Geplaatst op 26-3-2018 door Dijkgraaf
Algemene verordening gegevensbescherming-AVG
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Waar gaat de AVG over?
Deze verordening verplicht organisaties om goede veiligheidspraktijken toe te passen op zowel elektronische gegevens als gegevens op papier en om, in geval van een gegevenslek, de (mogelijk) betrokken personen hiervan op de hoogte te stellen.
Voor wie gaat de privacywet AVG gelden?
De AVG geldt voor elke ondernemer of organisatie die te maken heeft met persoonsgegevens. Elke ondernemer heeft klanten en de naam van je klant is al een persoonsgegeven. Zelfs bij reacties onder blogs op een website, heeft de blogger al met de AVG te maken.
Alleen gegevens voor persoonlijke gebruik – denk aan de gegevens in je telefoonboekje, de verjaardagskalender, telefoonnummers in je telefoon en WhatsApp-groepen, en in persoonlijke notities – vallen niet onder de AVG.
Wat verandert er?
De AVG zorgt onder meer voor: versterking en uitbreiding van privacyrechten; meer verantwoordelijkheden voor organisaties; dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Bescherm zowel je digitale als papieren data.
Het gaat over de bescherming van zowel digitale als papieren gegevens. Denk hierbij bijvoorbeeld aan een paspoort, waarvan zowel een scan als een papieren kopie gemaakt kan worden, die vervolgens in een map in een archiefkast wordt opgeborgen. Zowel de kopie als de scan moeten goed beveiligd zijn.
Privacy AVG
Met de invoering van de AVG moeten alle papieren persoonsgegevens niet alleen zorgvuldig worden verkregen en opgeslagen, ze moeten ook zorgvuldig worden vernietigd. Dit om te voorkomen dat, als de resten in handen van onbevoegden komen, zij in staat zijn de oorspronkelijke gegevens te herleiden. Hiermee worden de eisen aan papiervernietigers steeds strenger.
De door veel bedrijven gebruikte stripcut papiervernietigers, die een A4 vel in circa 35 rechte stroken snijden, bieden doorgaans een te laag veiligheidsniveau voor bedrijfsmatig gebruik. Met de huidige technieken is het namelijk mogelijk om deze strookjes weer te herleiden naar het originele document. Het gebruik van een hoger veiligheidsniveau wordt daarom aanbevolen, zodat de kans op misbruik verkleind wordt.
Voor bedrijven of ZZP’ers die met licht vertrouwelijke gegevens werken, voldoet in veel gevallen een machine met veiligheidsniveau P3 of P4. Voor bedrijven die regelmatig met zeer gevoelige informatie werken, zoals juridische, financiële of gemeentelijke instellingen, wordt zelfs een machine met een veiligheidsniveau P5 of hoger aangeraden. De huidige generatie papiervernietigers is bovendien zo gebruiksvriendelijk, dankzij mogelijkheden als automatische invoer voor grote hoeveelheden documenten inclusief paperclips of nietjes, dat het vernietigen van papieren data tegenwoordig nog maar weinig tijd in beslag neemt.
Wat betekent de nieuwe privacywet (AVG) voor jou als ondernemer? En voor jouw personeel? Een overzicht met 9 belangrijke taken voor werkgevers.
Privacywet AVG
Per 25 mei 2018 geldt er een nieuwe wet voor alle landen in de EU: de Algemene verordening gegevensbescherming (AVG). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De nieuwe wet geeft bedrijven een grotere verantwoordelijkheid om de privacy van personen te beschermen.
De AVG gaat over de bescherming van persoonsgegevens.
Dit omvat:
Klantgegevens
Zorg dat je personeel op een juiste manier omgaat met de gegevens van (potentiële) klanten.
Personeelsgegevens
Zorg dat je personeelsdossier voldoet aan de nieuwe eisen.
Andere persoonsgegevens
Als jouw bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers en relaties of databases van andere bedrijven) moet je voldoen aan deze regels.
Let op!
Organisaties die niet voldoen aan de AVG kunnen een boete krijgen van maximaal 20 miljoen euro.
Checklist AVG
Voldoet jouw bedrijf aan de nieuwe privacywet? Gebruik deze checklist met 9 duidelijke taken voor ondernemers met personeel.
1. Check of je gegevens mag verwerken
Je mag alleen persoonsgegevens opslaan en verwerken als je voldoet aan minimaal één van de grondslagen van de AVG. In de meeste gevallen moet je gewoonweg toestemming krijgen van de personen in kwestie. Voor 'bijzondere' en strafrechtelijke persoonsgegevens gelden weer extra eisen.
2. Veilige werkomgeving
Wil je werknemers een veilige werkomgeving bieden en aan de eisen van Arbowet, brandweer, gemeente en verzekeraar voldoen? Regel dan een preventieabonnement tegen een gunstig maandtarief.
Aan de slag met preventie
3. Houd je aan de verantwoordingsplicht
Je moet kunnen aantonen dat jouw organisatie aan de AVG voldoet. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Breng de gegevensverwerking van je bedrijf in kaart. Schrijf op welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen, waar je ze opslaat en met wie je ze deelt.
4. Vraag op de juiste manier toestemming
Je moet kunnen aantonen dat personen toestemming hebben gegeven aan jouw bedrijf om hun persoonsgegevens op te slaan. Je moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier.
5. Geef personen inzage en rechten
Personen hebben het recht op inzage en het recht op correctie en verwijdering van hun gegevens. Zorg dat dit mogelijk is, bijvoorbeeld in een beveiligde online omgeving (portal). Als personen hun gegevens willen wijzigen, moet je de wijzigingen ook (automatisch) doorgeven aan de instanties waar je de gegevens mee hebt gedeeld.
Je personeel heeft ook het recht op inzage van hun gegevens. Dus als je werknemer vraagt om zijn personeelsdossier, dan moet je hem laten zien welke persoonlijke gegevens je bewaart. Je kunt hem ook een kopie geven van het dossier.
6. Zorg voor dataportabiliteit
Je moet ervoor zorgen dat personen hun gegevens makkelijk kunnen opvragen en door kunnen geven aan een andere organisatie. Bijvoorbeeld bij de overstap naar een andere partij.
7. Maak een data protection impact assessment (DPIA)
Hiermee breng je vooraf de privacyrisico’s in kaart van een bepaalde gegevensverwerking. Daarna neem je maatregelen om de risico’s te verkleinen. Lees meer over het maken van een DPIA en wanneer dit verplicht is.
8. Stel een verantwoordelijke aan
Zorg dat er iemand toezicht houdt op de gegevensverwerking volgens de AVG. Uiteindelijk ben je hier zelf verantwoordelijk voor als werkgever. In sommige gevallen ben je verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen binnen je bedrijf.
9. Houd je aan de meldplicht datalekken
Deze meldplicht bestond al, maar je moet nu ieder datalek documenteren dat binnen jouw bedrijf heeft plaatsgevonden.
10. Zorg voor verwerkersovereenkomsten
Als je de gegevensverwerking hebt uitbesteed aan een andere partij, zorg dan dat de overeenkomsten aangepast worden aan de nieuwe eisen van de AVG.
