Strengere regelgeving omtrent bescherming persoonsgegevens

Met ingang van 25 mei 2018 gaat de nieuwe Europese wet Algemene Verordening Gegevensbescherming (AVG) in. De AVG versterkt de positie van mensen, van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden versterkt.
De wet verplicht bedrijven, vanaf dat moment, alle persoonsgegevens zorgvuldig te verkrijgen, opslaan en vernietigen of wissen. Nu is dit geen nieuws, als het goed is bent u al sinds mei 2016 op de hoogte en is uw bedrijf al lang en breed klaargestoomd voor de nieuwe regels. Niet? Dan geven we nog snel even een spoedcursus. We gaan in dit artikel in op (de) 10 stappen, met praktische voorbeelden. Nu zijn wij geen juristen, dus wil je echt zeker weten wat er voor uw organisatie van toepassing is, adviseren wij hier een specialistische partij voor in te schakelen.

Lees ook de informatie vanuit de Autoriteit Persoonsgegevens.

Om welke gegevens gaat het nu eigenlijk?

  • Klantgegevens van individuele personen (o.a. verkregen middels aankopen van/door consumenten).
  • Internetgegevens van bezoekers zoals opgeslagen profielinformatie, IP adres, locatiegegevens etc.
  • Personeelsgegevens van zowel sollicitanten, als aangenomen mensen en oud personeel.
  • Andere persoonsgegevens, zoals gegevens van leveranciers en relaties of databases van andere bedrijven.

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens. Het uitgangspunt van de AVG is dat je alleen persoonsgegevens mag opslaan en verwerken, als je voldoet aan minimaal één van de volgende grondslagen:

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Let op: Uitzonderingen gelden bij strafrechtelijke en bijzondere persoonsgegevens.

In 10 stappen voorbereid op de AVG

Op basis de 10 stappen van de instantie Autoriteit Persoonsgegevens, geven wij een praktische insteek met daarbij voorbeelden zoals deze voor ons en onze klantenkring zullen gelden.


Stap 1: Bewustwording in de gehele organisatie

De eerste stap naar een correct bedrijfsproces rondom de nieuwe wetgeving is bewustwording. Niet alleen op beleidsniveau, maar in alle lagen van de organisatie moet het personeel op de hoogte zijn dat zij, per 25 mei 2018 (nog) zorgvuldiger om moeten gaan met persoonsgegevens. Enkele voorbeelden:

  • Iemand achter de kassa (met daarin klantgegevens) moet weten dat deze gegevens niet zomaar gedeeld mogen worden en wat hij/zij moet doen met een verzoek tot inzage en/of verwijdering.
  • Een administratief medewerker moet weten dat persoonsgegevens na gebruik vernietigd moeten worden of op een juiste manier moeten worden opgeslagen in een archief offline of online.
  • De afdeling marketing en communicatie moet weten wanneer (web)gegevens van bezoekers gebruikt mogen worden en hoe de gegevens versleuteld moeten worden wanneer deze in een database staan.
  • De beleidsmedewerker dient dit alles goed onderbouwd te hebben in beleidsdocumenten zoals bijvoorbeeld de algemene voorwaarden en privacy statement.

Het implementatie van de AVG kan veel vragen van de beschikbare arbeidskracht en middelen. Helaas noodzakelijk, helemaal wanneer je bedenkt dat de sanctie die opgelegd kan worden maximaal 20 miljoen of 4% van de omzet bedraagt.


Stap 2: Transparant zijn

Onder de AVG krijgen mensen meer en verbeterde privacyrechten. Het belangrijkste uitgangspunt hiervan is dat je recht hebt op inzicht in de gegevens die zijn opgeslagen en wat de organisatie daarmee doet, recht hebt om gegevens te wijzigen, over te dragen of te laten verwijderen. Als bedrijf ben je verplicht gehoor te geven aan een dergelijk verzoek. Doe je dit niet kan de aanvrager hiervoor een klacht in dienen bij de Autoriteit Persoonsgegevens (AP).

Er zijn geen richtlijnen in de wet opgenomen, in welk formaat deze gegevens moeten worden gedeeld met de aanvrager. Afhankelijk van de branche en type bedrijfsvoering moet je hier zelf invulling aan geven. De grotere CRM, boekhoudprogramma’s en websiteplatformen geven aan met de nodige ontwikkelingen op dit gebied bezig te zijn. Het ontwikkelen en implementeren van een dergelijke functionaliteit neemt echter tijd in beslag. De verwachting is dat dit in de komende jaren nog verder zal doorgaan.
Ga je zelf een document opstellen? Begin dan met het in kaart brengen alle gegevensstromen (zie stap 3). Wil je weten of de opgestelde documenten juridisch dekkend zijn voor jouw bedrijf? Dan adviseren wij informatie in te winnen bij een jurist.

 

Stap 3: Gegevensverwerking in kaart brengen

Om overzichtelijk te krijgen welke gegevens jouw organisatie opslaat, breng je alle gegevensstromen in kaart. Documenteer welke persoonsgegevens de organisatie verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie ze gedeeld worden. Onder de AVG hebben organisaties een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat de organisatie in overeenstemming met de AVG handelt. Dit pak je aan door een beleidsdocument op te stellen waarin je alle gegevensstromen in de bedrijfsprocessen in kaart brengt.

Denk hierbij aan:

  • Gegevens die opgeslagen worden bij transacties via webshop
    • Betaalgegevens; met welke PSP (payment service provider) worden deze gedeeld.
    • Welke verzender/vervoerder ontvangt (welke) gegevens.
    • Wordt er een Incassobureau ingeschakeld en welke gegevens worden gedeeld.
  • Accountgegevens van online bezoekers; welke gegevens heb je van bezoekers/klanten en wat doe je hiermee?
  • Surfgegevens (cookies) van bezoekers. De AVG vervangt de huidige Cookie wetgeving.
  • Maillijsten; op welke maillijsten staan de (rechtmatig) verkregen e-mailadressen.
    • Welke instanties schakel je in (bijv. een review/beoordeling partij).
  • Ingevulde aanvraagformulieren via website(s)
  • Klantgegevens in CRM (welk CRM, waar staan de gegevens opgeslagen)
  • Klachtendatabase; Waar worden klachten opgeslagen?
  • Personeelsdossiers
  • Loonadministratie

Wanneer je een verzoek krijgt (stap 2) om gegevens in te zien, te wijzigen en/of verwijderen, moet dit beleidsdocument als uitgangspunt dienen om de informatie te vergaren. Vermeld in het overzicht ook per gegevenscategorie, op basis van welke wettelijke grondslag (zie intro) u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige Wbp.

 

Stap 4: Data protection impact assessment

De zogeheten Data Protection Impact Assessment (DPIA) welke is opgenomen in de nieuwe wetgeving, verplicht bedrijven om een risicoanalyse te maken van alle eerder genoemde gegevensstromen. Daarbij categoriseer je welke gegevens hoge risico’s met zich mee dragen, mochten deze gegevens bijvoorbeeld op straat komen te liggen of ontvreemd worden. Voorbeelden van gegevens met een hoge risico zijn bijvoorbeeld inloggegevens, rekeningnummer, automatische incasso (SEPA), Burger Service Nummer (BSN), bijzondere persoonsgegevens (gezondheid, ras, godsdienst, strafrechtelijk verleden, seksuele leven etc.).

In het beleidsdocument vermeld je voor de gegevens uit de hoge risicogroep, welke maatregelen er genomen worden om het risico te verminderen. Denk hierbij aan digitale versleuteling, archiefvernietiging en beperkte toegang tot enkel de medewerkers die hiertoe gemachtigd zijn. Komt uit een DPIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het niet om maatregelen te vinden om dit risico te beperken? Neem dan contact op met de Autoriteit Persoonsgegevens. Zij kunnen je verder adviseren hoe om te gaan met deze gegevensverwerking.

 

Stap 5: AVG als uitgangspunt voor de toekomst

Nu de organisatie bekend is met de AVG is het belangrijk dat deze wetgeving als uitgangspunt dient voor alle in de toekomst te verwerken data. Er wordt gesproken over “Privacy by Design” en “Privacy by Default. Wat grofweg betekent dat bij de ontwikkeling (Design) alleen de noodzakelijke gegevens worden gevraagd. Standaard (Default) mogen, met oog op AVG, enkel deze gegevens worden verwerkt. Of je nu een nieuwe website laat bouwen, een CRM inricht, je gaat beginnen aan e-mailmarketing, online adverteren, een webshop? Zorg ervoor dat de AVG direct is geïmplementeerd en onderbouwd in beleidsdocumentatie. Denk daarbij bijvoorbeeld aan het volgende:

  • Vraag/verplicht enkel om persoonsgegevens die écht noodzakelijk zijn.
  • Registreer alleen locatiegegevens, IP gegevens, cookies ed. wanneer deze daadwerkelijk gebruikt worden.
  • Wees transparant over de gegevens welke je opslaat en waarvoor je deze gebruikt
  • Zorg ervoor dat gegevens direct goed versleuteld zijn, voordat de gegevensverwerking start.

Stap 6: Functionaris voor de gegevensbescherming

Afhankelijk van de bedrijfsvoering, het risiconiveau en bijvoorbeeld de grootte van het bedrijf, kan het verplicht zijn een functionaris voor gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. In de volgende situaties dien je als organisatie een functionaris aan te stellen:

  • Overheidsinstanties en publieke organisaties. Zoals; gemeenten, provincies, zorginstellingen etc.
  • Bedrijven die op grote schaal individuen volgen. Zoals; beveiligingsbedrijven en bedrijven die (medische) gegevens verzamelen.
  • Bedrijven die op grote schaal bijzondere gegevens verzamelen.
  • Daarnaast kan o.b.v. van individuele beoordeling worden bepaald dat de organisatie en functionaris moet aanstellen.

Voor de meeste MKB zal gelden dat het aanstellen van een functionaris niet nodig is.

 

Stap 7: Meldplicht datalekken

Het melden van datalekken is momenteel onder de Wet bepaling persoonsgegevens al verplicht. In dat opzicht verandert er weinig. Wat er onder de Algemene Verordening Gegevensbescherming verandert zijn de strengere regels aan de registratie van de datalekken die in de organisatie hebben voorgedaan. Als organisatie dien je alle datalekken te documenteren. Hierop kan de organisatie gecontroleerd worden. Als organisatie maak je een nul-meting. Je brengt in kaart of er (zover bekend is) datalekken zijn geweest en of deze zijn gemeld. Daarnaast maak je een draaiboek wat de te ondernemen stappen zijn bij een mogelijke datalek. Om een beter beeld te krijgen van wat datalekken zijn, hierbij enkele voorbeelden:

  • Een server waarop e-mailadres en wachtwoordgegevens staan opgeslagen, is gehackt.
  • Het verliezen van een USB stick waarop data gegevens staan.
  • Het verliezen van een computer of telefoon waar gegevens van klanten op staan.
  • (per ongelijk) Verwijderde data zowel online (server) of offline d.m.v. archiefvernietiging, zonder dat er een back-up is.
  • Papieren dossiers zijn bij oud papier belandt i.p.v. vernietigd middels archiefvernietiging door een gecertificeerde inzamelaar.
  • Een brief met vertrouwelijke informatie is kwijtgeraakt in de post.

Uit de voorbeelden zie je al dat een datalek al sneller gemaakt is dan in eerste opzicht te verwachten is. Zoals in stap 1; bewustwording al staat gemeld komt dit in alle lagen van de organisatie voor. Het is daarom belangrijk dat in de gehele organisatie bewust wordt en verantwoordelijkheid neemt.

Tip van Wastenet: Zet standaard een rolcontainer (bijv. 240 liter) voor archiefvernietiging op kantoor of magazijn. Zodra de container vol is, wordt de archiefcontainer geleegd en direct ter plaatse vernietigd. Een archiefcontainer kan op afroep, eenmalig voor een jaarlijkse opruimactie of op frequentie van 1x per 4 of 2 weken tot 1 of 2x per week, afhankelijk van de behoefte.

Stap 8: Overeenkomsten met derden

Besteed je bepaalde diensten uit, denk daarbij voorbeeld aan online marketing, maak je gebruik van een review/beoordelingsbedrijf, een incassobureau of een Payment Service Provider (betaalsysteem), een vervoerder. Dan dien je met deze “verwerker” een overeenkomst te hebben welke voldoet aan de eisen die gesteld worden in de AVG. Voldoen de huidige contracten niet, dan is het noodzakelijk deze te herzien.

 

Stap 9: Eén toezichthouder

Stap 9 is niet echt een stap, maar wel goed om te weten. Organisaties die gevestigd zijn in meerdere EU-Lidstaten, of waarvan de gegevensverwerking impact heeft op meerdere lidstaten hoeven slechts één privacy toezichthouder aan te stellen. De toezichthouder in Nederland is de Autoriteit Persoonsgegevens.

 

Stap 10: Toestemming

Onder de nieuwe wetgeving is het verkrijgen van toestemming aangescherpt. Wederom, zoals in de vorige stappen al naar voren komt, is de documentatie ervan belangrijk. Een organisatie moet kunnen aantonen hoe de gegevens vergaard zijn en óf de gebruiker hiervoor toestemming heeft gegeven. Tot slot moet het net zo makkelijk zijn om deze toestemming weer in te trekken. Denk bijvoorbeeld aan het kunnen uitschrijven van een maillijst of het kunnen opzeggen en/of wijzigen van accountgegevens.

Wie is Wastenet?

Wastenet inzameling is een expert op het gebied van afval. Door middel van ons uitgebreide “afval”netwerk, verbinden wij bedrijven en afvalverwerkers. Door deze bemiddelende functie halen wij expertise in huis en bedingen we een scherpe prijs voor het afvoeren van alle afvalsoorten. Daarnaast ontzorgt Wastenet doordat een bedrijf voor alle afvalzaken slechts één aanspreekpunt heeft.

Onze invalshoek op het gebied van vertrouwelijke persoonsgegevens is de vernietiging ervan. Door middel van archiefvernietiging kunnen bedrijven, wanneer de het wettelijke bewaartermijn is verlopen, gegevens op een correcte wijze laten vernietigen. Wastenet inzameling verhuurt rolcontainers voor archiefvernietiging, welke voorzien zijn van een gleuf en slot om privacy lekken te voorkomen. De archiefcontainer kan op frequentie worden geleegd. Daarnaast faciliteren wij eenmalige of jaarlijkse archiefvernietiging.

 

Heb je interesse? Neem contact met ons op: 072-7202206

Ondanks brand bij AVR in Rotterdam gaat afvalinzameling gewoon door

Het zal u wellicht niet zijn ontgaan: er is een ernstige brand uitgebroken bij afvalverwerker AVR in de Botlek, Rotterdam. Gezien AVR een grote speler is op het gebied van afvalverwerking in Nederland, zou dit nieuws zorgen bij u kunnen oproepen over uw...

Minder CO2-uitstoot door multi-inpakmachine

Bestellingen met diverse artikelformaten, zorgen bij webwinkels vaak voor onnodig grote dozen om het te verpakken en versturen. Dit zorgt niet alleen voor verspilling van karton en vulmateriaal, maar ook dat het pakket meer ruimte inneemt tijdens het vervoer. Hierdoor...

Inzameling corona-afval volgens richtlijnen

Niet meer dan logisch dat afval afkomstig van Corona testlocaties met zorg wordt ingezameld en afgevoerd. Echter door gebrek aan kennis en organisatie gaat het toch mis en wordt het als bedrijfsafval ingezameld. Maar wat is het probleem en hoe moet het dan?

[instagram-feed layout=grid]

Contact met Wastenet inzameling

Wij helpen u graag
Heeft u een vraag of behoefte aan advies? Neem gerust contact op met onze klantenservice.

Mail ons
Of bel 072-7202206 op werkdagen van 8.30 tot 17.00 uur