Tag

privacywet

Wel of niet verplicht datamap persoonsgegevens bijhouden?

By | Geen onderdeel van een categorie | No Comments

De AVG verplicht het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

Is elke organisatie verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Ja, vrijwel iedere organisatie is verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

In de privacywet AVG staat dat de verplichting tot het bijhouden van een register van verwerkingen van persoonsgegevens niet geldt voor bedrijven met minder dan 250 werknemers. Maar er staat ook: tenzij het gebruik van de persoonsgegevens “niet incidenteel” (dat wil zeggen: structureel) is. Op basis van deze bepaling is elke organisatie die op structurele basis persoonsgegevens gebruikt wél verplicht een overzicht bij te houden.

Vrijwel iedere organisatie zal immers persoonsgegevens structureel verwerken. Omdat het zakelijk e-mail gebruikt of via een website IP-adressen verzamelt of bijvoorbeeld camerabewaking gebruikt. De verplichting om het overzicht bij te houden zal dus voor de meeste organisaties gelden, of ze nu meer of minder dan 250 werknemers hebben.

Maar, ook als een organisatie zeer sporadisch persoonsgegevens verwerkt, zal het overzicht nodig zijn wanneer het om bijzondere persoonsgegevens gaat of de verwerking een risico met zich meebrengt voor de personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat.

Welke organisaties zijn niet verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Als er slechts zeer sporadisch persoonsgegevens worden verwerkt en de verwerking betreft geen bijzondere persoonsgegevens of een verwerking met zich mee brengt voor personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat, dan hoeft een organisatie geen register (“overzicht” of “datamap”) bij de houden.

Vewerkersovereenkomst: wat moet er in staan?

By | Geen onderdeel van een categorie | No Comments

De privacywet AVG stelt eisen voor wat minimaal moet worden opgenomen in een verwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst die wordt gesloten met een verwerker. Een verwerker is een externe leverancier of dienstverlener waaraan een organisatie handelingen (juridische uitdrukking: “verwerkingen”) met persoonsgegevens uitbesteedt. Voorbeelden van handelingen zijn opslaan, inzien, aanpassen, verwijderen en doorsturen.

In een verwerkersovereenkomst worden de afspraken over de handelingen met persoonsgegevens die een verwerker in opdracht van een opdrachtgever (juridische uitdrukking: “verantwoordelijke”) mag verrichten vastgelegd.

Wat staat in de privacywet AVG over verwerkersovereenkomsten?

De privacywet AVG schrijft voor dat alleen verwerkers mogen worden ingehuurd die voldoende garanties kunnen geven dat zij “passende technische en organisatorische maatregelen” hebben genomen om te zorgen dat wordt voldaan aan de verplichtingen uit de privacywet, en ook om te zorgen dat de rechten van de personen wiens persoonsgegevens worden verwerkt, worden gewaarborgd.

Wat moet minimaal in een verwerkersovereenkomst staan?

Een verwerkersovereenkomst moet minimaal de volgende bepalingen omvatten:

  • Een omschrijving van de verwerking door de verwerker waaronder de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens dat wordt verwerkt, en de categorieën betrokken personen wiens persoonsgegevens worden verwerkt.
  • Toestemming vragen voor het uitbesteden van verwerkingen aan sub-verwerkers. Als de verwerker handelingen met de persoonsgegevens uitbesteedt aan andere verwerkers (sub-verwerkers), dit zijn meestal onderaannemers van de verwerker, dan moet de opdrachtgever (verantwoordelijke) daarvoor voorafgaande specifieke of algemene toestemming geven. Als er algemene toestemming wordt gegeven moet de verwerker wijzigingen van sub-verwerkers melden aan de opdrachtgever en de opdrachtgever de mogelijkheid geven bezwaar te maken.
  • Dezelfde verplichtingen opleggen aan sub-verwerkers. De verwerker moet ingehuurde sub-verwerkers dezelfde minimale verplichtingen opleggen als de verplichtingen die de opdrachtgever de verwerker oplegt.
  • Alleen handelen in opdracht van de opdrachtgever. De verwerker mag alleen maar handelingen met de persoonsgegevens verrichten in opdracht van de opdrachtgever. Dat wil zeggen: de verwerker mag alleen die handelingen verrichten die noodzakelijk zijn voor het uitvoeren van de diensten die de verwerker voor de opdrachtgever verricht. De verwerker mag niet zelfstandig bepalen wat er met de persoonsgegevens gebeurt.
  • Passende maatregelen nemen om de persoonsgegevens te beveiligen. Het beveiligen van de persoonsgegevens is één van de belangrijkste taken van de verwerker. In de verwerkersovereenkomst moet staan dat de verwerker “passende technische en organisatorische maatregelen” neemt om de persoonsgegevens te beveiligen. De Autoriteit Persoonsgegevens stelt daarbij als eis dat de beveiligingsmaatregelen ook worden omschreven in de verwerkersovereenkomst.
  • Zorg dragen voor geheimhouding door medewerkers. De verwerker moet ervoor zorgen dat de personen die de persoonsgegevens onder toezicht van de verwerker verwerken, verplicht zijn tot geheimhouding van die persoonsgegevens, ofwel door middel van afspraken met de opdrachtgever ofwel op basis van een beroepsmatige geheimhoudingsplicht.
  • Het verlenen van assistentie bij verschillende verplichtingen. In de verwerkersovereenkomst moet staan dat de verwerker de opdrachtgever door middel van “passende technische en organisatorische maatregelen”, voor zover mogelijk, assisteert bij het beantwoorden van verzoeken van de personen om wiens gegevens het gaat, bij het beveiligen van de persoonsgegevens, het melden van datalekken, het uitvoeren van PIA´s en (wanneer dat nodig is) voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
  • Persoonsgegevens weer overdragen of vernietigen. Na het einde van de dienstverlening door de verwerker moet deze de persoonsgegevens wissen of de persoonsgegevens aan de opdrachtgever teruggeven en bestaande kopieën verwijderen.
  • Audits toestaan en informatie aan opdrachtgever geven. De verwerker moet audits toestaan en informatie aan de opdrachtgever geven zodat deze na kan gaan of de verwerker de verplichtingen uit de verwerkersovereenkomst nakomt.

AVG vs GDPR: 1 of 2 wetten?

By | Geen onderdeel van een categorie | No Comments

Wat is het verschil tussen AVG en GDPR?

In de communicatie over de nieuwe privacywetwetgeving die vanaf 25 mei 2018 gaat gelden worden de afkortingen AVG en GDPR soms samen en soms separate van elkaar gebruikt. Dit kan onduidelijkheid scheppen. Hebben we te maken met één of twee nieuwe privacywetten? Gelukkig betreft het maar één nieuwe privacywet. Aandachtspunt is wel dat op sommige punten de privacyregels per land binnen de Europese Unie toch anders kunnen zijn.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation, en is de Engelse afkorting voor de AVG. De AVG staat voor Algemene Verordening Gegevensbescherming. Dus GDPR is AVG en AVG is GDPR.

GDPR, en daarbij ook AVG, is een Europese wet die vanaf 25 mei 2018 gaat gelden. De nieuwe privacywet is bedoeld om de bestaande privacywetgeving binnen Europa te moderniseren. De bestaande privacywetgeving is gebaseerd op een Europese “Richtlijn” en per land anders in de lokale wetgeving ingevoerd. De nieuwe privacywet zal algemeen gelding krijgen in alle landen van de Europese Unie. Het is de bedoeling dat daardoor binnen Europa zo veel mogelijk dezelfde privacyregels gaan gelden.

Op welke punten kunnen de privacyregels anders zijn per land binnen de Europese Unie?

Dit zijn de belangrijkste punten waarop de privacyrgels per land binnen de Europese Unie onder de nieuwe Europese privacywet kunnen verschillen:

  • Specifieke uitzonderingen om bijzondere persoonsgegevens te mogen verwerken.
  • De “beperkingen” van de rechten van de betrokken personen, zoals bij het opvragen van gegevens in het kader van de nationale veiligheid.
  • Welke leeftijdsgrens er voor het begrip “kinderen” wordt gehanteerd bij het vragen van toestemming (nagaan of de ouders of voogden die hebben gegeven) in een online context.
  • ‎Uitzonderingen voor de journalistiek.

AVG! Wat verandert er?

By | Geen onderdeel van een categorie | No Comments

Wat verandert er in de privacyregels met de introductie van de nieuwe privacywet?

Vanaf 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) gelden. Deze nieuwe privacywet vervangt dan de huidige Wet bescherming persoonsgegevens.

In de basis blijven de privacyregels hetzelfde maar er komen wel een aantal nieuwe verplichtingen bij. Er komen ook hogere boetes op overtreding van de verplichtingen, tot wel 20 miljoen euro of 4% van de wereldwijde omzet.

Wat zijn de nieuwe verplichtingen die de AVG met zich meebrengt?

De 10 belangrijkste veranderingen in de privacyregels met de introductie van de AVG zijn:

  1. Uitgebreidere eisen voor wat minimaal moet worden opgenomen in de bewerkersovereenkomst (in de AVG, verwerkersovereenkomst genoemd).
  2. Specifieke regels als het gaat om het gebruiken van persoonsgegevens van kinderen.
  3. Verplichting om een overzicht bij te houden van de verschillende stromen persoonsgegevens die een organisatie gebruikt.
  4. Uitgebreidere eisen voor het vragen van toestemming voor het gebruik van persoonsgegevens.
  5. Strengere regels voor het nemen van uitsluitend geautomatiseerde individuele beslissingen, waaronder profiling. Van uitsluitend geautomatiseerde individuele beslissingen is sprake als een computer of algoritme op basis van input van bepaalde data een bepaalde beslissing neemt over een persoon, zonder dat daar een mens aan te pas komt.
  6. De verplichting om in sommige situaties een Privacy Impact Assessment (PIA) uit te voeren. Een PIA is een risicoanalyse van de verwerkingen van persoonsgegevens.
  7. De verplichting voor sommige organisaties om een Functionaris Gegevensbescherming (FG) te benomen. Een FG is een persoon die binnen een organisatie intern toezicht houdt op de naleving van de privacywetgeving.
  8. Het nieuwe recht op dataportabiliteit of gegevensoverdracht. Dit nieuwe recht houdt in dat de personen wiens persoonsgegevens worden verwerkt onder bepaalde voorwaarden recht hebben om die gegevens in een gangbaar format mee te krijgen.
  9. De verplichting om, waar dat toepasselijk is, passende technische en organisatorische maatregelen te nemen om privacy by design en privacy by default toe te passen op de stromen persoonsgegevens.
  10. Uitgebreidere eisen voor de privacyverklaring.

Wat zijn de boetes op overtreding van de AVG?

In dit Boetetabel AVG is een overzicht opgenomen van de boetes op overtreding van de privacyregels vanaf 25 mei, wanneer de AVG gaat gelden. In het Boetetabel staan per soort verplichting de maximale boetes genoemd die kunnen worden opgelegd bij overtreding. De hoogte van de boete zal uiteindelijk afhangen van verschillende omstandigheden zoals de ernst van de overtreding, de mate van schuld en eventuele eerdere overtredingen.