All Posts By

SmithDoe

PRIVACY DOCUMENTS: WHY DO YOU NEED THEM?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig

DO A FREE QUICK SCAN NOW

> PRIVACY DOCUMENTS: WHY DO YOU NEED THEM?

Privacy documents: why should you have them?

In the first place, some documents in the AVG are mandatory (see https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig).

In addition, privacy documents are required to comply with the documentation obligation from the General Data Protection Regulation (GDPR). This obligation is there to provide requirements for the responsible person that must be able to demonstrate by means of documentation (written or electronic) that it follows the rules of the GDPR.

It also supports your organization in complying with the obligations under the GDPR. For example with data breaches, requests from stakeholders and new projects. This reduces the risks of non-compliance, including fines and reputation damage.

PRIVACY DOCUMENTEN: WAAROM HEB JE ZE NODIG?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig

Privacy documenten: waarom zou je ze eigenlijk moeten hebben?

In de eerste plaats zijn sommige documenten in de AVG verplicht (zie https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig).

Verder zijn privacy documenten nodig om te voldoen aan de documentatieplicht uit de Algemene Verordening Gegevensbescherming (AVG). Deze documentatieplicht schrijft voor dat een verantwoordelijke door middel van documentatie (schriftelijk of elektronisch) moet kunnen aantonen dat het de regels van de AVG volgt.

Ook ondersteunt het uw organisatie bij het nakomen van de verplichtingen uit de AVG. Bijvoorbeeld bij datalekken, verzoeken van betrokkenen en nieuwe projecten. Dit verkleint de risico’s op non-compliance, waaronder boetes en reputatieschade.

AVG EN BREXIT: WAT ZIJN DE GEVOLGEN?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/avg-en-brexit-wat-zijn-de-gevolgen

Wat zijn onder de Algemene Verordening Gegevensbescherming (AVG) de gevolgen van de Brexit voor Nederlandse organisaties?

Data-export verbod

De gevolgen onder de AVG hebben vooral te maken met het doorgeven van persoonsgegevens naar het Verenigd Koninkrijk, daaronder valt ook het daar opslaan van persoonsgegevens. Bijvoorbeeld als er gebruik wordt gemaakt van Britse leveranciers, of er gegevens worden uitgewisseld met een Britse groepsmaatschappij. Dit wordt ook wel ‘data-export’ genoemd.

Dit is relevant omdat er in de AVG als uitgangspunt een verbod staat om persoonsgegevens vanuit de Europese Economische Ruimte (EER) door te geven naar landen daarbuiten, als daar geen goed privacybeschermingsniveau is.

“De EER bestaat op dit moment uit de EU landen, Noorwegen, IJsland en Liechtenstein.”

Als het VK na de Brexit bij de EER zou gaan horen dan is er geen probleem. Persoonsgegevens mogen dan gewoon naar het VK worden doorgegeven. Maar op dit moment lijkt het erop dat dit niet zal gebeuren dus is de vraag wat de alternatieven zijn.

Uitzonderingen op data-export verbod

In de AVG staan de nodige uitzonderingen op het data-export verbod.

Adequaat beschermingsniveau in VK

Een uitzondering die het makkelijk zou maken om persoonsgegevens door te geven naar het VK is als de Europese Commissie zou bepalen dat er in het VK een passend beschermingsniveau voor privacy is. De Commissie zou dan een ‘adequaatheidsbeslissing’ afgeven.

Dit is het meest praktische alternatief voor een ‘niet-EER’ Brexit. De kans is aanwezig dat de Europese Commissie dit zal bepalen. Het VK heeft namelijk al aangegeven dat AVG (GDPR) te zullen toepassen en een adequaatheidsbeslissing te willen krijgen. Maar op dit moment is dat nog afwachten.

Modelcontracten Europese Commissie

Als de Europese Commissie dit niet bepaalt, dan moet gekeken worden of er andere uitzonderingen zijn. Eén van die uitzonderingen is het gebruiken van een zogenaamd Modelcontract van de Europese Commissie. Met zo’n contract kan een verantwoordelijke binnen de EER de persoonsgegevens delen met een verantwoordelijke of verwerker buiten de EER.

Andere alternatieven

In de AVG staan verder meerdere uitzonderingen.

Bijvoorbeeld omdat het doorgeven van de persoonsgegevens noodzakelijk is voor het uitvoeren van een overeenkomst met de betrokkene of het vragen van toestemming. Toestemming vragen is alleen niet altijd praktisch, omdat de persoon de toestemming ook altijd weer moet kunnen intrekken. De gegevens kunnen dan dus niet meer naar het VK worden gestuurd zonder een andere uitzondering.

Meer informatie over de uitzonderingen bij data-export? https://www.smithanddoe.com/factsheet-dataexport-3

Wel of niet verplicht datamap persoonsgegevens bijhouden?

By | Geen onderdeel van een categorie | No Comments

De AVG verplicht het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

Is elke organisatie verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Ja, vrijwel iedere organisatie is verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

In de privacywet AVG staat dat de verplichting tot het bijhouden van een register van verwerkingen van persoonsgegevens niet geldt voor bedrijven met minder dan 250 werknemers. Maar er staat ook: tenzij het gebruik van de persoonsgegevens “niet incidenteel” (dat wil zeggen: structureel) is. Op basis van deze bepaling is elke organisatie die op structurele basis persoonsgegevens gebruikt wél verplicht een overzicht bij te houden.

Vrijwel iedere organisatie zal immers persoonsgegevens structureel verwerken. Omdat het zakelijk e-mail gebruikt of via een website IP-adressen verzamelt of bijvoorbeeld camerabewaking gebruikt. De verplichting om het overzicht bij te houden zal dus voor de meeste organisaties gelden, of ze nu meer of minder dan 250 werknemers hebben.

Maar, ook als een organisatie zeer sporadisch persoonsgegevens verwerkt, zal het overzicht nodig zijn wanneer het om bijzondere persoonsgegevens gaat of de verwerking een risico met zich meebrengt voor de personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat.

Welke organisaties zijn niet verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Als er slechts zeer sporadisch persoonsgegevens worden verwerkt en de verwerking betreft geen bijzondere persoonsgegevens of een verwerking met zich mee brengt voor personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat, dan hoeft een organisatie geen register (“overzicht” of “datamap”) bij de houden.