Privacy AVG


Waarom een privacywet?

De technologie maakt grote sprongen. Op allerlei manieren wordt gemerkt en ongemerkt veel data over personen verzameld. De wetgeving hiervoor, de Wet bescherming persoonsgegevens (Wbp), stamt uit 2001 en bood onvoldoende bescherming voor uw persoonsgegevens. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) de nieuwe privacywet voor de hele Europese Unie. De bescherming van persoonsgegevens is zo binnen de hele EU hetzelfde.

Maak het kwaadwillenden lastig

Persoonsgegevens zijn big business. Denk hierbij niet alleen aan naw-gegevens en e-mailadressen. Ook wachtwoorden, kopieën van id-bewijzen, medische gegevens, gegevens over de burgerlijke staat en geaardheid vallen onder persoonsgegevens. Met de juiste inspanning en voorzorgsmaatregelen, waarin de AVG voorziet, maakt u het kwaadwillenden een stuk lastiger. Hierin hebt u als ondernemer óók een rol. Daarnaast levert het u een beter beschermd bedrijf op.

Goed voor uw reputatie

Als ondernemer, groot of klein, ontkomt u er niet aan om zich aan de AVG te houden. In het begin is het misschien lastig om te onderzoeken welke maatregelen u moet treffen, maar u kunt zich er ook mee onderscheiden. Als uw onderneming voldoet aan de eisen van de AVG, is dat zakelijk gezien zeker in uw voordeel. Uw reputatie stijgt. Ook voor uw verzekeringen zult u moeten aantonen dat u aan de AVG voldoet, anders verliest u misschien uw dekking.

Als u alle processen hebt doordacht en omschreven geeft u uw bedrijf meer slagkracht. U weet zo precies welke data u heeft en waar deze zich bevindt. Voldoen aan de AVG biedt dus zeker ook zakelijke kansen. Ook richting uw klanten en overige relaties heeft u de (maatschappelijke) plicht om zo zorgvuldig mogelijk met hun data om te gaan. Nog afgezien van de zware straffen en boetes die vanuit de AVG gelden als u niet aan de eisen voldoet.

Noodzaak aanvullende wetgeving

Een veilige digitale samenleving maakt aanvullende wetgeving noodzakelijk. Nieuwe maatregelen zijn lastig en kosten tijd, geld en energie. Maar uiteindelijk is een veiliger digitaal werkveld ook in uw belang.

Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. Ook als u niet weet wie er schuilgaat achter deze gegevens, moet u ze als privacygevoelig behandelen.

De AVG dwingt ondernemers tot meer actie en maatregelen. De nadruk van de verordening ligt op het aantonen dat u zich aan de wet houdt. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd.

Uw bedrijf voorbereiden op de AVG

Begin op tijd met voorbereidingen zodat u en uw bedrijf er klaar voor zijn.

  1. Bewustwording:

Zorg dat iedereen in uw onderneming bekend is met de nieuwe privacyregels.

  1. Rechten van betrokkenen:

Houd alvast rekening met de extra privacyrechten die personen krijgen zoals het recht op inzage en het recht op correctie en verwijdering.

Stap 1 en 2: bewustwording en informeren

  1. Overzicht verwerkingen:

Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben.

  1. Data protection impact assesment (DPIA):

Maak een data protection impact assesment en voldoe aan de verplichting om vooraf de risico’s van gegevensverwerking in kaart te brengen.

Stap 3 en 4: register en DPIA

  1. Privacy by design en privacy by default:

Houd bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel.

  1. Functionaris gegevensbescherming:

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. Inventariseer of dat voor uw organisatie van toepassing is.

Stap 5 en 6: inrichten en toezicht

  1. Meldplicht datalekken:

Herijk uw procedures voor het vastleggen en melden van datalekken. In de AVG wordt de meldplicht uitgebreid met de verplichting om alle datalekken te documenteren.

  1. Bewerkersovereenkomsten:

Zorg ervoor dat u een bewerkersovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Controleer of bestaande overeenkomsten voldoen aan de AVG.

Stap 7 en 8: datalekken en verwerkersovereenkomst

  1. Leidende toezichthouder bepalen:

Als uw organisatie in meerdere EU-landen actief is, hoeft u maar met één privacy toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) zaken te doen, de leidende toezichthouder.

  1. Toestemming:

De wetgeving stelt strenge eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. U moet kunnen aantonen dat er geldige toestemming is verkregen.

Privacyverklaring

De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar u om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval:

  • uw bedrijfsgegevens
  • het doel van de gegevensvastlegging
  • welke gegevens u verzamelt
  • aan wie u de gegevens eventueel doorgeeft
  • hoe lang u de gegevens bewaart
  • uitleg over cookies en de reden van gebruik (bij gebruik van cookies)
  • de door u toegepaste beveiliging van de vastgelegde persoonsgegevens
  • het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
  • het recht op intrekking van verleende toestemming
  • het recht om een klacht in te dienen

Eigen gegevens

Het recht om de eigen gegevens in te zien, te corrigeren en aan te vullen was in de oude privacywetgeving al geregeld. Op verzoek moest u de persoonsgegevens ook al verwijderen. Deze rechten blijven onder deze wet bestaan. Daar komt het recht op dataportabiliteit bij. U moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen.

Toestemming

Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe u geldige toestemming van mensen kunt krijgen om de persoonsgegevens te mogen verwerken. Daarvoor is een bewuste handeling van de persoon nodig. U mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen. De verkregen toestemming moet u kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming.

Klachten

U moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe u met hun persoonsgegevens omgaat.

Een datalek

Een datalek heeft u als databestanden worden gehackt of als u onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek. De AVG verplicht u om binnen uw organisatie alle datalekken vast te leggen en te documenteren.

Datalek melden

Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen. Wel moet u ook dan het datalek intern vastleggen en documenteren. U beschrijft het datalek, de gevolgen van het datalek en de genomen maatregelen.

Datalek bij verwerken data voor anderen

Verwerkt u privacygevoelige data voor anderen? Dan bent u verplicht het datalek te melden aan uw opdrachtgever. Uw opdrachtgever meldt het zo nodig aan de AP.

Een verwerkersovereenkomst afsluiten

Als een ander bedrijf de persoonsgegevens voor u verwerkt en opslaat, dan moet u met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet.

Wat staat er in een verwerkersovereenkomst?

In een verwerkersovereenkomst spreekt u af:

  • wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Verder spreekt u hierin af dat:

  • verwerking uitsluitend plaatsvindt op basis van uw schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
  • personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
  • de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
  • de verwerker zonder uw schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
  • de verwerker u helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • de verwerker u helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
  • de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar u terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
  • de verwerker meewerkt aan audits van u of een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

Uitvoering van een overeenkomst

Persoonsgegevens mag u verwerken voor de uitvoering van een overeenkomst. Bijvoorbeeld het vastleggen van naam en adresgegevens om een besteld product bij uw klant thuis te kunnen afleveren. Deze gegevens mogen alleen voor dat doel worden gebruikt. U mag deze gegevens later niet gebruiken om uw klant een nieuwsbrief te sturen. Daarvoor heeft u weer toestemming nodig.

Wettelijke verplichting

Soms moet u persoonsgegevens vastleggen om te voldoen aan een wettelijke verplichting. Een werkgever moet de persoonsgegevens van werknemers vastleggen en doorgeven aan bijvoorbeeld de Belastingdienst. Zonder toestemming van de werknemer mogen de gegevens niet worden doorgegeven aan een organisatie waarvoor geen wettelijke verplichting geldt. Daarvoor is weer toestemming nodig.