Checklist voor uw AVG

Privacy is een grondrecht. De privacyregelgeving is er daarom op gericht om individuen te beschermen. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG, ook wel de General Data Protection Regulation) van toepassing.

Lees hier welke 8 onderdelen van belang zijn voor uw organisatie om AVG Proof te zijn!

De belangrijkste onderdelen die vanuit de AVG verplicht zijn om uit te voeren zijn:
  • Maak een register van verwerkingsactiviteiten en zorg dat deze up to date wordt gehouden
    Check of er een wettelijke grondslag is voor verwerking van persoonsgegevens. Check of niet meer gegevens worden verwerkt dan nodig voor de verwerkingsdoelen (dataminimalisatie). Check of er bijzondere persoonsgegevens worden verwerkt en zo ja, of daar een wettelijke uitzondering op het verwerkingsverbod voor is. Check of de gegevens actueel en juist zijn.
  • Stel een privacyverklaring op
    Publiceer die op uw website en zorg ervoor dat betrokkenen naar de privacyverklaring worden verwezen (bijvoorbeeld via een link op (inschrijf)formulieren, brieven of overeenkomsten).
  • Maak afspraken met partijen waar persoonsgegevens worden gedeeld
    Verwerkersovereenkomst of afspraken omtrent de omgang met persoonsgegevens.
  • Rechten van betrokkenen
    Check of voldaan kan worden aan de rechten van betrokkenen.
  • Persoonsgegevens doorgegeven aan landen buiten de EER
    Check of voldaan wordt aan de extra eisen die gelden indien persoonsgegevens worden doorgegeven aan landen buiten de EER.
  • Meldplicht datalekken
    Stel een procedure meldplicht datalekken op en houd een datalekregister bij.
  • Beoordeel of een DPIA is vereist
    Beoordeel of ten aanzien van nieuwe verwerkingen (bijvoorbeeld bij een nieuwe website of een nieuw IT systeem) een DPIA is vereist en houd rekening met ‘privacy by design’ en ‘privacy by default’
  • Functionaris voor de Gegevensbescherming aanstellen
    Beoordeel of een Functionaris voor de Gegevensbescherming moet worden aangesteld.

Gedetailleerde uitleg:

Korte toelichting op de meest belangrijke termen gebruikt in de AVG:

Een persoonsgegeven is ieder gegeven dat herleidbaar is tot een individu (de betrokkene). Daaronder vallen niet alleen adresgegevens, telefoonnummer en emailadres, maar ook inloggegevens, kenteken en IP-adres.

Verwerking van persoonsgegevens is iedere handeling die betrekking heeft op persoonsgegevens, zoals opslaan, raadplegen, opvragen en zelfs vernietigen.

Verwerkingsverantwoordelijke (verantwoordelijke onder de Wbp)is degene die het doel en de middelen bepaalt voor de verwerking van persoonsgegevens. De
privacyregelgeving gaat uit van het principe dat de daarin opgenomen vereisten gelden voor de verwerkingsverantwoordelijke, ook indien deze bepaalde verwerkingen door een derde (verwerker; bewerker onder de Wbp) laat verrichten.

Inventarisatie van persoonsgegevens

De verwerking van persoonsgegevens is iedere handeling die betrekking heeft op persoonsgegevens. Het hoeft geen actieve handeling te zijn. Het inzien, bewaren, verstrekken of uitsluitend opslaan of vernietigen van persoonsgegevens zijn allemaal verwerkingen. Een persoonsgegeven is ieder gegeven dat herleidbaar is tot een natuurlijk persoon (de betrokkene). Denk aan contactgegevens, foto’s, camerabeelden, sportprestaties, telefoonopnames en IP adressen.

Iedere professional verwerkt dagelijks persoonsgegevens. Denk aan de klantenadministratie of de financiële administratie en via de website. De privacywetgeving speelt daarom een belangrijke rol in die dagelijkse werkzaamheden.

Voorbeeld

De professional is verwerkingsverantwoordelijke ten aanzien van haar klantenadministratie. Het is namelijk de professional die bepaalt welke gegevens van de klanten worden verwerkt en hoe dat wordt gedaan. Als de professional daarbij gebruik maakt van een administratiesysteem die wordt onderhouden door een IT leverancier, dan is die IT leverancier een verwerker van de professional. De IT leverancier is op haar beurt verwerkingsverantwoordelijke voor haar eigen personeelsadministratie.

Bepalen van uw privacyrechtelijke rol

Om te kunnen beoordelen aan welke verplichtingen van de AVG voldaan moet worden zal bepaald moeten worden wat de rol is van de organisatie of professional voor de verwerkingen van persoonsgegevens.

Voorbeeld

Mediamarkt is op de vingers getikt voor het gebruik van camerabeelden van beveiligingscamera’s voor het aanspreken van haar personeel op hun functioneren. Omdat de persoonsgegevens waren verzameld voor de beveiliging van de eigendommen van Mediamarkt, mochten deze gegevens vervolgens niet worden gebruikt voor de beoordeling van werknemers.

Verwerken van persoonsgegevens

Er is een wettelijke grondslag nodig om persoonsgegevens voor het bepaalde doel te mogen verwerken:

  • toestemming van de betrokken persoon.
  • noodzakelijk voor de uitvoering van een overeenkomst.
  • noodzakelijk voor de behartiging van het gerechtvaardigd belang van de (verwerkings)verantwoordelijke
  • noodzakelijk voor de nakoming van een wettelijke verplichting.
  • noodzakelijk voor de uitoefening van algemeen belang of uitoefening van openbaar gezag (specifieke wettelijke taak).
Voorbeeld

De verwerking van adres- en betaalgegevens voor de uitvoering van een huurovereenkomst. Het beschikbaar stellen van BSN en inkomensgegevens aan de fiscus. De verwerking van persoonsgegevens in het kader van afvalinzameling of voor de uitvoering van taken binnen het sociaal domein.

Voor een geldige toestemming dient de verwerkingsverantwoordelijke te kunnen bewijzen dat de betrokkene actief, vrij en voldoende geïnformeerd toestemming heeft gegeven. Terugtrekken/intrekken van toestemming moet altijd mogelijk zijn. In een arbeidsverhouding wordt er snel vanuit gegaan dat de toestemming niet vrij is gegeven, door de rollen/verhouding tussen werkgever en werknemer. Voor gegevens van kinderen onder de 16 jaar is altijd toestemming van een voogd nodig.

Wat zijn bijzondere gegevens:

persoonsgegevens die door hun aard bijzonder gevoelig zijn. Dus gegevens over iemands:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakvereniging;
  • gezondheid;
  • seksueel gedrag of seksuele gerichtheid;
  • Genetische gegevens;
  • Biometrische kenmerken die worden gebruikt om iemand te identificeren.
Voorbeeld

Burgerservicenummer (BSN), dieet, geslacht.

Informatieplicht

De verwerkingsverantwoordelijke dient de personen van wie zij persoonsgegevens verwerkt (‘betrokkenen’) vooraf op een duidelijke en makkelijk raadpleegbare wijze te informeren over welke persoonsgegevens voor welk doel worden verwerkt, hoe de gegevens worden gebruikt en of deze gegevens worden verstrekt aan derden.

Voorbeeld

Dit kan bijvoorbeeld via een privacyverklaring op de website of in een folder. Maar ook bij formulieren dient het verwerkingsdoel en een link naar de privacyverklaring te zijn opgenomen. Voor werknemers zou dit bijvoorbeeld via een privacyprotocol op intranet of een regeling in het personeelshandboek kunnen.

Dataminimalisatie

De verwerking moet proportioneel zijn en voldoen aan de subsidiariteits-eis (dataminimalisatie):

  • Er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk is voor het bereiken van het doel van de verwerking.
  • Als het doel ook kan worden bereikt door een geringere inbreuk op de privacy van de betrokkene dan zal de weg van de minste inbreuk moeten worden gekozen.
Voorbeeld

Bijvoorbeeld de webformulieren: alleen die gegevens vragen die nodig zijn voor het leveren van de dienst of het product. Als een webwinkel een product moet bezorgen aan de consument is doorgaans alleen een naam, (e-mail)adres en telefoonnummer nodig. Vaak wordt er via webformulieren echter meer informatie verzameld dan noodzakelijk is, wat puur dient ter verrijking van het individuele klantprofiel waar ook nog eens niets mee wordt gedaan.

Rechten betrokkenen

In de AVG krijgen de betrokkenen meer rechten. Naast het recht op informatie hebben betrokkenen het recht op inzage, correctie, verwijdering en gegevensoverdracht. Daarnaast kunnen betrokkenen bezwaar maken tegen de verwerking van hun persoonsgegevens wegens bijzondere persoonlijke omstandigheden. Tevens krijgen betrokkenen het recht om bezwaar te maken tegen geautomatiseerde besluitvorming zonder tussenkomst van een persoon.

Op een verzoek tot inzage zal de verwerkingsverantwoordelijke binnen 4 weken een overzicht met de betreffende gegevensverwerkingen moeten verstrekken aan de betrokkene.

Voorbeeld

Vraagt u zich af welke gegevens een organisatie allemaal van u heeft opgeslagen? Of wilt u geen aan u geadresseerde reclame meer ontvangen? Heeft u toestemming gegeven om uw persoonsgegevens op internet te publiceren, maar heeft u nu spijt.

Meldplicht Datalekken

Als persoonsgegevens verloren zijn gegaan of toegankelijk kunnen zijn voor onbevoegden is sprake van een beveiligingsincident of datalek. Een datalek dient binnen 72 uur bij de Autoriteit Persoonsgegevens te worden gemeld, tenzij het niet waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van de getroffen personen. Of er gemeld moet worden hangt dus af van de risico’s voor de betrokkenen. Als gemeld moet worden bij de Autoriteit Persoonsgegevens dient tevens te worden nagegaan of ook de getroffen personen geïnformeerd moeten worden. Er dient een register te worden bijgehouden van alle beveiligingsincidenten waarbij persoonsgegevens zijn betrokken met de getroffen maatregelen, of er een melding is verricht en zo niet welke afweging daarvoor is gemaakt.

Voorbeeld

Offline’ datalekken: de papierbak, de dossiers in de schoudertas, de documenten die open en bloot op je bureau liggen of de printjes die je eigenlijk niet zomaar in de papierbak naast de printer had moeten gooien. Want stonden daar geen gegevens bij die niet voor derden bedoeld waren?
Of verzenden van e-mail met andere mailadressen niet in de BCC. Of verlies van een usb-stick of laptop, diefstal van een telefoon, phishing en ransomware. 

Data protection impact assessment (DPIA)

Vanaf 25 mei moment kunnen bedrijven verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

Voorbeeld

Een DPIA als er sprake is van:
Beoordelen van mensen op basis van persoonskenmerken bijvoorbeeld profiling en prognoses. Geautomatiseerde beslissingen die voor betrokkenen rechtsgevolgen of wezenlijke gevolgen kennen. Stelselmatige en grootschalige monitoring zoals cameratoezicht. Gevoelige/bijzondere gegevens zoals strafrechtelijke gegevens, locatie gegevens of financiële gegevens. Grootschalige gegevensverwerking. Gekoppelde databases. Gegevens over kwetsbare personen zoals werknemers, kinderen of patiënten. Gebruik van nieuwe technologieën. Gegevens die als gevolg kunnen hebben blokkering van een recht, dienst of contract zoals een bank die persoonsgegevens verwerkt om te bepalen of zij iemand een lening wil verstrekken.
Een te gebruiken methodiek is bijvoorbeeld die van Norea of Surf, of eventueel zelf gemaakte modellen.