Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG is van toepassing op iedereen die persoonsgegevens verwerkt.
Onderstaand de 8 aan ons meest gestelde vragen over de werking van de AVG.
1.Voor wie geldt de AVG?
Bijna iedere ondernemer verwerkt persoonsgegevens. Dat betekent dat de bepalingen op hen van toepassing zijn. Zelfs op zzp’ers en eenmanszaken. Denk voor verwerkingen aan klantenlijsten, lijsten voor verzending van een nieuwsbrief etc. Voor een onderneming met werknemers in dienst geldt dat zij ook persoonsgegevens van hun werknemers verwerken voor het personeelsdossier etc. Voor bijzondere persoonsgegevens geldt dat je ze in beginsel niet mag verwerken, tenzij daarvoor een wettelijke uitzonderingsgrond geldt.
2.Wat is een rechtmatige verwerking?
De verwerking van persoonsgegevens moet voldoen aan de volgende regels:
3.Hoe moet ik beginnen?
Sinds de inwerkingtreding van de AVG geldt een documentatieplicht. Dat betekent dat je moet kunnen aantonen dat je onderneming in overeenstemming met de AVG handelt. Breng eerst in kaart welke persoonsgegevens je in welk systeem verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Denk daarbij aan je klantenlijsten. Als je personeel in dienst hebt, kun je ook denken aan personeelsbestanden, de gegevens die je verwerkt voor ziekmelding van werknemers, verlofregistratie en loonbetaling, en de gegevens van sollicitanten.
Het is verplicht een overzicht te kunnen tonen van al je verwerkingen. Leg deze dus vast in een register. Je kunt een gratis model krijgen, als je contact met ons kantoor opneemt.
Zorg voor een goede beveiliging met tweetraps inlog van je laptops en telefoons, zodat – als ze per ongeluk in de trein blijven liggen – de gegevens niet zonder meer toegankelijk zijn. Maak ook je medewerkers bewust van het belang van privacy en stel een helder beleid op waarin is vastgelegd dat ze hun laptops niet in hun auto mogen laten liggen, geen bestanden met persoonsgegevens per mail mogen versturen en geen wachtwoorden mogen opslaan op hun computer. Ook adviseren we een clean desk en clean screen beleid.
Stel een kort beleid op over hoe je moet handelen in geval van een datalek. Denk voor een datalek aan het verlies van een laptop door een medewerker of het verzenden van een e-mail aan de verkeerde persoon.
4. Moet ik betrokkenen informeren?
Ja. Informeer degenen van wie je de persoonsgegevens verwerkt (de betrokkenen) over het feit dat je hun persoonsgegevens verwerkt, met welk doel je dat doet en hoe lang je de gegevens bewaart. Ook moet je ze wijzen op hun rechten. Het is het meest praktisch dat in een privacystatement te doen. Daarin kun je meteen ook je cookiebeleid meenemen.
5. Wanneer is aanstelling van een Functionaris Gegevensbescherming (FG) verplicht?
Als je ervoor kiest al dan niet een FG aan te stellen, moet je goed kunnen onderbouwen waarom je dat wel of niet hebt gedaan. Van belang is dat een concern één FG mag aanstellen voor het hele concern. Of je nu wel of geen FG aanstelt, we adviseren je ten minste één iemand verantwoordelijk te maken voor de naleving van de privacywetgeving, zodat je adequaat reageert op een datalek of als een betrokkene gebruik wil maken van zijn rechten.
6.Moet ik onderzoeken of de verwerkersovereenkomsten nog voldoen?
Ja. Als je je gegevensverwerking aan een verwerker hebt uitbesteed (denk ook aan de Cloud), beoordeel dan of de met die verwerker overeengekomen maatregelen nog steeds toereikend zijn en of ze voldoen aan de vereisten van de AVG. Zorg tijdig voor de noodzakelijke wijzigingen in de overeenkomst.
7.Moet ik verkregen toestemming vastleggen?
Ja. Voor verwerkingen die gebaseerd zijn op toestemming, zoals bijvoorbeeld de verzending van een nieuwsbrief, geldt dat je moeten kunnen aantonen dat je die toestemming (op geldige wijze) hebt verkregen. Ga dus na hoe je om toestemming verzoekt, hoe je deze krijgt en hoe je deze vervolgens registreert. Als de huidige wijze van het verkrijgen van toestemming niet meer voldoet, moet je de procedures aanpassen.
8.Is een DPIA nodig?
Onder de AVG kun je worden verplicht een zogeheten privacy impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Als het risico op privacyschending aanwezig is (bijvoorbeeld als je heel veel gegevens of bijzondere persoonsgegevens verwerkt), moet je maatregelen nemen om dit te verkleinen.
Wij helpen je graag verder met vragen over privacy op de werkvloer en de AVG.
Wij helpen je graag!