01#2%#0345 # - FNV Zelfstandigen Alles... · 2018-05-22 · 10 Alles over de nieuwe AVG 4.Je...
Transcript of 01#2%#0345 # - FNV Zelfstandigen Alles... · 2018-05-22 · 10 Alles over de nieuwe AVG 4.Je...
Alles over de nieuwe AVG 03
Inleiding 5
Belangrijke checklist 5
1. Wat houdt de AVG in? 7
AVG ook voor zzp’ers? Jazeker! 7
2. Wat verandert er? 9
3. AVG en cookies? Eerst toestemming vragen 13
Functionele cookies 13
Overige cookies 14
4. Google Analytics tóch gebruiken 19
AVG en e-mails 19
Is een dubbele opt-in verplicht? 20
Toestemming voor monitoring openen/clicks/gedrag 21
5. Je privacyverklaring en cookiestatement 23
Wat moet er in de privacyverklaring staan? 23
Over de Functionaris Gegevensbescherming (FG) 24
Moet ik een Data Protection Impact Assessment (DPIA) maken? 24
6. Sluit verwerkersovereenkomsten af 27
Verwerkersovereenkomsten/Data processing Agreements 27
Wat moet er in een verwerkersovereenkomst staan? 28
Privacy by design 28
Privacy by default 28
Register 28
7. Verbeterde rechten voor personen 31
8. Wat zijn de (nieuwe) rechten van een persoon? 33
1. Recht op dataportabiliteit 33
2. Recht op vergetelheid 35
3. Recht op inzage 37
4.Hetrechtoprectificatieenaanvulling 38
5. Het recht op beperking van de verwerking 39
6. Het recht van bezwaar 40
7. Het recht op een ‘menselijke blik’ bij besluiten 41
9. De privacyverklaring 43
Wat moet er in een privacyverklaring staan? 44
Is een privacyverklaring verplicht? 45
inHouDsopgave
Alles over de nieuwe AVG 05
Op 25 mei wordt de privacywetgeving (de Wet bescherming persoonsgegevens
Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG) - in
het Engels General Data Protection Regulation (GDPR) genoemd.
In dit boekje lees je wat de impact van de nieuwe AVG is op zelfstandigen zonder
personeel. Als je dit boekje uit hebt, weet je of jij AVG-proof bent.
We wensen je veel succes met ondernemen!
Belangrijke checklist mBt de avg
1. Doe een nulmeting. Welke gegevens verwerk je nu al?
2. Verwerk alleen noodzakelijk gegevens. Privacy by design.
3. Bewaar persoonlijke gegevens niet te lang.
4. Cookies? Vraag eerst netjes om toestemming.
5. E-mails? Vraag weer netjes om toestemming.
6. Pas je privacyverklaring en cookie statement aan.
7. Sluit verwerkersovereenkomsten af.
8. Stel een register verwerkingsactiviteiten op.
9. Toon aan dat je toestemming hebt van de betrokkene.
10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten.
11. Maak een databeveiligingsbeleid/scherp het aan.
We wensen je veel succes met je onderneming!
inleiDing
Alles over de nieuwe AVG 07
De nieuwe AVG, die al in mei 2016 in werking trad, is een aanscherping van de
Europese regels waarin vastgelegd staat wat je als bedrijf/organisatie moet doen
om het gebruik van data van personen te beschermen. Van organisaties wordt
verwacht dat ze vanaf 25 mei 2018 werken volgens de AVG. Vanaf die datum mag
iedereen organisaties en bedrijven aanspreken op de naleving van de AVG. De
nieuwe AVG geldt voor de hele Europese Unie.
avg ook voor zzp’ers? Jazeker!De nieuwe wet geldt voor alle ondernemers, van eenmanszaak tot multinational.
Dus ook voor zelfstandigen! Heb je als ondernemer je zaken niet goed op orde na 25
mei 2018, dan kun je een boete verwachten van 2% van je omzet.
In de AVG staan regels voor het (automatisch) verwerken van persoonsgegevens.
Met deze nieuwe wet ben je verplicht om als ondernemer meer maatregelen te
treffen wanneer je gegevens over klanten, personeel of andere personen vastlegt.
De nadruk van de nieuwe privacywet ligt op het aantonen dat je je aan de wet
houdt. De wet sluit beter aan bij de eisen van de huidige, digitale tijd en geldt voor
alle zelfstandig ondernemers. Dus ook wanneer je geen personeel in dienst hebt of
maar een paar klanten hebt.
Kort gezegd: je krijgt meer verplichtingen en je moet kunnen aantonen dat je je aan
de wet houdt. Dat betekent dat je al bij het versturen van een offerte, factuur of
een nieuwsbrief rekening moet houden met de wet. Bereid je daarom goed voor en
weet waar je je aan moet houden. Zo voorkom je straks dat de Autoriteit
Persoonsgegevens (AP) je een flinke boete oplegt.
Als je te goeder trouw aan de slag gaat met de AVG zul je heus niet gelijk met
megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de
regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er
kwade wil in het spel is.
1. wat HouDt De avg in?
Alles over de nieuwe AVG 09
in het kort zorgt de avg voor:• Transparantie, versterking en uitbreiding van de privacyrechten
• Meer verantwoordelijkheden bij organisaties
• Dezelfde stevig geformaliseerde bevoegdheden voor alle Europese privacy toe-
zichthouders
We hebben de belangrijkste veranderingen voor jou als zzp’er op een rijtje gezet.
1. er gelden voortaan strengere regelsDe manier waarop je met persoonsgegevens omgaat valt veel sneller onder de priva-
cywet. Dit komt doordat behalve bestanden met namen en adressen nu ook aan
IP-adressen gekoppelde gegevens, zoals MAC-adressen, cookies etc., onder de wet
vallen. Zelfs wanneer je niet weet hoe de persoon achter een cookie heet, dien je
dat gegeven te behandelen als privacygevoelig. Eigenlijk moet je zo weinig mogelijk
privacygevoelige informatie verzamelen. Plus: áls je het doet, bewaar het dan zo
kort mogelijk.
2. je moet alle verWerkingen van persoonlijke gegevens documenterenIn het register dat je daarvoor maakt, moet bijvoorbeeld staan welke persoonsgege-
vens er verwerkt worden, waarvoor en hoe ze beveiligd worden. Vragen van mensen
die inzage willen in hun gegevens, moet je binnen een maand inhoudelijk afhandelen
en je moet mensen die hun informatie bij jou (of je online dienst) hebben staan, de
mogelijkheid geven al hun informatie te exporteren, zodat ze die bijvoorbeeld naar
een andere organisatie kunnen overdragen. Denk aan het downloadbaarmaken van
foto’s, social mediaberichten of forumbijdragen.
3. je moet interesseprofielen of risicoanalyses van je klanten en Bezoekers makenJe moet hen dan, wanneer ze daar om vragen, kunnen uitleggen hoe dat gebeurt en
wat je daarmee doet. Dit zie je nu al bij het gebruik van cookies voor advertentie-
doeleinden.
2. wat veranDert er?
10 Alles over de nieuwe AVG
4.Je privacyverklaring moet op orde zijn
je moet daarin in nóg eenvoudigere taal precies uitleggen wat je met persoonlijke
gegevens doet. En je moet mensen wijzen op hun rechten, bijvoorbeeld dat ze hun
gegevens mogen aanpassen, het dossier mogen inzien of zelfs laten vernietigen.
je mag persoonsgegevens verWerken als:1. De betrokkene toestemming geeft
2. Het noodzakelijk is voor de uitvoering van een overeenkomst
3. Het noodzakelijk is om te voldoen aan een wettelijke verplichting
4. Het noodzakelijk is om de vitale belangen van een natuurlijk persoon te
beschermen
5. Het noodzakelijk is voor de vervulling van een taak in het algemeen belang of in
het kader van het openbaar gezag
6. Het noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van
de verantwoordelijke.
Aan de hand van deze 6 uitgangspunten kun je checken of je de persoonsgegevens
op een juiste manier verwerkt.
BijvoorBeeldStel dat je een webshop runt waarbij je spullen aan particulieren verkoopt. Bij een
bestelling geeft de koper zijn naam, adres, woonplaats, mailadres en telefoon. Bij het
betalen krijgt hij de optie om zich met een vinkje te abonneren op de mailnieuwsbrief
en worden het iban nummer, het bedrag en de banknaam vastgelegd. Tenslotte moet
de particulier tijdens de betaling akkoord gaan met de algemene voorwaarden,
waarin staat dat de gegevens in overeenstemming met de AVG worden verwerkt en
dat de browser data uit de webshop kan gebruiken om bepaalde aanbiedingen te
doen.
Welke verWerkingsdoelen zijn hierin van toepassing?• Naam, adres, woonplaats, bank en emailadres worden gebruikt om
- informatie over de bestelling aan de klant door te geven
- de factuur te kunnen maken en de boekhouding te kunnen voeren
- de bestelde goederen te kunnen verzenden. Dit valt onder grondslag nummer 2, het
kunnen uitvoeren van een overeenkomst.
• Met het vinkje bij ‘ontvangen nieuwsbrief’, gaat de persoon akkoord met grondslag
nummer 1.
Alles over de nieuwe AVG 11
Als zzp’er krijg je niet alleen zakelijk, maar ook persoonlijk te maken met de AVG.
Want als persoon (je hebt vast wel eens iets online besteld, of bent lid ergens van)
heb je een aantal rechten. Wanneer je als zzp’er opdrachten krijgt waarbij je gege-
vens moet verwerken, moet je je aan een aantal voorwaarden en verplichtingen hou-
den. De rechten van personen versus de voorwaarden en plichten van de zzp’er:
persoonlijk, rechten met betrekking hoe bedrijven met jouw persoonsgegevens om moeten gaan. rechten van personen (je klanten/leden)
voorwaarden waar je als zzp’er aan moet voldoen en plichten van de zzp’er
Je moet toegang hebben tot je eigen gege-
vens
Houd bij welke data je van wie hebt, wie
erbij kan en waar het staat opgeslagen
Je moet je gegevens kunnen aanpassen Stel wettelijke grondslag vast voor ver-
werking van elk gegeven
Je hebt het recht vergeten te worden Vraag de eigenaar/persoon toestemming
voor gebruik
Je moet je gegevens over kunnen dragen van
de ene naar de andere leverancier
Geef duidelijkheid over waar je data voor
gebruikt in je privacyverklaring (in je
algemene voorwaarden bijvoorbeeld)
Je hebt het recht op beperking van de verwer-
king
Sluit overeenkomsten met partijen die
jouw klantgegevens verwerken
Je mag weigeren… Gooi data weg die niet aan de voorwaar-
den en grondslagen voldoet
Doe een privacy impact assessment
Plichten
Een databeschermingsplan
Dataminimalisatie en verwerkingsmini-
malisatie
Als je een datalek hebt dit melden
Bewaartermijn vaststellen
Bijhouden wie toegang heeft tot welke
data
Privacy by design
Alles over de nieuwe AVG 13
Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur
van een bezoeker plaatst, bijvoorbeeld op een computer, telefoon of tablet. Met
cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of
over (het apparaat van) de gebruiker.
Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen,
zijn het zogeheten tracking cookies. Met deze cookies kunnen organisaties het
surfgedrag van mensen door de tijd heen volgen.
Uit de informatie over bezochte websites kunnen persoonlijke interesses worden
afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte
advertenties tonen. Tracking cookies maken het mogelijk om profielen van mensen
op te stellen en hen anders te behandelen. Met tracking cookies worden doorgaans
persoonsgegevens verwerkt.
Met de invoering van de AVG hoeven internetgebruikers niet meer op elke website
cookies te accepteren. Vroeger werd je als bezoeker van een website geforceerd om
cookies te accepteren, omdat je anders een slecht werkende website te zien kreeg.
Met de invoering van de AVG hoef je de cookie-instellingen slechts één keer aan te
geven bij je browserinstellingen. Dit betekent dus ook dat een website altijd op zo’n
manier getoond moet worden zoals hij hoort te zijn, ook al heeft de bezoeker de
cookies niet geaccepteerd. Met een slecht werkende website valt op dat moment
niet meer weg te komen.
De AVG heeft gevolgen voor het gebruik van cookies op je website. Heeft je website
een mededeling of instellingen menu dat de bezoeker cookies automatisch
accepteert bij gebruik van je website? Dan is dat niet meer voldoende vanaf 25 mei
2018. Immers , wanneer je persoonsgegevens van iemand wil verwerken, dan ben je
verplicht om expliciet om toestemming te vragen. Dit geldt ook voor veel cookies.
functionele cookiesVoor de cookies die nodig zijn om essentiële onderdelen van je site te laten
functioneren, hoef je geen toestemming te vragen. Die cookies onthouden
3. avg en cookies? eerst toestemming vragen!
14 Alles over de nieuwe AVG
bijvoorbeeld wat er in een winkelwagentje zit of wanneer iemand is ingelogd. Ook
cookies die anonieme gebruikersstatistieken meten, mag je zonder expliciete
toestemming gebruiken.
Google Analytics toch gebruiken met een soft opt-in? Het is mogelijk. Onderaan dit
hoofdstuk leg ik uit hoe.
overige cookiesVoor andere cookies die persoonlijke of individuele gegevens verwerken, moet je
wel expliciet toestemming vragen.
Denk aan:
• Cookies waarmee je individueel klikgedrag meet (o.a. HotJar).
• Cookies waarmee je meet hoe lang iemand op een pagina is (om daarna
bijvoorbeeld een livechat te kunnen openen).
• Cookies waarmee je bezoekers laat reageren via social media.
• Cookies om te meten of iemand een advertentie heeft gezien.
De toestemming die je hiervoor van de gebruiker krijgt, is 12 maanden geldig (of
tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming
vragen.
Tot nu toe vragen veel sites in één vraag je toestemming voor het plaatsen van
cookies:
Alles over de nieuwe AVG 15
zo’n ‘cookie Wall’ mag vanaf 25 mei 2018 niet meer. je moet ook toegang tot je WeBsite Bieden voor Wie geen targeting cookies Wil.ook een ‘standaardinstelling’ met alle cookies aangevinkt, zoals de telegraaf in volgend voorBeeld ,is niet meer toegestaan.
16 Alles over de nieuwe AVG
Het volgende plaatje ziet er al beter uit. De gebruiker geeft zelf aan welke cookies
hij of zij wil toestaan. Alleen de ‘functioneel’ en ‘statistieken’ cookies staan
standaard aangevinkt en kunnen niet worden uitgeschakeld.
Alles over de nieuwe AVG 17
alles of niets of per categorie?Een belangrijke afweging is hoe je je bezoeker over cookies laat beslissen. Met een
keuze per categorie geef je de meeste vrijheid. De vraag is alleen of bezoekers hier
rustig de tijd voor zullen nemen. Misschien klikken ze de melding gewoon weg en dan
mag je alleen functionele cookies plaatsen.
een alternatief is om Bezoekers een simpeler keuze te Bieden tussen functionele en alle cookies. in alle gevallen moet je de Bezoeker duidelijk informeren over Wat de cookies precies doen. lees hiervoor ook het hoofdstuk ‘privacy- en cookiestatement’.
Alles over de nieuwe AVG 19
Met Google Analytics kom je veel te weten over het surfgedrag en de kenmerken
van je bezoekers. Echter, met de standaardinstellingen moet je wel om expliciete
toestemming van je bezoekers vragen. De tool meet immers persoonsgegevens
zoals IP-adressen.
Ben je bang dat je die toestemming niet krijgt? Dan kun je Google Analytics toch zo
instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete
toestemming kunt gebruiken. Dit is hoe je dat doet:
• Sluit een verwerkerSovereenkomSt af met GooGle• ZorG ervoor dat je iP-adreSSen anonimiSeert• Zet het delen van GeGevenS met GooGle uit• informeer je beZoekerS hierover in de PrivacyverklarinG
Nadeel van deze methode is wel dat locatiedata in Google Analytics een stuk minder
nauwkeurig wordt. Ook heb je natuurlijk geen opties meer om bezoekers persoonlijk
te profileren/(re)targeten met advertenties.
avg en e-mails?Stuur je mails? Vraag (weer) om toestemming.Toestemming is toch wel het tover-
woord van de nieuwe privacywet.
Onder de AVG moet een ontvanger expliciet toestemming geven voor het ontvan-
gen van nieuwsbrieven of andere commerciële mailings.
4. google analytics tócH gebruiken
20 Alles over de nieuwe AVG
dus niet:• automatiSch aanGevinkt alS keuZe.• door het accePteren van alGemene voorwaarden.• vanweGe het beZoeken van een evenement.• om ‘te controleren of de adreSGeGevenS noG kloPPen’.
maar Wel:• Geïnformeerd over het onderwerP van de mailinGS.• Geïnformeerd over de frequentie van de mailinGS.• Geïnformeerd over de verStrekkinG van data aan derden.• de toeStemminG en verStrekte informatie fatSoenlijk vaStGeleGd (BijvoorBeeld via een provider zoals mailchimp).
is een duBBele opt-in verplicht?Om dit maar gelijk uit de weg te ruimen: nee, een dubbele opt-in (bevestiging mail-
adres na aanmelding via bijvoorbeeld de website) is niet verplicht onder de nieuwe
AVG.
Alles over de nieuwe AVG 21
toestemming voor monitoring openen/clicks/gedragMonitor je het individuele klikgedrag van mailontvangers? Dan moeten ze ook hier
expliciet toestemming voor geven.
Een goed argument is dat je op
basis van deze informatie relevan-
tere mailingen kunt sturen.
Vraag (voor 25 mei!) eventueel
opnieuw om toestemming
De voorwaarden van de nieuwe
privacywetgeving gelden ook voor
de mailadressen die je al in je
bestand hebt.
Twijfel je of de mailadressen op
AVG-waardige manier hebt verkre-
gen? Dan kun je voor de nieuwe
wet ingaat een heractivatiemai-
ling sturen.
Vraag dan of degene die de mail
ontvangt mailing X met frequentie Y
en het delen van data met Z wil blijven ontvangen. De mail moet dan wel een even
prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt daarbij als
een ‘Nee’.
Alles over de nieuwe AVG 23
Een privacy- en cookiestatement op je website zijn een prima manier om transpa-
rant te zijn over hoe je met persoonsgegevens omgaat.
vermijd dus:• ellenlange zinnen;
• dubbele ontkenningen;
• juridische termen (of leg ze uit).
Wat moet er in de privacyverklaring staan?De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan
wat er in ieder geval in een privacyverklaring moet staan.
• De gegevens van je onderneming, contactgegevens
• Welke persoonsgegevens je verwerkt.
• Met welke doelen je deze gegevens verwerkt.
• Of hier een wettelijke basis voor is (bijvoorbeeld bewaarplicht).
• De bewaartermijn voor elk soort persoonsgegeven.
• Met welke derde partijen je persoonsgegevens deelt.
• Hoe de betrokkene een klacht kan indienen bij het AP.
• Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.
• Dat betrokkenen hun toestemming altijd mogen intrekken.
• Hoe betrokkenen hun persoonsgegevens altijd mogen inzien.
• Hoe betrokkenen hun persoonsgegevens altijd mogen wijzigen.
• Hoe betrokkenen hun persoonsgegevens altijd mogen verwijderen.
• Hoe betrokkenen hun persoonsgegevens altijd mogen meenemen.
• Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie
voor privacy- en gegevensbescherming.
5. Je privacyverklaring en cookiestatement
24 Alles over de nieuwe AVG
over de functionaris gegevensBescherming (fg)In de privacyvoorwaarden moet je – mits je die hebt– ook de contactgegevens van
de Functionaris Gegevensbescherming vermelden. In het Engels ook wel Data
Protection Officer genoemd.
Voor de meeste internetondernemers is het aanstellen van zo’n FG niet verplicht.
Dit is alleen noodzakelijk wanneer je:
• Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur,
ras, godsdienst of gezondheid.
• Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling.
Bijvoorbeeld om kredietverzoeken te beoordelen.
• Dit een kernactiviteit is van je organisatie.
moet ik een data protection impact assessment (dpia) maken?In dezelfde categorie valt de Data Protection Impact Assessment (DPIA) waarmee
je vooraf in kaart brengt wat je privacyrisico’s van een gegevensverwerking zijn.
De meeste internetondernemers hoeven op dit moment nog geen DPIA te houden,
want het is alleen verplicht bij grootschalige verwerkingen van (bijzondere) gege-
vens (denk aan veel mensen, met grote geografische spreiding, van wie je veel
gegevens verwerkt). In de toekomst komt de Autoriteit Persoonsgegevens met een
uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment
verplicht is.
Zzp’ers in bepaalde branches ontkomen er niet aan om een DPIA, oftewel Data
Protection Impact Assessment, uit te voeren. Onder de AVG kan het verplicht zijn
om dit uit te voeren. Ga je een project uitvoeren waarbij persoonsgegevens van
anderen zijn betrokken? Een DPIA maakt duidelijk wat de impact is op de privacy
van betrokkenen, wat de risico’s zijn voor hen én voor jouw bedrijf en of er ook een
manier is om jouw project uit te voeren die minder risicovol is voor de privacy.
Alles over de nieuwe AVG 25
BranchesOndernemers die sowieso verplicht zijn om een DPIA uit te voeren zijn bijvoorbeeld
psychologen, bewindvoerders, marketeers of tussenpersonen in letselschade of
zorgdienstverleningen. Ondernemers in deze branches werken met privacygevoelige
informatie zoals patiënten- of klantendossiers. Sommige bedrijven hebben een
Functionaris Gegevensbescherming aangesteld die het implementeren van de wet
AVG in goede banen leidt.
Alles over de nieuwe AVG 27
Grote kans dat je voor het opslaan of verwerken van persoonlijke gegevens
gebruikmaakt van andere partijen, zoals bijvoorbeeld het opslaan van gegevens in
Dropbox of Google Drive.
In de AVG worden deze partijen ‘verwerkers’ genoemd (of processors in het Engels).
Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van
persoonsgegevens door deze verwerkers.
verWerkersovereenkomsten/data processing agreementsMet elke partij die namens jou persoonsgegevens verwerkt, moet je een
verwerkersovereenkomst afsluiten (in de WBP heette dit een ‘bewerkers’
overeenkomst en in het Engels zeg je ‘data processing agreement’). Sla je dus
gegevens op in Dropbox? Dan moet je een verwerkersovereenkomst sluiten met
Dropbox. Hetzelfde geldt voor je softwarebedrijf waarmee je nieuwsbrieven
verstuurt, offertes opmaakt en facturen verstuurt. Oók met je boekhouder als die
jouw facturen inziet.
moet je echt met elke cloudleverancier een verWerkersovereenkomst afsluiten?? ja, in principe Wel!
Concentreer je echter eerst op de grote en belangrijkste partijen waar je data aan
verstrekt. Denk bijvoorbeeld aan Google Analytics, Shopify, Mailchimp, Livechat,
Salesforce, Hootsuite, Zendesk, Hotjar of Hubspot. Zij zijn in de regel al druk bezig
met het implementeren van de AVG en hebben nu (of binnenkort)
verwerkersovereenkomsten klaarstaan.
Overleg daarnaast ook met je belangrijkste Nederlandse datapartners. Denk
bijvoorbeeld aan een marketingbureau of externe klantenservice.
6. sluit verwerkers-overeenkomsten af
28 Alles over de nieuwe AVG
Wat moet er in een verWerkersovereenkomst staan?Kortweg: hoe de verwerker de persoonsgegevens verwerkt en beveiligt.
Om te beginnen is het belangrijk dat het soort verwerking, het doel en de duur van
de verwerking duidelijk beschreven staan.
• Ook het soort persoonsgegevens zet je in de overeenkomst.
• Verwerking vindt plaats op basis van jouw schriftelijke instructies.
• Uitbesteding aan subverwerkers mag alleen na jouw toestemming.
• De verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden.
• Mensen werkzaam bij/voor de verwerker hebben een geheimhoudingsplicht.
• Welke passende beveiligingsmaatregelen de verwerker neemt.
• Hoe de verwerker betrokkenen helpt met hun privacyrechten.
• Na de werkzaamheden worden persoonsgegevens weer verwijderd.
• Dat de verwerker desgevraagd meewerkt aan audits.
een voorBeeld van een verWerkersovereenkomst?Op de site van FNV Zelfstandigen vind je een model voor een
verwerkersovereenkomst. Dit model is voor leden van FNV Zelfstandigen gratis te
downloaden.
privacy By designPrivacy by design houdt in dat je er al bij het ontwikkelen en ontwerpen van
producten en diensten voor zorgt dat persoonsgegevens goed worden beschermt.
Daarnaast betekent privacy by design ook dat je je data minimaliseert: je verwerkt
zo min mogelijk persoonsgegevens, alleen de gegevens die nodig zijn voor wat je
verwerkt, én dat je ze niet langer dan nodig bewaart.
privacy By defaultPrivacy by default houdt in dat je technische en organisatorische maatregelen
moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens
verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
registerAlles wat je wel nodig hebt moet je in een register zetten, inclusief opgaaf van
reden. Dus wat je opslaat, waar, waarom en hoe lang. Ook moet je een
Alles over de nieuwe AVG 29
bewerkersovereenkomst afsluiten met de organisaties die persoonsgegevens
verwerken. Denk hierbij bijvoorbeeld aan een CRM-systeem in de cloud. Deze kun je
het beste zelf laten maken en aanbieden want anders moet je steeds de
overeenkomst van een ander accepteren.
Alles over de nieuwe AVG 31
Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en
verbeterde privacyrechten. Dat betekent dat bedrijven, en jij als zzp’er, ervoor
moeten zorgen dat mensen hun privacyrechten goed kunnen uitoefenen.
Denk daarbij aan de al bestaande rechten die mensen van wie je persoonsgegevens
bewaart al hebben, zoals het recht op inzage en het recht op correctie en
verwijdering. Maar houd ook rekening met nieuwe rechten, zoals het recht op
dataportabiliteit. Bij dit recht moet je er als bedrijf voor zorgen dat mensen wiens
gegevens je hebt hun gegevens makkelijk kunnen krijgen en vervolgens kunnen
doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de
Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop je met
hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
in het kort: Mensen krijgen onder de AVG meer mogelijkheden om voor zichzelf op te komen als
hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden
uitgebreid en er gelden twee nieuwe rechten (dataportabiliteit en vergetelheid, zie
volgend hoofdstuk).
hoe Bereid je je voor?Ten eerste zul je moeten bekijken welke gegevens je verzamelt. Dat zijn er meer
dan je in eerste instantie denkt. Denk bijvoorbeeld aan een CRM-systeem, Excel-
lijsten met gegevens van mensen, de mailinglijst voor een nieuwsbrief, maar ook
papieren documenten met gegevens. Een eerste uitgangspunt binnen de
privacywetgeving is om alles wat je niet strikt noodzakelijk hoeft op te slaan of te
bewerken, weggooit. Dit scheelt al heel veel gedoe. Het is vervolgens belangrijk
dat je niet meer gegevens verzamelt dan noodzakelijk zijn voor het doel waar je ze
voor nodig hebt. En dat je de gegevens niet langer bewaart dan nodig. De gegevens
die je nodig hebt, moet je in een register zetten, en een opgaaf van reden geven:
houd bij wat je opslaat, waar je dat opslaat, waarom en hoe lang je het opslaat. Ook
moet je een bewerkersovereenkomst afsluiten met de organisaties die
persoonsgegevens verwerken. Denk dan aan een crm-systeem in de cloud of je
salarisadministratiekantoor.
7. verbeterDe recHten van personen
Alles over de nieuwe AVG 33
1. recHt op DataportabiliteitEen van de twee nieuwe rechten is het recht op dataportabiliteit, het recht om
(alleen digitale) persoonsgegevens over te dragen. Het houdt in dat mensen het
recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen
heeft.
Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere
leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens
rechtstreeks over te dragen aan een andere organisatie. Het gaat alleen om
digitale gegevens, dus geen papieren dossiers. En het gaat om persoonsgegevens
die je als organisatie met toestemming van de betrokkene verwerkt en om
persoonsgegevens die als overeenkomst met de betrokkene uitvoert. Denk
bijvoorbeeld aan gegevens die je bijhoudt over hoe vaak mensen iets bij je besteld
hebben, of informatie over mensen om ze een nieuwsbrief toe te sturen.
Mensen hebben nu al (voor 25 mei) het recht om inzage te vragen in de
persoonsgegevens die een organisatie voor hen verwerkt. Maar organisaties
kunnen zelf beslissen hoe ze de gegevens ter inzage geven. Ze kunnen er
bijvoorbeeld ook voor kiezen om de gegevens niet aan de betrokkene te
verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te
komen inzien.
Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in
een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te
hergebruiken en door te geven aan een andere organisatie. Organisaties zijn
daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en
machineleesbaar formaat te verstrekken.
Wat Betekent dit voor jou als zzp’er?Dat betekent dat je vanaf 25 mei verzoeken kunt krijgen van je klanten om hun
persoonsgegevens beschikbaar te stellen. Je bent dan wettelijk verplicht om de
gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te
verstrekken.
8. wat ziJn De (nieuwe) recHten van een persoon?
34 Alles over de nieuwe AVG
Je kunt je hierop voorbereiden door alvast na te denken over hoe je de gegevens
beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee je klanten hun
gegevens direct op een beveiligde manier kunnen downloaden.
Ook moet je ervoor zorgen dat je klanten hun gegevens direct kunnen doorgeven
aan een andere organisatie. Dit kun je bijvoorbeeld doen met een application
programming interface (API), waarmee je een verbinding mogelijk maakt tussen
jouw systeem of applicatie en dat van een andere partij.
Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens
opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.
Welke gegevens moet je straks aan je klanten verstrekken?
Je moet alle persoonsgegevens beschikbaar stellen die je klanten aan jou hebben
verstrekt. Maar dit moet je ruim opvatten. Het gaat hierbij niet alleen om gegevens
die klanten actief en bewust aan jou hebben gegeven, zoals de accountgegevens
(e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben
ingevuld.
Het gaat ook om de gegevens die klanten aan je hebben ‘verstrekt’ door jouw
dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of
locatiegegevens van je klanten. Of andere (ruwe) data als de hartslag die via een
fitnesstracker is vastgelegd.
afgeleide gegevensJe hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te
verstrekken, dat wil zeggen gegevens die je zelf hebt gegenereerd door
bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat je van een
klant hebt opgesteld.
Let op: deze gegevens moet je bij een inzageverzoek wél verstrekken.
Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en
begrijpelijke manier laten weten:
• of de organisatie zijn persoonsgegevens gebruikt, en zo ja:
• om welke gegevens het gaat
• wat het doel is van het gebruik
• aan wie de organisatie de gegevens eventueel heeft verstrekt
• wat de herkomst is van de gegevens, als deze bekend is
Alles over de nieuwe AVG 35
hoe moet je die gegevens verstrekken?De AVG bevat geen regels voor de specifieke formaten (extensies zeg maar), waarin
je de gegevens moet verstrekken. De persoonsgegevens moeten worden
overgedragen in een ‘gestructureerd, veelgebruikt en machineleesbaar’ formaat.
Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen
hergebruiken.
Daarom moet je niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk
relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc.
Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk
bewaard.
Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De
Europese toezichthouders doen een oproep aan alle belanghebbenden en
brancheorganisaties om samen te werken aan een set van standaarden en
formaten/extensies om het recht op dataportabiliteit vorm te geven.
2. recht op vergetelheidHet tweede nieuwe recht is het recht op vergetelheid, ofwel het recht om
‘vergeten’ te worden. Dit recht houdt in dat organisaties in een aantal gevallen
persoonsgegevens moeten wissen als een betrokkene (diegene van wie de
organisatie gegevens verwerkt) erom vraagt.
Voorwaarden recht op vergetelheid
Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het
recht op vergetelheid van toepassing:
* als een organisatie de persoonsgegevens niet meer nodig heeft voor de
doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie
ze verwerkt.
* Als de betrokkene eerder (uitdrukkelijke) toestemming heeft gegeven aan de
organisatie, maar die toestemming nu intrekt.
* Wanneer de betrokkene bezwaar maakt tegen de verwerking.
* Wanneer de organisatie de persoonsgegevens onrechtmatig verwerkt.
* De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
* Wanneer de betrokkene jonger dan 16 jaar is en de persoonsgegevens zijn
verzameld via een app of website.
36 Alles over de nieuwe AVG
Wat doe je als je een verzoek krijgt de gegevens te Wissen?Wanneer iemand je, op grond van het recht op vergetelheid, vraagt om zijn of haar
gegevens te wissen, dan moet je dat onmiddellijk doen, uiterlijk binnen een maand.
Alleen als het om een heel complex verzoek gaat, heb je twee maanden extra de
tijd. Je moet dan wel binnen een maand aan de betrokkene laten weten dat het
langer gaat duren.
manier van reagerenAls een betrokkene het verzoek elektronisch indient, moet je ook elektronisch
reageren. Tenzij de betrokkene je vraagt om op een andere manier te reageren.
kostenJe mag in principe géén kosten berekenen. Maar kun je bewijzen dat een verzoek
ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)?
Dan mag je een redelijke administratieve vergoeding vragen. Of het verzoek
weigeren.
derde partijen informerenHeb je de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet je
die ontvangers informeren dat je deze persoonsgegevens hebt gewist. En
uitleggen dat ook de ontvangers iedere kopie van, of koppeling naar die
persoonsgegevens moeten wissen.
Publiceer je bijvoorbeeld persoonsgegevens via een website? Dan moet je
zoekmachines informeren. Je kunt daarbij de webpagina opnieuw laten indexeren,
zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.
Als een betrokkene erom vraagt, moet je ook vertellen welke ontvangers je op die
manier hebt geïnformeerd (artikel 19 van de AVG).
hoe zit het met gegevens op Back-ups?Vallen back-ups ook onder het recht op vergetelheid?
Ja. Je moet het recht op vergetelheid ook toepassen op digitale back-upbestanden.
Vraagt iemand je om zijn gegevens te wissen?
Dan moet je zijn persoonsgegevens dus ook zo snel mogelijk uit je back-ups
verwijderen.
Alles over de nieuwe AVG 37
eisen aan Back-ups met Betrekking tot de avgo Inventariseer van welke gegevens je back-ups moet bijhouden, bijvoorbeeld
vanwege je beveiligingsbeleid. Houd er rekening mee dat je alleen gegevens mag
verwerken die noodzakelijk zijn voor het doel van je verwerking (zie artikel 5 van
de AVG). Je moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is
onderdeel van je verantwoordingsplicht.
o Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.
o Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is
voor back-ups van je specifieke dienstverlening. Bijvoorbeeld: je bewaart
persoonsgegevens van klanten 1 jaar in je reguliere systemen, maar hanteert
aanvullend een bewaartermijn van 3 maanden voor je back-ups.
o Richt je back-upsysteem zo in dat je verwijderverzoeken van betrokkenen ook
kunt doorvoeren in dit systeem.
o Is het noodzakelijk voor je dienstverlening om back-ups te maken die moeilijk of
niet overschrijfbaar zijn, zoals tapes? Dan kun je de persoonsgegevens niet
verwijderen uit de back-ups. Zorg dan wel dat je goed bijhoudt welke
persoonsgegevens je had moeten verwijderen. Is het onverhoopt nodig om een
back-up terug te zetten? Dan moet je deze gegevens alsnog verwijderen.
uitzonderingenEr zijn ook uitzonderingen op het recht op vergetelheid. Je hoeft de betreffende
persoonsgegevens bijvoorbeeld niet uit je back-ups te verwijderen als je wettelijk
verplicht bent om de gegevens een bepaalde tijd te bewaren. Of als je ze moet
archiveren in het algemeen belang.
3. het recht op inzageEen onder de oude wet al bestaand recht is het recht op inzage. Dat is het recht van
mensen om precies te weten welke gegevens je over hen hebt verzameld. Ook
mogen ze deze data op elk gewenst moment inzien of laten verwijderen.
De AVG geeft mensen (personen) in principe meer zeggenschap over hun
persoonsgegevens. Ze hebben het recht om je te vragen welke gegevens je van
hen hebt. Ze mogen je ook vragen deze gegevens in te zien. In de AVG (artikel 15)
staat dit recht beschreven als ‘recht op inzage’.
38 Alles over de nieuwe AVG
Bij inzageverzoeken moet je ook laten Weten:
• Waarom je bepaalde gegevens verwerkt.
• Welke soorten persoonsgegevens je verzamelt.
• Indien van toepassing: aan welke organisaties je de persoonsgegevens doorgeeft.
Dit geldt ook voor gegevens die je doorgeeft aan organisaties in andere landen of
aan internationale organisaties.
• Hoe lang je de persoonsgegevens bewaart. Als je dat niet precies kunt aangeven,
moet je duidelijk kunnen maken op basis waarvan je een bewaartermijn bepaalt.
• Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te
laten wijzigen, aanvullen of wissen, om je te vragen om minder persoonsgegevens
te verwerken en om bezwaar te maken als je hun persoonsgegevens verwerkt.
• Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit
Persoonsgegevens.
• Indien van toepassing: van welke organisatie je persoonsgegevens hebt
ontvangen als je deze niet zelf hebt verzameld bij de betrokken personen.
• Indien van toepassing: op basis van welke logica je een geautomatiseerd besluit
over iemand neemt.
4. het recht op rectificatie en aanvullingDe AVG geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen.
Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht
beschreven als ‘recht op rectificatie’.
Je bent er verantwoordelijk voor dat de persoonsgegevens die je verwerkt juist zijn.
En dat je deze gegevens actualiseert als dat nodig is.
Zijn persoonsgegevens, gelet op de doeleinden waarvoor je die verwerkt, onjuist?
Dan ben je verplicht om alle redelijke maatregelen te nemen om die gegevens te
rectificeren of aan te vullen. Dus ook als iemand je erop wijst dat zijn gegevens niet
kloppen. Of onvolledig zijn.
derde partijen informerenHeb je onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan
moet je de aangepaste of aangevulde gegevens ook aan deze organisaties
doorgeven. Als een betrokkene daar om vraagt, moet je ook vertellen welke
organisaties je op die manier hebt geïnformeerd.
Alles over de nieuwe AVG 39
5. het recht op Beperking van de verWerkingDe AVG geeft mensen in bepaalde situaties het recht op beperking van het gebruik
van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht
op beperking van de verwerking’.
Het recht op beperking van de verwerking geldt in situaties die voldoen aan een
van de volgende criteria:
• Gegevens zijn mogelijk onjuist
Geeft iemand aan dat jouw organisatie onjuiste persoonsgegevens gebruikt? Dan
mag je deze gegevens niet gebruiken zolang je nog niet hebt gecontroleerd of de
gegevens wel kloppen.
• De verwerking is onrechtmatig
Je mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat je de
gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
• Gegevens zijn niet meer nodig
Je hebt de persoonsgegevens niet meer nodig voor het doel waarvoor je ze hebt
verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor
een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
• Betrokkene maakt bezwaar
Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet
je stoppen met deze gegevens te verwerken. Tenzij je dwingende gerechtvaardigde
gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen,
rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of je gronden
zwaarder wegen, mag je de gegevens niet verwerken.
derde partijen informerenHeb je de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet
je deze organisaties laten weten dat je het gebruik van deze gegevens hebt
beperkt. En dat zij dat dus ook moeten doen. Als iemand van wie je persoonsgege-
vens verwerkt erom vraagt, moet je ook vertellen welke organisaties je op die
manier hebt geïnformeerd.
40 Alles over de nieuwe AVG
6. het recht van BezWaarVerwerk je persoonsgegevens op grond van een taak van algemeen belang? Of op
grond van een gerechtvaardigd belang? Dan hebben de betrokkenen – de mensen
van wie jij gegevens verwerkt – altijd het recht om bezwaar te maken tegen deze
verwerking van hun gegevens.
verWerking stoppen of BeperkenMaakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet
je stoppen met deze gegevens te verwerken.
Tenzij je dwingende gerechtvaardigde gronden voor de verwerking aanvoert die
zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die
te maken hebben met een rechtsvordering.
let op: zo lang nog niet duidelijk is of jouW gronden zWaarder Wegen, mag je de Betreffende gegevens niet verWerken. je stelt dan een Beperking van de verWerking in.
direct marketingGebruik je persoonsgegevens voor direct marketing? Dan hebben betrokkenen
altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering
voor deze marketingdoeleinden.
Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct
marketing? Dan moet je hier hoe dan ook direct mee stoppen.
informeren over recht van BezWaarJe moet betrokkenen informeren over het recht op bezwaar. Dit moet je uiterlijk op
het moment van het eerste contact met de betrokkene doen. Je moet deze
informatie duidelijk en gescheiden van andere informatie aanbieden.
Alles over de nieuwe AVG 41
7. het recht op een ‘menselijke Blik’ Bij BesluitenDit recht wordt ook wel het recht met betrekking tot geautomatiseerde
besluitvorming en profilering genoemd. Sommige organisaties nemen een besluit
op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij
profilering. De AVG geeft mensen recht op een menselijke blik bij besluiten die over
hen gaan.
Voorbeelden zijn de automatische weigering van een online ingediende
kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke
tussenkomst.
Wil je een besluit nemen op basis van automatisch verwerkte gegevens? En zitten
daar voor de betrokken persoon consequenties aan? Dan heeft deze persoon het
recht zich te beroepen op dit artikel. Dat betekent dat je een nieuw besluit moet
nemen waarbij een mens de gegevens heeft beoordeeld.
Alles over de nieuwe AVG 43
Onder de AVG heb je een informatieplicht. Dat betekent dat je verplicht bent om
nieuwe en bestaande klanten duidelijk te informeren over wat je met hun
persoonsgegevens doet. In de praktijk is een online privacyverklaring de meest
handige manier om hier aan te voldoen.
Iedereen waarvan je gegevens opslaat heeft inzagerecht. Dit betekent dat je alle
gegevens waarover je beschikt, moet kunnen vrijgeven, vernietigen of overdragen.
Richt hiervoor dus een goed proces in.
hoe Wijs je mensen op je privacyverklaring?In de AVG staat dat je de informatie over je verwerkingen in principe schriftelijk
moet geven. De beste manier om er zeker van te zijn dat je informatie voor de
meeste mensen goed vindbaar is, is het publiceren van een online
privacyverklaring. Daarnaast mag je andere middelen inzetten. Zoals het tonen van
pop-ups met een toelichting bij elke toestemmingsvraag.
Let op: verwerk je persoonsgegevens maar heb je geen (online) privacyverklaring?
Dan moet je ervoor zorgen dat je de betrokken personen op een andere manier de
vereiste informatie geeft.
verantWoordingsplichtOnder de AVG geldt de verantwoordingsplicht. Dat betekent dat je aan de Autoriteit
Persoonsgegevens (AP) moet kunnen aantonen dat je aan de AVG voldoet. Je moet
onder meer kunnen laten zien dat je mensen goed hebt geïnformeerd over de
verwerking van hun persoonsgegevens. Je kunt hiervoor je privacyverklaring
gebruiken.
hoe stel je een privacyverklaring op?De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet
voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid
van de informatie.
9. De privacyverklaring
44 Alles over de nieuwe AVG
Wat moet er in een privacyverklaring staan? In het document moet je in ieder geval de volgende informatie geven:
• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke.
• De contactgegevens van de Functionaris Gegevensbescherming, als je die hebt.
• De doelen en rechtsgrond van de verwerking, en als je je beroept op een
gerechtvaardigd belang: op welk belang je je beroept.
• De (categorieën van) ontvangers van de persoonsgegevens.
• Of je van plan bent de persoonsgegevens door te geven buiten de EU of een
internationale organisatie en op welke juridische grond.
• De bewaartermijn van de gegevens.
• De rechten van de betrokkene, zoals het recht op inzage, correctie en
verwijdering.
• Het recht van de betrokkene om de gegeven toestemming voor een bepaalde
verwerking altijd in te kunnen trekken.
• Dat de betrokkene een klacht kan indienen bij de relevante
privacytoezichthouder.
• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en
wat de gevolgen zijn als de gegevens niet worden verstrekt.
• Of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering,
en hoe je besluiten neemt.
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de
persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn
van openbare bronnen.
hoe zorg je dat je privacyverklaring toegankelijk is? In de AVG staat dat je de informatie over je verwerkingen in principe schriftelijk
moet geven. De beste manier om er zeker van te zijn dat je informatie voor de
meeste mensen goed vindbaar is, is het publiceren van een online
privacyverklaring.
tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kun je de verklaring in meerdere lagen opstellen.
Alles over de nieuwe AVG 45
BijvoorBeeld:
1. Je geeft kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is
en welke gegevensverwerkingen de meeste impact hebben op de betrokken
personen.
2. Je geeft meer in detail aan welke persoonsgegevens je voor welk doel verwerkt
en hoe mensen hun rechten kunnen uitoefenen.
duidelijke taalDe informatie over de gegevensverwerking moet beknopt, transparant en
begrijpelijk zijn. Daarom moet je duidelijke en eenvoudige taal gebruiken. Dat
betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats je in de
lezer.
Richt je je tot kinderen onder de zestien jaar? Of weet je dat kinderen je diensten
veel gebruiken? Dan moet je de woordkeuze, toon en stijl van de informatie
aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze
de informatie kunnen begrijpen.
is een privacyverklaring verplicht?Onder de Algemene verordening gegevensbescherming (AVG) heb je een
informatieplicht. Dat betekent dat je verplicht bent om nieuwe en bestaande
klanten duidelijk te informeren over wat je met hun persoonsgegevens doet.
46 Alles over de nieuwe AVG
Aan de informatie uit deze brochure kunnen geen rechten worden ontleend. FNV Zelfstandigen heeft bij de samenstelling van deze brochure de grootst mogelijke zorgvuldigheid betracht, maar is niet verantwoordelijk en kan niet aansprakelijk gehouden worden voor directe of indirecte schade ten gevolge van eventuele fouten, omissies, onvolledigheden, onduidelijkheden, innerlijke tegenstrijdigheden of het niet meer actueel zijn van de in deze brochure opgenomen informatie’.
Download en lees ook de Algemene Voorwaarden voor individuele rechtsbijstand
van FNV. Bezoek de website van FNV Zelfstandigen en blijf goed geïnformeerd:
www.fnvzzp.nl.
© FNV Zelfstandigen 2018