitleggen welke processen er zijn rondom het omgaan met persoonsgegevens. Neem daarin op (of link door naar) welke typen persoonsgegevens je hebt en waar je ze opslaat.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

      4) Je privacy policy bevat een lawful basis: waarom je persoonsgegevens m\u00f3\u00e9t verwerken<\/h4>\n\n\n\n

      Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

      Leg de juridische grondslag vast voor de verwerking, bijvoorbeeld omdat het nodig is voor de uitvoering van een contract.<\/p>\n\n\n\n

      Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n

      Accountability & Management<\/h3>\n\n\n\n

      5) Je hebt een Data Protection Officer (DPO) aangesteld (als dat verplicht is)<\/h4>\n\n\n\n

      Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Een DPO<\/strong> is alleen verplicht in drie situaties:<\/p>\n\n\n\n

        \n\n
      1. De verwerking wordt gedaan door een publieke autoriteit of publiek orgaan, behalve rechtbanken die in hun rechterlijke hoedanigheid handelen<\/li>\n\n\n
      2. De kernactiviteiten bestaan uit verwerkingen die, door hun aard\/omvang\/doelen, regelmatige en systematische monitoring<\/strong> van betrokkenen op grote schaal<\/strong> vereisen<\/li>\n\n\n
      3. De kernactiviteiten bestaan uit grootschalige<\/strong> verwerking van bijzondere categorie\u00ebn<\/strong> persoonsgegevens (gevoelige data) volgens Article 9<\/strong> en\/of persoonsgegevens over strafrechtelijke veroordelingen of strafbare feiten volgens Article 10<\/strong><\/li>\n\n<\/ol>\n\n\n\n

        Als een DPO verplicht is, moet die persoon zowel GDPR-kennis hebben als inzicht in de interne processen waarin persoonsgegevens voorkomen.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n

        6) Beslissers in je organisatie zijn bewust van GDPR-richtlijnen<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Zorg dat key people en besluitvormers actuele kennis hebben van de privacywetgeving, zodat keuzes over tooling, marketing, analytics en productdesign niet per ongeluk de verkeerde kant op gaan.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        7) Je technische beveiliging is up-to-date<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Zeker bij SaaS is het slim om security-checklists als baseline te gebruiken, zodat je technische maatregelen (hardening, patching, access control, logging) aantoonbaar op orde zijn.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        8) Je medewerkers zijn getraind in gegevensbescherming<\/h4>\n\n\n\n

        Van toepassing op: Data Processor<\/em><\/p>\n\n\n\n

        Veel security-incidenten ontstaan doordat iemand met interne toegang onbewust meewerkt (phishing, social engineering, verkeerde exports). Train medewerkers op risico\u2019s en basisregels.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        9) Je hebt een lijst van sub-processors en je privacy policy noemt dat je ze gebruikt<\/h4>\n\n\n\n

        Van toepassing op: Data Processor<\/em><\/p>\n\n\n\n

        Als processor moet je klanten informeren over de inzet van sub-processors. Het idee is dat klanten daarmee instemmen via acceptatie van je privacy policy.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n

        10) Werk je buiten de EU? Dan heb je een EU-vertegenwoordiger aangewezen<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Als je organisatie buiten de EU zit en je verzamelt data van EU-burgers, wijs dan een vertegenwoordiger in een EU-lidstaat aan. Die persoon handelt issues rond verwerking af en moet bereikbaar zijn voor de lokale toezichthouder.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n

        11) Je meldt datalekken bij de toezichthouder \u00e9n betrokkenen<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Persoonsgegevenslekken meld je binnen 72 uur<\/strong> bij de lokale toezichthouder. In je melding beschrijf je welke data is gelekt, de gevolgen en welke tegenmaatregelen je hebt genomen. Tenzij de gelekte data was versleuteld (encrypted)<\/strong>, moet je het lek ook communiceren aan de betrokkenen van wie je data bent kwijtgeraakt.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n

        12) Je hebt contracten met alle processors waarmee je data deelt<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Als controller moet je met elke processor een contract hebben met expliciete instructies voor opslag\/verwerking. Dat contract omvat minimaal: onderwerp en duur van de verwerking, aard en doel van de verwerking, typen persoonsgegevens, categorie\u00ebn betrokkenen, en de verplichtingen en rechten van de controller.<\/p>\n\n\n\n

        Concreet: dit kan bijvoorbeeld een contract zijn met je hostingprovider. Dezelfde contracteisen gelden wanneer een processor zelf weer een sub-processor inschakelt om verwerkingen namens de controller uit te voeren.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n

        Nieuwe rechten (processen die je moet faciliteren)<\/h3>\n\n\n\n

        13) Klanten kunnen eenvoudig inzage vragen in hun persoonsgegevens<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Leg een helder proces vast voor het afhandelen van inzageverzoeken van betrokkenen.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n

        14) Klanten kunnen hun persoonsgegevens eenvoudig laten corrigeren<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Bied een mechanisme waarmee gebruikers onjuiste data kunnen laten aanpassen, zodat je voldoet aan de eis van accurate gegevens.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n

        15) Je verwijdert automatisch data die je niet meer nodig hebt<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Automatiseer verwijdering van data waarvoor je geen doel meer hebt. Bijvoorbeeld: verwijder automatisch data van klanten waarvan het contract niet is verlengd.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n

        16) Klanten kunnen eenvoudig verwijdering van hun persoonsgegevens aanvragen (right to be forgotten)<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Implementeer een proces om verwijderverzoeken af te handelen: het recht op gegevenswissing (right to be forgotten).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n

        17) Klanten kunnen eenvoudig verzoeken om verwerking te beperken<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Gebruikers hebben het recht om te laten beperken hoe hun data verwerkt wordt. Zorg dat je dit operationeel kunt afvangen.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n

        18) Klanten kunnen eenvoudig dataportabiliteit aanvragen<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Dataportabiliteit betekent dat gebruikers hun data kunnen opvragen in een gestructureerd, gangbaar en machineleesbaar<\/strong> formaat, zodat ze het aan zichzelf of een derde partij kunnen laten leveren.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n

        19) Klanten kunnen bezwaar maken tegen profiling of geautomatiseerde besluitvorming<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Dit punt is relevant als je bedrijf profiling of andere vormen van geautomatiseerde besluitvorming gebruikt die impact kunnen hebben op personen.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n

        Consent (toestemming)<\/h3>\n\n\n\n

        20) Als je op consent baseert, moet toestemming vrij, specifiek, ge\u00efnformeerd en herroepbaar zijn<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Verzamel je persoonsgegevens via je website, zorg dan voor een duidelijk zichtbare link naar je privacy policy en laat de gebruiker expliciet instemmen met je voorwaarden. Toestemming vereist een actieve handeling; vooraf aangevinkte checkboxen zijn niet toegestaan.<\/strong><\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

        21) Je privacy policy is helder en begrijpelijk geschreven<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Schrijf in duidelijke, simpele bewoordingen en verstop de bedoeling niet. Als je dit niet goed doet, kan dat zelfs betekenen dat de overeenkomst ongeldig wordt. Lever je diensten aan kinderen, dan moet de tekst ook voor hen begrijpelijk zijn.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n

        22) Consent intrekken moet net zo makkelijk zijn als consent geven<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Het intrekken van toestemming mag niet moeilijker zijn dan het geven ervan. Denk aan een duidelijke knop of voorkeurencentrum.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n

        23) Verwerk je data van kinderen? Verifieer leeftijd en vraag toestemming van de wettelijke vertegenwoordiger<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Voor kinderen jonger dan 16<\/strong> moet je zeker weten dat een wettelijke vertegenwoordiger toestemming heeft gegeven. Als consent via je website wordt gegeven, moet je proberen te borgen dat de goedkeuring echt door de wettelijke vertegenwoordiger is gegeven (en niet door het kind).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n

        24) Bij updates van je privacy policy informeer je bestaande klanten<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Informeer bestaande klanten over wijzigingen, bijvoorbeeld via e-mail. Leg op een simpele manier uit wat er is veranderd.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

        Follow-up (doorlopend onderhoud)<\/h3>\n\n\n\n

        25) Je reviewt regelmatig policies op wijzigingen, effectiviteit en internationale datastromen<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Blijf periodiek toetsen of je policies nog kloppen: zijn er proceswijzigingen, nieuwe tools, andere bewaartermijnen, of zijn er veranderingen in landen waarheen data stroomt? Volg best practices en veranderingen in je lokale omgeving.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

        Special cases<\/h3>\n\n\n\n

        26) Je weet wanneer een DPIA verplicht is bij hoog risico (gevoelige data, profiling, grootschalige verwerking)<\/h4>\n\n\n\n

        Van toepassing op: Data Controller<\/em><\/p>\n\n\n\n

        Dit speelt vooral bij organisaties die grootschalig verwerken, profiling doen of andere verwerkingen uitvoeren met hoog risico voor rechten en vrijheden van personen. In die gevallen voer je een Data Protection Impact Assessment (DPIA)<\/strong> uit.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n

        27) Je doet alleen doorgifte buiten de EU naar landen met passend beschermingsniveau (of gebruikt SCC\/BCR)<\/h4>\n\n\n\n

        Van toepassing op: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Draag alleen data over buiten de EU naar landen met een passend beschermingsniveau. Maak zulke cross-border datastromen ook zichtbaar in je privacy policy. Bij doorgifte naar landen zonder adequaatheidsbesluit gebruik je Standard Contractual Clauses (SCCs)<\/strong> of Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n

        Rechten van betrokkenen (Data Subject Rights) \u2013 wat je moet kunnen leveren<\/h2>\n\n\n\n

        Naast \u2018interne\u2019 compliance moet je processen hebben om rechten van betrokkenen uit te voeren. Hieronder staan de rechten zoals ze in de GDPR zijn uitgewerkt, inclusief de details die je in je processen\/policy moet kunnen afdekken.<\/p>\n\n\n\n

        Right to transparent information<\/h3>\n\n\n\n

        De controller neemt passende maatregelen om informatie over verwerking te geven in een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm, in duidelijke en eenvoudige taal\u2014met extra aandacht voor informatie die specifiek aan een kind is gericht. Dit kan schriftelijk of via andere middelen, inclusief (waar passend) elektronisch.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n

        Right to receive specific information when personal data are collected directly<\/h3>\n\n\n\n

        Wanneer je persoonsgegevens direct bij de betrokkene verzamelt, moet je minimaal deze informatie geven:<\/p>\n\n\n\n

          \n\n
        1. De identiteit en contactgegevens van de controller<\/li>\n\n\n
        2. De contactgegevens van de data protection officer (waar van toepassing)<\/li>\n\n\n
        3. De doeleinden van de verwerking en de wettelijke grondslag<\/li>\n\n\n
        4. De gerechtvaardigde belangen van de controller (waar van toepassing)<\/li>\n\n\n
        5. De ontvangers of categorie\u00ebn ontvangers van de persoonsgegevens<\/li>\n\n\n
        6. Informatie over doorgiften naar derde landen<\/li>\n\n<\/ol>\n\n\n\n

          Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n

          Right to receive specific information when personal data are not collected directly<\/h3>\n\n\n\n

          Als je data verkrijgt via een andere bron dan de betrokkene, moet je vergelijkbare informatie geven, inclusief de categorie\u00ebn persoonsgegevens en de bron van de data.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n

          Right of access<\/h3>\n\n\n\n

          Een betrokkene heeft het recht om bevestiging te krijgen of je persoonsgegevens verwerkt, en inzage te krijgen in onder andere:<\/p>\n\n\n\n

            \n\n
          • De doeleinden van de verwerking<\/li>\n\n\n
          • De categorie\u00ebn persoonsgegevens<\/li>\n\n\n
          • De ontvangers aan wie data is of wordt verstrekt<\/li>\n\n\n
          • De beoogde bewaartermijn<\/li>\n\n\n
          • Het bestaan van rechten op rectificatie, wissen, beperking en bezwaar<\/li>\n\n\n
          • Het recht om een klacht in te dienen bij een toezichthouder<\/li>\n\n\n
          • Informatie over de bron (als data niet direct is verzameld)<\/li>\n\n\n
          • Het bestaan van geautomatiseerde besluitvorming, inclusief profiling<\/li>\n\n<\/ul>\n\n\n\n

            Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n

            Right to rectification<\/h3>\n\n\n\n

            Een betrokkene heeft het recht om zonder onredelijke vertraging onjuiste persoonsgegevens te laten corrigeren en onvolledige data te laten aanvullen.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n

            Right to erasure (“right to be forgotten”)<\/h3>\n\n\n\n

            Een betrokkene heeft recht op gegevenswissing wanneer:<\/p>\n\n\n\n

              \n\n
            1. De data niet langer nodig is voor het oorspronkelijke doel<\/li>\n\n\n
            2. De betrokkene consent intrekt en er geen andere rechtsgrond is<\/li>\n\n\n
            3. De betrokkene bezwaar maakt en er geen zwaarder wegende gerechtvaardigde gronden zijn<\/li>\n\n\n
            4. De data onrechtmatig is verwerkt<\/li>\n\n\n
            5. De data gewist moet worden om te voldoen aan een wettelijke verplichting<\/li>\n\n\n
            6. De data is verzameld in relatie tot information society services die aan een kind zijn aangeboden<\/li>\n\n<\/ol>\n\n\n\n

              Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n

              Right to restriction of processing<\/h3>\n\n\n\n

              Een betrokkene heeft recht op beperking van verwerking wanneer:<\/p>\n\n\n\n

                \n\n
              1. De betrokkene de juistheid betwist (gedurende verificatie)<\/li>\n\n\n
              2. De verwerking onrechtmatig is en de betrokkene wissen niet wil<\/li>\n\n\n
              3. De controller de data niet meer nodig heeft, maar de betrokkene wel voor rechtsvorderingen<\/li>\n\n\n
              4. De betrokkene bezwaar heeft gemaakt, in afwachting van verificatie van gerechtvaardigde gronden<\/li>\n\n<\/ol>\n\n\n\n

                Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n

                Right to be notified regarding rectification, erasure, or restriction<\/h3>\n\n\n\n

                De controller communiceert rectificatie, wissen of beperking van verwerking aan elke ontvanger aan wie de data is verstrekt, tenzij dat onmogelijk is of onevenredige inspanning kost.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n

                Right to data portability<\/h3>\n\n\n\n

                Een betrokkene heeft het recht om persoonsgegevens te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, en om die gegevens zonder belemmering door te geven aan een andere controller.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n

                Right to object<\/h3>\n\n\n\n

                Een betrokkene mag op ieder moment bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of publiek belang, inclusief profiling, op gronden die verband houden met de specifieke situatie van die persoon.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n

                Right not to be subject to automated decision-making<\/h3>\n\n\n\n

                Een betrokkene heeft het recht om niet onderworpen te worden aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking (inclusief profiling) en dat juridische gevolgen heeft of vergelijkbaar significant effect.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n

                Praktische implementatiestappen (van policy naar productie)<\/h2>\n\n\n\n

                1) Beveilig je website<\/h3>\n\n\n\n

                GDPR zegt niet dat je \u2018tool X\u2019 moet gebruiken, maar wel dat je passende maatregelen neemt voor integriteit en vertrouwelijkheid. Voor websites komt het vaak neer op een combinatie van basis-hardening en dataminimalisatie.<\/p>\n\n\n\n