Spring naar hoofd-inhoud

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG/GDPR)

Op 25 mei 2018 moeten alle organisaties, publiek en privaat in de EU, die persoonsgegevens verwerken een aantal maatregelen genomen hebben om te voldoen aan deze verordening over de bescherming van persoonsgegevens. In Nederland heet die verordening de Algemene Verordening Gegevensbescherming (AVG) en in het Engels spreken we van General Data Protection Regulation (GDPR). Het betreft hier overigens dezelfde verordening, waar Europese lidstaten in beperkte mate een eigen invulling aan mogen geven. In Nederland heet dat Uitvoeringswet.

Hieronder noemen we een vijftal zaken die u vóór 25 mei minimaal dient te realiseren:

Verwerkingenregister
Voor elke verwerking die een organisatie met persoonsgegevens doet en waarvoor zij het doel en de middelen bepaalt, is een register vereist waarin o.a. vermeld is met welk doel en op welke rechtsgrond de verwerking plaatsvind. Daarnaast is hierop te vermelden welke categorieën persoonsgegevens voor die verwerking gebruikt worden, met welke partijen die eventueel gedeeld worden, welke beveiligingsmaatregelen genomen zijn en wat de bewaar- en verjaringstermijnen van de gegevens zijn. Meestal is dat tamelijk veel werk waar u op tijd mee moet beginnen.

Privacyreglement
De verordening schrijft voor dat u de mensen waarvan u de persoonsgegevens verwerkt, informeert over de verwerkingen die u met hun gegevens doet. Dat dient u op een transparante, gemakkelijk toegankelijke en voor de betrokkene begrijpelijk manier te doen voordat u met de verwerking begint. Vaak wordt dit reglement op de website geplaatst (naast de Algemene Voorwaarden) en is een verwijzing daarnaar voldoende.

Verwerkersovereenkomst
Als u verwerkingen uitbesteed (bijv. salarisadministratie) of, andersom, verwerkingen namens een opdrachtgever uitvoert dan zal tussen deze partijen een overeenkomst gemaakt moeten worden. In deze zgn. “verwerkersovereenkomst” maakt u onderling afspraken over de technische en organisatorische beveiligingsmaatregelen. Denk hierbij o.a. aan procedures, geheimhoudingsplicht, et cetera. U kunt het vergelijken met een Service Level Agreement (SLA) zoals u dat met een softwareleverancier afsluit.

Gedragsregels.
Beleid, reglementen en procedures zijn noodzakelijk, maar als uw personeel er geen gevolg aan geeft dan zijn ze zinloos. Dat geldt natuurlijk ook voor de actieve bescherming van persoonsgegevens in uw organisatie en daarom is het opstellen van concrete gedragsregels voor uw medewerkers nodig. Denk hierbij aan concrete richtlijnen voor het toepassen van wachtwoorden, het gebruik van USB sticks en procedures voor identificatie.

Datalekprotocol.
Digitale systemen moeten optimaal beschermd zijn tegen ongeoorloofd gebruik van de gegevens daarin. Toch kan het gebeuren dat persoonsgegevens die u verwerkt op een plek terecht komen waar ze niet thuis horen. Men spreekt dan van een “datalek”, ook als er geen opzet in het spel is. In uw organisatie heeft u een schriftelijk protocol nodig, waarin u vastlegt welke stappen gezet moeten worden van ontdekking van het lek tot en met evaluatie en verbetering. Melding van de inbreuk aan de Autoriteit Persoonsgegevens en aan de betrokkene(n) kan daarbij vereist zijn.

Theo Kusters, Privacy Collectief Venlo

 

Bekijk hier het privacy statement van PVO Limburg

11 april 2018

Archief