De AVG, hoe zit het precies?
Vanaf 25 mei 2018 dient iedere organisatie aan
de Algemene Verordening Gegevensbescherming
(AVG) te voldoen. De nieuwe wet regelt de
bescherming van persoonsgegevens van bijvoor
beeld uw klanten en medewerkers. In dit artikel
leest u wat u te wachten staat.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn gegevens die een natuurlijke persoon identi
ficeren of identificeerbaar maken. Dat betreft dan niet alleen een
naam en e-mailadres maar bijvoorbeeld ook een IP-adres, cookies
en ID’s van apparaten die daaraan gerelateerde gegevens bevatten.
Dit betekent dat vrijwel alle bedrijven onvermijdelijk persoonsge
gevens verwerken binnen hun bedrijfsvoering.
Wat verandert er?
De AVG zorgt onder andere voor:
- Versterking en uitbreiding van privacyrechten van betrokkenen;
- Meer verplichtingen en verantwoordelijkheden voor organisaties;
- De bevoegdheid voor de Autoriteit Persoonsgegevens om boetes
tot 20 miljoen euro op te leggen.
Aan welke verplichtingen moet u voldoen?
Vanaf 25 mei 2018 moet u als organisatie onder andere aan de
volgende verplichtingen voldoen:
- Er moet een geldige grondslag en duidelijke doelstelling bestaan
voor het verwerken van persoonsgegevens (bijvoorbeeld de
uitvoering van een overeenkomst) en moet een duidelijk doel
bepaald zijn. Het is niet toegestaan om ‘onbeperkt’ persoons
gegevens te verwerken zonder daarbij vooraf een bepaald doel
voor ogen te hebben.
- U moet afspraken maken met verwerkers (bijvoorbeeld een
bedrijf dat de salarisadministratie uitvoert) over de verwerking
van persoonsgegevens;
- U moet een privacy-administratie gaan voeren waarin u bijhoudt
hoe u met persoonsgegevens omgaat (het verwerkingsregister);
- U moet betrokkenen informeren over hun rechten met betrekking
tot het verwerken van hun persoonsgegevens (waaronder het recht
op inzage, correctie en verwijdering van hun persoonsgegevens).
- U dient, indien aan bepaalde voorwaarden wordt voldaan, een
datalek melden aan de Autoriteit Persoonsgegevens en/of aan
betrokkenen, en
- U dient de persoonsgegevens passend te beveiligen tegen onrecht
matige verwerking en verlies.
Bent u verantwoordelijke of verwerker?
Een verwerkingsverantwoordelijke is degene die zeggenschap heeft
over de verwerking van persoonsgegevens. Met andere woorden,
de verantwoordelijke bepaalt waarom er persoonsgegevens worden
verzameld en hoe dat gebeurt. De verwerker is degene die uitslui
tend persoonsgegevens verwerkt in opdracht van de
verantwoordelijke.
Franchiseorganisaties kunnen verantwoordelijke, verwerker of
medeverantwoordelijke zijn. Bij elke verwerking dient beoordeeld
te worden wie de verantwoordelijke is, en wie eventueel verwerker,
of dat mogelijk beide partijen verantwoordelijke zijn.
Hoe legt u de verantwoordelijkheden vast?
Indien een verantwoordelijke een verwerker inschakelt voor
gegevensverwerking, moet een verwerkersovereenkomst gesloten
worden waarin belangrijke afspraken worden opgenomen.
Waar moet u beginnen?
- Breng in kaart welke persoonsgegevens binnen de organisatie
worden verzameld en waarom;
- Stel vast wie zeggenschap heeft over de verwerking en daarmee
verantwoordelijke is;
- Stel vast of er verwerkers zijn ingeschakeld en sluit
verwerkersovereenkomsten;
- Zorg voor toestemming van betrokkenen, daar waar de AVG dit
vereist;
- Zorg voor een passende beveiliging van gegevens.
Kortom, het is belangrijk dat u laat zien dat u werkt aan een zorg
vuldige verwerking van persoonsgegevens.
INRETAIL
INretail, de grootste brancheorganisatie in retail non-food met
13.000 aangesloten winkels, heeft een handige AVG-tool ontwik
kelt. Euretco-ondernemers kunnen deze tool tegen een gereduceerd
tarief (€ 99) aanschaffen.
De tool brengt stap-voor-stap alle privacydata in kaart, geeft aan of
u voldoet aan de nieuwe richtlijnen en biedt verschillende formulie
ren zoals een verwerkersovereenkomst, modelinventarisatie,
privacy policy en geheimhoudingsverklaring voor medewerkers.
Indien u gebruik wilt maken van de diensten van INretail dan kunt
u contact opnemen met Liesbeth Damen via
l.damen@euretco.comof 033 - 2532823.
13
|