Register van verwerkingsactiviteiten (AVG)

Register van verwerkingsactiviteiten (AVG)

door | feb 20, 2018 | PRIVACY

Naar aanleiding van mijn vorige artikel, waarin ik in grote lijnen de nieuwe AVG toelicht, kreeg ik veel vragen. Een vraag die met kop en schouders boven de andere uitstak was: ´wat moet ik concreet doen om te voldoen aan de nieuwe AVG`? Een van de meest concrete artikelen uit de AVG betreft artikel 30 over het register van verwerkingsactiviteiten. Via dit artikel zal ik uitleggen of uw onderneming een register van verwerkingsactiviteiten zal moeten bijhouden. Tevens beschrijf ik hoe u dit zou kunnen vormgeven.

 

MOET IK EEN REGISTER VAN VERWERKINGSACTIVITEITEN BIJHOUDEN?

Indien u een organisatie heeft waarin méér dan 250 personen werkzaam zijn bent u verplicht een register van verwerkingsactiviteiten bij te houden. Maar ook als u een kleinere onderneming hebt kunt u hiertoe verplicht zijn. De AVG stelt dat u hiertoe verplicht bent indien u persoonsgegevens verwerkt:

  • waarvan de verwerking niet incidenteel is. Dit is nog een zogenaamde open norm. Er wordt verwacht dat in de praktijk verwerkingen zelden incidenteel zullen zijn. Enkele voorbeelden van verwerkingen die NIET incidenteel zijn: gegevens van medewerkers en klantgegevens. Vooral webshops en hostingproviders hebben vaak gigantische klantbestanden;
  • die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen;
  • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of strafrechtelijke gegevens.

Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om verzoekt.

 

WAT MOET ER IN HET REGISTER VAN VERWERKINGSACTIVITEITEN STAAN?

Om deze vraag te kunnen beantwoorden dient u eerst vast te stellen of u verwerker of verwerkingsverantwoordelijke bent. Volgens de AVG bent u verwerker indien u ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Aan deze rechtsverhouding zou overigens volgens de AVG sowieso een verwerkersovereenkomst ten grondslag moeten liggen.

 

U BENT VERWERKINGSVERANTWOORDELIJKE

Dan dient u er – samengevat – voor zorg te dragen dat minstens de volgende gegevens wordt geregistreerd:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke;
  • de verwerkingsdoeleinden;
  • een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
  • een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
  • een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
  • informatie over eventuele verstrekking van de gegevens aan internationale organisaties of landen buiten de EU;
  • bewaartermijnen;
  • de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).

 

U BENT VERWERKER

Dan dient u er – samengevat – voor zorg te dragen dat u PER verantwoordelijke waarvoor u werkt minstens de volgende gegevens registreert:

  • de naam en contactgegevens van de verwerker en van iedere verantwoordelijke en (indien van toepassing) de functionaris voor gegevensbescherming;
  • een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
  • een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
  • een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
  • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
  • de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).

 

HOE KAN IK HET REGISTER VAN VERWERKINGSACTIVITEITEN HET BESTE BIJHOUDEN?

U bent vrij om een voor u geschikte manier van registratie te kiezen. U kunt bijvoorbeeld een Excel bestand bijhouden.

Heeft u nog vragen? Neem dan contact met ons op voor meer informatie.

De nieuwe privacywetgeving 2018 (AVG)

De nieuwe privacywetgeving 2018 (AVG)

door | feb 2, 2018 | PRIVACY

U hebt er vast al veel over gehoord, misschien heeft u zich ook al een beetje ingelezen. Hoe dan ook weet u dat er vanaf 25 mei 2018 het een en ander gaat veranderen betreffende de privacywetgeving. Om precies te zijn zal de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Vanaf die datum zal de privacywetgeving in Europa in beginsel gelijk zijn.

 

In essentie heeft de AVG tot doel privacygevoelige informatie van natuurlijke personen een consistent en hoog beschermingsniveau te bieden. Hierdoor krijgen enerzijds ondernemingen meer verplichtingen ten aanzien van het verwerken van persoonsgegevens. Anderzijds is het daardoor noodzakelijk dat toezichthouders meer bevoegdheden krijgen. Dit artikel zal ingaan op de, naar mijn mening, belangrijkste verplichtingen die uit de verordening gaan gelden voor ondernemers.

 

VERANTWOORDINGSPLICHT AVG

De grootste verandering voor uw onderneming, groot of klein, is dat u beter moet kunnen verantwoorden dat u (uw onderneming) aan de nieuwe wet voldoet. Uw onderneming wordt in de verordening dan ook “verwerkingsverantwoordelijke” genoemd. Deze verantwoordingsplicht uit zich in een aantal te nemen maatregelen waarvan ik de belangrijkste hieronder zal toelichten.

 

TOESTEMMING

Ook onder de Wbp bent u verplicht toestemming aan de betrokkene te vragen alvorens u tot gegevensverwerking overgaat. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van de betrokkene hebt gekregen om hun persoonsgegevens te verwerken. Bovendien moet het voor de betrokkene net zo eenvoudig zijn om hun toestemming in te trekken of te wijzigen als om die te verstrekken.

Let op: voor bepaalde categorieën data gelden aparte voorwaarden, bijvoorbeeld bij toestemming van kinderen onder de 16 jaar oud of bij het verzamelen van bijzondere data waaronder gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.

 

ZORGVULDIGE DOCUMENTATIE

De AVG regelt dat u als verwerkingsverantwoordelijke moet zorgdragen voor een zorgvuldig gedocumenteerd register van de verwerkingsactiviteiten. Hierin dient u onder andere vast te leggen wat uw verwerkingsdoelen zijn, aan wie u de gegevens zal verstrekken en binnen welke termijn de gegevens gewist zullen worden. Ook geeft u in dit register, indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u treft.

Denk bij zorgvuldige documentatie ook bijvoorbeeld aan het AVG-proof maken van uw privacyverklaring.

 

VERWERKERSOVEREENKOMST(EN)

Wellicht gaat er al een spreekwoordelijk lampje bij u branden. Onder de Wbp is er namelijk een vergelijkbare overeenkomst verplicht, zij het onder de naam bewerkersovereenkomst. Indien u (delen) van uw gegevensverwerking uitbesteedt, gaat u in de zin van de AVG werken met een verwerker. Met hen legt u onder andere in een overeenkomst vast dat de verwerker medewerking verleent bij bijvoorbeeld het melden van datalekken en het uitvoeren van een gegevensbeschermingseffectbeoordeling. Evenals dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert.

Onder de Wbp kon een bewerker zijn aansprakelijkheid (grotendeels) uitsluiten. De AVG bepaalt echter dat de verwerker rechtstreeks kan worden aangesproken voor schades (civielrechtelijk) en boetes (via toezichthouder). Zowel als verwerkingsverantwoordelijke en als verwerker is het dus belangrijk om ervoor te zorgen dat uw overeenkomsten AVG-proof zijn. Twijfelt u hierover? Neem dan contact met ons op.

 

FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING

In sommige gevallen is het noodzakelijk een functionaris voor de gegevensbescherming (FG) aan te stellen. Naast dat overheden en publieke organisaties een FG dienen aan te stellen, gaat deze verplichting ook gelden voor ondernemingen die vanuit hun kernactiviteiten regelmatig en stelselmatig individuen observeren (bijvoorbeeld indien uw onderneming zicht richt op cameratoezicht of monitoring van iemands gezondheid via wearables). Deze verplichting gaat ook gelden voor ondernemingen die op grote schaal bijzondere persoonsgegevens verwerken. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Vooralsnog is dat in Nederland niet het geval (hierdoor is het mogelijk dat de privacywetgeving in Europa niet helemaal gelijk zal zijn).

 

GEGEVENSBESCHERMINGSEFFECTBEOORDELING

Onder de AVG kunnen ondernemingen verplicht zijn een zogenaamde gegevensbeschermingseffectbeoordeling uit te voeren. Dat is een hulpmiddel om bij verwerkingen, die een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, de risico´s in kaart te brengen om vervolgens eventuele maatregelen te nemen. In de verordening wordt omschreven dat hierbij vooralsnog vooral gedacht wordt aan verwerking middels nieuwe technologieën.

 

MELDPLICHT DATALEKKEN

Gaat er ondanks uw zorgvuldige gegevensbescherming toch iets mis? Kunnen hierdoor persoonsgegevens in de handen van derden vallen die hier eigenlijk geen toegang tot mogen hebben? Bijvoorbeeld door het verlies van een gegevensdrager (USB-stick / laptop / mobiele telefoon enz.) of door een brand, dient u dit (net als onder de Wbp overigens) te melden aan de betreffende autoriteit, in Nederland de autoriteit persoonsgegevens.

Zal het lek naar alle waarschijnlijkheid een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkene(n)? Dan dient u dit onmiddellijk, in duidelijke en eenvoudige taal, aan de betrokkene(n) mede te delen (uitzonderingen laat ik hier buiten beschouwing).

 

Ik hoop dat het voor u nu duidelijker is welke stappen er binnen uw onderneming nog genomen dienen te worden om ervoor te zorgen dat uw onderneming, zo goed als in uw geval mogelijk is, te voldoen aan de nieuwe AVG. Mocht u in bepaalde documentatie nog moeten voorzien, of vraag u zich af of bepaalde zaken voor u van toepassing zijn, neem dan contact op.