De Algemene Verordening Gegevensbescherming (AVG) komt eraan. Volgend jaar op 25 mei dient iedere organisatie compliant te zijn met deze wetgeving. De meeste ondernemers en managers zijn zich hier terdege van bewust. Toch zijn er ook nog veel vragen betreft dit onderwerp. ISO Privacy Advies zet 8 veel gestelde vragen op een rijtje.
1. Wat zijn persoonsgegevens?
Onder persoonsgegevens wordt verstaan, en nu quoten we even de Autoriteit Persoonsgegevens: “Elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.” U kunt bij persoonsgegevens denken aan naw-gegevens, telefoonnummers, e-mailadressen, maar ook een klantenprofiel. Er zijn ook bijzonder persoonsgegevens. Dit zijn bijvoorbeeld gegevens over iemands levensovertuiging, ras, seksuele leven, strafrechtelijk verleden of gezondheid.
2. Wanneer mag ik persoonsgegevens gebruiken?
Voor de verwerking van persoonsgegevens heeft u een rechtmatige grondslag nodig. Drie grondslagen zijn daarvoor relevant:
- Als men ondubbelzinnige toestemming heeft van de persoon. Dit kan een ondertekend contract zijn of een vinkje voor toestemming voor het versturen van een nieuwsbrief.
- Als het noodzakelijk is om een overeenkomst uit te voeren. Bijvoorbeeld bij het afsluiten van een abonnement op een tijdschrift. Zonder naw-gegevens kan de uitgever de magazines immers niet opsturen.
- Als het binnen de rechtvaardiging van het belang past en beperkt invloed heeft op de privacy. Denk hierbij aan het gebruik van Google Analytics.
U hebt slechts één van deze grondslagen nodig om rechtmatig persoonsgegevens te mogen verwerken.
3. Hoe hoog zijn de boetes bij datalekken?
De boetes die de Autoriteit Persoonsgegevens op kan leggen voor het lekken van data zijn hoog. Tot 20 miljoen euro of 4 procent van de jaaromzet. Maar dan moet u het als organisatie wel heel erg bont maken. U moet dan denken aan bijvoorbeeld het niet toestemming vragen voor het verwerken van persoonsgegevens of het overtreden van verplichtingen met betrekking tot het recht van personen. Dit geldt natuurlijk niet voor de groenteboer op de hoek of een metaalbewerkingsbedrijf. Vooral bedrijven die zich structureel bezighouden met persoonsgegevens zullen door de Autoriteit Persoonsgegevens gecontroleerd en beboet worden.
4. Hoe transparant moet ik van de AVG zijn als ik data verzamel?
Een belangrijk onderdeel van de AVG is transparantie. U dient (potentiële) klanten duidelijk te informeren waarom u hun gegevens verwerkt, welke rechten zij hebben en hoe zij daar gebruik van kunnen maken. U kunt deze informatie zowel in uw privacystatement opnemen als op andere plekken waar u om persoonsgegevens vraagt.
5. Wat is een Privacy Impact Assessment?
U kunt een Privacy Impact Assessment (PIA) vergelijken met een RI&E voor de Arbowetgeving, maar dan voor de AVG. Het is een belangrijk hulpmiddel om te zien of uw organisatie privacyproof is. Door een PIA uit te voeren zal namelijk blijken of er binnen uw organisatie persoonsgegevens worden verwerkt en of u maatregelen dient te nemen.
6. Is het afsluiten van een verwerkersovereenkomst verplicht?
Ja, u dient altijd een verwerkingsovereenkomst af te sluiten als u een verwerker inschakelt. De verwerker dient immers aan een aantal voorwaarden te voldoen. Zo dient het bedrijf bijvoorbeeld altijd toestemming te vragen bij het inhuren van sub-verwerkers. Daarnaast dient in de overeenkomst vermeld te worden wat het doel van de verwerking is en op welke manier de gegevens verwerkt worden.
7. Ben ik verplicht een Privacy Officer aan te stellen?
Verwerkt uw organisatie geen gegevens voor overheidsinstanties, bijzonder persoonsgegevens of houdt zich niet bezig met regelmatige en stelselmatige observatie op grote schaal van individuen? Dan bent u niet verplicht om een Privacy Officer aan te stellen. Toch wordt aangeraden om dit wel te doen, dan wel in te huren. Mocht u daar nog niet aan toe zijn, dan is het misschien verstandig om minimaal één persoon binnen uw organisatie aan te wijzen die zich bezig houdt met privacy.
8. Wat is dataportabiliteit?
Dataportabiliteit kun je ook gegevensoverdraagbaarheid noemen. Onder de AVG hebben personen het recht hun persoonsgegevens over te dragen van de ene naar de andere organisatie. Denk hierbij aan het overstappen naar een andere zorgverzekeraar of bank. Heeft u na het vertrek de persoonsgegevens van uw vertrekkende klant niet meer nodig? Dan dient u deze uiteraard in het kader van dataminimalisatie te verwijderen.
Heeft u nog meer vragen of bent u op zoek naar iemand die u kan helpen bij het compliant maken van uw organisatie voor de AVG? Neemt u dan gerust contact op met Saskia Bielemans of Roger Zweegers. Zij staan u graag geheel vrijblijvend te woord. U kunt bellen naar 040-7878750 of vul ons contactformulier in.
