Introductie

Vanaf 25 mei 2018 is de Algemene Vordering Gegevensbescherming (AVG) van toepassing. Deze nieuwe Europese privacywetgeving geldt voor de gehele EU en heeft in Nederland de Wet Bescherming Persoonsgegevens vervangen.

Als gevolg van deze nieuwe Europese wet heeft u als verwerkingsverantwoordelijke de taak voor uw bedrijf te waarborgen dat er “passende organisatorische en technische maatregelen” binnen uw bedrijf zijn genomen om alle opgeslagen persoonsgegevens bij verwerking optimaal te beschermen.

Dat is een grote verantwoordelijkheid zeker nu u deze nogal brede omschrijving zelf dient in te vullen. Met het lezen van de Europese wet GDPR, in Nederland de AVG genaamd, bent u er niet. Vandaar dat bij overheidsinstanties het aannemen van een Functionaris Gegevensbescherming verplicht is.  U mag zonder deze verplichting natuurlijk ook wel overgaan tot de aanstelling van een F.G. maar dat is voor de MKB onderneming een kostbare aangelegenheid. Met ons software programma worden in zeer korte tijd de organisatorische en  technische maatregelen die nodig zijn blootgelegd. De exacte aanpassingen die nodig zijn worden u direct met registers, documenten, handleidingen en adviezen aangereikt. U of uw medewerkers hoeven de wet niet te kennen om dit te realiseren.  Uw bedrijf kan  in een zeer korte periode AVG compliant en datalek bestendig zijn. Mocht er een Functionaris  Gegevensbescherming in het bedrijf werkzaam zijn dan zal de zeer uitgebreide organisatorische en technische check die het programma verricht en de aanwijzingen en adviezen die daar uit voortvloeien deze functionarissen een enorme voorsprong bieden voor het optimaliseren van de bescherming van de persoonsgegevens.

De inventarisatie van de AVG tekortkomingen en ICT problemen die dataleks kunnen veroorzaken kost met ons programma 1 dag . Het oplossen hiervan op de wijze die door het programma zelf wordt aangegeven en aangereikt(de registers ,documenten  en handleidingen zijn aanwezig in het programma) daarna ten hoogste een paar weken.

Bepaalde checks zullen in de tijd herhaald blijven worden waardoor dit een continue proces wordt om uw bedrijf volledig veilig te houden. U heeft als leidinggevende een exclusief zicht op het proces en de stand van zaken. Als de voorgeschreven checks niet worden uitgevoerd bent u direct op de hoogte en kunt u ingrijpen.

En u moet weten dat u al voldoet aan de verplichtingen van de AVG vanaf de installatie van het programma. De inspanningsverplichting die de AVG voorschrijft is dan gestart. De duur van het aanpassen van alle vastgestelde tekortkomingen wordt niet afgestraft bij een controle als u maar kunt aantonen dat u daar mee bezig bent

De nieuwe privacywetgeving kent vernieuwingen, aanpassingen en aanvullingen. De AVG versterkt de positie van de betrokkenen. Dit zijn de mensen wiens persoonsgegevens worden verwerkt. Zij krijgen in vergelijkingen met voorheen sterkere en nieuwe privacy rechten. Daartegenover staat dat organisaties en bedrijven die persoonsgegevens verwerken meer verplichtingen hebben gekregen. Bij het niet nakomen hiervan kunnen er zelfs hoge financiële boetes aan die organisaties en ondernemingen worden opgelegd. Eem vorm van sancties die kunnen oplopen tot 4% van de totale (wereldwijde) jaaromzet. Voor een kleinere datalek die u middels een klacht aan de Autoriteit Persoonsgegevens wordt verweten kunt u al snel rekenen op een boete die hoog kan oplopen.

Activiteiten met en verwerken van gegevens vallen veel sneller dan voorheen onder de privacywetgeving. Dit komt vooral omdat het begrip ‘’persoonsgegevens’’ sterk is veranderd. Het gaat niet meer alleen om namen en adressen ect. maar bijvoorbeeld ook gegevens gekoppeld aan I.P-adressen en cookies vallen onder  de nieuwe wet. Hoe dan ook, je verantwoordelijkheid als ondernemer voor de juiste en optimale inrichting van je totale registratie en voor de inrichting en het gebruik van je (computer) bestanden en programma’s is veel groter geworden. Maar let wel: AVG proof bestaat niet. Je kunt alleen maar je uiterste best doen, met de bestaande methodieken,  en met inachtneming van je verplichtingen als verwerkingsverantwoordelijke zoals weergegeven in de AVG, de hoogst mogelijke bescherming van de opgeslagen persoonsgegevens na te streven. Als je als ondernemer deze verantwoordelijkheid ten volle serieus neemt dan kom je je verplichtingen na.  En ons programma biedt u deze garantie.

In deze inleidende handleiding worden voor u als leidinggevende van de gehele onderneming  of afdelingshoofd binnen het bedrijf de belangrijkste  praktijkaspecten van de AVG aan getipt omdat deze voor u  essentieel zijn omdat u er mee geconfronteerd gaat worden.

De bespreking van de gehele wet blijft hierbinnen buiten beschouwing omdat dit te uitgebreid en te complex is en daarmee voor nu overbodig. Een uitgebreide samenvatting van de AVG wordt door ons eveneens aangeboden op de website en in de software met de benaming AVG Handleiding Mkb welk een toevoeging biedt op deze inleiding.

Ook de gehele wettekst is bereikbaar middels een link op de website en is tevens opgenomen in ons programma onder de documenten.

Het staat u dus geheel vrij dit allemaal te lezen maar we beperken ons in de inleiding slechts tot de belangrijkste aspecten voor de praktijk van uw bedrijfsvoering.

De AVG en aanpassingen in de onderneming.

Dit kan middels het lezen van dit overzicht en zeker middels de aangeboden Handleiding Mkb, of van de gehele wettekst welk in het programma is opgenomen.

  1. De rechten van betrokkenen zijn groter geworden. Denk aan recht op inzage, recht op correctie en verwijdering en recht op dataportabiliteit.
  2. Zorg ervoor dat alle verwerkingen in een verwerkingsregister worden geregistreerd.

De software heeft de indeling van een verwerkingsregister bijgevoegd. U kunt dit slechts plaatsen in uw computer waardoor alle verwerkingen worden opgeslagen. Hiermee wordt aan een belangrijke AVG-verplichtingen voldaan.

  1. Zorg dat uw I.C.T omgeving voldoende beveiligd is en aan de ISO-norm 27001 voldoet. Hiermee worden risico’s voor de aantasting van de privacygevoelige gegevens tot een grote hoogte voorkomen. Maar er zullen wellicht meer technische voorzieningen moeten worden aangebracht. Dit wordt door onze software voor u geïnventariseerd om op orde te maken.

Mocht u het nodig vinden om een risicoanalyse te maken voor de opslag van de persoonsgegevens binnen uw bedrijf dan vindt u de procedure hiervoor onder het bestand documenten van onze software. U kunt deze procedure uitvoeren en bent als ondernemer bevoegd zelf hier een conclusie aan te verbinden. Het is dan aan u om al dan niet nadere maatregelen te nemen.

Kort gezegd komt het volgens de AVG erop neer dat van u verwacht wordt dat u voldoende organisatorische  en technische maatregelen neemt uw bedrijf om risico’s met de opslag van persoonsgegevens te voorkomen. Met daarbij inachtneming alle rechten van betrokkenen en verplichtingen van u als verwerkingsverantwoordelijke welke in de AVG zijn opgenomen.

U kunt dit deels vooraf doen door met gecertificeerde soft – en hardware te werken. Deels kunt u dit ook doen door het uitvoeren van (een niet verplichte) een risicoanalyse. Wij reiken u deze procedure aan.

Door het implementeren van ons programma binnen uw bedrijf en het ( laten ) uitvoeren van de uitgebreide check op zowel de “organisatorische en technische maatregelen en veiligheid” wordt volkomen duidelijk wat er binnen de onderneming nog dient te gebeuren om geheel volgens de verplichtingen  aangegeven in de AVG

georganiseerd te zijn. Vanaf het moment dat u start met de door ons aangegeven aanpassingen voldoet u al aan de inspanningsverplichting die u als ondernemer heeft volgens de AVG.

Volledig AVG proof worden zal niemand lukken maar de aanwijzingen serieus nemen en bezig zijn met aanpassingen maakt dat u voldoet aan u verplichtingen.

  1. Bij overheidsinstanties en bedrijven met een omvangrijke opslag van persoonsgegevens is de aanstelling van een zo gezegde Functionaris Gegevensbescherming verplicht. Binnen het MKB geldt deze verplichting niet. U kunt er als ondernemer natuurlijk altijd zelf voor kiezen dit toch te doen. Met onze software heeft u voor uw bedrijf meer dan voldoende bescherming met het installeren en volgen van onze software. U kunt er daarnaast natuurlijk altijd voor kiezen iemand aan te stellen, al dan niet als Functionaris Gegevensbeschermer, om de uitslag van de software te controleren en aanbevelingen op te volgen naast zijn andere taken.
  2. Er geldt als er sprake is van een lek een meldplicht voor datalekken. Onze software is er zeer op gericht om uw I.C.T.-omgeving dusdanig in te richten dat datalekken worden voorkomen. Onze software creëert een veilige omgeving.

De AVG stelt strenge eisen aan de registratie van elke datalek dat zich binnen uw bedrijf voordoet. Deze dienen allemaal, van welke omgeving dan ook, gedocumenteerd te worden.

Wij voorzien u van een handleiding bij een datalek en van een registratiesheet om alle gegevens van het lek te noteren.

Let in ieder geval op de belangrijke termijn van 72 uur. Binnen 72 uur dient een datalek gemeld te worden. Onze software is erg ingericht op het voorkomen van een lek. In geval van Treft u ook het meldingsformulier voor de A.P. aan bij onze documenten evenals het verplichte Datalekregister.

  1. Let erop dat u bij iedere uitbesteding van gegevensverwerking een verwerkingsovereenkomst sluit met de externe verwerker. Modellen hiervoor bieden wij aan.

Ook deze treft u weer aan bij onze documenten. U hoeft niet zelf te verzinnen of te produceren.

  1. Let erop dat uw medewerker met het in ontvangst nemen van de gegevens door de verstrekker nadrukkelijk toestemming heeft gekregen om te mogen werken met zijn gegevens.

Dit kan middels een eenvoudig intakeformulier welke door de verstrekker wordt ondertekend. Uiteraard zal dit in de meeste gevallen digitaal plaatsvinden. Deze toestemming van verwerking wordt verstrekt voor het uitvoeren van uw bedrijfsdoel. Zo heeft een accountant een ander doel met de verwerking van gegevens dan de stomerij op de hoek.

Let op! Alle activiteiten met persoonsgegevens vallen onder de nieuwe privacywet. Het centrale begrip persoonsgegevens is met de nieuwe wet immers veel omvangrijker geworden. Alleen al omdat IP-adressen en cookies ook persoonsgegevens zijn. De groep wordt steeds omvangrijker.

Op de website van uw bedrijf dient u een privacyverklaring en cookieverklaring op te nemen.      

Verschillende vormen en voorbeelden bieden wij u aan.

In eenvoudige taal is hierin weergegeven hoe u omgaat met de persoonsgegevens. U legt uit wat u ermee doet en wijst uw klanten op de rechten en mogelijkheden van aanpassing, het recht van inzage en recht van vernietiging of verwijdering van de gegevens.

Het is een aanrader voor u als ondernemer om de wettekst van de AVG een keertje door te lezen. Klik hiervoor op de link die op de website is weergegeven: www.autoriteitpersoonsgegevens.nl > wetten.

Omdat de wet uitgebreid en complex is worden u in dit handboek alleen de voor u als ondernemer relevante artikelen voorgelegd en toegelicht. Daardoor blijft het voor u begrijpelijk en overzichtelijk. Het biedt in grote lijnen de mogelijkheid om grip te houden op de verwerking van de persoonsgegevens binnen uw bedrijf.

Artikel 4 AVG

Allereerst is artikel 4 van de algemene bepalingen van belang. Hierin worden 26 begrippen en definities in het kader van de AVG uitgelegd. U worden daarvan 5 belangrijke voorgehouden.

Art. 4 lid 1: hierin wordt u uitgelegd welke informatie ‘’persoonsgegevens’’ zijn oftewel informatie die tot een natuurlijk persoon kan worden herleiden.

  1. ,,persoonsgegevens’’: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon (,,de betrokkenen’’); als identificeerbare wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische psychische, economische, culturele of sociale identiteit van die natuurlijk persoon;

Vervolgens legt art. 4 lid 2 uit wat verwerken van persoonsgegevens is. Alle persoonsgegevens die op deze wijze verwerkt worden vallen onder u als verwerkingsverantwoordelijke.

  1. ,,verwerking’’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Het begrip verwerkingsverantwoordelijke bent( u dus ) wordt gedefinieerd onder art.4 lid 7

  1. ,,verwerkingsverantwoordelijke’’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze word aangewezen;

Ook het begrip verwerker is van belang omdat u daar als verwerkingsverantwoordelijke vaak samenwerkt als ten behoeve van u met uw opgeslagen gegevens van personen door externen wordt gewerkt.

  1. ,,verwerker’’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die die dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

Tot slot wordt u art. 4 lid 11 voorgelegd waaruit blijkt hoe belangrijk het is dat er door de verstrekker van de gegevens toestemming geeft voor het werken met zijn gegevens.

11.,toestemming’’ van een betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Met de kennis van voorgaande begrippen heeft u een eerste indruk over belangrijke personen en begrippen van de AVG die voor u als ondernemer van belang zijn om in de praktijk met de AVG te kunnen werken.

Tot slot wijs ik nog op de leden 16 tot en met 19 die alleen van belang zijn voor grote ondernemingen die in verschillende EU-landen zijn gevestigd. De tekst hiervan wordt hieronder weergegeven en spreekt verder voor zich.

  1. ,,hoofdvestiging’’:
  2. Met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan een lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd;
  3. Met betrekking tot een verwerker die vestigingen in meer dan een lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van der verwerker plaatsvinden, voor zover krachtens deze verordening specifieke verplichtingen rusten;
  4. ,,vertegenwoordiger’’: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;

Artikelen 5, 6 en 7 AVG: De AVG verplichtingen voor het werken met persoonsgegevens:

Dit zijn de belangrijkste artikelen voor het verwerken van persoonsgegevens en voor u als ondernemer van essentieel belang hier wetenschap van te hebben.

In artikel 5 wordt nauwkeuring aangegeven waaraan het verwerken van gegevens dient te voldoen.

Artikel 5 lid 1

persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (,,rechtmatigheid, behoorlijkheid en transparantie’’)

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (,,doelbinding’’)

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor doeleinden waarvoor zij worden verwerkt (,,minimale gegevensverwerking’’);

d) juist zijn en nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (,,juistheid’’);

e) worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen (,,opslagbeperking’’);

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen die belangen, met name wanneer de betrokkene een kind is.

Samengevat komt het erop neer dat de persoonsgegevens van uw klanten zorgvuldig en transparant dienen te worden verwerkt. De verwerking dient daarnaast rechtmatig plaats te vinden. Dit laatste wordt in artikel 6 nader uitgelegd.

Daarnaast mag de verwerking van de gegevens alleen plaatsvinden als deze verwerking in het verlengde van het doel , zeg maar het uitgangspunt van uw onderneming ligt. U mag de verstrekte gegevens niet zomaar met andere doelstellingen gaan verwerken want daar heeft de verstrekker van de gegevens geen toestemming voor gegeven. Daarom staat bij de verwerking van de gegevens het begrip ‘doelbinding’ centraal.

Deze gegevens dienen dan ook nog eens, uitgaande van dit doel, minimaal verwerkt te worden. Dit noemt men de minimale gegevensverwerking. Er dient bovendien op gelet te worden dat deze gegevens juist worden verwerkt. Dit vereist de nodige zorgvuldigheid binnen uw bedrijf als er gewerkt wordt met verstrekte gegevens.

U dient dit als ondernemer allemaal te organiseren binnen uw bedrijfsstructuur. Bovendien dient u daarnaast ervoor te zorgen dat er een technisch beveiligde omgeving is waarbinnen dit door uw medewerker allemaal op juiste wijze kan plaatsvinden en Datalekken en Hacking kan worden voorkomen.

Bij u als onderneming ligt de opdracht te zorgen voor een omgeving en infrastructuur waarbinnen dit kan plaatsvinden. Dat is uw eerste en belangrijkste taak. Dit is weergegeven in artikel 24 van de AVG.

Samengevat komt het er op neer dat u zorgt voor een passende organisatorische (werkvloer) en technische (ICT) omgeving waardoor de aangereikte persoonsgegevens op de juiste wijze (transparant, rechtmatig, minimaal en juist) verwerkt kunnen worden.

En de verwerking dient op een rechtmatige wijze te geschieden.

Artikel 6 rechtmatigheid van de verwerking

  1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is gronden:
  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen;
  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Kortgezegd komt het erop neer dat gegevens alleen dan verwerkt mogen worden als er is voldaan aan de in de wet opgesomde voorwaarden (gronden) hiervoor.

Deze voorwaarden staan opgesomd in artikel 6 lid 1. De belangrijke gronden om te mogen verwerken zijn:

  • Er is toestemming gegeven door de verstrekker om er mee te werken.

Of

  • Het verwerken is noodzakelijk omdat dit voortvloeit uit een aangegane overeenkomst. Bijvoorbeeld u heeft een overeenkomst tot nakoming met de verstrekker van de gegevens. Hieronder vallen ook de arbeidsoverreenkomsten die u met uw werknemers met aangegaan.

Of

  • De verwerking van de gegevens moet plaatsvinden volgens een wet. Bijvoorbeeld worden de gegevens van de werknemers doorgegeven aan de fiscus in verband met het salaris.

Artikel 7 :voorwaarden voor toestemming tot verwerking van persoonsgegevens

  1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
  2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet binden.
  3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming voor de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
  4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met begrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Het gaat er in dit artikel om dat er toestemming van de betrokkene ondubbelzinnig moet zijn om met zijn gegevens te mogen werken.

Daarnaast bestaat er ook een recht tot intrekking van de toestemming (art. 7 lid 3)

Artikel 9 , de zogenaamde bijzondere persoonsgegevens:

In artikel 9 lid 1 van de AVG staan de categorieën persoonsgegevens opgesomd die in principe niet verwerkt mogen worden. Dit betreft gegevens over ras, religie, politieke opvattingen, seksuele geaardheid of gezondheid.

Het mag dan weer wel als de betrokkene hier nadrukkelijk toestemming is gegeven of het noodzakelijk is ter bescherming van het maatschappelijk belang.

Artikel 12 t/m 22 AVG: De rechten van de betrokkene oftewel de verstrekker van de gegevens

Door de invoering van de AVG heeft de betrokkene een aantal rechten gekregen waaraan u als verwerkingsverantwoordelijke dient te voldoen. Deze rechten voor de verstrekkers van de persoonsgegevens worden uiteengezet in artikel 12 t/m 22 AVG.

Op de allereerste plaats dient de verwerking van de gegevens plaats te vinden op een transparante eenvoudige en begrijpelijke wijze.

Daarnaast bestaat er het recht op inzage. Aan dit verzoek dient u binnen de termijn van een maand te voldoen. Doet u dit niet dan kan er door de betrokkene een klacht worden ingediend bij de Autoriteit Persoonsgegevens (AP)

Mocht u vinden dat het verzoek tot inzage ongegrond is dan dient u als verantwoordelijke dit aan te tonen en te motiveren.

Het recht van inzage is verder uitgewerkt in art. 15 AVG. Het gaat om de inzage in:

  • De doeleinden van verwerking
  • De categorieën van gegevens
  • Inzicht in de ontvangers van de gegevens
  • Inzicht in de periode van opslag

Daarnaast is er het recht van rectificatie en wissing. Wissing is een b.v. aan de orde als de gegevens zijn gebruikt voor een ander doel dan welk aanvankelijk is aangegeven voor de verwerking zie hiervoor ook artikel 16 en 17 AVG.

Het recht van overdraagbaarheid van de gegevens is weergegeven in artikel 20 AVG.

De betrokkene heeft het recht om zijn persoonsgegevens die hij verstrekt heeft aan u, in een gestructureerde vorm te verkrijgen en over te dragen aan een andere verantwoordelijke zonder daarbij gehinderd te worden.

Artikel 24 t/m 43 AVG : de verplichtingen voor u als verwerkingsverantwoordelijke.

Centraal hierbij staan de passende technische en organisatorische maatregelen die u dient te waarborgen en te kunnen aantonen dat de verwerking in over eenkennig met de verplichtingen van de AVG worden uitgevoerd. Dit wordt verwoord in artikel 24 lid 1 AVG:

Artikel 24 verantwoordelijkheid van de verwerkingsverantwoordelijke

  1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

Je kunt ook anders zeggen: u heeft de verantwoordelijkheid als ondernemer dat de risico’s voor de aantasting van de verstrekte persoonsgegevens geminimaliseerd zijn.

Daarvoor is er het programma ADP. Dit checkt zowel de organisatorische als technische status van uw onderneming. Als er iets (nog) niet op orde is wordt dit door het programma aangegeven en er wordt aangereikt wat er te doen is op de veiligheid van de gegevens te optimaliseren. Dit raakt zowel de organisatorische kant als de technische kant van de onderneming. Door het volgen en blijven volgen van ADP bent u voldoende beschermd en kan er gesproken worden van een AVG bestendige en datalekvrije omgeving.

Nogmaals het blijven volgen van de instructies is daarbij wel van essentieel belang. Daarin zijn alle verplichtingen van de wet verwerkt en verplichte registers en overeenkomsten worden u aangereikt om te installeren.

Onder de AVG is de verantwoordelijke verplicht om passende en efficiënte maatregelen uit te werken welke maatregelen moeten kunnen worden aangetoond.

Verantwoordelijkheid en aansprakelijkheid dient per verwerking te worden vastgesteld.

Richtsnoeren ter bepaling van passende maatregelen hebben betrekking op:

– Goedgekeurde gedragscodes
– Goedgekeurde certificeringen
– Aanwijzingen van de Functionaris Gegevensbescherming
– Een (D)PIA oftewel een gegevensbeschermingeffectbeoordeling

Er moet in de interne huishouding sprake zijn van:

– Een overzicht en inzicht in alle gegevensverwerkingen in het register.
– Regels conformiteit = compliance
– Er moet door de verantwoordelijke verantwoordelijkheid kunnen worden afgelegd = accountability
– Er is een actieve en passieve informatieplicht.
– De rechten van betrokkene dienen ingewilligd te worden.
– Er dient sprake te zijn van een passende beveiliging (passende technische en organisatorische maatregelen) (Art. 24 AVG)
– Er is een meldplicht bij datalekken.
– Er dient bij een groot gegevensbestand een (D)P.I.A.-controle plaats te vinden.

In Art. 28 AVG worden alle verplichtingen van de verwerker/verwerkersverantwoordelijke nauwgezet gespecificeerd. Hierin wordt gesproken over passende technische en organisatorische maatregelen/ en/ verwerkersovereenkomsten.

Artikel 30 gaat nader in op de inrichting van het verwerkingsregister. Aan de hand van dit artikel kan dit register door ieder ondernemer op zijn computer ingericht worden.

Het register dient o.a. de volgende gegevens te bevatten:

– Naam van verwerkingsverantwoordelijke en F.G.
– De verwerkingsdoeleinden.
– Beschrijving van de categorieën van betrokkene en persoonsgegevens.
– De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt.
– De termijnen waarbinnen de gegevens moeten worden gewist.

In Art. 30 lid 2 houdt de verwerker een register van alle categorieën van verwerkingsactiviteiten die er door de verwerkingsverantwoordelijke zijn verricht. Dit register bevat o.a. de volgende gegevens:

– Naam en contactgegevens werknemers.
– Categorieën van verwerkingen die zijn uitgevoerd.
– Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De wijze van beveiliging is weergegeven in artikel 32 AVG.

De verwerkingsverantwoordelijke en verwerker treffen passende technische en organisatorische maatregelen om een beveilinsgniveau te waarborgen.

Dit betreft:

– Pseudonimisering en versleuteling van persoonsgegevens.
– Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
– Het vermogen om bij een fysiek of technische mankement de beschikbaarheid van en de toegang tot de persoonsgegevens altijd te herstellen.
– Een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Artikel 33 geeft de randvoorwaarden aan van een melding datalek. Dit betreft o.a.:

– De melding dient uiterlijk binnen 72 uur plaats te vinden bij de A.P. (Art. 33 lid 1)

Bij de melding dient vermeldt te worden (Art. 33 lid 2):

– Aard van de inbreuk.
– Naam en contactgegevens van de F.G.
– De waarschijnlijkste gevolgen van de inbreuk.
– De maatregelen die de verwerkingsverantwoordelijke voorstelt.

Lid 3 geeft aan wanneer een melding van de datalek aan de betrokkene niet vereist is. De voorwaarden en vereisten van een gegevensbescherming beoordeling (P.I.A.) zijn weergegeven in artikel 35.

De (D)PIA-procedure is vereist bij een verwerking van persoonsgegevens waarbij er sprake is van een hoog risico van de bescherming van persoonsgegevens bij verwerking ervan.

Het is in ieder geval vereist in gevallen van profilering en ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens. (Art. 9 AVG)

De positie en taken van de Functionaris Gegevensbescherming wordt uitgewerkt in Art. 37 tot en met 39 AVG.

In principe dient er alleen een F.G. aangewezen te worden ingeval van verwerking van gegevens door:

– Een overheidsinstantie of overheidsorgaan.
– Verwerking van gegevens door een organisatie waarbij voor de doeleinden van verwerking er stelselmatig observatie van betrokkenen is gemoeid.
– De verwerker is belast met grootschalige verwerking van bijzondere categorieën van gegevens.

In artikel 40 tot en met 43 worden de voorwaarden rondom gedragscodes en certificering uitgewerkt. Deze verwijzen vooral naar de richtlijnen van het Europees Comité en Commissie waardoor er in heel Europa de uniformiteit van verwerking en beveiliging van persoonsgegevens gegarandeerd is.

Het Comité verzameld alle certificeringsmechanismen en merktekens en maakt deze openbaar.

Met name richtlijn 2016/1148 NIB: beveiliging netwerk en informatiesystemen is hierbij zeer relevant. Deze richtlijn treft u eveneens aan onder de rubriek documenten van ons programma.

Tot slot:

Tot nu toe zijn u definities aangereikt en zeer relevante wetsartikelen die grote betekenis hebben voor uw praktijkvoering. U is uitgelegd wat voorop dient te staan bij het verwerken van de persoonsgegevens die u zijn uitgereikt door uw klanten. Het gaat dan vooral om de rechten van de betrokkene en uw plichten als verwerkingsverantwoordelijke.  Deze inleiding is nog maar de aftrap en zeer zeker niet een afdoende bespreking van de AVG. Leest u daarom tevens het Handboek MKB en de volledige wettekst AVG die eveneens aangereikt worden binnen het programma. Dit om een vollediger inzicht te hebben op alle in en outs van de Europese Privacywetgeving.

 

error: Content is beveiligd!