Organisaties zijn wettelijk verplicht om zich te houden aan de regels uit de privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Over de AVG wordt ook weleens gezegd dat het een papieren tijger is. Zo moeten organisaties bepaalde documenten op orde hebben. Maar welke documenten zijn dat?
Wanneer een organisatie persoonsgegevens verwerkt, dan moet daarover geïnformeerd worden. Zo moet het voor betrokkenen (denk aan websitebezoekers en klanten) onder andere duidelijk zijn wat er gebeurt met hun persoonsgegevens, hoelang de gegevens bewaard blijven en naar welke derde partijen de gegevens worden doorgestuurd. Worden er cookies gebruikt op de website, dan moet worden uitgelegd welke cookies dat zijn en wat de cookies precies doen. Het informeren over wat er gebeurt met de gegevens, doet een organisatie via een privacy- en cookieverklaring.
Het verwerkingsregister is een overzicht van alle verwerkingsactiviteiten die binnen de organisatie plaatsvinden. Ook bijvoorbeeld bewaartermijnen dienen in het verwerkingsregister te worden opgenomen. Het is aan te raden om aanvullend beleid te schrijven op het gebied van bewaartermijnen, namelijk op welke wijze deze worden nageleefd. Ook verwerkingen die een organisatie uitvoert in de rol van verwerker, dienen te worden opgenomen in een verwerkingsregister. Het register kan gemaakt worden in een Excel-bestand, maar hier kan ook een online tool voor worden gebruikt, zoals JuriBlox en Privacy Verified.
Gebeurt er binnen de organisatie iets met persoonsgegevens wat niet de bedoeling was, dan is er sprake van een datalek. Persoonsgegevens kunnen bijvoorbeeld naar de verkeerde persoon zijn verstuurd, of een hacker heeft ingebroken in een CRM-systeem. Alle datalekken moeten intern gedocumenteerd worden. Organisaties moeten dan ook beschikken over een datalekregister.
De AVG maakt onderscheid tussen een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking. En de verwerker handelt in opdracht van de verwerkingsverantwoordelijke. Deze partijen moeten een verwerkersovereenkomst sluiten. In die overeenkomst maken partijen afspraken over hoe er wordt omgegaan met de persoonsgegevens.
Wanneer beide partijen gezamenlijk verwerkingsverantwoordelijke zijn, dan maken zij afspraken in een data-uitwisselingsovereenkomst. Als partijen zelfstandig verwerkingsverantwoordelijke zijn, is zo’n overeenkomst niet verplicht, maar wel aan te raden. Dit om bijvoorbeeld te waarborgen dat de ontvanger de gegevens niet voor een ander doel verwerkt dan waarvoor ze verstrekt zijn.
Net als websitebezoekers en klanten hebben ook medewerkers recht op informatie. Zo is het aan de werkgever om werknemers te informeren over welke persoonsgegevens worden verwerkt en waarom dat eigenlijk gebeurt. Doorgaans heeft een werkgever persoonsgegevens nodig van haar werknemers in verband met de uitvoering van de arbeidsovereenkomst. Het informeren gebeurt via een interne privacyverklaring.
Daarnaast dient het voor medewerkers duidelijk te zijn wat de AVG is, en binnen welke kaders zij persoonsgegevens mogen verwerken. Het intern privacybeleid is hiervoor het aangewezen instrument. Dit beleid bevat informatie over de AVG, hoe de organisatie daarmee omgaat en hoe de medewerkers dat moeten doen, en wie het centrale aanspreekpunt is op het gebied van privacy (bijvoorbeeld de Functonaris Gegevensbescherming of de Privacy Officer). Een procedure voor de omgang met rechten van betrokkenen en datalekken kan hier ook onderdeel van zijn.
Op grond van de AVG dienen organisaties passende technische en organisatorische maatregelen te treffen. In sommige gevallen wordt vastgehouden aan de kaders uit de ISO27001- of NEN7510-norm, maar het is ook mogelijk dat een organisatie zelf de beveiligingsmaatregelen bepaalt. In een beveiligingsbeleid wordt doorgaans uitgelegd welke maatregelen een organisatie neemt.
In sommige gevallen is het uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht. Het is daarom raadzaam om een template voor het uitvoeren van een DPIA aan te houden. De DPIA bevat een systematisch beschrijving van de verwerking, en beoordeling van de noodzaak en evenredigheid daarvan. Daarnaast dienen de risico’s voor betrokkenen in kaart te worden gebracht, en dienen maatregelen te worden voorgesteld om die risico’s weg te nemen.
Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.