Post on 28-Jun-2020
Goed van start met de AVG!
PRIVACYWETGEVING VOOR ELKE ONDERNEMER
M R . L E O N O R E I N ‘ T H O U T | 8 M A A R T 2 0 1 8 | K E N N I S S E S S I E D ’ N O F F I C E U D E N
Even voorstellen
Programma:
1. Privacy: bestaat het nog?
2. De AVG: moet ik er iets mee?
3. De AVG uitgelegd
4. Welke maatregelen moet ik nemen?
Algemene Verordening Gegevensbescherming:(AVG/ GDPR)
25 mei 2018!
1. Privacy: bestaat het nog?
“Facebook weet bij wie je gisteren op bezoek ging. De Belastingdienst zag hoe je er kwam. Apple hield bij hoe lang je er bleef. Samsung hoorde wat je er zei. En Google wist al dat je het van plan was”.
Bron: Je hebt wél iets te verbergen, M. Martijn en D. Tokmetzis
1. Privacy: bestaat het nog?
1. Privacy: bestaat het nog?
2. De AVG: moet ik er iets mee?
VRAAG:
Wie is er met privacy bezig?
Van jezelf?Van klanten?
Op welke manier?
2. De AVG: moet ik er iets mee?
AVG heeft directe werking en geldt voor iedereen, dus ook voor jou en jouw onderneming!
En ja, je moet er iets mee, want:
• AP kan hoge boetes uitdelen (max 20 mln of 4% van de wereldwijde omzet);
• Reputatieschade: onbetrouwbaar;
• Financiële schade (gevolgschade)
• Identiteitsfraude
Maar I: • wel eerst waarschuwing & kans om te herstellen (tenzij
duidelijk te kwader trouw). • En MKB zal naar verwachting niet als eerste aan de beurt
zijn voor controle door AP.
Maar II: • Bij meerdere klachten wel kans op controle AP!
2. De AVG: moet ik er iets mee?
De AVG is ook een KANS!
Klanten doen zaken met jouw onderneming omdat…
de klanten jou of jouw onderneming vertrouwen!
Door te voldoen aan de AVG en dit ook uit te dragen laat je zien dat je betrouwbare partner bent.
2. De AVG: moet ik er iets mee?
Doel AVG:
1. Einde maken aan de verschillen tussen de EU-lidstaten ten aanzien van privacy-wetgeving.
2. Gelijkwaardige bescherming voor iedere EU-burger van zijn persoonsgegevens.
3. Vrije verkeer van persoonsgegevens tussen de lidstaten waarborgen.
3. De AVG uitgelegd
Kern AVG:
a. behoorlijke, rechtmatige en transparante manier verwerken;
b. Voor een bepaald, uitdrukkelijk omschreven doel;
c. noodzakelijk voor het doel;
d. correct en actueel;
e. als identificatie niet noodzakelijk voor het doel: verwijderen of anonimiseren;
f. beveiligen door middel van technische en organisatorische maatregelen.
3. De AVG uitgelegd
Persoonsgegeven: Als het iets over een specifiek persoon zegt óf als deze informatie in combinatie met andere gegevens naar deze persoon te herleiden is.
Wel of geen persoonsgegeven?- Gegevens van een overledene- Geboortedatum- Geslacht- Adres- WOZ-waarde- Organisaties/ bedrijven (niet zijnde eenmanszaak)- Pasfoto- Winst van een eenmanszaak- IP adres van een computer
3. De AVG uitgelegd
Enkele begrippen uit de AVG:
Gewone of bijzondere persoonsgegevens?
NaamAdresGodsdienst of levensovertuigingWoonplaatsRasTelefoonnummerStrafrechtelijk verledenMedische gegevensLeeftijd BSN nummerLidmaatschap vakbond
Het zijn allemaal persoonsgegevens en vallen ze onder de AVG. En mag je ze dus niet zomaar verwerken!
Combinatie van bepaalde gegevens: identificeerbaar tot een bepaalde persoon? Tracker
3. De AVG uitgelegd
Verwerken van persoonsgegevens:
Omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens.
Zowel analoog als geautomatiseerde verwerkingsprocessen
Geen verwerking: persoonlijke, huishoudelijke of journalistieke doeleinden.
3. De AVG uitgelegd
3. De AVG uitgelegd
Verantwoordelijke:Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bijv: werkgever/ gegevens werknemer of ondernemer/ gegevens klant
Verwerker:Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Bijv: de arbodienst/ boekhouder
Betrokkene:Is degene van wie een organisatie persoonsgegevens verwerkt. Bijv: de werknemer, de individuele klant
3. De AVG uitgelegd
Grondslag: zonder geldige grondslag mag je de persoonsgegevens niet verwerken.
a. toestemming:tracking cookies bij websites; TIP: vastleggen toestemming ivm bewijs
b. noodzakelijk voor sluiten of uitvoeren overeenkomst met betrokkene:NAW-gegevens vastleggen van je medewerkers of klanten;
c. voldoen aan een wettelijke verplichting:salarisgegevens doorsturen naar de Belastingdienst;
d. noodzakelijk voor bescherming vitale belangen:naam van een bewusteloze werknemer doorgeven aan een ambulancebroeder;
e. noodzakelijk voor publiekrechtelijke taak:bijhouden van gegevens door het Kadaster;
f. noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerker. alleen als a-e niet mogelijk zijn + belang weegt zwaarder dan belang betrokkene:BKR-toets bij nieuwe klanten/ registreren mensen in gebouw / direct marketing
3. De AVG uitgelegd
Doelbinding:
• Wat is het doel van de verwerking• Welbepaald, uitdrukkelijk omschreven en gerechtvaardigd• Niet verder verwerken als dat met die doeleinden onverenigbaar is. (bijv: voor
uitvoeren ovk, dan niet doorverkopen)• Een te ruime of te krappe doelomschrijving • Niet méér verwerken dan nodig is voor het doel.• Niet langer verwerken dan nodig voor het doel: bewaartermijn.
Bestelformulier webshop kinderspeelgoed
Wat vind je ervan?
3. De AVG uitgelegd
Wanneer leeftijd wel relevant?
4. Welke maatregelen moet ik nemen?
Maatregelen:
Iedereen: 1. Bewustwording: privacy-hygiëne2. Privacystatement op je website en bij orders3. Technische beveiliging op orde4. Verwerkingsovereenkomst5. Melden datalek
Grote bedrijven > 250 wnrs / verwerking bijzondere persoonsgegevens/ grootschalige verwerking: 1. Administratieplicht: register gegevensverwerking/ register datalekken. Niet verplicht,
wel aanbevolen. 2. Functionaris persoonsgegevens3. DPIA: risico-inventarisatie
4. Welke maatregelen moet ik nemen?
1. Bewustwording: hoe ga je met gegevens om?
- Laptop in de auto achter laten?- Van bureau weg lopen zonder te locken?- Mail is onveilige manier. Wat mail je naar wie? - Wie heeft toegang tot welke gegevens?
Awarenesstraining: regelmatig terug laten keren voor je personeel(e-learning, bespreken in werkoverleggen)
Privacyhygiene: nieuwe manier van werken; ga netjes en ‘schoon’ met persoonsgegevens om.
Privacybeleid opstellen: iedereen weet waar hij aan toe is en wat van hem verwacht wordt. Ook belangrijk igv ontslag.
4. Welke maatregelen moet ik nemen?
2. Privacyverklaring opstellen of aanpassen:
Inhoud privacystatement:In de privacy verklaring beschrijf je:• Welke soort gegevens je hebt van je klant;• wat je ermee doet (grondslag en doel);• Of de gegevens ook door anderen worden verwerkt;• Hoe lang je de persoonsgegevens bewaart;• Hoe je ze beveiligt;• En wat de rechten van de belanghebbende zijn (inzage, bezwaar
verwerking, correctie, wissen, klacht indienen).
4. Welke maatregelen moet ik nemen?
Leesbaar:De verklaring moet beknopt, transparant, in begrijpelijke taal, in een makkelijk toegankelijk vorm en in eenvoudige taal beschikbaar zijn. Kan ook in animatie.
Makkelijk te vinden:• Link naar de pagina in de footer van je website• Link bij je elektronische handtekening e-mail• Link bij elk invulformulier/ bestellingformulier op website
TIP:Link is eigenlijk onvoldoende voor de AP, maar anders niet werkbaar
4. Welke maatregelen moet ik nemen?
3. Technische beveiliging:
Werken in de cloud:• let op waar de server staat! Europa en Canada = ok, Amerika niet (Partiot Act). • Geldt ook voor de partij die je inschakelt (verwerker)• Ik ga er vanuit dat die partij het op orde heeft… is onvoldoende, JIJ bent
verantwoordelijk!
4. Welke maatregelen moet ik nemen?
4. Verwerkersovereenkomst:
Je hebt een verwerkersovereenkomst nodig als je persoonsgegevens bij een derde partij laat verwerken (van opslag tot vernietiging). Je spreekt de voorwaarden voor verwerking af; deze partij mag niet meer of anders verwerken dan jij mag.
Voorbeelden:- Server bij een hostingpartij;- Nieuwsbriefsoftware;- Dropbox als je daar bijvoorbeeld offertes opslaat;- Boekhouder waaraan je inkoop/ verkoop facturen stuurt;- Bouwer van je softwareprogramma.
Opstellen van de verwerkersovereenkomst: - leesbaar, weet wat je afspreekt;- Laat de overeenkomst checken door een jurist ivm aansprakelijkheid en andere
voorwaarden.
4. Welke maatregelen moet ik nemen?
5. Melden datalek
Een datalek moet je melden bij de Autoriteit Persoonsgegevens
Denk aan:• Laptop in auto achter gelaten en gestolen;• USB-stick kwijt geraakt;• Computer gehacked (want de beveiliging was niet op orde).
Wat moet je doen?• Datalek melden bij de Autoriteit Persoonsgegevens• Schade meteen proberen zoveel mogelijk in te perken. • Betrokkenen inlichten over datalek• Passende maatregelen nemen dat het niet meer gebeurt• Datalek registreren
Tot slot:
De AVG: je moet er dus echt iets mee!
In ieder geval:- Privacyverklaring- Verwerkersovereenkomsten- Beveiliging op orde
De AVG is geen bedreiging maar een kans!
LOUTERarbeidsrecht helpt je graag met de juridische documenten en/ of begeleiding bij de implementatie.
Aan de slag!