Hoe voldoe ik aan de AVG?
De AVG en de privacywetgeving. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 was dit het onderwerp van de dag voor ondernemers. De aandacht hiervoor is sinds februari/maart 2020 verzwakt door de pandemie, maar maakt het niet minder relevant. De controle van personeel op corona, de beveiliging van gegevens wanneer je thuis werkt en temperatuurcontroles/gezondheidscontroles van klanten staan vaak op gespannen voet met de privacy van werknemers/opdrachtgevers/klanten. Daarnaast controleert de Autoriteit Persoonsgegevens (de AP) bedrijven nog steeds op compliance met de AVG-wetgeving. In deze blog geef ik in een overzicht aan hoe je als bedrijf voldoet aan de AVG.
Wat zijn de basics van de AVG waar ik mij aan moet houden?
De basics van de AVG zijn vrij simpel. Eerst moet je weten wat je als bedrijf aan persoonsgegevens hebt en verzamelt. Dit zijn al gauw alle NAW-gegevens en bijzondere gegevens zoals gezondheid (bijvoorbeeld allergieën en vragenlijst gezondheidsklachten in het kader van de Coronamaatregelen), strafrechtelijk verleden (bijvoorbeeld de vraag of iemand in aanraking is geweest met de politie) en politieke voorkeur (bijvoorbeeld bij een enquête over stemgedrag). Deze gegevens mag je gebruiken/verzamelen/opslaan of verwerken zoals het in de AVG wordt aangegeven als je één van onderstaande redenen/grondslagen hebt:
- je hebt van degene om wie het gaat toestemming daarvoor gekregen;
- het is noodzakelijk om je diensten of goederen aan te beiden c.q. de overeenkomst uit te voeren;
- het is noodzakelijk omdat je dit wettelijk verplicht bent;
- het is noodzakelijk voor het beschermen van vitale belangen;
- het is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen;
- het is noodzakelijk om gegevens te verwerken om je gerechtvaardigde belang te behartigen.
Geef de reden(en)/grondslag(en) aan in een privacyverklaring of privacybeleid.
Register van verwerkingen
Daarnaast moet je, als je binnen je organisatie personeels- of klantgegevens verwerkt, een register van verwerkingen van persoonsgegevens bijhouden. Dit is verplicht voor alle bedrijven die structureel gegevens verwerken. Omdat bijna alle bedrijven wel een vorm van klantgegevens of personeelsgegevens verwerken, zijn er maar weinig bedrijven die dit niet hoeven te doen.
Maar wat is een register van verwerkingen van persoonsgegevens en wat moet erin staan?
Een register van verwerkingen is een overzicht van:
- de naam en contactgegevens van je bedrijf en (indien aanwezig) van de Functionaris Gegevensbescherming;
- het doel waarvoor gegevens worden verwerkt;
- een beschrijving van de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
- een beschrijving van de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);
- een omschrijving van de personen/organisaties/instanties aan wie de gegevens worden verstrekt en of deze zich buiten de EU bevinden;
- de bewaartermijnen van de gegevens;
- hoe de gegevens zijn beveiligd (bijvoorbeeld: encryptie of pseudonimisering).
Verwerkersovereenkomst
Zorg er vervolgens voor dat je een goede verwerkersovereenkomst hebt met de partijen met wie je samenwerkt en persoonsgegevens voor je verwerken, zoals je boekhouder en/of de ICT-leverancier.
Wat moet er in zo’n verwerkersovereenkomst staan?
Denk eerst aan de algemene zaken die in alle overeenkomsten staan zoals de relatie tussen partijen, de dienstverlening en de duur. Uiteraard moeten ook de AVG-onderwerpen die hierboven staan vermeld terugkomen, zoals de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen.
Als je een verwerkersovereenkomst ter ondertekening krijgt voorgelegd, is het daarnaast met name van belang om goed te controleren of je rechten en verplichtingen als verwerkingsverantwoordelijke kloppen.
Check de verwerkersovereenkomst dan ook op het volgende:
- verwerking uitsluitend op basis van jouw schriftelijke instructies;
- geheimhoudingsplicht verwerker en diens personeelsleden;
- welke passende technische en organisatorische beveiligingsmaatregelen van de gegevens door de verwerker is getroffen;
- zonder jouw voorafgaande schriftelijke toestemming schakelt de verwerker geen subverwerker(s) in;
- indien er wel een subverwerker wordt ingeschakeld legt de verwerker aan hem/haar dezelfde verplichtingen op. De verwerker blijft volledig aansprakelijk richting jou voor het nakomen van de verplichtingen van de subverwerker;
- de verwerker verleent medewerking wanneer betrokkenen hun privacyrechten uitoefenen, bij het melden van datalekken en het uitvoeren van een data protection impact assessment (DPIA);
- de verwerker verwijdert na afloop van de diensten de gegevens en eventuele kopieën, tenzij hij/zij wettelijk verplicht is de gegevens te bewaren. Ook kan worden opgenomen dat de verwerker de gegevens teruggeeft;
- de verwerker werkt mee aan audits.
Functionaris gegevensbescherming en DPIA
Bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen, op grote schaal bijzondere persoonsgegevens verwerken moeten een functionaris gegevensbescherming aanstellen en dienen na te gaan in hoeverre zij een data protection impact assessment (DPIA) moeten uitvoeren. Deze DPIA dient te worden uitgevoerd wanneer er sprake is het verwerken van gegevens met een hoog privacyrisico.
Privacyverklaring
Denk er tenslotte aan om een privacyverklaring op te stellen en deze aan je klanten beschikbaar te stellen (via bijvoorbeeld je website), zodat zij op de hoogte zijn van hoe er met hun gegevens om wordt gegaan.
Tips
Hoewel je als ondernemer je natuurlijk liever bezig houdt met de hoofdactiviteiten van je bedrijf, is het verstandig om de verplichtingen vanuit de AVG goed te regelen. Controleer de verwerkersovereenkomst wanneer je deze krijgt voorgelegd en bedenk goed wat er wel en niet mag. Leg duidelijk uit wat je met de persoonsgegevens van je klanten doet in de vorm van een privacyverklaring en zet dit op je website. Als je vragen hebt of je als even wil sparren over de AVG kun je mij altijd bellen of mailen.