In 10 stappen voldoen aan AVG wet

Voldoe jij al met je onderneming aan de nieuwe AVG (Algemene Verordening Gegevensbescherming) wet welke 25 mei 2018 in is gegaan?

Met de ingang van de AVG (GDPR) is er één privacywet voor de hele Europese Unie.
De strengere Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Activiteiten vallen nu veel sneller onder de privacywet dan voorheen.
Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze als privacygevoelig behandelen.

De AVG dwingt ondernemers tot meer actie en maatregelen.
Nadruk van de verordening ligt op het aantonen dat jij je aan de wet houdt. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd.

 

Voldoe jij al aan den nieuwe privacywet?

Je bedrijf of organisatie moet hier namelijk aan voldoen, officieel sinds 25 mei 2018.
Volg onderstaand 10 stappenplan om te voldoen aan de nieuwe privacywet met je onderneming.

 

Stap 1. Bewustwording
Zorg dat iedereen in je onderneming bekend is met de nieuwe privacyregels.

 

Stap 2. Informeren
De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar je om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval:
– je bedrijfsgegevens
– het doel van de gegevensvastlegging
– welke gegevens je verzamelt
– aan wie je de gegevens eventueel doorgeeft
– hoe lang je de gegevens bewaart
– uitleg over cookies en de reden van gebruik (bij gebruik van cookies)
– de door jou toegepaste beveiliging van de vastgelegde persoonsgegevens
– het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
– het recht op intrekking van verleende toestemming
– het recht om een klacht in te dienen

Eigen gegevens
Het recht om de eigen gegevens in te zien, te corrigeren en aan te vullen was in de oude privacywetgeving al geregeld. Op verzoek moest je de persoonsgegevens ook al verwijderen. Deze rechten blijven onder de nieuwe wet bestaan. Daar komt het recht op dataportabiliteit bij. Je moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen.

Toestemming
Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe je geldige toestemming van mensen kunt krijgen om de persoonsgegevens te mogen verwerken. Daarvoor is een bewuste handeling van de persoon nodig. Je mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen. De verkregen toestemming moet je kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming.

Klachten
Je moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe je met hun persoonsgegevens omgaat.

 

Stap 3. Overzicht verwerkingen
Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben. De AVG verplicht organisaties om de verwerking van persoonsgegevens bij te houden in een register. Deze verplichting geldt voor vrijwel alle organisaties.

Verplicht gebruik register (verwerkingsregister)
Je bent verplicht om met een register te werken waarin je de verwerking van persoonsgegevens bijhoudt, als jouw organisatie:
– persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
– risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
– meer dan 250 medewerkers heeft.
In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer altijd vaker voorkomt.

Inhoud register
In het verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel , waar je ze opslaat en met wie je ze eventueel deelt. Het register kun je schriftelijk of elektronisch bijhouden.
Als betrokken personen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register hiervoor nodig hebben. Je moet deze verzoeken ook doorgeven aan de organisaties waarmee je de persoonsgegevens hebt gedeeld.

 

Stap 4. Data protection impact assessment (DPIA)
Bij het verwerken van gegevens met een hoog privacyrisico is een ‘data protection impact analyse’ (DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling breng je de privacyrisico’s van de verwerking van gegevens in kaart. Blijkt uit de DPIA dat de privacyrisico’s hoog zijn, dan kun je maatregelen nemen om de risico’s te verkleinen.

Verplicht uitvoeren DPIA
Een DPIA moet je in ieder geval uitvoeren als je:
– bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt, of
– op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
– gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering)

DPIA, 9 criteria of je een DPIA moet uitvoeren
Als vuistregel geldt dat je een DPIA moet uitvoeren als je verwerking aan 2 of meer van deze criteria voldoet.
1. Beoordelen van mensen op basis van persoonskenmerken
2. Geautomatiseerde beslissingen
3. Stelselmatige en grootschalige monitoring
4. Gevoelige gegevens
5. Grootschalige gegevensverwerkingen
6. Gekoppelde databases
7. Gegevens over kwetsbare personen
8. Gebruik van nieuwe technologie
9. Blokkering van een recht, dienst of contract

Kijk voor meer informatie op de website van Autoriteit Persoonsgegevens.

 

Stap 5. Inrichten systemen
Bij het inrichten van je systemen dwing je technisch een zorgvuldige omgang met persoonsgegevens af.

Privacy by design
Vraag geen gegevens op die je niet nodig hebt. Voor de verzending van een e-mailnieuwsbrief heb je bijvoorbeeld geen woonadres nodig. In de AVG wordt dat privacy by design genoemd.

Privacy by default
Bij het vragen om persoonsgegevens moet de standaardinstelling van je systemen zo privacyvriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in).

Je mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt. Ook mag je niet automatisch informatie naar iemand toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De standaardinstellingen moeten de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft.

 

Stap 6. Toezicht
Functionaris gegevensbescherming
In bepaalde gevallen is het verplicht om voor je organisatie een functionaris gegevensbescherming (FG) aan te stellen, ook wel data protection officer (DPO), genoemd. De funtionaris gegevenbescherming is een onafhankelijk persoon die binnen je organisatie adviseert en rapporteert over naleving van de AVG.

Aanstelling van een functionaris gegevensbescherming is verplicht wanneer:
– het de kernactiviteit van je bedrijf is om op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) te verwerken;
– je organisatie structureel mensen observeert (fysiek of digitaal, bijvoorbeeld via cameraobservatie).
Voor overheidsorganisaties geldt dat de functionaris gegevensbescherming (FG) vrijwel altijd verplicht is.

Intern of extern
De positie functionaris gegevensbescherming kan vanuit je organisatie worden ingevuld, maar de functie kan ook door een externe partij worden vervuld.
Aandacht voor naleving van de AVG is ook van belang voor organisaties die niet verplicht zijn een functionaris gegevensbescherming aan te stellen.

 

Stap 7. Meldplicht datalekken
Herijk je procedures voor het vastleggen en melden van datalekken. Onder de AVG is de meldplicht uitgebreid. En het is verplicht om alle datalekken te documenteren.

Een datalek
Een datalek heb je als databestanden worden gehackt of als je onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek.
De AVG verplicht je om binnen je organisatie alle datalekken vast te leggen en te documenteren.

Datalek melden
Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen. Wel moet u ook dan het datalek intern vastleggen en documenteren. U beschrijft het datalek, de gevolgen van het datalek en de genomen maatregelen.

Datalek bij verwerken data voor anderen
Verwerk je privacygevoelige data voor anderen? Dan ben je verplicht het datalek te melden aan je opdrachtgever. Je opdrachtgever meldt het zo nodig aan de AP.

 

Stap 8. Verwerkersovereenkomst
Als een ander bedrijf de persoonsgegevens voor je verwerkt en opslaat, dan moet je met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet.

Wat staat er in een verwerkersovereenkomst?
In een verwerkersovereenkomst spreek je af:
– wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Verder spreek je hierin af dat:
– verwerking uitsluitend plaatsvindt op basis van je schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
– personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
– de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
– de verwerker zonder je schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
– de verwerker je helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
– de verwerker je helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
– de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar je terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
– de verwerker meewerkt aan jouw audits of die van een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

 

Stap 9. Leidende toezichthouder bepalen
Heeft jouw organisatie vestigingen in meerdere landen of verwerk je gegevens in verschillende landen? Dan is er sprake van grensoverschrijdende samenwerking. De toezichthouder van het land van de hoofdvestiging is in zo’n situatie de leidende toezichthouder. Bij een Nederlandse hoofdvestiging is de Autoriteit Persoonsgegevens de leidende toezichthouder.

 

Stap 10. Toestemming
Persoonsgegevens mag je alleen verwerken als de AVG daar een grondslag voor geeft.
Er zijn 6 grondslagen:

1. Verleende toestemming voor de verwerking van persoonsgegevens
Onder de AVG is alleen sprake van toestemming als de betrokken persoon:
– in alle vrijheid
– ondubbelzinnig
– door een verklaring of een actieve handeling
– voor specifieke verwerking van persoonsgegevens
toestemming heeft gegeven.
Stilzwijgende toestemming is niet voldoende. Je moet kunnen aantonen dat je geldige toestemming van mensen heeft gekregen voor het verwerken van hun persoonsgegevens.
Het intrekken van de toestemming moet net zo eenvoudig zijn als het geven ervan. Je moet de toestemminggever ook op dit recht wijzen. Na intrekking van de toestemming moet je de verwerking van de betreffende gegevens stoppen. Je kunt dan geen andere grondslag gebruiken om de gegevens toch te verwerken.

Andere grondslagen, deze volgende 5 grondslagen zijn noodzakelijkheidsgrondslagen. De verwerking van persoonsgegevens mag alleen als het nodig is voor 1 van de genoemde doelen.

2. Uitvoering van een overeenkomst
Persoonsgegevens mag je verwerken voor de uitvoering van een overeenkomst. Bijvoorbeeld het vastleggen van naam en adresgegevens om een besteld product bij jouw klant thuis te kunnen afleveren. Deze gegevens mogen alleen voor dat doel worden gebruikt. Je mag deze gegevens later niet gebruiken om je klant een nieuwsbrief te sturen. Daarvoor heb je weer toestemming nodig.

3. Wettelijke verplichting
Soms moet je persoonsgegevens vastleggen om te voldoen aan een wettelijke verplichting. Een werkgever moet de persoonsgegevens van werknemers vastleggen en doorgeven aan bijvoorbeeld de Belastingdienst. Zonder toestemming van de werknemer mogen de gegevens niet worden doorgegeven aan een organisatie waarvoor geen wettelijke verplichting geldt. Daarvoor is weer toestemming nodig.

4. Vitaal belang
In noodsituaties, als het gaat om gezondheid of gevaar voor leven kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om toestemming te krijgen.

5. Algemeen belang
Je mag onder deze grondslag persoonsgegevens verwerken als het gaat om een andere wettelijke bepaling waarin ook het doel van de verwerking is omschreven.

6. Gerechtvaardigd belang
Persoonsgegevens mogen worden verwerkt voor het behartigen van een gerechtvaardigd belang. Het ‘gerechtvaardigd belang’ gaat niet op als de rechten van de betrokken personen zwaarder wegen. Het kan gaan om een gerechtvaardigd belang als er sprake is van een relevante en passende relatie tussen een organisatie en haar klanten. Bij een gerechtvaardigd belang kan het bijvoorbeeld gaan om het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. De organisatie moet open zijn over het gerechtvaardigde belang. Betrokken personen kunnen bezwaar maken tegen het verwerken van persoonsgegevens op grond van het gerechtvaardigd belang.

 

 

Bron: Kamer van Koophandel

 

0 responses on "In 10 stappen voldoen aan AVG wet"

Leave a Message

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

top
Copyright © 2018 - VA Platform - All rights reserved