Questionmark Perception
Dec 04 2021 |
Ingelogd als : kandidaat
Lettergrootte aanpassen

Inleiding

Inleiding

Dit is het EXIN Privacy & Data Protection Foundation (PDPF.NL) voorbeeldexamen. Op dit examen is het Reglement voor de Examens van EXIN van toepassing.

Dit examen bestaat uit 40 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is.

Het maximaal aantal te behalen punten is 40. Elke goed beantwoorde vraag levert u 1 punt op. U hebt minimaal 26 punten nodig om te slagen.

De beschikbare tijd is 60 minuten.

Veel succes!





Copyright © EXIN Holding B.V. 2020. All rights reserved.
EXIN® is a registered trademark.

Vraag

1  van 40
Een winkelier wil bijhouden hoeveel mensen elke dag zijn winkel bezoeken. Hiervoor gebruikt hij een systeem dat het MAC-adres van de smartphone van elke bezoeker detecteert. Op basis van dit signaal kan de winkelier de eigenaar van een toestel onmogelijk identificeren. Providers kunnen echter wel een MAC-adres koppelen aan de eigenaar van een toestel.

Mag de winkelier deze methode gebruiken volgens de AVG?

Vraag

2  van 40
Persoonsgegevens zoals gedefinieerd in de AVG kunnen in diverse soorten worden onderverdeeld. Een van deze soorten wordt als volgt beschreven:

Gegevens waaruit direct of indirect iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Welke soort persoonsgegevens is dit?

Vraag

3  van 40
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Welke rol op het gebied van gegevensbescherming wordt hier gedefinieerd?

Vraag

4  van 40
Er heeft zich een inbreuk op de beveiliging voorgedaan in een informatiesysteem dat ook persoonsgegevens bevat.

Wat is het allereerste dat de verwerkingsverantwoordelijke volgens de AVG moet doen?

Vraag

5  van 40
Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Wat is de exacte term die in de AVG aan deze definitie is gekoppeld?

Vraag

6  van 40
Welk recht van betrokkenen wordt uitdrukkelijk gedefinieerd in de AVG?

Vraag

7  van 40
Wie is bij de verwerking van persoonsgegevens uiteindelijk verantwoordelijk voor het aantonen van naleving van de AVG?

Vraag

8  van 40
Volgens het beginsel van doelbinding mogen gegevens niet worden verwerkt buiten het bepaalde gerechtvaardigde doeleinde. In enkele specifieke gevallen is verdere verwerking echter wel toegestaan, mits er passende waarborgen worden genomen voor de rechten en vrijheden van de betrokkenen.

Voor welk doeleinde is verdere verwerking niet toegestaan?

Vraag

9  van 40
In welke situatie moeten betrokkenen volgens de AVG altijd op de hoogte worden gebracht van een inbreuk in verband met persoonsgegevens?

Vraag

10  van 40
Niet alle gegevensverwerking valt binnen het materieel toepassingsgebied van de AVG.

Welke soort verwerking valt niet volgens de AVG?

Vraag

11  van 40
In de AVG wordt geen definitie gegeven van de term privacy, maar overal in de tekst wordt het concept impliciet gebruikt.

Wat is een correcte definitie van privacy conform het impliciete gebruik in de AVG?

Vraag

12  van 40
Wat is de relatie tussen gegevensbescherming en privacy?

Vraag

13  van 40
Wat is de juridische status van de AVG?

Vraag

14  van 40
In de AVG worden sommige soorten persoonsgegevens beschouwd als een bijzondere categorie van persoonsgegevens.

Welke persoonsgegevens worden beschouwd als een bijzondere categorie van persoonsgegevens?

Vraag

15  van 40
Omdat een lokale overheid het aantal benodigde parkeerplekken wil plannen, worden de kentekens bijgehouden en bewaard van alle auto's die het centrum binnenrijden en verlaten. De overheid heeft toestemming verkregen om gegevens te verzamelen over het aantal aanwezige auto's in het centrum.

Door de in- en uitrijdtijd voor elk kenteken te vergelijken, wordt op elk moment van de dag het aantal aanwezige auto's berekend. Elke maand wordt er een verslag opgesteld met informatie over het gemiddelde aantal auto's in het centrum op specifieke momenten gedurende elke dag van de week. Bij elke toegangsweg tot het centrum staat een informatiebord waarop duidelijk wordt vermeld wie welke gegevens verzamelt, wat het doel van de verwerking is en dat de kentekens gedurende maximaal twee jaar veilig worden opgeslagen, omdat de metingen volgend jaar worden herhaald.

Welk basisbeginsel voor gerechtvaardigde verwerking van persoonsgegevens wordt in dit scenario geschonden?

Vraag

16  van 40
Persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Welk beginsel voor gegevensverwerking wordt hier beschreven?

Vraag

17  van 40
Een persoon verhuist binnen een EER-lidstaat van stad A naar stad B. In stad A was hij patiënt bij het lokale ziekenhuis A. In stad B wordt hij patiënt bij ziekenhuis B. De patiënt heeft ervoor gekozen geen gebruik te maken van het nationale systeem voor elektronische patiëntendossiers.

De patiënt vraagt ziekenhuis A om zijn medisch dossier rechtstreeks op te sturen naar ziekenhuis B.

Wat is in dit geval toegestaan volgens de AVG?

Vraag

18  van 40
Een bedrijf is van plan om persoonsgegevens te verwerken. De onlangs aangestelde functionaris voor gegevensbescherming (FG) voert een gegevensbeschermingseffectbeoordeling (DPIA) uit. De FG ontdekt dat alle computers een instelling hebben waardoor er na vijf seconden inactiviteit een schermbeveiliging wordt weergegeven op het beeldscherm. De computers worden echter niet automatisch vergrendeld. Wanneer medewerkers hun bureau verlaten, vergrendelen ze doorgaans hun computer ook niet.

Waar is dit een voorbeeld van?

Vraag

19  van 40
De AVG verwijst naar de beginselen van evenredigheid en subsidiariteit.

Wat is in deze context de betekenis van subsidiariteit?

Vraag

20  van 40
”De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat (...) alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking.”

Van welke term in de AVG is dit de definitie?

Vraag

21  van 40
Tijdens het maken van een back-up crasht een schijf van een dataserver. Zowel de gegevens als de back-up gaan hierbij verloren. De schijf bevatte persoonsgegevens, maar geen bijzondere categorie van persoonsgegevens.

Volgens de verwerker is dit een inbreuk in verband met persoonsgegevens.

Heeft de verwerker gelijk?

Vraag

22  van 40
Organisaties zijn verplicht om een aantal registers bij te houden waarmee zij naleving van de AVG kunnen aantonen.

Welk register is niet verplicht volgens de AVG?

Vraag

23  van 40
Er heeft zich een inbreuk in verband met persoonsgegevens voorgedaan en de verwerkingsverantwoordelijke is nu een conceptversie aan het opstellen van de kennisgeving aan de toezichthoudende autoriteit. De volgende informatie is al opgenomen in de kennisgeving:

- De aard van de inbreuk in verband met persoonsgegevens en de mogelijke gevolgen ervan.
- Informatie over de partijen die aanvullende informatie kunnen verstrekken over de inbreuk in verband met gegevens.

Welke andere informatie moet de verwerkingsverantwoordelijke verstrekken?

Vraag

24  van 40
Onder Artikel 33 van de AVG meldt de verwerkingsverantwoordelijke een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de toezichthoudende autoriteit.

Wat is de maximale sanctie voor het niet naleven van deze kennisgevingsverplichting?

Vraag

25  van 40
Wat is volgens de AVG een taak van een toezichthoudende autoriteit?

Vraag

26  van 40
Het hoofdkantoor van een Belgisch bedrijf is om belastingtechnische redenen gevestigd in Frankrijk. Voor de verwerking van persoonsgegevens van betrokkenen met verschillende nationaliteiten gaat het bedrijf een juridisch bindende overeenkomst aan met een verwerker in Nederland.

Er vindt een inbreuk in verband met persoonsgegevens plaats. De toezichthoudende autoriteiten starten een onderzoek.

Waarom wordt de Franse toezichthoudende autoriteit gezien als de leidende toezichthoudende autoriteit?

Vraag

27  van 40
Op 12 juli 2016 voerde de Europese Commissie een beslissing door met betrekking tot de doorgifte van persoonsgegevens tussen de EER en de VS. Deze beslissing is gebaseerd op de gegevensbeschermingsmaatregelen zoals beschreven in het EU-VS Privacy Shield.

Wat voor soort beslissing is dit?

Vraag

28  van 40
Een verwerkingsverantwoordelijke wil de verwerking van persoonsgegevens uitbesteden aan een verwerker.

Wat moet er gebeuren voorafgaand aan de uitbesteding?

Vraag

29  van 40
Wat is het doel van een gegevensbeschermingsaudit door de toezichthoudende autoriteit?

Vraag

30  van 40
Wat is altijd een vereiste voor rechtmatige verwerking van persoonsgegevens?

Vraag

31  van 40
Persoonsgegevens kunnen worden doorgegeven buiten de EER.

Welke doorgiften buiten de EER zijn volgens de AVG altijd rechtmatig?

Vraag

32  van 40
Wat is volgens de AVG een beschrijving van bindende bedrijfsvoorschriften?

Vraag

33  van 40
Een schriftelijke overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker wordt een gegevensverwerkingsovereenkomst genoemd.

Wat hoeft volgens de AVG niet te worden vastgelegd in deze schriftelijke overeenkomst?

Vraag

34  van 40
Een van de doelstellingen van een gegevensbeschermingseffectbeoordeling (DPIA) is het vertrouwen van klanten of burgers versterken in de manier waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd.

Hoe kan een DPIA dit vertrouwen versterken?

Vraag

35  van 40
Een van de zeven beginselen van gegevensbescherming door ontwerp is 'Functionaliteit – Positieve som in plaats van een nulsom'.

Wat is de essentie van dit beginsel?

Vraag

36  van 40
Een bedrijf wil persoonsgegevens van klanten gebruiken. Het bedrijf wil alle vrouwelijke klanten een aangepaste nieuwsbrief gaan toesturen.

Welk recht hebben alle betrokkenen in dit scenario?

Vraag

37  van 40
Wat is een beschrijving van gegevensbescherming door ontwerp en door standaardinstellingen?

Vraag

38  van 40
Wanneer is een gegevensbeschermingseffectbeoordeling (DPIA) verplicht volgens de AVG?

Vraag

39  van 40
In de AVG wordt het beginsel van minimale gegevensverwerking beschreven.

Hoe kunnen organisaties voldoen aan dit beginsel?

Vraag

40  van 40
Wat is de voornaamste reden voor het gebruik een permanente cookie?