Questionmark Perception
Dec 04 2021 |
Ingelogd als : kandidaat
Lettergrootte aanpassen

Inleiding

Inleiding

Dit is het EXIN Privacy & Data Protection Practitioner (PDPP.NL) voorbeeldexamen. Op dit examen is het Reglement voor de Examens van EXIN van toepassing.

Dit examen bestaat uit 40 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is.

Het maximaal aantal te behalen punten is 40. Elke goed beantwoorde vraag levert u 1 punt op. U hebt 26 punten of meer nodig om te slagen.

De beschikbare tijd is 120 minuten.

U mag de tekst van de AVG gebruiken tijdens dit examen. Klik op de link om het document te openen. Als u de tekst van de AVG sluit, kunt u de Navigator knop gebruiken om naar de Inleiding terug te gaan (rondje voor vraag 1) en opnieuw op de link klikken.

Veel succes!





Copyright © EXIN Holding B.V. 2020. All rights reserved.
EXIN® is a registered trademark.


Vraag

1  van 40
Een bedrijf implementeert een privacybeleid, waardoor naleving van de AVG beter kan worden aangetoond. Het is om meerdere redenen raadzaam om dit beleid openbaar toegankelijk te maken.

Wat is de belangrijkste reden om het privacybeleid openbaar toegankelijk te maken?

Vraag

2  van 40
Welke informatie is onder de AVG geen verplicht onderdeel van een privacybeleid?

Vraag

3  van 40
De AVG onderschrijft de principes van privacy door ontwerp en door standaardinstellingen. Deze principes worden onder andere toegepast door zowel technische als organisatorische maatregelen te implementeren.

Waarom zijn organisatorische maatregelen noodzakelijk?

Vraag

4  van 40
Een bedrijf werkt aan een project waarbij een nieuwe, gratis dienst voor consumenten wordt ontwikkeld.

Wat is volgens privacy door ontwerp de meest wenselijke tijd om gegevensbescherming te bespreken?

Vraag

5  van 40
Het opzetten van een managementsysteem voor gegevensbescherming (DPMS) gebeurt in fasen. De eerste fase voor de bouw van een DPMS is 'Data Protection and Privacy Preparation'. Een van de stappen in deze fase is 'Perform Initial Data Audits and Assessments'.

Waarom moeten deze gegevensaudits en -beoordelingen worden uitgevoerd in de fase 'Data Protection and Privacy Preparation' voor de bouw van een DPMS?

Vraag

6  van 40
Een organisatie wil voldoen aan de AVG en bouwt daarom een managementsysteem voor gegevensbescherming (DPMS). De bouw van het DPMS bevindt zich in de eerste fase: 'Data Protection and Privacy Preparation'.

De functionaris voor gegevensbescherming (FG) heeft een conceptversie van een governance-structuur opgesteld, gegevensstromen bepaald, een inventarisatie van de persoonsgegevens gemaakt en alle drie de elementen van het gegevensbeschermings- en privacyprogramma bepaald (stap 7).

Wat is de laatste stap van de eerste fase voor de bouw van een DPMS?

Vraag

7  van 40
Een bedrijf wil een managementsysteem voor gegevensbescherming (DPMS) bouwen. De eerste fase voor het bouwen van een DPMS is 'Data Protection and Privacy Preparation'.

Welke stap behoort niet tot deze eerste fase?

Vraag

8  van 40
Een bedrijf wil een managementsysteem voor gegevensbescherming (DPMS) opzetten. De tweede fase voor de bouw van een DPMS is 'Data Protection and Privacy Organization'. Een van de stappen in fase 2 heeft de volgende doelstelling:

een op gegevensbescherming en privacy gerichte denkwijze integreren in het hele bedrijf en alle functies

Welke stap in fase 2 heeft deze doelstelling?

Vraag

9  van 40
Een functionaris voor gegevensbescherming (FG) beseft hoe belangrijk het is om regelmatig te communiceren met alle andere personen die zich bezighouden met en verantwoordelijk of verantwoordingsplichtig zijn voor gegevensbescherming en privacy. Deze groep personen moet voor gegevensbescherming en privacy streven naar een resultaat binnen de hele organisatie.

Bij welk resultaat heeft een organisatie het meeste baat?

Vraag

10  van 40
Als een organisatie een managementsysteem voor gegevensbescherming (DPMS) wil ontwikkelen, implementeren en beheren, gebeurt dit in diverse fasen. De implementatie van het DPMS omvat vijf fasen waarin de volgende aspecten worden beschreven: voorbereiding, organisatie, ontwikkeling & implementatie, governance, en evaluatie & verbetering.

Waarmee kunnen de implementatiefasen voor een DPMS worden vergeleken?

Vraag

11  van 40
Een belangrijk aspect van de AVG is dat een organisatie naleving van de verordening moet kunnen aantonen. De implementatie van een managementsysteem voor gegevensbescherming (DPMS) kan helpen dit aan te tonen.

Welke fase voor de implementatie van een DPMS toont het beste aan dat de organisatie voldoet aan de AVG?

Vraag

12  van 40
Een functionaris voor gegevensbescherming (FG) ontwikkelt en implementeert een managementsysteem voor gegevensbescherming (DPMS). De implementatie bevindt zich in fase 3: 'Data Protection and Privacy Development and Implementation'.

Wat moet als eerste gebeuren in fase 3?

Vraag

13  van 40
In een reactieplan voor inbreuken in verband met persoonsgegevens worden de volgende acties beschreven:

- Een externe dienstverlener reageert op de inbreuk, verleent PR-diensten en helpt de schade zo veel mogelijk te beperken
- De functionaris voor gegevensbescherming (FG) vraagt de toezichthoudende autoriteit om steun
- De verwerker brengt de zakelijke partners en betrokkenen op de hoogte van de inbreuk in verband met gegevens en vraagt hen om steun

Wie zal hoogst waarschijnlijk de impact voor derde partijen en betrokkenen het meest beperken?

Vraag

14  van 40
Drie gezondheidsinstellingen ontwikkelen samen een mobiele app om patiënten te observeren. Het medisch personeel voegt eigen persoonsgegevens en kwalificaties toe aan de app, en patiënten voegen hun persoonsgegevens toe, inclusief medische gegevens.

De gezondheidsinstellingen benoemen één functionaris voor gegevensbescherming (FG). Om een pilot te kunnen uitvoeren, moet de app worden toegevoegd aan app-stores. Zodra dit is gebeurd, testen de gezondheidsinstellingen de beveiliging van de nieuwe app. Als veiligheidsmaatregel wordt in de beschrijving vermeld dat de app zich nog in een pilotfase bevindt. Slechts enkele testbetrokkenen downloaden de app, maar zij voeren wel echte gegevens in.

Uit de test blijkt dat de app helemaal niet veilig is en gemakkelijk kan worden gehackt. Hackers kunnen de gezondheidsgegevens van patiënten wijzigen en gegevens op ongeoorloofde manieren verzamelen en gebruiken.

Wat moet de FG onder de AVG doen?

Vraag

15  van 40
Om te voldoen aan de AVG kan het nuttig zijn om een systematische aanpak voor incidentmanagement te implementeren.

Wat zijn de hoofdlijnen van een effectief proces voor incidentmanagement?

Vraag

16  van 40
De CEO heeft zijn privacyteam gevraagd de gegevensbeschermings- en privacyprestaties van de organisatie te evalueren. Een benchmark zou een goede manier zijn om objectief te bepalen hoe goed de organisatie presteert.

Wat valt niet onder de benchmark voor privacy?

Vraag

17  van 40
Een organisatie wil op de HR-afdeling kunstmatige intelligentie (AI) en deep learning-algoritmen gebruiken om arbeidsverhoudingen te beoordelen, bekwaamheidsprofielen op te stellen en bonussen voor individuele targets te bepalen.

Wat moet er eerst gebeuren, nog voordat deze nieuwe verwerkingsvorm voor persoonsgegevens wordt geïmplementeerd?

Vraag

18  van 40
Welke activiteit is onder de AVG altijd een verantwoordelijkheid van de verwerkingsverantwoordelijke?

Vraag

19  van 40
Een ziekenhuis besteedt het afdrukken van facturen voor patiënten uit aan een drukkerij. De drukkerij drukt ook facturen af voor andere organisaties.

Door een fout zijn namen en adressen tijdens het sorteren bij de drukkerij door elkaar gehaald en zijn er diverse facturen naar de verkeerde patiënten verstuurd.

Het ziekenhuis heeft de eigen processen zorgvuldig geanalyseerd. Het ziekenhuis beschikt over een solide verificatieproces en heeft contractuele overeenkomsten gesloten met de drukkerij.

Waarom zal het ziekenhuis toch verantwoordelijk worden gehouden door de toezichthoudende autoriteit?

Vraag

20  van 40
Wanneer een verwerkingsverantwoordelijke en een verwerker een overeenkomst sluiten voor de verwerking van persoonsgegevens, hebben zij beide specifieke verantwoordelijkheden. Sommige van deze verantwoordelijkheden worden voorgeschreven door de AVG en andere kunnen in de overeenkomst worden vastgelegd.

Wanneer heeft de verwerker volgens de AVG altijd schriftelijke toestemming van de verwerkingsverantwoordelijke nodig?

Vraag

21  van 40
Wie is wettelijk verplicht om een register van verwerkingsactiviteiten bij te houden?

Vraag

22  van 40
Een Noord-Amerikaanse organisatie die is gevestigd in de Europese Economische Ruimte (EER) verwerkt persoonsgegevens van natuurlijke personen. Hierbij worden op grote schaal gegevens over de etnische afkomst verwerkt.

Onder de AVG is een organisatie in drie specifieke gevallen verplicht om een functionaris voor gegevensbescherming (FG) te benoemen.

Waarom is deze organisatie in dit geval verplicht om een FG te benoemen?

Vraag

23  van 40
Een functionaris voor gegevensbescherming (FG) werkt voor het ministerie van Transport, een nationale dienst.

Er wordt een nieuw project aangekondigd om het rijgedrag van mensen op nationale snelwegen te observeren. Het ministerie wil gebruikmaken van een intelligent systeem voor videoanalyse om afzonderlijke auto's uit te lichten en kentekenplaten automatisch te herkennen.

De staatssecretaris wil graag snel van start gaan met het project en vreest dat privacykwesties mogelijk ongewenste vertragingen veroorzaken.

Wat moet de FG doen?

Vraag

24  van 40
Functionarissen voor gegevensbescherming (FG's) zijn gehouden tot geheimhouding of vertrouwelijkheid met betrekking tot de uitvoering van hun taken.

In relatie tot welke partij is een FG vrijgesteld van deze geheimhouding of vertrouwelijkheid om deze partij om advies te kunnen vragen?

Vraag

25  van 40
Een gegevensbeschermingseffectbeoordeling (DPIA) is een instrument om risico's op het gebied van gegevensbescherming te herkennen, met name die risico's die waarschijnlijk sterk afbreuk doen aan de rechten en vrijheden van natuurlijke personen.

Waarom kan de DPIA worden gezien als onderdeel van het bredere risicomanagement van een organisatie?

Vraag

26  van 40
Wat moet onder de AVG altijd onderdeel zijn van een gegevensbeschermingseffectbeoordeling (DPIA)?

Vraag

27  van 40
Een organisatie ontwikkelt een nieuw product om te bepalen welke medewerkers ondermaats presteren. Door middel van kunstmatige intelligentie (AI) wordt gezocht in de browsergeschiedenis en wordt het werkgedrag geanalyseerd.

Hoewel de software-engineers het algoritme niet volledig begrijpen, besluit het management de 10% laagst scorende medewerkers te ontslaan.

De functionaris voor gegevensbescherming (FG) maakt zich zorgen over de impact van dit product en laat het bestuur weten dat er een gegevensbeschermingseffectbeoordeling (DPIA) vereist is.

Wat is geen onderdeel van de reden waarom een DPIA verplicht is?

Vraag

28  van 40
Wat is geen resultaat van een gegevensbeschermingseffectbeoordeling (DPIA)?

Vraag

29  van 40
In de AVG wordt beschreven wat de uitkomst van een gegevensbeschermingseffectbeoordeling (DPIA) minimaal moet omvatten.

Wat is niet verplicht in een DPIA?

Vraag

30  van 40
Uit een gegevensbeschermingseffectbeoordeling (DPIA) blijkt dat bij een beoogde verwerking meer gegevens over individuele klanten worden verzameld dan noodzakelijk is voor het beoogde doeleinde.

Wat is onder de AVG de meest passende reactie?

Vraag

31  van 40
Wat kan het beste eerst worden gedaan voorafgaand aan een gegevensbeschermingseffectbeoordeling (DPIA)?

Vraag

32  van 40
Een bedrijf voert een gegevensbeschermingseffectbeoordeling (DPIA) uit.

Waarom is het voor een DPIA nuttig om gegevensstromen in kaart te brengen?

Vraag

33  van 40
Een organisatie huurt een privacy-expert in. De organisatie wil gegevensverwerkingsactiviteiten gedeeltelijk gaan uitbesteden. De expert voert een gegevensbeschermingseffectbeoordeling (DPIA) uit voor de verwerking, waarbij een verwerker betrokken is.

Voor een van de belangrijkste stappen van een DPIA moet de verwerkingsverantwoordelijke alle input verstrekken en is betrokkenheid van de verwerker niet nodig.

Welke stap is dat?

Vraag

34  van 40
Een groot bedrijf heeft het financieel moeilijk. Het bestuur wil dat medewerkers efficiënter gaan werken.

Het bestuur start een experiment waarbij de internetactiviteiten van medewerkers worden geobserveerd. De gegevens uit dit experiment worden geanalyseerd om na te gaan waar meer efficiëntie haalbaar is. Medewerkers die worden gecategoriseerd als inefficiënt, worden mogelijk ontslagen.

Waarom moet er een gegevensbeschermingseffectbeoordeling (DPIA) worden uitgevoerd voordat de nieuwe procedure wordt toegepast?

Vraag

35  van 40
Een organisatie is van plan om geautomatiseerde besluitvorming toe te passen op klanten, waarbij gebruik wordt gemaakt van profilering.

Voor welk onderdeel van de gegevensbeschermingseffectbeoordeling (DPIA) is extra aandacht vereist?

Vraag

36  van 40
Onder de AVG moeten organisaties zoeken naar manieren om inbreuken in verband met persoonsgegevens te voorkomen. Daarom is het belangrijk om incidenten die kunnen worden geclassificeerd als inbreuken in verband met persoonsgegevens snel te herkennen.

Welk incident vormt onder de AVG geen inbreuk in verband met persoonsgegevens?

Vraag

37  van 40
In welke situatie is het verplicht om een inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit?

Vraag

38  van 40
Het hoofd van een HR-afdeling is een geheugenstick kwijt waarop de persoonsgegevens van 35 medewerkers staan. De geheugenstick is beschermd met sterke versleuteling. De HR-afdeling heeft deze persoonsgegevens ook op een back-upapparaat staan.

Is het onder de AVG verplicht om deze inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit?

Vraag

39  van 40
In welke situatie moet onder de AVG een inbreuk in verband met persoonsgegevens worden gemeld aan de getroffen betrokkenen?

Vraag

40  van 40
In het best practice reactieproces voor inbreuken in verband met persoonsgegevens worden de fasen Voorbereiding, Reactie en Follow-up gedefinieerd. Voor elke fase is documentatie van essentieel belang.

In de Reactie-fase is het belangrijk om bewijs te verzamelen en bewaren, zodat kan worden aangetoond waarom een incident zich voordeed en waarom de organisatie het incident niet kon voorkomen.

Wat moet er worden verzameld en bewaard?