AVG

Ga jij verantwoord om met gegevens van anderen?

Vanaf 25 mei 2018 is er nieuwe privacywetgeving, de AVG, gaan gelden die zo’n beetje elke onderneming raakt.

Vanaf 25 mei 2018 is er nieuwe privacywetgeving gaan gelden (de Algemene Verordening Gegevensbescherming), die zo’n beetje elke onderneming raakt. Iedere onderneming werkt immers met persoonsgegevens. Denk hierbij aan personeelsgegevens, maar ook aan klantgegevens en gegevens van mogelijk nieuwe klanten die bijvoorbeeld je website bezoeken. Heb je geen tijd om een eigen Privacy Policy op te stellen? Wij helpen je graag.

Meest gezocht binnen AVG

  • Hoe wordt je organisatie AVG-Proof?

     

    1. Breng je gegevensstromen in kaart.

     

    Van wie krijg je gegevens en aan wie verstrek je gegevens, noteer dit en houd dit bij. De Format Datamap is daarvoor een handige tool.

     

    1. Beoordeel of je een Data Protection Officer dient aan te stellen.

     

    In de regel behoeft een MKB-er geen Data Protection Officer aan te stellen. Voor een verdere toelichting verwijzen we je naar de Handleiding Algemene verordening gegevensbescherming uitgegeven door het Ministerie van Justitie en Veiligheid.

     

    https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

     

    1. Bepaal de grondslag waarop je de gegevens verwerkt.

     

    Er zijn 6 grondslagen waarop persoonsgegevens mogen worden verwerkt. De grondslagen ervan vind je terug in het document Grondslagen & Doelen. Noteer ook deze gegevens in je datamap.

     

    1. Bepaal met welk doel je de gegevens verwerkt.

     

    Persoonsgegevens mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Noteer deze voor het overzicht ook in de datamap.

     

    1. Verwerk niet meer gegevens dan noodzakelijk voor het doel.

     

    Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Houd dus de verwerking zo minimaal mogelijk.

     

    1. Stel bewaartermijnen vast.

     

    Bepaal voor ieder (soort) persoonsgegeven een bewaartermijn en noteer deze termijnen in je datamap.

     

    1. Respecteer de rechten van degene waarvan je persoonsgegevens verwerkt.

     

    Zorg voor inzage-, wijziging-, verzet en verwijderingsprocedures, zodat je adequaat op een verzoek van een betrokkene kunt reageren.

     

    1. Wees transparant.

     

    Zorg voor een privacy statement dat eenvoudig leesbaar is voor degene waarvan je persoonsgegevens verwerkt.

     

    1. Maak duidelijke afspraken met derden.

     

    Bepaal in welke verhouding je staat tot derden en sluit indien nodig een verwerkersovereenkomst.

     

    1. Hanteer de beginselen van privacy by design en privacy by default.

     

    Gegevensbescherming door ontwerp en door standaardinstellingen is wat deze beginselen voorschrijven. Zorg er dus voor dat je je bij het ontwerp van een nieuw product nadenkt over hoe je de privacy van betrokkene het meest kunt waarborgen. Dit geldt evenzo voor je standaardinstellingen. Zorg dat je organisatie “privacyvriendelijk” wordt en blijft.

     

    1. Zorg voor adequate beveiligingsmaatregelen.

     

    Voorkom dat er persoonsgegevens op straat komen te liggen door je systemen adequaat te beveiligen met moderne technieken. Daarnaast is goed om na te denken wie binnen de organisatie toegang heeft tot welke gegevens.

     

    1. Zorg dat je weet wat je te doen staat bij een datalek.

     

    Stel een procedure meldplicht datalekken op en registreer ieder datalek in een datalekregister.

  • Hoe formuleer je een Privacy Statement?

    In een Privacy Statement of Privacy Verklaring, informeer je degene van wie je persoonsgegevens verwerkt, over het “hoe en waarom” van de gegevensverwerking. Daarnaast geef je in een Privacy Statement aan hoe degene waarvan je persoonsgegevens verwerkt, zijn rechten kan uitoefenen.

    Hoe jij je Privacy Statement dient vorm te geven, hangt natuurlijk af van de vraag hoe jouw onderneming met persoonsgegevens omgaat. In een Privacy Statement probeer je in ieder geval een antwoord te geven op de volgende vragen:

     

    Welke gegevens verwerk je?

    Verwerk je alleen reguliere persoonsgegevens? Of ook gevoelige en/of bijzondere persoonsgegevens? En welke gegevens zijn dat dan precies?

     

    Reguliere gegevens:

    Denk hierbij aan naam, adres, woonplaats, e-mailadres, telefoonnummer, geboortedatum etc.

     

    Gevoelige gegevens:

    Denk hierbij aan locatiegegevens en financiële gegevens.

     

    Bijzondere gegevens:

    Denk hierbij aan ras, etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag en seksuele gerichtheid.

     

    Let op: het verwerken van bijzondere persoonsgegevens is in beginsel verboden! Dit geldt evenzo voor het verwerken van iemands Burgerservicenummer (BSN). Een organisatie mag het BSN alleen gebruikten indien dat wettelijk is bepaald.

     

    Wie is verantwoordelijk voor de gegevensverwerking?

    Wie is juridisch verantwoordelijk voor de gegevensverwerking? Onderneem je in de vorm van een eenmanszaak? Dan ben je persoonlijk verantwoordelijk voor de verwerking? Onderneem je vanuit een BV, dan is de BV aan te merken als “Verwerkingsverantwoordelijke” in de zin van de AVG.

     

    Waarvoor gebruik je die gegevens?

    Denk hierbij aan het aangaan/uitvoeren overeenkomst, relatiebeheer, marktonderzoek, naleven wettelijke verplichtingen en efficiënt personeelsbeheer. Met andere woorden; wat is het doel van het verzamelen van de gegevens? En is de verwerking in het kader van de AVG toegestaan.

     

    Hoelang bewaar je die gegevens?

    De bewaartermijn kan per persoonsgegeven verschillen. Voor sommige gegevens geldt een wettelijke bewaartermijn, voor andere niet en dien je zelf een termijn vast te stellen.

     

    Zorg er in ieder geval voor dat je organisatie de gegevens niet langer bewaart dan wettelijk is toegestaan en noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.

     

     

    Wat gebeurt er na afloop van de bewaartermijn?

    Op dit punt informeer je degene van wie je persoonsgegevens verwerkt wat je na afloop van de bewaartermijn met de gegevens doet. Verwijder je ze? Of anonimiseer je ze? En als je de gegevens anonimiseert, hoe doe je dat dan?

     

    Deel je de gegevens met derden?

    Soms schakel je derden/partners in om bepaalde diensten te laten uitvoeren. Hierover dien je degene waarvan je persoonsgegevens verwerkt, te informeren. Bovendien dien je ervoor te zorgen dat deze derden/partners net zo zorgvuldig met de gegevens omgaan, als jij dat doet.

     

    Wat zijn de rechten van degene waarvan je gegevens verwerkt?

    Je dient degene waarvan je gegevens verwerkt te wijzen op zijn rechten, meer specifiek op de rechten van inzage, correctie, verzet en recht op overdracht. Vergeet hierbij niet te vermelden hoe deze rechten kunnen worden geëffectueerd. Met andere woorden; waar kan degene waarvan je gegevens verwerkt terecht met zijn/haar verzoeken.

     

    Een eenvoudig voorbeeld van een Privacy Statement vind je op onze website.

  • Welke verplichtingen schept de nieuwe Privacy Verordening?

    Vanaf 25 mei aanstaande zal de Algemene Verordening Gegevensbescherming, hierna: “AVG” in werking treden. Ingevolge de AVG dient iedere onderneming die persoonsgegevens verwerkt – en van verwerking is al heel snel sprake, denk aan: verwerking van personeelsgegevens en klantgegevens – aan te kunnen tonen dat zij de AVG naleven. Dit noemt men de verantwoordingsplicht.

    Bekijk het volledige antwoord

Heeft u meer hulp nodig?

Jorg van Stiphout
Jurist
Loes Wijnen
Jurist
Rosemarie Rooijmans
Jurist

Neem een abonnement op de service van MrLx. Voor slechts € 149,- ex btw per jaar kunt u alle documenten en informatie over de AVG bekijken en gebruiken.

Sluit een abonnement af