Category

Geen onderdeel van een categorie

PRIVACY DOCUMENTS: WHY DO YOU NEED THEM?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig

DO A FREE QUICK SCAN NOW

> PRIVACY DOCUMENTS: WHY DO YOU NEED THEM?

Privacy documents: why should you have them?

In the first place, some documents in the AVG are mandatory (see https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig).

In addition, privacy documents are required to comply with the documentation obligation from the General Data Protection Regulation (GDPR). This obligation is there to provide requirements for the responsible person that must be able to demonstrate by means of documentation (written or electronic) that it follows the rules of the GDPR.

It also supports your organization in complying with the obligations under the GDPR. For example with data breaches, requests from stakeholders and new projects. This reduces the risks of non-compliance, including fines and reputation damage.

PRIVACY DOCUMENTEN: WAAROM HEB JE ZE NODIG?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig

Privacy documenten: waarom zou je ze eigenlijk moeten hebben?

In de eerste plaats zijn sommige documenten in de AVG verplicht (zie https://www.smithanddoe.com/privacy-documenten-waarom-heb-je-ze-nodig).

Verder zijn privacy documenten nodig om te voldoen aan de documentatieplicht uit de Algemene Verordening Gegevensbescherming (AVG). Deze documentatieplicht schrijft voor dat een verantwoordelijke door middel van documentatie (schriftelijk of elektronisch) moet kunnen aantonen dat het de regels van de AVG volgt.

Ook ondersteunt het uw organisatie bij het nakomen van de verplichtingen uit de AVG. Bijvoorbeeld bij datalekken, verzoeken van betrokkenen en nieuwe projecten. Dit verkleint de risico’s op non-compliance, waaronder boetes en reputatieschade.

AVG EN BREXIT: WAT ZIJN DE GEVOLGEN?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/avg-en-brexit-wat-zijn-de-gevolgen

Wat zijn onder de Algemene Verordening Gegevensbescherming (AVG) de gevolgen van de Brexit voor Nederlandse organisaties?

Data-export verbod

De gevolgen onder de AVG hebben vooral te maken met het doorgeven van persoonsgegevens naar het Verenigd Koninkrijk, daaronder valt ook het daar opslaan van persoonsgegevens. Bijvoorbeeld als er gebruik wordt gemaakt van Britse leveranciers, of er gegevens worden uitgewisseld met een Britse groepsmaatschappij. Dit wordt ook wel ‘data-export’ genoemd.

Dit is relevant omdat er in de AVG als uitgangspunt een verbod staat om persoonsgegevens vanuit de Europese Economische Ruimte (EER) door te geven naar landen daarbuiten, als daar geen goed privacybeschermingsniveau is.

“De EER bestaat op dit moment uit de EU landen, Noorwegen, IJsland en Liechtenstein.”

Als het VK na de Brexit bij de EER zou gaan horen dan is er geen probleem. Persoonsgegevens mogen dan gewoon naar het VK worden doorgegeven. Maar op dit moment lijkt het erop dat dit niet zal gebeuren dus is de vraag wat de alternatieven zijn.

Uitzonderingen op data-export verbod

In de AVG staan de nodige uitzonderingen op het data-export verbod.

Adequaat beschermingsniveau in VK

Een uitzondering die het makkelijk zou maken om persoonsgegevens door te geven naar het VK is als de Europese Commissie zou bepalen dat er in het VK een passend beschermingsniveau voor privacy is. De Commissie zou dan een ‘adequaatheidsbeslissing’ afgeven.

Dit is het meest praktische alternatief voor een ‘niet-EER’ Brexit. De kans is aanwezig dat de Europese Commissie dit zal bepalen. Het VK heeft namelijk al aangegeven dat AVG (GDPR) te zullen toepassen en een adequaatheidsbeslissing te willen krijgen. Maar op dit moment is dat nog afwachten.

Modelcontracten Europese Commissie

Als de Europese Commissie dit niet bepaalt, dan moet gekeken worden of er andere uitzonderingen zijn. Eén van die uitzonderingen is het gebruiken van een zogenaamd Modelcontract van de Europese Commissie. Met zo’n contract kan een verantwoordelijke binnen de EER de persoonsgegevens delen met een verantwoordelijke of verwerker buiten de EER.

Andere alternatieven

In de AVG staan verder meerdere uitzonderingen.

Bijvoorbeeld omdat het doorgeven van de persoonsgegevens noodzakelijk is voor het uitvoeren van een overeenkomst met de betrokkene of het vragen van toestemming. Toestemming vragen is alleen niet altijd praktisch, omdat de persoon de toestemming ook altijd weer moet kunnen intrekken. De gegevens kunnen dan dus niet meer naar het VK worden gestuurd zonder een andere uitzondering.

Meer informatie over de uitzonderingen bij data-export? https://www.smithanddoe.com/factsheet-dataexport-3

Wel of niet verplicht datamap persoonsgegevens bijhouden?

By | Geen onderdeel van een categorie | No Comments

De AVG verplicht het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

Is elke organisatie verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Ja, vrijwel iedere organisatie is verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

In de privacywet AVG staat dat de verplichting tot het bijhouden van een register van verwerkingen van persoonsgegevens niet geldt voor bedrijven met minder dan 250 werknemers. Maar er staat ook: tenzij het gebruik van de persoonsgegevens “niet incidenteel” (dat wil zeggen: structureel) is. Op basis van deze bepaling is elke organisatie die op structurele basis persoonsgegevens gebruikt wél verplicht een overzicht bij te houden.

Vrijwel iedere organisatie zal immers persoonsgegevens structureel verwerken. Omdat het zakelijk e-mail gebruikt of via een website IP-adressen verzamelt of bijvoorbeeld camerabewaking gebruikt. De verplichting om het overzicht bij te houden zal dus voor de meeste organisaties gelden, of ze nu meer of minder dan 250 werknemers hebben.

Maar, ook als een organisatie zeer sporadisch persoonsgegevens verwerkt, zal het overzicht nodig zijn wanneer het om bijzondere persoonsgegevens gaat of de verwerking een risico met zich meebrengt voor de personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat.

Welke organisaties zijn niet verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Als er slechts zeer sporadisch persoonsgegevens worden verwerkt en de verwerking betreft geen bijzondere persoonsgegevens of een verwerking met zich mee brengt voor personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat, dan hoeft een organisatie geen register (“overzicht” of “datamap”) bij de houden.

Privacyregels persoonsgegevens kinderen

By | Geen onderdeel van een categorie | No Comments

De nieuwe privacywet AVG bevat specifieke regels voor het gebruik (juridische uitdrukking: “verwerken”) van de persoonsgegevens van kinderen.

Wat is de definitie van kinderen in de privacywet?

Met kinderen worden in de context van de privacywet personen beneden de 16 jaar bedoeld.

Wat zijn de privacyregels voor het gebruik van de persoonsgegevens van kinderen?

Er moet met de volgende regels rekening worden gehouden met het gebruik van de persoonsgegevens van kinderen:

  • Vaker toestemming vragen voor het gebruik van de persoonsgegevens van kinderen omdat in de afweging van verschillende belangen de belangen van het kind zwaarder weegt.
  • Toestemming van ouder(s) of voogd(en) vragen wanneer er in het kader van online diensten gegevens van kinderen worden verzameld en gebruikt.
  • Privacyverklaring afstemmen op kinderen als er persoonsgegevens van kinderen worden gebruikt en het aanbod van de producten of diensten (ook) gericht is op kinderen.
  • Geen “Uitsluitend geautomatiseerde individuele beslissingen” waaronder profiling gebruiken die rechtsgevolgen hebben of een andere aanzienlijke impact hebben. (Alleen als het écht noodzakelijk is (wat aangetoond moet worden) kan worden gekeken of het mogelijk is om een beroep te doen op één van de uitzonderingen.)
  • Eerder voldoen aan recht op verwijdering, ook wanneer een persoon zijn of haar persoonsgegevens wil laten verwijderen en de persoon heeft de persoonsgegevens verstrekt toen hij of zij een kind was.
  • Afstemmen van het beveiligingsbeleid op de risicoklassificatie “hoog” omdat de privacywet aangeeft dat kinderen een kwetsbare groep zijn en dat er extra voorzichtig met hun persoonsgegevens moet worden omgegaan.

Vewerkersovereenkomst: wat moet er in staan?

By | Geen onderdeel van een categorie | No Comments

De privacywet AVG stelt eisen voor wat minimaal moet worden opgenomen in een verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst die wordt gesloten met een verwerker. Een verwerker is een externe leverancier of dienstverlener waaraan een organisatie handelingen (juridische uitdrukking: “verwerkingen”) met persoonsgegevens uitbesteedt. Voorbeelden van handelingen zijn opslaan, inzien, aanpassen, verwijderen en doorsturen.

In een verwerkersovereenkomst worden de afspraken over de handelingen met persoonsgegevens die een verwerker in opdracht van een opdrachtgever (juridische uitdrukking: “verantwoordelijke”) mag verrichten vastgelegd.

Wat staat in de privacywet AVG over verwerkersovereenkomsten?

De privacywet AVG schrijft voor dat alleen verwerkers mogen worden ingehuurd die voldoende garanties kunnen geven dat zij “passende technische en organisatorische maatregelen” hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de privacywet, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd.

Wat moet minimaal in een verwerkersovereenkomst staan?

Een verwerkersovereenkomst moet minimaal de volgende bepalingen omvatten:

  • Een omschrijving van de verwerking door de verwerker waaronder de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat wordt verwerkt, en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt.
  • Toestemming vragen voor het uitbesteden van verwerkingen aan sub-verwerkers. Als de verwerker handelingen met de persoonsgegevens uitbesteedt aan andere verwerkers (sub-verwerkers), dit zijn meestal onderaannemers van de verwerker, dan moet de opdrachtgever (verantwoordelijke) daarvoor voorafgaande specifieke of algemene toestemming geven. Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan de opdrachtgever en de opdrachtgever de mogelijkheid geven bezwaar te maken.
  • Dezelfde verplichtingen opleggen aan sub-verwerkers. De verwerker moet ingehuurde sub-verwerkers dezelfde minimale verplichtingen opleggen als de verplichtingen die de opdrachtgever de verwerker oplegt.
  • Alleen handelen in opdracht van de opdrachtgever. De verwerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van de opdrachtgever. Dat wil zeggen: de verwerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de verwerker voor de opdrachtgever verricht. De verwerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.
  • Passende maatregelen nemen om de persoonsgegevens te beveiligen. Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de verwerkersovereenkomst.
  • Zorg dragen voor geheimhouding door medewerkers. De verwerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de verwerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de opdrachtgever ofwel op basis van een beroepsmatige geheimhoudingsplicht.
  • Het verlenen van assistentie bij verschillende verplichtingen. In de verwerkersovereenkomst moet staan dat de verwerker de opdrachtgever door middel van “passende technische en organisatorische maatregelen”, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
  • Persoonsgegevens weer overdragen of vernietigen. Na het einde van de dienstverlening door de verwerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de opdrachtgever teruggeven en bestaande kopieën verwijderen.
  • Audits toestaan en informatie aan opdrachtgever geven. De verwerker moet audits toestaan en informatie aan de opdrachtgever geven zodat deze na kan gaan of de verwerker de verplichtingen uit de verwerkersovereenkomst nakomt.

AVG vs GDPR: 1 of 2 wetten?

By | Geen onderdeel van een categorie | No Comments

Wat is het verschil tussen AVG en GDPR?

In de communicatie over de nieuwe privacywetwetgeving die vanaf 25 mei 2018 gaat gelden worden de afkortingen AVG en GDPR soms samen en soms separate van elkaar gebruikt. Dit kan onduidelijkheid scheppen. Hebben we te maken met één of twee nieuwe privacywetten? Gelukkig betreft het maar één nieuwe privacywet. Aandachtspunt is wel dat op sommige punten de privacyregels per land binnen de Europese Unie toch anders kunnen zijn.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation, en is de Engelse afkorting voor de AVG. De AVG staat voor Algemene Verordening Gegevensbescherming. Dus GDPR is AVG en AVG is GDPR.

GDPR, en daarbij ook AVG, is een Europese wet die vanaf 25 mei 2018 gaat gelden. De nieuwe privacywet is bedoeld om de bestaande privacywetgeving binnen Europa te moderniseren. De bestaande privacywetgeving is gebaseerd op een Europese “Richtlijn” en per land anders in de lokale wetgeving ingevoerd. De nieuwe privacywet zal algemeen gelding krijgen in alle landen van de Europese Unie. Het is de bedoeling dat daardoor binnen Europa zo veel mogelijk dezelfde privacyregels gaan gelden.

Op welke punten kunnen de privacyregels anders zijn per land binnen de Europese Unie?

Dit zijn de belangrijkste punten waarop de privacyrgels per land binnen de Europese Unie onder de nieuwe Europese privacywet kunnen verschillen:

  • Specifieke uitzonderingen om bijzondere persoonsgegevens te mogen verwerken.
  • De “beperkingen” van de rechten van de betrokken personen, zoals bij het opvragen van gegevens in het kader van de nationale veiligheid.
  • Welke leeftijdsgrens er voor het begrip “kinderen” wordt gehanteerd bij het vragen van toestemming (nagaan of de ouders of voogden die hebben gegeven) in een online context.
  • ‎Uitzonderingen voor de journalistiek.

AVG! Wat verandert er?

By | Geen onderdeel van een categorie | No Comments

Wat verandert er in de privacyregels met de introductie van de nieuwe privacywet?

Vanaf 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) gelden. Deze nieuwe privacywet vervangt dan de huidige Wet bescherming persoonsgegevens.

In de basis blijven de privacyregels hetzelfde maar er komen wel een aantal nieuwe verplichtingen bij. Er komen ook hogere boetes op overtreding van de verplichtingen, tot wel 20 miljoen euro of 4% van de wereldwijde omzet.

Wat zijn de nieuwe verplichtingen die de AVG met zich meebrengt?

De 10 belangrijkste veranderingen in de privacyregels met de introductie van de AVG zijn:

  1. Uitgebreidere eisen voor wat minimaal moet worden opgenomen in de bewerkersovereenkomst (in de AVG, verwerkersovereenkomst genoemd).
  2. Specifieke regels als het gaat om het gebruiken van persoonsgegevens van kinderen.
  3. Verplichting om een overzicht bij te houden van de verschillende stromen persoonsgegevens die een organisatie gebruikt.
  4. Uitgebreidere eisen voor het vragen van toestemming voor het gebruik van persoonsgegevens.
  5. Strengere regels voor het nemen van uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling. Van uitsluitend geautomatiseerde individuele beslissingen is sprake als een computer of algoritme op basis van input van bepaalde data een bepaalde beslissing neemt over een persoon, zonder dat daar een mens aan te pas komt.
  6. De verplichting om in sommige situaties een Privacy Impact Assessment (PIA) uit te voeren. Een PIA is een risicoanalyse van de verwerkingen van persoonsgegevens.
  7. De verplichting voor sommige organisaties om een Functionaris Gegevensbescherming (FG) te benomen. Een FG is een persoon die binnen een organisatie intern toezicht houdt op de naleving van de privacywetgeving.
  8. Het nieuwe recht op dataportabiliteit of gegevensoverdracht. Dit nieuwe recht houdt in dat de personen wiens persoonsgegevens worden verwerkt onder bepaalde voorwaarden recht hebben om die gegevens in een gangbaar format mee te krijgen.
  9. De verplichting om, waar dat toepasselijk is, passende technische en organisatorische maatregelen te nemen om privacy by design en privacy by default toe te passen op de stromen persoonsgegevens.
  10. Uitgebreidere eisen voor de privacyverklaring.

Wat zijn de boetes op overtreding van de AVG?

In dit Boetetabel AVG is een overzicht opgenomen van de boetes op overtreding van de privacyregels vanaf 25 mei, wanneer de AVG gaat gelden. In het Boetetabel staan per soort verplichting de maximale boetes genoemd die kunnen worden opgelegd bij overtreding. De hoogte van de boete zal uiteindelijk afhangen van verschillende omstandigheden zoals de ernst van de overtreding, de mate van schuld en eventuele eerdere overtredingen.