Op 25 mei 2018 is de nieuwe Europese privacywetgeving (AVG) ingegaan. Wat betekent dat voor uw bedrijf? Moet u ook maatregelen nemen?

In grote lijnen komt de AVG op het volgende neer:

Informeer uw medewerkers

Bewustwording van de omgang met persoonsgegevens is het belangrijkste onderwerp van de AVG. Iedereen binnen het bedrijf moet zich bewust zijn van de persoonsgegevens waarmee ze werken. Het is belangrijk dat alle medewerkers verantwoord omgaan met de toevertrouwde gegevens van uw klanten.

Zorg voor een privacy verklaring

Hoe uw bedrijf omgaat met de persoonsgegevens, moet worden verwoord in een makkelijk te vinden privacy verklaring. De privacy verklaring kunt u toevoegen aan uw website. De minimale gegevens die vermeld moeten worden in deze verklaring kunt u vinden op de website van de Kamer van Koophandel. Uw klanten hebben het recht om de door u geregistreerde persoonsgegevens in te zien te laten wijzigen of te laten verwijderen. Ook moeten de gegevens op verzoek getransporteerd kunnen worden aan een andere organisatie.

De toestemming om de persoonsgegevens te bewaren en te gebruiken moet op een aantoonbare wijze door de persoon (bewust) zijn gegeven. Het intrekken van de toestemming moet op eenvoudige wijze kunnen gebeuren.

In het privacy statement moet worden aangegeven dat een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens als men niet eens is hoe u met de persoonsgegevens bent omgegaan.

Zorg voor een verwerkingsregister

Wet AGV kent de verplichting van het bijhouden van een register als uw bedrijf niet incidenteel persoonsgegevens verwerkt, risicovolle persoonsgegevens verwerkt (gegevens over gezondheid, godsdienst of politieke opvattingen) of meer dan 250 medewerkers heeft. Hieronder vallen bijna alle organisaties.

Hoe werkt een verwerkingsregister? Dit is bijvoorbeeld een excel bestand waarin u opneemt welke persoonsgegevens u gebruikt (naam, adres, woonplaats, geboortedatum en dergelijke), voor welk doel u deze gegevens gebruikt, waar u de gegevens opslaat en met wie u de gegevens deelt.

Voor verwerken van persoonsgegevens met een hoog privacyrisico is een DPIA (data protection impact analyse) verplicht. Meer informatie hierover kunt u vinden op de website van Autoriteit Persoonsgegevens.

Zorg voor actieve toestemming

Een zorgvuldige omgang met persoonsgegevens start bij het inrichten van uw systemen. U mag niet meer persoonsgegevens opvragen dan u gebruikt. Voor een nieuwsbrief via mail heeft u geen woonadres gegevens nodig. In de AVG wordt dit privacy by design genoemd.

De persoonsgegevens moeten actief door de persoon zelf worden gegeven. Een aangevinkt hokje voor toezenden nieuwsbrief is niet toegestaan. Iemand zonder aanleiding informatie toezenden is niet toegestaan. De persoon moet zelf actief toestemming geven. Standaardinstellingen op uw website moeten de privacy respecteren totdat de persoon zelf toestemming geeft. Dit wordt privacy by default genoemd.

Stel een functionaris gegevensbescherming aan

Voor intern toezicht is het in sommige bedrijven verplicht om een functionaris gegevensbescherming aan te stellen. Deze bedrijven houden zich op grote schaal bezig met gevoelige persoonsgegevens en/of observeren van mensen. Aandacht voor de naleving van de AVG is bij alle bedrijven verplicht.

Leg datalekken vast en meld ze tijdig

Van een datalek is sprake als er persoonsgegevens terecht komen op een plaats waar dit niet de bedoeling was. Je kan hierbij denken aan een laptop die gestolen wordt uit een auto of een usb-stick die kwijt is. Ook kan je denken aan post met persoonlijke gegevens die geopend wordt terugbezorgd op uw bedrijf of een hack van de databestanden. Deze datalekken moeten worden vastgelegd en gedocumenteerd. U legt dan vast welk datalek heeft voorgedaan, de gevolgen van het datalek en de genomen maatregelen. Daarnaast moet binnen 72 uur het lek worden gemeld bij de Autoriteit Persoonsgegevens indien er risico’s voor (natuurlijke) personen uit voortkomen.

Als u gegevens voor derden verwerkt, moet u uw opdrachtgever informeren over het datalek. Omdat de opdrachtgever verantwoordelijk is voor de persoonsgegevens, moet hij de melding doen aan de Autoriteit Persoonsgegevens (indien nodig).

Sluit verwerkingsovereenkomsten af met alle bedrijven die inzage hebben in persoonsgegevens

Er zijn meer bedrijven betrokken wij de persoonsgegevens die u verwerkt. Bijvoorbeeld een helpdesk die inzage heeft in uw bedrijfsgegevens. In iedere verwerkingsovereenkomst wordt gemeld wat het doel en aard is van de verwerking en welke persoonsgegevens worden verwerkt.

Verder wordt er afgesproken dat de persoonsgegevens alleen voor zaken worden gebruikt waarvoor toestemming is gegeven, er geheimhoudingsplicht is, de beveiliging op orde is, er zonder toestemming geen gegevens worden verwerkt door derden, etc.

 

Call Now Button