Zorg voor een goede privacy policy
Verwerk je persoonsgegevens, dan moet je een privacyverklaring (privacybeleid) hebben. Een goede privacyverklaring laat de gebruiker of klant onder meer weten:
-
welke privacygevoelige gegevens je verzamelt en waarom
-
welke wettelijke rechten de betrokkenen hebben
-
hoe ze deze rechten op eenvoudige wijze kunnen uitoefenen
-
welke cookies je gebruikt en waarom
Voldoe aan je verantwoordingsplicht
Op verzoek van de Autoriteit Persoonsgegevens (AP) moet je je kunnen verantwoorden over je privacybeleid. Dit heet de verantwoordingsplicht. Regel je zaken daarom goed en leg alles schriftelijk vast. Denk goed na over onderwerpen als:
-
welke gegevens je verzamelt
-
waar je de gegevens voor gebruikt
-
of de gegevens noodzakelijk zijn voor je doel
-
of je van tevoren op de juiste wijze toestemming hebt gevraagd en gekregen voor de verwerking
-
hoe je de gegevens (technisch) beschermt
-
hoe de betrokkenen hun rechten kunnen uitoefenen
Waarborg de rechten van betrokkenen
Iedereen van wie je persoonsgegevens verzamelt, moet zijn rechten eenvoudig kunnen uitoefenen. Verwijs hen hiervoor duidelijk op je website naar de juiste contactpersoon. Binnen 1 maand na hun verzoek, moet hun verzoek beantwoord zijn. Alleen als het verzoek erg ingewikkeld is, kun je nog 2 maanden extra krijgen. Behalve administratieve kosten mag je daar geen kosten voor in rekening brengen.
Welke rechten hebben de betrokkenen?
Sinds 25 mei 2018 hebben je leerlingen, patiënten, personeel, bezoekers, klanten of leden:
-
recht op inzage van persoonsgegevens
-
recht op rectificatie van persoonsgegevens
-
recht van bezwaar tegen verwerking van persoonsgegevens
-
recht op beperking van de hen betreffende verwerking
-
recht op verwijdering van de gegevens
-
recht op gegevensoverdraagbaarheid (de gegevens gaan op verzoek naar een andere instantie)
Zorg voor de juiste toestemming
De AVG stelt strengere eisen aan toestemming om persoonsgegevens te verwerken. Je moet kunnen aantonen dat je geldige en bewuste toestemming hebt gekregen. Het moet voor een betrokkene ook net zo makkelijk zijn om de toestemming weer in te trekken als het was om die te geven. Je moet de toestemming en de wijze waarop je die hebt gekregen bovendien vastleggen.
Heb je een functionaris gegevensbescherming nodig?
Bepaalde organisaties worden verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. Een FG is voor 3 soorten organisaties verplicht:
-
overheden en publieke organisaties, zoals gemeenten, zorg- en onderwijsinstellingen
-
organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen
-
organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dat als kernactiviteit hebben
Heb je een verwerkersovereenkomst nodig?
Als je een bedrijf de persoonsgegevens voor jou laat beheren of verwerken, dan heb je ook een verwerkersovereenkomst nodig. In deze overeenkomst moeten afspraken staan over zaken als verantwoordelijkheden, geheimhouding, beveiligingsmaatregelen en de locatie van de opslag van de gegevens.
Verplichte DPIA (PIA, GEB)
Een gegevensbeschermingseffectbeoordeling of Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en maatregelen te treffen om deze risico’s te verkleinen. Deze is verplicht in de volgende situaties:
-
je evalueert systematisch en uitvoerig persoonlijke aspecten (bijvoorbeeld voor profiling)
-
je verwerkt op grote schaal bijzondere persoonsgegevens
-
je volgt systematisch en op grote schaal mensen in een voor het publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
Zorg ervoor dat je gegevens goed beveiligd zijn
Je moet kunnen aantonen dat je al bij het ontwerpen van diensten of producten ervoor gezorgd hebt dat de persoonsgegevens goed beschermd worden. Een voorbeeld hiervan is dat je een beschermde https website hebt gebouwd toen je met je webshop begon.
Neem de juiste maatregelen
Daarnaast moet je technische en organisatorische maatregelen nemen waardoor je alleen noodzakelijke gegevens verwerkt, bijvoorbeeld door niet van tevoren het vakje ‘Ja ik wil aanbiedingen ontvangen’ aan te vinken bij een klantregistratie. Zorg ook voor een goede cookieverklaring.
Meld datalekken
Je moet kunnen aantonen dat je procedure voor het melden van datalekken in orde is. Hiervoor heb je een protocol melding datalekken nodig. Je moet ervoor zorgen dat de gegevens niet gemakkelijk in de verkeerde handen kunnen vallen. Als dat toch gebeurt of de gegevens zoekraken, dan moet je dat melden aan de AP. Doe dat zo snel mogelijk en liefst binnen 72 uur. Tevens moet je alle datalekken registreren en betrokkenen waarschuwen als het lek gevolgen voor hun privacy kan hebben.
Verantwoordelijke, verwerker of subverwerker?
Een verantwoordelijke (of verwerkingsverantwoordelijke) is degene die bepaalt waarom en op welke manier persoonsgegevens worden verzameld. Dit kan een particulier, stichting, vereniging, onderneming, overheidsinstantie of andere organisatie zijn. Kortom, iedereen die persoonsgegevens verzamelt met een door hen bepaald doel en middel is een verwerkingsverantwoordelijke.
De verwerker is een externe partij die van de verantwoordelijke de opdracht krijgt om de persoonsgegevens te verwerken. De verwerker mag niets anders doen met de persoonsgegeven buiten deze opdracht om. Doet hij dat wel, dan wordt hij zelf ook verantwoordelijke.
Je kunt overigens zowel verantwoordelijke als verwerker zijn. Een hostingprovider bijvoorbeeld is verwerker, omdat het bedrijf persoonsgegevens verwerkt voor websites die verwerkingsverantwoordelijke zijn. Ten aanzien van het personeel van de provider zelf, is het bedrijf zelf de verwerkingsverantwoordelijke.
Een subverwerker ten slotte is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.