Nieuwe privacywetgeving

Verwerk persoonsgegevens volgens de regels

Op 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze is in de plaats gekomen van de Wet Bescherming Persoonsgegevens. Zorg ervoor dat je als organisatie voldoet aan de AVG, anders riskeer je boetes tot € 20 miljoen. Op de volgende zaken moet je letten:
 

  1. Zorg voor een goede privacyverklaring
  2. Voldoe aan je verantwoordingsplicht
  3. Waarborg de rechten van betrokkenen
  4. Welke rechten hebben de betrokkenen?
  5. Zorg voor de juiste toestemming
  6. Heb je een functionaris gegevensbescherming nodig?
  7. Heb je een verwerkersovereenkomst nodig?
  8. Verplichte gegevensbeschermingseffectbeoordeling 
  9. Zorg ervoor dat je gegevens goed beveiligd zijn
  10. Neem de juiste maatregelen
  11. Meld datalekken
  12. Verantwoordelijke, verwerker of subverwerker?
     
Maak nu je AVG documenten!
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.

Verwerk je persoonsgegevens, dan moet je een privacyverklaring (privacybeleid) hebben. Een goede privacyverklaring laat de gebruiker of klant onder meer weten:

  • welke privacygevoelige gegevens je verzamelt en waarom

  • welke wettelijke rechten de betrokkenen hebben

  • hoe ze deze rechten op eenvoudige wijze kunnen uitoefenen

  • welke cookies je gebruikt en waarom

Op verzoek van de Autoriteit Persoonsgegevens (AP) moet je je kunnen verantwoorden over je privacybeleid. Dit heet de verantwoordingsplicht. Regel je zaken daarom goed en leg alles schriftelijk vast. Denk goed na over onderwerpen als:

  • welke gegevens je verzamelt

  • waar je de gegevens voor gebruikt

  • of de gegevens noodzakelijk zijn voor je doel  

  • of je van tevoren op de juiste wijze toestemming hebt gevraagd en gekregen voor de verwerking

  • hoe je de gegevens (technisch) beschermt

  • hoe de betrokkenen hun rechten kunnen uitoefenen

Iedereen van wie je persoonsgegevens verzamelt, moet zijn rechten eenvoudig kunnen uitoefenen. Verwijs hen hiervoor duidelijk op je website naar de juiste contactpersoon. Binnen 1 maand na hun verzoek, moet hun verzoek beantwoord zijn. Alleen als het verzoek erg ingewikkeld is, kun je nog 2 maanden extra krijgen. Behalve administratieve kosten mag je daar geen kosten voor in rekening brengen.

Sinds 25 mei 2018 hebben je leerlingen, patiënten, personeel, bezoekers, klanten of leden:

  • recht op inzage van persoonsgegevens

  • recht op rectificatie van persoonsgegevens

  • recht van bezwaar tegen verwerking van persoonsgegevens

  • recht op beperking van de hen betreffende verwerking

  • recht op verwijdering van de gegevens

  • recht op gegevensoverdraagbaarheid (de gegevens gaan op verzoek naar een andere instantie)

De AVG stelt strengere eisen aan toestemming om persoonsgegevens te verwerken. Je moet kunnen aantonen dat je geldige en bewuste toestemming hebt gekregen. Het moet voor een betrokkene ook net zo makkelijk zijn om de toestemming weer in te trekken als het was om die te geven. Je moet de toestemming en de wijze waarop je die hebt gekregen bovendien vastleggen.

Bepaalde organisaties worden verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Een FG is voor 3 soorten organisaties verplicht:

  • overheden en publieke organisaties, zoals gemeenten, zorg- en onderwijsinstellingen

  • organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen

  • organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dat als kernactiviteit hebben

 

Als je een bedrijf de persoonsgegevens voor jou laat beheren of verwerken, dan heb je ook een verwerkersovereenkomst nodig. In deze overeenkomst moeten afspraken staan over zaken als verantwoordelijkheden, geheimhouding, beveiligingsmaatregelen en de locatie van de opslag van de gegevens.

Een gegevensbeschermingseffectbeoordeling of data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en maatregelen te treffen om deze risico’s te verkleinen. Deze is verplicht in de volgende situaties:

  • je evalueert systematisch en uitvoerig persoonlijke aspecten (bijvoorbeeld voor profiling)

  • je verwerkt op grote schaal bijzondere persoonsgegevens

  • je volgt systematisch en op grote schaal mensen in een voor het publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht

Je moet kunnen aantonen dat je al bij het ontwerpen van diensten of producten ervoor gezorgd hebt dat de persoonsgegevens goed beschermd worden. Een voorbeeld hiervan is dat je een beschermde https website hebt gebouwd toen je met je webshop begon.

Daarnaast moet je technische en organisatorische maatregelen nemen waardoor je alleen noodzakelijke gegevens verwerkt, bijvoorbeeld door niet van tevoren het vakje ‘Ja ik wil aanbiedingen ontvangen’ aan te vinken bij een klantregistratie. Zorg ook voor een goede cookieverklaring.

Je moet kunnen aantonen dat je procedure voor het melden van datalekken in orde is. Hiervoor heb je een protocol melding datalekken nodig. Je moet ervoor zorgen dat de gegevens niet gemakkelijk in de verkeerde handen kunnen vallen. Als dat toch gebeurt of de gegevens zoekraken, dan moet je dat melden aan de AP. Doe dat zo snel mogelijk en liefst binnen 72 uur. Tevens moet je alle datalekken registreren en betrokkenen waarschuwen als het lek gevolgen voor hun privacy kan hebben.

Een verantwoordelijke (of verwerkingsverantwoordelijke) is degene die bepaalt waarom en op welke manier persoonsgegevens worden verzameld. Dit kan een particulier, stichting, vereniging, onderneming, overheidsinstantie of andere organisatie zijn. Kortom, iedereen die persoonsgegevens verzamelt met een door hen bepaald doel en middel is een verwerkingsverantwoordelijke.

De verwerker is een externe partij die van de verantwoordelijke de opdracht krijgt om de persoonsgegevens te verwerken. De verwerker mag niets anders doen met de persoonsgegeven buiten deze opdracht om. Doet hij dat wel, dan wordt hij zelf ook verantwoordelijke. 

Je kunt overigens zowel verantwoordelijke als verwerker zijn. Een hostingprovider bijvoorbeeld is verwerker, omdat het bedrijf persoonsgegevens verwerkt voor websites die verwerkingsverantwoordelijke zijn. Ten aanzien van het personeel van de provider zelf, is het bedrijf zelf de verwerkingsverantwoordelijke.

Een subverwerker ten slotte is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

Maak nu je AVG documenten!
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.