Altijd als eerste onze nieuwste blogs lezen? Laat je email adres achter en je ontvangt een bericht als wij een nieuw blog plaatsen.

Vanaf 25 mei 2018 treedt de AVG / GDPR (Algemene verordening Gegevensbescherming of General Data Protection Regulation) in werking. In deze blog worden de belangrijkste aspecten uit de AVG toegelicht en wat zij betekenen voor jouw organisatie.

Thumbnail GDPR/AVG Blog

Deze Europese privacywet biedt een betere bescherming van de persoonsgegevens van consumenten, met meer verantwoordelijkheden voor organisaties die met die persoonsgegevens werken en een ruimere bevoegdheid voor toezichthouders.

Sleutelbegrippen

Voor de naleving van de AVG door je organisatie spelen de volgende 6 punten een sleutelrol met betrekking tot (de bewaking van) de privacy van de gegevens van natuurlijke personen:

  • Rechtmatigheid, Eerlijkheid en Transparantie van de verwerking van persoonsgegevens.
  • Doelmatig: persoonsgegevens worden alleen verwerkt voor het daartoe aangegeven doel.
  • Dataminimalisatie: sla alleen die persoonsgegevens op die voor de bedoelde verwerking noodzakelijk zijn.
  • Duur van de opslag: sla persoonsgegevens zolang op als nodig is voor de bedoelde verwerking.
  • Correctheid: de opgeslagen persoonsgegevens zijn correct of kunnen zonder onnodige vertraging geactualiseerd worden.
  • Integriteit en Vertrouwelijkheid: er zijn passende maatregelen genomen om ongeoorloofde of onrechtmatige verwerking te voorkomen en ter bescherming tegen onopzettelijk van persoonsgegevens.

Rechten van personen van wie je gegevens verwerkt

Uit hoofde van deze verordening zijn de rechten van personen van wie je gegevens verwerkt aangescherpt:

  • Recht op inzage in de persoonsgegevens die worden verwerkt.
  • Recht op correctie van de opgeslagen persoonsgegevens.
  • Recht op gegevenswissing van de verwerkte persoonsgegevens (ook wel: Recht op vergetelheid).
  • Recht op overdraagbaarheid van persoonsgegevens (ook wel: Recht op dataportabiliteit).

Geef duidelijk aan op welke manier gebruikers dit recht kunnen uitoefenen. De pagina op je website met je privacy statement is de uitgelezen plek om aan te geven hoe een dergelijk verzoek ingediend kan worden.

Als organisatie dien je te zorgen, dat je eenduidige procedures hebt opgesteld om op een structurele en transparante manier aan deze rechten van personen te kunnen voldoen. Personen dienen ‘zonder onnodige vertraging’ – maar uiterlijk binnen een maand – reactie te krijgen op hun verzoek.

Verwerkingsverantwoordelijke van persoonsgegevens

Ongeacht de omvang van je organisatie zal er altijd wel sprake zijn van (een vorm van) verwerking van persoonsgegevens. Denk alleen al aan je eigen personeelsadministratie. Maar ook iets ogenschijnlijk onschuldigs als een contactformulier op je website waarbij je vraagt om een e-mailadres en misschien ook een telefoonnummer.

Wanneer er sprake is van verwerking van persoonsgegevens zal je organisatie dus aan de regelgeving van de AVG moeten voldoen en deze naleven.

In de terminologie van de AVG ben je ‘verwerkingsverantwoordelijke’. En deze verantwoordelijkheid brengt plichten met zich met om te voldoen aan naleving van de AVG.

In het huidige digitale tijdperk vindt verwerking (opslag) van gegevens veelal digitaal plaats. De AVG beperkt zich echter nadrukkelijk niet tot alleen digitale opslag van gegevens, maar is van toepassing op elke vorm van opslag van (persoons-)gegevens!

Verwerkers van persoonsgegevens

Net zoals het zeer waarschijnlijk is dat jouw organisatie ‘verwerkingsverantwoordelijke’ is, is het meer dan aannemelijk, dat je ook gebruik maakt van diensten van externe partijen. Anders gezegd: partijen, die in jouw opdracht persoonsgegevens verwerken.

In de terminologie van de AVG zijn zij ‘verwerkers’.

Denk hierbij aan:

  • Hosting providers
  • ICT-partners (externe beheerders van je IT infrastructuur en/of je website)
  • Een extern (loon-)administratiekantoor

Maar ook: beschik je over een Google Analytics account om het gedrag op je website(s) te volgen? Dan is Google ook een verwerker van persoonsgegevens!

Verwerkersovereenkomst

Als verwerkingsverantwoordelijke ben je verplicht om te zorgen voor overeenkomsten met de partijen die gegevens voor je verwerken: de zogenaamde verwerkersovereenkomst.

In de verwerkersovereenkomst worden afspraken vastgelegd rondom:

  • De duur van de overeenkomst
  • Het doel van de gegevensverwerking
  • Het soort van persoonsgegevens, dat verwerkt wordt
  • Rechten en plichten van de verwerkingsverantwoordelijke

Data Protection Impact Assessment

Een belangrijk onderdeel van het (kunnen) naleven van de AVG is het in kaart hebben van de processen die persoonsgegevens verwerken en welke gegevens verwerkt worden. Niet alleen dien je inzichtelijk te hebben welke interne processen gegevens verwerken, maar ook welke gegevens gedeeld worden met ‘derden’. Denk hierbij weer aan het externe loonadministratiekantoor dat persoonsgegevens van jouw medewerkers aangeleverd krijgt.

Het uitvoeren van een Data Protection Impact Assessment (DPIA; in het Nederlands een “gegevensbeschermingseffectbeoordeling”) verzorgt voor inzicht waar het verwerken van persoonsgegevens privacyrisico’s met zich meebrengt, de omvang van deze risico’s alsmede maatregelen om de privacy van personen te waarborgen.

Het uitvoeren van een DPIA is niet altijd verplicht. Toch kan het – alsnog – uitvoeren van een DPIA zeer nuttig zijn om je eigen bedrijfsprocessen (gegevensverwerkingen) in beeld te krijgen en vooral ook om de mogelijke risico’s in de beveiliging van persoonsgegevens boven water te krijgen!

Als een DPIA uitgevoerd moet worden, is het aan de verwerkingsverantwoordelijke om ervoor te zorgen dat dit daadwerkelijk gebeurt. Hierbij ontvang je dan wel de ondersteuning van onder andere de door jouw organisatie aangestelde Functionaris voor de Gegevensbescherming.

Functionaris voor de Gegevensbescherming

In sommige gevallen kan het verplicht zijn om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Een FG ziet er binnen je organisatie op toe dat de AVG wordt toegepast en wordt nageleefd.

Het aanstellen van een FG is bijvoorbeeld verplicht voor overheden en publieke organisaties. Maar ook wanneer je organisatie bijzondere persoonsgegevens verwerkt.

Een FG kan iemand zijn binnen de eigen organisatie, maar het mag ook iemand buiten je organisatie zijn.

Transparante communicatie

Dat je als organisatie correct met persoonsgegevens moet omgaan moge duidelijk zijn. Belangrijk hierbij is ook de communicatie hoe er met persoonsgegevens wordt omgegaan.

Dit kan al beginnen bij de bedrijfswebsite.

Zorg dat je een goede privacyverklaring hebt die klaar is voor 25 mei 2018. Op veiliginternetten.nl is een generator te vinden waarmee een basis privacyverklaring gemaakt kan worden (https://veiliginternetten.nl/privacyverklaring-generator/start/)

De volgende punten dienen terug te komen in je verklaring:

  1. Bedrijfsgegevens
  2. Doeleinden (reden van de verwerking van de persoonsgegevens)
  3. Persoonsgegevens (welke persoonsgegevens verwerk je)
  4. Recht van toestemming
  5. Recht op inzage, aanpassing en verwijdering
  6. Beveiligingsmaatregelen
  7. Cookies

Je privacyverklaring moet makkelijk te vinden zijn op je website. Handig is om in de footer een link te plaatsen naar deze pagina.

Ditzelfde geldt voor het gebruik van cookies op je website. Het is sterk aan te raden hiervoor een aparte pagina aan te maken, waarop duidelijk en volledig wordt vermeld welke cookies gebruikt worden en wat het doel is van de verschillende cookies.

Zorg, wanneer een gebruiker zijn gegevens achterlaat, dat je duidelijk aangeeft welke gegevens bewaard worden, voor welk doel de gegevens bewaard worden en hoe een gebruiker kan handelen om inzage in zijn gegevens te krijgen, deze te (laten) corrigeren of te (laten) verwijderen.

Voldoen aan en naleven van de AVG is geen eenmalig iets

Wanneer je eenmaal aan de plichten die de AVG aan een verwerkingsverantwoordelijke stelt, voldoet is dit geen reden om op je lauweren te gaan rusten. Met regelmaat zul je je processen rondom (de beveiliging van) de verwerking van persoonsgegevens onder de loep moeten nemen en deze waar nodig herzien. Zorg ervoor dat dit ook aantoonbaar gebeurt (documentversiebeheer).

Conclusie

Het is niet te ontkennen dat deze Algemene verordening Gegevensbescherming nog best wel wat gevolgen heeft. Het soort persoonsgegevens dat je verwerkt zal in meer of mindere mate van invloed zijn op de te ondernemen acties voor je organisatie.

Aan de andere kant zet deze verordening je er wel toe (nog) eens goed na te denken over het soort van gegevens dat je verwerkt en de beveiliging van deze gegevens door je organisatie en de partijen met wie je samenwerkt. En een direct verlengde van de beveiliging van de gegevens is de beveiliging van de middelen waarmee die gegevens verwerkt worden: worden de werkstations binnen je organisatie bijvoorbeeld met regelmaat van de laatste (beveiligings-)updates voorzien?

Externe bronnen

Toezichthouder Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/
Verordening Europees Parlement: Link naar PDF, Nederlandse versie

Meer achtergrond nodig? Neem contact met ons op

Deel deze pagina