Padlock and digital tablet

Meer informatie over de AVG

Op deze verdiepingspagina komen o.a. verantwoordingsplicht, informatieplicht, meldplicht datalekken en privacyrechten aan bod.

Verantwoordingsplicht

De AVG kent een verantwoordingsplicht. Dit betekent dat ondernemers moeten kunnen aantonen dat aan de AVG wordt voldaan. Het is belangrijk om te starten met het in kaart brengen van de gegevensverwerkingen binnen de onderneming. Een van de verplichtingen is het verwerkingsregister. Het verwerkingsregister is onderdeel van de verantwoordingsplicht en bevat informatie over de verwerkte persoonsgegevens. Het register is vormvrij en gegevens kunnen in een Excelbestand worden verwerkt. De verwerker heeft een registerplicht, tenzij de onderneming of organisatie van de verwerker minder dan 250 personen in dienst heeft. Ondernemingen of organisaties met minder dan 250 personen in dienst hebben wel een register plicht als:

  • de verwerking waarschijnlijk een hoog risico voor betrokkenen met zich meebrengt;
  • de verwerking niet-incidenteel van aard is;
  • er sprake is van verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.

Bij minder dan 250 medewerkers is een register een vereiste bij niet-incidentele verwerking. Daar is al snel sprake van. Zeker in het kader van persoonsgegevens van medewerkers, klanten en leveranciers.

Informatieplicht d.m.v. privacyverklaring

Op grond van de AVG is er een wettelijke verplichting uw klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel. Ook als dat doel alleen maar het vastleggen van hun gegevens in uw klantenbestand is.

De betrokkene heeft recht op duidelijke informatie over de verwerking van zijn/haar persoonsgegevens. U moet de betrokkene informeren wat er met zijn/haar persoonsgegevens gebeurt, en waarom. Daarnaast moet u de betrokkene op de hoogte stellen van de risico’s van de gegevensverwerking, de regels die daarvoor gelden, de waarborgen, en de manier waarop de betrokkenen rechten kan uitoefenen met betrekking tot de gegevensverwerking.

In de AVG staat dat de informatie over verwerkingen schriftelijk moet worden gegeven. De meest handige manier om betrokkenen duidelijk te informeren, is door middel van een online privacyverklaring. Het is belangrijk dat de privacyverklaring makkelijk lees- en vindbaar is op de website.

Informatieplicht werkgever

Op grond van de AVG heeft de werkgever ook een informatieplicht m.b.t. de verwerking van persoonsgegevens van werknemers.  Het verdient aanbeveling om deze informatie op te nemen in bijvoorbeeld het personeelshandboek en een hoofdstuk ‘privacy’ toe te voegen. Verwerk regelmatig nieuwe ontwikkelingen en verstrek deze informatie aan (nieuwe) werknemers. De persoonsgegevens worden verwerkt in overeenstemming met het doel waarvoor deze zijn verstrekt. De werkgever verstrekt geen persoonsgegevens aan andere partijen, tenzij dit noodzakelijk is voor de uitvoering van de doeleinden waarvoor ze zijn verstrekt.

Verwerkersovereenkomst

Wanneer moet je een verwerkersovereenkomsten afsluiten? In de situatie dat de activiteit gericht is op het verwerken van persoonsgegevens. Bijvoorbeeld het uitbesteden van de salarisadministratie. Neem mee in de verwerkersovereenkomst dat verwerkers u tijdig en adequaat informeren over alle relevante incidenten. U dient als verantwoordelijke tijdig een datalek te melden (in principe niet later dan 72 uur na de ontdekking).

Attentie: Bij een vervoerovereenkomst is de activiteit gericht op transport en niet op de verwerking van persoonsgegevens. Er hoeft dan geen verwerkersovereenkomst te worden afgesloten. Je bent zelf verwerkingsverantwoordelijke voor de persoonsgegevens die nodig zijn voor de dienstverlening. Een alternatief voor een verwerkersovereenkomst is eventueel het werken met een geheimhoudingsverklaring.

Meldplicht datalekken

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Bij voorkeur niet later dan 72 uur na de ontdekking, doe je een melding bij de Autoriteit Persoonsgegevens. Gebruik het document Beleidsregels meldplicht datalekken waarmee je door middel van stroomschema’s snel inzicht krijgt of het incident onder de meldplicht valt.

Privacyrechten

De betrokkene is degene waarover de persoonsgegevens iets zeggen. De betrokkene heeft op grond van de AVG recht op:

  1. informatie over de verwerkingen;
  2. inzage in zijn gegevens;
  3. correctie van de gegevens als deze niet kloppen;
  4. verwijdering van de gegevens en het recht op vergetelheid;
  5. beperking van de gegevensverwerking;
  6. overdracht van zijn gegevens (dataportabiliteit);
  7. om niet onderworpen te worden aan een geautomatiseerde besluitvorming; en
  8. om bezwaar te maken tegen de gegevensverwerking.

Het is belangrijk om systemen en procedures binnen de onderneming zodanig in te richten dat privacyrechten door personen kunnen worden uitgeoefend en adequaat gereageerd wordt op verzoeken.

Bewaartermijnen

In de AVG worden geen concrete bewaartermijnen vermeld. Uitgangspunt is dat gegevens niet langer worden bewaard dan noodzakelijk is. Als verantwoordelijke moet u van tevoren bepalen hoe lang je de persoonsgegevens bewaart. Bewaartermijnen worden opgenomen in het register van verwerkingen en betrokkenen (de mensen van wie je gegevens verwerkt) geïnformeerd Bijvoorbeeld via een privacyverklaring op je website.

Er zijn uitzonderingen in het kader van wettelijke en fiscale verplichtingen. Voorbeeld is de bewaarplicht van de kopie van het identiteitsbewijs. De werkgever moet een duidelijke kopie maken van het identiteitsbewijs. Documentnummer, pasfoto en burgerservicenummer (BSN) moeten goed leesbaar zijn. Je bewaart deze kopie in uw administratie voor eventuele controles, bijvoorbeeld door de Inspectie SZW. Je moet de kopie bewaren tot minstens vijf jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan.