Handleiding Privacy Wetgeving GPDR - AVG · juiste manier omgaan met jouw (bedrijfs) gegevens. Hier...

Disclaimer: aan dit document kunnen geen rechten worden ontleend. De algemene voorwaarden van Oostkracht

BV zijn van toepassing. Deze zijn te downloaden of in te zien via deze link. Pagina 1 van 19

Handleiding Privacy Wetgeving GPDR - AVG

▪ Auteur: Eric Bonnes - Oostkracht BV

Bronvermelding

▪ Bron: Rijksoverheid

▪ Bron: Exact

http://www.oostkracht.nl/contact-oostkracht/



Inhoudsopgave

Rijksoverheid- Checklist| Geld GDPR voor u? ..................................................................................... 3

Rijksoverheid- Checklist|Welke wet is op u van toepassing? ............................................................. 4

Rijksoverheid- Checklist| Ben ik verwerkingsverantwoordelijke of verwerker? ................................ 5

Rijksoverheid- Checklist| Is mijn gegevensverwerking rechtmatig? ................................................... 6

Rijksoverheid- Checklist| Wanneer moet ik de betrokkene informeren? .......................................... 7

Rijksoverheid- Checklist| Wat zijn de plichten van de verwerkingsverantwoordelijke? .................... 8

Rijksoverheid- Checklist| Wat zijn de plichten van de verwerker? ..................................................... 9

Rijksoverheid- Checklist| Welke informatie moet u verstrekken aan de betrokkene? .................... 10

Rijksoverheid- Checklist| Eisen aan de verwerkersovereenkomst ................................................... 11

Documentatie Exact software ........................................................................................................... 12

Webinar ......................................................................................................................................... 12

Achtergronden .............................................................................................................................. 12

Statement met betrekking tot security en GDPR .......................................................................... 12

Wat is georganiseerd t.b.v. GDPR/ AVG binnen mijn Exact software? ............................................. 13

Achtergrondinformatie Advisie - Oostkracht .................................................................................... 14

Wat zijn persoonsgegevens? ......................................................................................................... 14

Wat wordt onder verwerking van persoonsgegevens verstaan?.................................................. 14

Ben ik verwerkingsverantwoordelijke of verwerker? ................................................................... 14

Wanneer is een verwerkersovereenkomst op mij van toepassing? ............................................. 15

Welke rechten hebben personen? ................................................................................................ 15

Wanneer heb ik toestemming nodig om persoonsgegevens te verwerken? ............................... 16

Wat is de registerplicht? ................................................................................................................ 16

Wat is een datalek en welke maatregelen moet ik nemen? ......................................................... 16

Wat kun je zelf doen aan voorbereidingen? ................................................................................. 17

Informeer de interne organisatie over hoe om te gaan met persoonsgegevens ......................... 17

Tenslotte ........................................................................................................................................ 17

Praktisch | Personeel registeren categorieën ................................................................................... 18

Verwerken van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot

persoonsgegevens, waaronder in ieder geval het registreren: ........................................................ 18

Nieuwsbrief ....................................................................................................................................... 18

Datalekken registreren ...................................................................................................................... 18

Verplichte registraties ....................................................................................................................... 18




Rijksoverheid- Checklist| Geld GDPR voor u?




Rijksoverheid- Checklist|Welke wet is op u van toepassing?




Rijksoverheid- Checklist| Ben ik verwerkingsverantwoordelijke of verwerker?




Rijksoverheid- Checklist| Is mijn gegevensverwerking rechtmatig?




Rijksoverheid- Checklist| Wanneer moet ik de betrokkene informeren?




Rijksoverheid- Checklist| Wat zijn de plichten van de verwerkingsverantwoordelijke?

Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen: de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn

(“rechtmatigheid, behoorlijkheid en transparantie”); de verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”); de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is

(“minimale gegevensverwerking”); de gegevens moeten juist zijn (“juistheid”); de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”); gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”). De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet

ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe:

een register van verwerkingsactiviteiten bij te houden (de registerplicht); onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen; voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren; de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging); bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default); passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens; in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde

omstandigheden ook bij de betrokkenen; afspraken te maken met verwerkers. medewerking te verlenen aan de Autoriteit Persoonsgegevens.

Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in te vullen (zie Checklist 3 en Hoofdstuk 7).




Rijksoverheid- Checklist| Wat zijn de plichten van de verwerker?

De belangrijkste plichten op grond van de Verordening voor de verwerker zijn: de verwerker mag alleen handelen in opdracht van de verwerkingsverantwoordelijke; de verwerker wordt verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hij

verwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht); de verwerker moet passende technische en organisatorische beveiligingsmaatregelen nemen die een

passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen;

de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van de verwerkingsverantwoordelijke;

de verwerker moet de verwerkingsverantwoordelijke onverwijld op de hoogte stellen van een datalek; de verwerker is verplicht medewerking te verlenen bij een verzoek van de toezichthouder (Autoriteit Persoonsgegevens) in het kader van de uitoefening van diens taken; de verwerker dient in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.




Rijksoverheid- Checklist| Welke informatie moet u verstrekken aan de betrokkene?

U verzamelt de gegevens bij de betrokkene zelf Wanneer u de gegevens bij de betrokkene zelf verzamelt, dan moet u tenminste de volgende informatie verstrekken bij de verkrijging: uw identiteit en uw contactgegevens, of de contactgegevens van uw vertegenwoordiger; indien u een functionaris voor de gegevensbescherming hebt aangesteld, de contactgegevens van deze functionaris; de doelen waarvoor u persoonsgegevens verwerkt; de grondslag waarop u de verwerking baseert; wanneer u de verwerking baseert op de grondslag ‘gerechtvaardigd belang’: wat uw gerechtvaardigd

belang is; de eventuele ontvangers of categorieën ontvangers van de gegevens; in geval van verstrekking aan derde landen:

o of er een adequaatheidsbesluit van de Commissie bestaat, o of passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden

verkregen, dan wel waar die waarborgen kunnen worden geraadpleegd; de bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan; de rechten van de betrokkene (beschreven in hoofdstuk 7); in het geval van toestemming, dat de betrokkene die toestemming altijd weer kan intrekken; dat de betrokkene het recht heeft een klacht in te dienen over uw verwerking bij de Autoriteit

Persoonsgegevens; of het verwerken van persoonsgegevens een wettelijke verplichting is of noodzakelijk is voor de

uitvoering of het aangaan van een overeenkomst, of de betrokkene verplicht is die gegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van die gegevens voor de betrokkene;

in geval van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica, het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkene.

o Verder moet alle andere informatie worden verstrekt die noodzakelijk is om tegenover de betrokkene een

behoorlijke en transparante verwerking te waarborgen. U moet zelf bepalen welke aanvullende informatie naast deze verplichte elementen het eventueel zou betreffen.

o Als u de persoonsgegevens voor andere doelen verder gaat verwerken, moet u de betrokkene opnieuw

informeren over dat nieuwe doel en opnieuw alle hierboven genoemde informatie verstrekken, behalve voor zover de betrokkene al van die informatie op de hoogte is.

U verkrijgt de gegevens buiten de betrokkene om o Wanneer u gegevens verzamelt buiten de betrokkene om, dan moet u in beginsel dezelfde informatie

verstrekken als wanneer u de gegevens van de betrokkene zelf heeft gekregen. Het enige dat u moet toevoegen is de bron waaruit de persoonsgegevens zijn verkregen. Als de bron van de informatie niet kan worden vastgesteld dient u algemene informatie over de herkomst te verstrekken.




Rijksoverheid- Checklist| Eisen aan de verwerkersovereenkomst

In een verwerkersovereenkomst dienen tenminste de volgende zaken te worden vermeld: het onderwerp en de duur van de verwerking; de aard en het doel van de verwerking; het soort persoonsgegevens en de categorieën van betrokkenen; de rechten en verplichtingen van de verwerkingsverantwoordelijke. Verder dient in de verwerkersovereenkomst te worden bepaald dat de verwerker: de persoonsgegevens alleen verwerkt onder de schriftelijke instructies van de

verwerkingsverantwoordelijke, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);

waarborgt dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;

minimaal hetzelfde niveau van beveiliging van de persoonsgegevens hanteert als de verwerkingsverantwoordelijke;

de verwerkingsverantwoordelijke alle mogelijke ondersteuning biedt bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen;

de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen op het gebied van de beveiliging van persoonsgegevens en de meldplicht datalekken;

na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens wist of teruggeeft, en bestaande kopieën verwijdert;

de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;

afspraken met betrekking tot sub-verwerkers maakt.




Documentatie Exact software

Webinar

Webinar: https://www.exact.com/nl/software/webinar/?videoid=256406152

Achtergronden

Bron Exact software: https://www.exact.com/nl/software/biz-box/financieel/4091-de-general-data-

protection-regulation-gdpr-wat-betekent-dit-voor-jouw-bedrijf/

Statement met betrekking tot security en GDPR

Bron:

https://www.exact.com/nl/blog/nieuws/3842-statement-met-betrekking-tot-security-en-gdpr/

Statement met betrekking tot security en GDPR

Geschreven door Redactie op 11 december 2017. Gepost in Nieuws

Veiligheid van informatie en privacy zijn onze belangrijkste assets. Het is in ons grootste belang dat je vertrouwen hebt in hoe wij met jouw financiële informatie en persoonsgegevens omgaan. Dat kan alleen als onze software goed en veilig werkt, onze interne processen en beleid kloppen en als onze medewerkers op de juiste manier omgaan met jouw (bedrijfs) gegevens. Hier werken we continu aan.

Op 25 mei 2018 moet elk bedrijf dat persoonsgegevens van Europese burgers verwerkt, voldoen aan de General Data Protection Regulation (“GDPR”) in het Nederlands ook wel de Algemene verordening gegevensbescherming (“AVG”) genoemd. Ook jouw bedrijf zal hiermee te maken krijgen.

In een wereld waarin geldende regelgeving voortdurend aan verandering onderhevig is, streven wij er altijd naar dat onze oplossingen voldoen aan alle relevante weten regelgeving. Daarbij passen wij, indien nodig, ook onze interne procedures en de communicatie aan. Zodat we je - nu en in de toekomst - zoveel als redelijkerwijze mogelijk in lijn met de nieuwste weten regelgeving kunnen blijven bedienen.

Op dit moment zijn de voorbereidingen op de implementatie van de nieuwe Europese algemene verordening gegevensbescherming, de GDPR, in volle gang. We verwachten ruim voor de inwerkingtreding van de GDPR op 25 mei 2018 alle aanpassingen te hebben doorgevoerd in onze eigen interne processen.

Om als klant van Exact te kunnen voldoen aan de nieuwe regelgeving bieden we in de software verschillende mogelijkheden om volgens de richtlijnen met persoonsgegevens om te gaan. Daarnaast werken we aan het ontwikkelen van tools die klanten kunnen helpen bij het voldoen aan verplichtingen rondom GDPR.

Voor meer details over hoe wij de veiligheid van informatie en privacy waarborgen, verwijzen we je naar de geldende algemene voorwaarden van Exact en ons information security statement. Uiteraard kun je ook altijd contact met ons opnemen voor een persoonlijke toelichting op hoe we jouw privacy en veiligheid waarborgen.


https://www.exact.com/nl/software/webinar/?videoid=256406152

https://www.exact.com/nl/software/biz-box/financieel/4091-de-general-data-protection-regulation-gdpr-wat-betekent-dit-voor-jouw-bedrijf/

https://www.exact.com/nl/software/biz-box/financieel/4091-de-general-data-protection-regulation-gdpr-wat-betekent-dit-voor-jouw-bedrijf/

https://www.exact.com/nl/blog/nieuws/3842-statement-met-betrekking-tot-security-en-gdpr/

https://www.exact.com/nl/blog/nieuws



Wat is georganiseerd t.b.v. GDPR/ AVG binnen mijn Exact software?

Aandachtspunten Exact Globe klik hier

Aandachtspunten Exact Synergy Enterprise klik hier

Aandachtspunten Exact Online klik hier


https://www.exact.com/nl/gdpr/synergy/#step1

https://www.exact.com/nl/gdpr/synergy/#step1

https://www.exact.com/nl/gdpr/exact-online/



Achtergrondinformatie Advisie - Oostkracht

Om de verwerking van persoonsgegevens in goede banen te leiden en misbruik te voorkomen is de huidige privacywetgeving op Europees niveau aangepast. Binnen de Europese Unie geldt vanaf 25 mei 2018 de nieuwe privacywet: General Data Protection Regulation (GDPR). In Nederland wordt deze wet nader geregeld in de Algemene Verordening Gegevensbescherming (AVG). De AVG is er gekomen om ons garanties te geven dat er vertrouwelijk wordt omgegaan met onze persoonsgegevens. Deze regels moeten voorkomen dat onze gegevens niet zomaar gebruikt worden voor doeleinden waarvan we geen weet hebben of waarvoor we niet willen dat ze gebruikt worden. Dit betekent dat als je als bedrijf persoonsgegevens verwerkt, je moet voldoen aan de regels van de AVG. Voldoe je niet aan deze regels dan kunnen hoge boetes het gevolg zijn. Iedere organisatie krijgt hiermee te maken. De AVG is niet iets eenmaligs, maar dient voortaan een vast onderdeel van je bedrijfsvoering te zijn en te blijven.

Wat zijn persoonsgegevens?

Onder persoonsgegevens verstaan we ieder gegeven dat herleid kan worden naar een specifieke persoon. De AVG maakt een onderscheid in ‘gewone’ persoonsgegevens zoals bijvoorbeeld naam, telefoonnummer, adres, e-mailadres en ‘bijzondere’ persoonsgegevens. Denk hierbij aan nationale identificatienummers (Burger Service Nummer, paspoort/rijbewijs nr.), financiële gegevens (bankrekeningnummer) etc. Voor de verwerking van bijzondere persoonsgegevens gelden er strengere regels! Daarnaast zijn er nog persoonsgegevens die in de regel niet verwerkt mogen worden zoals gegevens over iemands geloofsovertuiging, politieke voorkeur of gezondheid. Deze gegevens mogen slechts in uitzonderlijke gevallen worden verwerkt.

Wat wordt onder verwerking van persoonsgegevens verstaan?

Bij een verwerking wordt al snel gedacht aan het opslaan, wijzigen of verwijderen van persoonsgegevens. Dat is correct, maar realiseer je dat ook het verzamelen, kunnen raadplegen, gebruiken en verstrekken van persoonsgegevens verwerkingen zijn!

Ben ik verwerkingsverantwoordelijke of verwerker?

Alvorens je begint te bepalen welke technische en organisatorische maatregelen je moet nemen, is het belangrijk om je eerst bewust te zijn van de rol die je speelt bij de verwerking van persoonsgegevens. Bepaal je zelf het doel waarvoor je de persoonsgegevens gaat verwerken? Dan ben je een ‘verwerkingsverantwoordelijke’. Verwerk je gegevens voor een verwerkingsverantwoordelijke? Dan ben je ‘verwerker’.




Wanneer is een verwerkersovereenkomst op mij van toepassing?

Als je verwerkingsverantwoordelijke bent en een derde partij voor jou verwerkingen uitvoert, is het noodzakelijk met deze partij een ‘verwerkersovereenkomst’ af te sluiten. De verantwoordelijkheid daarvoor ligt bij de verwerkingsverantwoordelijke. Maar ook als je zelf verwerkingen uitvoert voor een verwerkingsverantwoordelijke is het noodzakelijk een verwerkersovereenkomst af te sluiten. Hoewel dit de verantwoordelijkheid van de verwerkingsverantwoordelijke is, verdient het de aanbeveling voor beide overeenkomsten als organisatie zelf een ‘standaardovereenkomst’ te hebben. Dit om te voorkomen dat je alle verwerkersovereenkomsten van je relaties juridisch moet laten beoordelen. Brancheverenigingen en juristen bieden hiervoor standaard modelovereenkomsten. Let hierbij wel op dat specifieke situaties die alleen voor jouw organisatie gelden niet altijd in een modelovereenkomst worden ondervangen. Het is altijd raadzaam om je verwerkersovereenkomst door een jurist te laten toetsen.

Welke rechten hebben personen?

Vanaf 25 mei heeft iedere persoon van wie persoonsgegevens worden verwerkt het recht om deze gegevens in te zien, te corrigeren en te laten verwijderen. Als het technisch niet mogelijk is om gegevens te verwijderen, kun je deze ook anonimiseren. De gegevens blijven dan wel aanwezig maar zijn niet meer herleidbaar naar een specifieke persoon.

Als je vanuit een andere wet of regelgeving (bijvoorbeeld de belastingwet of een arbeidsovereenkomst) verplicht bent om bepaalde persoonsgegevens gedurende een bepaalde tijd te bewaren blijft anonimiseren toegestaan.

Daarnaast bestaat er nog het recht op ‘dataportabiliteit. Dit betekent dat een persoon jouw organisatie mag vragen om alle gegevens die je van deze persoon vastlegt of verwerkt over te dragen aan een derde partij.

Ook kent de wet ‘het recht om vergeten te worden’. Dit gaat een stap verder dan alleen het verwijderen of anonimiseren van gegevens. Het houdt namelijk ook in dat je derde partijen met wie de gegevens zijn gedeeld, moet verzoeken de gegevens van deze persoon te verwijderen. En eventuele openbare publicaties die je hebt gedaan waarin zijn of haar persoonsgegevens voorkomen eveneens verwijdert.




Wanneer heb ik toestemming nodig om persoonsgegevens te verwerken?

De wet kent een aantal gronden op basis waarvan je persoonsgegevens mag verwerken. Een veel voorkomende grond is het verwerken van persoonsgegevens omdat dit noodzakelijk is voor de uitvoering van een overeenkomst. Bijvoorbeeld het registreren van NAW-gegevens om een levering van een product of dienst te kunnen doen.

Een andere veel voorkomende grond is een wettelijke verplichting om persoonsgegevens te verwerken. Denk hierbij aan de verplichtingen die je als werkgever hebt om persoonsgegevens op grond van bijvoorbeeld de wet op de loonbelasting te verstrekken aan derden.

Wil je persoonsgegevens gebruiken voor bijvoorbeeld het versturen van een nieuwsbrief of doen van een aanbieding, dan heb je toestemming nodig. Eenmaal toestemming dan mag je vervolgens nieuwsbrieven naar je klant versturen op grond van een gerechtvaardigd belang dat je hierbij als organisatie hebt. Let er hierbij altijd op dat de belangen van betrokkenen in alle gevallen zwaarder wegen dan de belangen van de organisatie! De betrokkene moet geïnformeerd zijn over het belang, voor welk doel je de gegevens verwerkt en hoe lang je de gegevens gaat bewaren. Het verdient daarom aanbeveling je gegevensverwerking niet te gemakkelijk op deze grond te baseren. Vraag in dit geval liever eerst toestemming alvorens je informatie toestuurt. Ook voor het verkrijgen van toestemming is het belangrijk dat u betrokkenen vooraf goed informeert over het doel van gegevensregistratie, -verwerking en met welke partijen je de gegevens eventueel gaat delen. Het is niet toegestaan om bijvoorbeeld een vinkje voor toestemming al ingevuld aan te bieden. Degenen die toestemming verlenen moeten dit bewust doen en dus zelf de keuze aanvinken!

Wat is de registerplicht?

Als verwerkingsverantwoordelijke en/of verwerker ben je in vrijwel alle gevallen verplicht een register bij te houden van je verwerkingen. Dit betekent dat je bijhoudt welke categorieën persoonsgegevens je verwerkt, met welk doel, hoe lang je ze bewaart en de ontvangers van de gegevens zijn etc.

Wat is een datalek en welke maatregelen moet ik nemen?

Tegenwoordig horen we steeds vaker dat hackers proberen systemen plat te leggen of in te breken om gegevens te vergaren. Ook zonder kwaadwillende opzet kan er sprake zijn van een datalek. Een laptop of USB-stick met data erop wordt verloren of een email met persoonlijke gegevens is per ongeluk aan een ander verstuurd. Dit zijn ook voorbeelden van datalekken en vormen een serieus ondernemersrisico. Mocht je dit als bedrijf overkomen dan ben je verplicht om binnen 72 uur hiervan melding te maken bij de Autoriteit Persoonsgegevens en alle betrokkenen die het betreft. Daarnaast kent de wet de verplichting om een register bij te houden van alle datalekincidenten die zich hebben voorgedaan.




Wat kun je zelf doen aan voorbereidingen?

Er zijn verschillende stappenplannen te vinden op internet die je kunt doorlopen als voorbereiding op de AVG. De website van de Autoriteit Persoonsgegevens https://autoriteitpersoonsgegevens.nl/ bevat veel nuttige informatie. De volledige wettekst van het AVG-wetsvoorstel kan daar worden gevonden. Ook een heel handig en praktisch document dat je kan helpen is de publicatie van het Ministerie van Justitie en Veiligheid die gevonden kan worden op https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

Informeer de interne organisatie over hoe om te gaan met persoonsgegevens

Veel van de bepalingen in de nieuwe privacywet doen in feite een beroep op het gezonde verstand van bedrijven en hun medewerkers. Informeer je medewerkers over de aangescherpte nieuwe privacywetgeving en bereid ze voor op vragen die mensen kunnen stellen naar aanleiding van de gegevensregistratie. Vergeet niet je eigen mensen te informeren over hoe zij met deze vertrouwelijke informatie om moeten gaan. Denk hierbij aan een laptop die mee naar huis gaat of een USB-stick die wordt uitgeleend etc.

Tenslotte

Voor vrijwel iedere organisatie is het noodzakelijk om voor 25 mei 2018 ten minste de volgende zaken goed geregeld te hebben:

Er is een register van verwerkingsactiviteiten beschikbaar (registerplicht). Er is een privacy beleid opgesteld zodat je medewerkers precies weten hoe de organisatie om

omgaat met persoonsgegevens en wat wel en niet is toegestaan. Er is een Privacy Statement (onder andere voor op de website); hoe ga je om met

persoonsgegevens, met welk doel worden deze vastgelegd, worden ze gedeeld met derden, hoe lang worden ze bewaard, etc.

Model verwerkersovereenkomsten; zorg ervoor dat je zelf een model voor een verwerkersovereenkomst hebt waarin zaken die specifiek voor jouw organisatie gelden zijn afgevangen.

Er is een protocol datalekken waarin is opgenomen hoe een medewerker een datalek moet melden, hoe hier mee omgegaan wordt, welke maatregelen moeten worden genomen en wie moet worden geïnformeerd etc.

Er is een register waarin beveiligingsincidenten en datalekken worden vastgelegd en bewaard.


https://autoriteitpersoonsgegevens.nl/

https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming

https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming



Praktisch | Personeel registeren categorieën

identificerende persoonsgegevens (t.b.v. bijv. loonbelasting, arbeidscontract) medische persoonsgegevens strafrechtelijke persoonsgegevens

Verwerken van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in

ieder geval het registreren:

verzamelen vastleggen ordenen bewaren bijwerken wijzigen opvragen raadplegen gebruiken verstrekken door middel van doorzending verspreiding of enige andere vorm van terbeschikkingstelling samenbrengen met elkaar in verband brengen alsmede het afschermen uitwissen vernietigen van gegevens

Nieuwsbrief

Toestemming vooraf nodig, vinkje moet standaard uit staan Informeren over belang Informeren over doel Informeren bewaarperiode

Datalekken registreren

Personeel inlichten: beleid omgang persoonlijke gegevens+gegevensdragers (telefoon/laptop/usb/tablet)

Datalek melden binnen 72 uur bij autoriteit persoonsgegevens

Verplichte registraties

Register verwerkingsactiviteiten (voorbeeld beschikbaar) Privacy beleid omgang personeelsgegevens(voorbeeld beschikbaar) Privacy Statement vermelden op website inzake omgang persoonsgegevens

Een privacyverklaring wordt ook wel privacy policy of privacy statement genoemd. Het is een gedragscode waarin je aangeeft wat je doet met de gegevens die je, via jouw

website, van je bezoekers verzamelt. Zie https://www.hosting2go.nl/blog/privacy-verklaring-voorbeeld ((voorbeeld beschikbaar))

Model verwerkersovereenkomst (voorbeeld beschikbaar) Protocol hoe om te gaan met datalekken (voorbeeld beschikbaar)


https://www.hosting2go.nl/blog/privacy-verklaring-voorbeeld



Register beveiligingsincident en datalekken (voorbeeld beschikbaar)


Handleiding Privacy Wetgeving GPDR - AVG · juiste manier omgaan met jouw (bedrijfs) gegevens. Hier...

Documents

Transcript of Handleiding Privacy Wetgeving GPDR - AVG · juiste manier omgaan met jouw (bedrijfs) gegevens. Hier...