Privacy (AVG)

Wat is uw data waard? Of die van uw personeel of klanten?

Privacy (AVG)2019-03-12T18:08:52+01:00

Privacy, het recht om met rust gelaten te worden

Door de komst van de Algemene Verordening Gegevensbescherming (AVG) dat op 25 mei 2018 in werking is getreden, zijn er een hoop extra regels waar een organisatie rekening mee moet houden. De AVG ziet erop toe dat persoonsgegevens op de juiste manier worden verwerkt en beschermt zodoende het recht op de bescherming van persoonsgegevens. Hierdoor hebben personen meer rechten en organisaties meer (administratieve) verplichtingen.

In Nederland is de Autoriteit Persoonsgegevens (AP) de toezichthouder. Elke toezichthouder kan boetes opleggen van maximaal € 20.000.000,– of 4% van de wereldwijde jaaromzet als blijkt dat een organisatie zich niet aan de AVG houdt.

Wat betekent dit voor uw organisatie?

In Nederland bestond de Wet Bescherming Persoonsgegevens (WBP) en de Meldplicht datalekken al, maar de AVG vervangt deze en gaat een stap verder. De AVG dwingt organisaties om na te denken over welke persoonsgegevens zij hebben, of zij deze persoonsgegevens wel mogen verwerken, waarom ze dit verwerken, met wie ze dit delen, hoe de persoonsgegevens het beste beschermd kunnen worden en hoe dit continue gewaarborgd kan worden.

Organisaties hebben nu namelijk de plicht om te informeren, te documenteren en te registreren. Deze plicht vloeit voort uit de verantwoordingsplicht van organisaties die als ‘verantwoordelijke’ worden gezien zijn voor de verwerking van persoonsgegevens, maar ook van derde partijen die bijvoorbeeld worden ingehuurd. Aan de hand hiervan kan de AP controleren of organisaties zich aan de privacy wet- en regelgeving houden.

Daarnaast bent u verplicht om ‘passende organisatorische en technische maatregelen’ te nemen. Denk aan geheimhoudings- en verwerkersovereenkomsten, het geven van privacy-trainingen aan medewerkers en het hanteren van de juiste bewaartermijnen.

Diensten

Heeft u niet alle expertise in huis om in overeenstemming met de AVG te handelen, weet u niet 100% zeker of u in overeenstemming met de AVG handelt of wilt u het niveau van bewustzijn vergroten bij collega’s?

Wij kunnen u daarbij van dienst zijn. Meer informatie kunt u vinden op de volgende pagina’s:

Veelgestelde vragen

Wat is een verwerkersovereenkomst?2019-02-13T00:53:36+01:00

De AVG verplicht de verwerkersverantwoordelijke om een overeenkomst of een andere rechtshandeling aan te gaan met de verwerker. Hierin worden afspraken vastgelegd.

In de overeenkomst staan in ieder geval afspraken over de verwerking, zoals het doel van de verwerking, de categorie persoonsgegevens, de vereiste certificeringen, termijnen, een datalekprotocol, maar ook de rechten en plichten uit de AVG voor beide partijen.

Deze afspraken kunnen apart in een verwerkersovereenkomst staan, maar kunnen ook onderdeel worden van een andere overeenkomst.

Wat is een register?2019-11-06T00:51:32+01:00

De AVG verplicht zowel de organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens (verwerkersverantwoordelijke) alsmede de organisatie die in dienst van de verantwoordelijke persoonsgegevens verwerkt (verwerker), een register bij te houden.

Het register is voor verwerkingsactiviteiten. De verwerkingsverantwoordelijke dient meer activiteiten te registeren dan de verwerker.

Naast verwerkingsactiviteiten dient er ook een register voor datalekken bijgehouden te worden van elke datalek. Ook wanneer een datalek niet is gemeld aan de toezichthouder en/of persoon van wie de persoonsgegevens zijn.

Deze eis komt ook voort uit de verantwoordingsplicht. Aan de hand van de registers kan de toezichthouder namelijk controleren of u zich aan de privacywetgeving houdt.

Wat doet een Functionaris voor de Gegevensbescherming (FG)?2019-02-13T11:10:03+01:00

Sommige organisaties zijn verplicht om een Functionaris voor de gegevensbescherming (FG) aan te stellen.

Dit geldt voor zowel de verwerkersverantwoordelijke als de verwerker. De FG ziet onder andere toe op de naleving van de AVG binnen de organisatie waar deze in dienst is. Hierbij kunt u denken aan controleren, meekijken en rapporteren. Daaronder wordt verstaan: het bijstaan bij de DPIA, optreden als contactpersoon voor de toezichthouder en betrokkene, het bijhouden van het register van verwerkingsactiviteiten en het melden van eventuele datalekken. De FG geniet ontslagbescherming.

Het is ook mogelijk om een FG aan te stellen, ook als u dat niet verplicht bent. Vooral bij complexe of gevoelige gegevensverwerkingen kan dit bevorderend zijn voor een effectieve en efficiënte AVG-compliance.

Wanneer moet ik een datalek melden?2019-02-13T11:15:49+01:00

Er is sprake van een datalek wanneer er iets is misgegaan met de beveiliging wat niet had mogen gebeuren en er persoonsgegevens verloren, gewijzigd, vernietigd of onbedoeld toegankelijk waren voor derden.

Wanneer een datalek is ontdekt, moet dit in bepaalde gevallen binnen 72 gemeld worden aan de toezichthouder . Wanneer een datalek een hoog risico oplevert voor de persoon van wie de persoonsgegevens zijn, moet de datalek ook aan hem/haar gemeld worden. Dit is verplicht wanneer een datalek een hoog risico met zich meebrengt voor de persoon in kwestie. Een hoog risico kan bijvoorbeeld financiële schade, discriminatie en (identiteits)fraude zijn.

Als een datalek niet (tijdig) wordt gemeld, kan de toezichthouder een boete opleggen.

Moet ik een DPIA uitvoeren?2019-11-06T00:51:41+01:00

De DPIA is een Engelstalige afkorting voor ‘Data Protection Impact Assessment’. Het is de opvolger van de Privacy Impact Assessment (PIA). In het Nederlands wordt de DPIA een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Het is een instrument dat wordt gebruikt voordat een verwerking wordt uitgevoerd, dat een hoog privacyrisico met zich meebrengt. De Autoriteit Persoonsgegevens (AP) raadt aan om periodiek een DPIA uit te voeren, omdat er natuurlijk wat gewijzigd kan zijn. Dit kan een keer per 3 jaar zijn.

In een DPIA worden privacyrisico’s in kaart gebracht en maatregelen beschreven die de risico’s beperken. Wanneer de verwerking een verhoogd privacyrisico met zich meebrengt, ondanks de maatregelen, is consultatie met de toezichthouder verplicht.

Hoe kunnen de systemen, applicaties en processen privacy vriendelijk ingericht worden?2019-03-12T17:52:26+01:00

Onder de AVG bestaan deze twee principes waar men rekening mee dient te houden. Dit zijn ‘privacy by default’ en ‘privacy by design’.

Bij privacy by default wordt bekeken welke systemen nu beschikbaar zijn, waar een organisatie nu mee werkt en hoe dat privacyvriendelijker ingericht kan worden. Dat kan bijvoorbeeld door instellingen te wijzigen, zodat gegevens niet langer dan nodig worden bewaard, niet te veel gegevens worden gevraagd en de bevoegde mensen toegang hebben tot bepaalde gegevens.

Bij privacy by design wordt gedurende de volledige ontwikkelcyclus van systemen, rekening gehouden met privacy en de verwerking van persoonsgegevens. Dit betekent dat bij de ontwikkeling ook aandacht is voor de eisen van de AVG.

Geldt de AVG ook voor kleine mkb’ers en zzp’ers?2019-11-06T00:51:37+01:00

In principe is de AVG van toepassing voor elke organisatie die persoonsgegevens verwerkt, zodoende ook voor klein mkb en zzp’ers. Het komt regelmatig voor dat een organisatie denkt dat zij geen persoonsgegevens verwerken, maar dat is vaak een misverstand.

Een verwerking is namelijk een verzamelnaam voor alle handelingen die een organisatie uitvoert met persoonsgegevens. Onder verwerking wordt onder andere verstaan: verzamelen, opslaan, wijzigen, opvragen, verstrekken, wissen en ordenen.

Een persoonsgegeven is alle informatie die direct of indirect een levend natuurlijk persoon kan identificeren. Voorbeelden van persoonsgegevens: naam, contactgegevens, een IP-adres, camerabeelden, een foto, een e-mailadres en een lidmaatschap bij een vereniging.

Wat betekent dit voor uw organisatie?

In Nederland bestond de Wet Bescherming Persoonsgegevens (WBP) en de Meldplicht datalekken al, maar de AVG vervangt deze en gaat een stap verder. De AVG dwingt organisaties om na te denken over welke persoonsgegevens zij hebben, of zij deze persoonsgegevens wel mogen verwerken, waarom ze dit verwerken, met wie ze dit delen, hoe de persoonsgegevens het beste beschermd kunnen worden en hoe dit continue gewaarborgd kan worden.

Organisaties hebben nu namelijk de plicht om te informeren, te documenteren en te registreren. Deze plicht vloeit voort uit de verantwoordingsplicht van organisaties die als ‘verantwoordelijke’ worden gezien zijn voor de verwerking van persoonsgegevens, maar ook van derde partijen die bijvoorbeeld worden ingehuurd. Aan de hand hiervan kan de AP controleren of organisaties zich aan de privacy wet- en regelgeving houden.

Daarnaast bent u verplicht om ‘passende organisatorische en technische maatregelen’ te nemen. Denk aan geheimhoudings- en verwerkersovereenkomsten, het geven van privacy-trainingen aan medewerkers en het hanteren van de juiste bewaartermijnen.

Vragen?

Heeft u vragen over deze specialisatie? Vul het contactformulier in op de contactpagina.

Mail ons
Bel nu