Privacy & AVG
Privacy bij wet geregeld
Uw bedrijf werkt vast ook met persoonsgegevens.
Dan moet uw bedrijf ook de AVG (ook bekend als GDPR) naleven. Deze wetgeving brengt een aantal verantwoordelijkheden met zich mee.
Dit moet u in ieder geval doen:
Elke organisatie moet compliance met de AVG kunnen aantonen.
Eén van de eisen vanuit de AVG is het bijhouden van een register van verwerkingen (artikel 30).
Dit register dient informatie te bevatten over alle manieren waarop uw organisatie persoonsgegevens opslaat en gebruikt.
Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt.
Als een organisatie persoonsgegevens laat verwerken door een andere rechtspersoon, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is.
Het woord "verwerken" moet hierbij breed worden geïnterpreteerd. In feite moet u een verwerkersovereenkomst sluiten met elke partij of persoon (verwerker), die om welke reden dan ook toegang heeft tot privacygevoelige gegevens, waar u verantwoordelijk voor bent (verwerkingsverantwoordelijke).
U bent wettelijk verplicht uw klanten, bezoekers en werknemers, duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel, ook als dat doel alleen maar is het vastleggen van hun gegevens in uw klantenbestand.
Dit informeren kunt u het beste doen via een privacyverklaring, die u duidelijk publiceert.
U gaat zorgvuldig en vertrouwelijk met persoonsgegevens om. In de privacyverklaring staat uitgelegd hoe u dit doet.
Een functionaris gegevensbescherming (ook wel: data protection officer of data privacy officer) is iemand die binnen een bedrijf of organisatie verantwoordelijk is voor naleving van de regelgeving die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG).
Overheden en andere publieke organisaties zijn verplicht een functionaris voor de gegevensbescherming aan te stellen.
Ook organisaties en bedrijven die op grote schaal persoonsgegevens verwerken, moeten een functionaris gegevensbescherming hebben. Denk aan organisaties die individuele personen of hun activiteiten volgen via bijvoorbeeld cameratoezicht of persoonvolgsystemen.
Tenslotte zijn organisaties die op grote schaal bijzondere persoonsgegevens (bijvoorbeeld informatie over iemands gezondheid, politieke opvatting of ras) verwerken, verplicht een functionaris gegevensbescherming te benoemen.
En deze principes moet u naleven
Persoonlijke gegevens moeten worden beveiligd met passende technische en organisatorische beveiligingsmaatregelen.
Organisaties moeten er voor zorgen dat ze een wettelijke basis hebben om persoonlijke gegevens te verwerken,
Persoonlijke gegevens mogen alleen worden verzameld voor specifieke, expliciete, legitieme doeleinden.
Gegevensverzameling moet u beperken tot gegevens die relevant en nodig zijn voor het beoogd gebruik.
Persoonlijke gegevens dienen correct en bijgewerkt te zijn.
Persoonlijke gegevens moeten alleen worden opgeslagen voor zolang als dit nodig en redelijk is.
Het recht voor burgers om bepaalde verouderde of onjuiste privacygevoelige informatie te laten verwijderen.
Hulp bij de AVG
De intentie is zeker goed. Maar de AVG is voor veel organisaties inderdaad een ambtelijk monsterstuk. Ik geef u graag inzicht in wat u kunt doen en wat u toch echt moèt doen. Dit kan ik voor u betekenen:
- analyseren uw organisatie op verzamelbronnen van persoonlijke gegevens
- adviseren hoe u afdoende aan de AVG wetgeving kan voldoen
- samen met u de adviezen implementeren
- desgewenst fungeren als uw functionaris gegevensbescherming
Wilt u meer weten over privacy & AVG?
Heeft u vragen, wilt u meer weten of wilt u een Audit? Reageer of neem contact met mij op.
Orios, privacy in balans
Ik geef u inzicht in wat u kunt doen en wat u echt moet doen.