Algemene Verordening Gegevensbescherming

AVG /GDPR - alles geregeld?

Iedere organisatie die persoonsgegevens verwerkt bereidt zich voor op de wet AVG (engels: GDPR) die vanaf 25 mei geld. De AVG raakt zeer veel organisatie - zodra u maar iets van persoonsgegevens verwerkt heeft u te maken met de AVG. Als het goed is heeft uw organisatie een boekhouding / klanten / leden / personeel / contact-formulier op de website / etc. en is uw organisatie eigenlijk al een verwerker van persoonsgegevens. Kortom, de AVG is op uw organisatie van toepassing.

Waarom?

Personen krijgen meer rechten ten aanzien van de verwerking van hun gegevens, zoals het recht op inzage, correctie en verwijdering van de opgeslagen gegevens. Een ieder die persoonsgegevens opslaat of gebruikt, moet hiervoor voor 25 mei aan kunnen voldoen.

Wat moet je doen?

Hieronder vind je een overzicht van zaken waar je aan moet voldoen. Wellicht is niet alles van toepassing, maar we adviseren je om een Jurist om meer informatie te vragen.
 
Verplichte maatregelen voor AVG (minimaal) in het kader van de verantwoordingsplicht:
  • register van verwerkingsactiviteiten; 
  • register van datalekken die zijn opgetreden en de te volgen procedure;
  • aantonen toestemming betrokkene (indien van toepassing als grondslag voor de verwerking);
  • Informeren omtrent de gegevensverwerking en beschrijven van de rechten van betrokkenen (bv. in uw algemene voorwaarden en/of privacy statement);
  • Verwerkersovereenkomst als de verwerking is uitbesteed. In uw geval bent u verwerker voor andere partijen, dus moeten die partijen een verwerkersovereenkomst met u aangaan;
  • U moet laten zien dat u voldoet aan Privacy by Design en Privacy by Default voor bijvoorbeeld de websites die u bouwt.
Afhankelijk van de soort gegevens (bijzondere gegevens) en de schaal van de dataverwerking, kan de benoeming van een Functionaris Gegevensbescherming en/of uitvoering van een Data Protection Impact Assesment verplicht zijn.
 
Register van verwerkingsactiviteiten gaat over:
  • Welke gegevens
  • Welk doel
  • Oorsprong van deze gegevens
  • Met wie gedeeld
  • Welke verwerking (verwerkingsactiviteiten)
  • Beveiligingsmaatregelen (organisatorisch / technisch)
  • Geldt voor de Verantwoordelijke én bewerker
 
Een register van verwerkingsactiviteiten moet onder andere bevatten:
  • naam en contactgegevens van: uw organisatie, of de vertegenwoordiger van uw organisatie; organisaties met wie samen de doelen en middelen van verwerking vastgesteld; de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld (indien van toepassing); eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
  • doelen voor verwerking persoonsgegevens. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
  • grondslag voor de verwerking;
  • beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
  • beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
  • datum waarop u de gegevens moet wissen (als dat bekend is);
  • de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
  • algemene beschrijving van de technische en organisatorische maatregelen die u zijn genomen om persoonsgegevens die u verwerkt te beveiligen.
 
Als verwerker moet u minimaal bijhouden:
  • De naam en contactgegevens van; uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke; en Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld.;
  • een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert;
  • eventuele andere internationale organisaties met wie u  persoonsgegevens deelt.
  • een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.
Bij een verwerkersovereenkomst moet u denken aan zaken als: uitsluiten dat andere partij de persoonsgegevens voor eigen doelen mag verwerken; uitbesteding van de verwerking mag alleen als er voldoende garanties zijn dat zij aan de wettelijke vereisten voldoen; Verwerkingsverantwoordelijke blijft nog steeds verantwoordelijk voor AVG
 
Inhoud moet minimaal bevatten:
  • onderwerp en de duur van de gegevensverwerking;
  • aard en het doel van de gegevensverwerking;
  • soort persoonsgegevens;
  • categorieën van betrokkenen;
  • rechten en verplichtingen van de verwerkingsverantwoordelijke.
 
Verder zal in de overeenkomst moeten zijn opgenomen:
  • Geheimhouding inzake de persoonsgegevens
  • Beveiligingsmaatregelen (organisatorisch / technisch)
  • Hoe om te gaan met datalekken (strakke termijnen om datalekken door te geven)
  • Aansprakelijkheid bij schade
  • Bewaartermijnen
  • Verwijdering / vernietiging van data na bewaartermijn
  • Kunnen uitoefenen van rechten van betrokkene zoals recht op inzage en de nieuwe rechten zoals dataportabiliteit en recht op vergetelheid
  • Locatie waar de persoonsgegevens worden verwerkt