Vrijdag 25 mei is het zo ver: de Algemene Verordening Gegevensverwerking (AVG) treedt officieel in. Deze wet, ook wel bekend onder de naam General Data Protection Regulation (GDPR), moet organisaties bewust maken in omgang met de data die zij verzamelen. Ter voorbereiding op ingang van de wet, hebben wij een checklist opgesteld voor onze partners.

Om deze checklist zo bondig mogelijk te houden en toch compleet, bevat het voornamelijk informatie die toepasbaar is voor iedere partner van Suite Seven.

Wij gaan er in deze checklist van uit dat uw bedrijf geen bijzondere persoonsgegevens [1] verwerkt. Bedenk goed dat er naast de nieuwe extra verplichtingen uit de AVG ook nog andere verplichtingen zijn voor organisaties wat betreft de verwerking van gegevens. De laatst genoemde verplichtingen zijn in dit stuk buiten beschouwing gelaten.

Verder wordt er voor deze checklist vanuit gegaan dat de gegevensverwerking alleen impact heeft op Nederland en niet op andere EU-lidstaten. Als dit niet het geval is kan je meer informatie vinden op [2].

De AVG in het kort

Meer privacy rechten voor personen, meer verantwoordelijkheid voor organisaties.

De privacy rechten houden kort in dat voor iedere vorm van persoonsgebonden gegevensverwerking door organisaties aantoonbaar toestemming nodig is van de betreffende persoon. Het gaat hierin om alle informatie over een identificeerbaar, natuurlijk persoon. Echter, wanneer de gegevens van een organisatie te herleiden zijn naar een natuurlijk persoon vallen de gegevens ook onder de AVG. [3]

De verantwoordingsplicht houdt kort gezegd in dat jouw organisatie zelf moet kunnen aantonen dat je aan de privacyregels voldoet.

Wettelijke verplichtingen voor organisaties:

Al deze wettelijke verplichtingen gelden zowel voor nieuwe als bestaande persoonsgegevens die jouw organisatie verwerkt.

1. Register van verwerkingsactiviteiten

In principe moet ieder bedrijf verplicht een register van verwerkingsactiviteiten hebben. Je kan ervan uitgaan dat ook jouw bedrijf hieronder valt, mits jouw organisatie geen facturen naar klanten stuurt en geen medewerkersgegevens heeft [4]. Als de Autoriteit Persoonsgegevens (AP) jouw register opvraagt, moet je dat direct kunnen laten zien.

Het register van verwerkingsactiviteiten bevat informatie over alle persoonsgebonden informatie die jouw bedrijf verwerkt. Wat er precies in het register van verwerkingsactiviteiten moet staan kan je vinden onder [5].

2. Aantoonbaarheid technische maatregelen ter bescherming van de persoonsgegevens

Je moet kunnen aantonen op welke manier de persoonsgegevens die jouw organisatie verwerkt (technisch) beschermd worden. Denk hierbij voor de website aan een SSL certificaat.

3. Privacyverklaring

In de privacyverklaring informeer je de persoon van wie de gegevens verzameld worden over de gegevensverwerking. Deze moet goed zichtbaar zijn op je website of op een andere manier schriftelijk aan de betreffende persoon getoond zijn.

Wat er in de privacyverklaring moet staan kan je vinden onder [6].

4. De aantoonbaarheid van toestemming voor gegevensverwerking

Onder de AVG ben je verplicht om aan te kunnen tonen dat je geldige toestemming hebt gekregen [7] van de persoon van wie je de gegevens verwerkt. De toestemming kan alleen gegeven voor een specifiek doel en de gegevens mogen dus niet voor een ander doel gebruikt worden. Verder moet het net zo makkelijk zijn om toestemming te geven als om die in te trekken voor personen.

Voor de website:
Toestemming vragen kan door middel van een privacy- en cookiestatement waarin je vermeldt wat er met de verzamelde gegevens gaat worden gedaan. Het privacy statement moet duidelijk zichtbaar zijn op de homepage en op de pagina waar de persoonsgegevens worden verwerkt. Een bezoeker moet dus toestemming geven voor de gegevensverwerking, doet hij dat niet, dan moet de website alsnog werken (met uitzondering van de module die de gegevens verwerkt).

5. Verwerkingsovereenkomsten

Als een andere partij persoonsgegevens voor jouw bedrijf verwerkt moet je met deze organisatie een verwerkingsovereenkomst afsluiten. Hierin staat dat de andere partij de gegevens niet voor eigen doelen mag verwerken. De persoon over wie de informatie gaat heeft hier namelijk geen toestemming voor gegeven.

Er mogen alleen verwerkers gebruikt worden die garanties bieden dat zij aan de wettelijke vereisten voldoen. Echter, als de gegevensverwerking door een andere partij wordt uitgevoerd ben je alsnog verantwoordelijk voor de naleving van de AVG.

Wat er precies in een verwerkingsovereenkomst moet staan kan je vinden onder [8].

6. Register en meldplicht van datalekken

De meldplicht datalekken verandert onder de AVG nauwelijks. Wel stelt de AVG strengere eisen aan jouw eigen registratie van datalekken binnen jouw organisatie. Alle datalekken moeten geregistreerd worden zodat de AP kan controleren of je aan de meldplicht hebt voldaan.

7. Personen moeten controle kunnen uitoefenen.

Voor alle persoonsgegevens geldt dat de betreffende persoon recht heeft:

– om zijn gegevens in te zien, hiervoor moet dus ook een mogelijkheid zijn;

– om zijn gegevens te wijzigen;

– om vergeten te worden dus zijn gegevens verwijdert te krijgen;

– op informatie over de verwerking van zijn gegevens;

– om gegevens over te dragen naar bijvoorbeeld een andere leverancier van dezelfde soort dienst.

Voor al deze handelingen mogen in principe geen kosten berekend worden of je moet kunnen bewijzen dat het verzoek ongegrond of buitensporig is. Dan mag er een redelijke administratieve vergoeding gevraagd worden.

Wij hopen dat na het lezen van deze blog de AVG duidelijker is geworden. Bij vragen staan wij uiteraard voor jullie klaar!