Algemene Verordening Gegevensbescherming (AVG)

Vergelijkbare documenten
De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacy Maturity Scan (PMS)

Inleiding. Uitleg tienstappenplan AVG

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy verklaring en Toestemming verwerking persoonsgegevens

Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Checklist voorbereiding op de AVG

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)


De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Agenda. De AVG: wat nu?

Wat betekent de AVG voor jouw vereniging?

Algemene Verordening Gegevensbescherming

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Voorbereid op de nieuwe privacywet in 10 stappen

staat is om de AVG na te komen.

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

De Nieuwe Wet Privacy

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Algemene verordening gegevensbescherming

Algemene Verordening Gegevensbescherming (AVG)

AVG. Algemene Verordening Gegevensbescherming

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

In 10 stappen voorbereid op de AVG

Privacyverklaring voor de gemeentelijke website

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Gegevensbescherming en Privacybeleid

Implementatie Algemene verordening gegevensbescherming Huys Twickelo

AVG in de praktijk, tips!

Moshe Beukers Dalila Dizdar Robert van Asch

In 10 stappen voorbereid op de nieuwe privacywet (AVG)

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacy wetgeving: Wat verandert er in 2018?

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

In 15 stappen op weg naar 2018

De AVG en de gevolgen voor de uitvoeringspraktijk

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Gegevensbescherming en privacybeleid

De Algemene verordening gegevensbescherming. wat betekent deze Europese wet voor jou als ondernemer?

Toepassing Algemene Verordening Gegevensbescherming (AVG) bij de Stichting Voedseltuin Villanueva 1

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Nieuws uit de verenigingen. Beleidsplan Federatie. Werkgroep Communicatie. Werkgroep Bestuursdynamiek.

Privacyverklaring. WaterProof Marine Consultancy & Services BV.

Handvatten bij de implementatie van de AVG

Plan

AVG. algemene verordening gegevensbescherming

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

HANDREIKING: PRIVACYVERKLARING VOOR DE GEMEENTELIJKE WEBSITE

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

XpertHR College. Welkom bij het XpertHR College, met Steffie Schepers

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Handleiding. Algemene Verordening Gegevensbescherming (AVG)

HSP bewust Cathelijn van Ingen

Voorbereiding op de AVG: Waar staan we en wat moet er nog gebeuren

Algemene Verordening Gegevensbescherming

PRIVACYVERKLARING 1. WERKINGSSFEER

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Vandaag Zorgvernieuwing

Privacyreglement Gemeente Krimpen aan den IJssel

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Veranderingen privacy wet- en regelgeving

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacyverklaring. Voor de verwerking van persoonsgegevens van personen jonger dan 16 jaar vraag ik om toestemming van hun ouders of voogd.

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Hoe word ik Privacy-proof? 21 november 2017

1. Bewustwording. Belangenvereniging intensieve kindzorg ALGEMENE VERORDENING GEGEVENSBESCHERMING

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Algemene Verordening Gegevensbescherming (AVG)

PRIVACY REGLEMENT ORIONIS WALCHEREN

Privacyreglement Gemeente Borsele

Verwerkersovereenkomst, versie Mei 2018

CHECKLIST AVG VERMOGENSFONDSEN April 2018

Hoe gaat de gemeente om met uw persoonsgegevens? Privacyverklaring

De nieuwe privacywetgeving:

2.1.1 Informatie die u verstrekt bij het aanmelden voor een account

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

RSG Simon Vestdijk verwerkt uitsluitend persoonsgegevens op basis van de volgende rechtsgronden:

Hoe word ik Privacy-proof? 16 JANUARI 2017

Actualiteiten loonheffingen

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Privacyreglement Senzer

PRIVACY GOED GEREGELD. Voorjaar 2018

Stichting Dutch Starfighter Foundation. Privacy reglement. ~ begunstigers. Opgemaakt door: Theo Rombout Versiedatum: 06/01/19

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Laatst aangepast 1 oktober 2018

Privacyverklaring Loonbedrijf Ben Hoogenhoud

Cursus Privacy & AVG Sport Support. 16 april 2018 Haarlem

Transcriptie:

Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 moeten alle organisaties in Nederland voldoen aan nieuwe privacyregels. Die staan in de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet stelt strenge eisen aan de omgang met persoonsinformatie. Waar moet u allemaal aan denken? Stap 1: Bewustwording Zorg dat iedereen in uw onderneming bekend is met de nieuwe privacyregels. Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Onderzoek welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen. Stap 2: Privacyverklaring en rechten van betrokkenen Als u gegevens over klanten of andere personen vastlegt, moet u in een privacyverklaring uitleggen wat u met die gegevens doet. Dat moet volledig en in eenvoudige taal. De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar u om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval: uw bedrijfsgegevens het doel van de gegevensvastlegging welke gegevens u verzamelt aan wie u de gegevens eventueel doorgeeft hoe lang u de gegevens bewaart uitleg over cookies en de reden van gebruik (bij gebruik van cookies) de door u toegepaste beveiliging van de vastgelegde persoonsgegevens het recht op inzage, correctie, verwijdering en

het meenemen van eigen gegevens (dataportabiliteit) het recht op intrekking van verleende toestemming het recht om een klacht in te dienen Rechten Het recht om de eigen gegevens in te zien, te corrigeren en aan te vullen was in de oude privacywetgeving al geregeld. Op verzoek moest u de persoonsgegevens ook al verwijderen. Deze rechten blijven onder de nieuwe wet bestaan. Daar komt het recht op dataportabiliteit bij. U moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen. Toestemming Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe u geldige toestemming van mensen kunt krijgen om de persoonsgegevens te mogen verwerken. Daarvoor is een bewuste handeling van de persoon nodig. U mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen. De verkregen toestemming moet u kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming. Stap 3: Overzicht verwerkingen U bent verplicht om met een register te werken waarin u de verwerking van persoonsgegevens bijhoudt, als uw organisatie: persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of meer dan 250 medewerkers heeft. In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer altijd vaker voorkomt. Inhoud register In het verwerkingsregister neemt u op welke persoonsgegevens u gebruikt, voor welk doel, waar u ze opslaat en met wie u ze eventueel deelt. Het register kunt u schriftelijk of elektronisch bijhouden. Als betrokken personen u vragen hun gegevens te corrigeren of te verwijderen, kunt u dit register hiervoor nodig hebben. U moet deze verzoeken ook doorgeven aan de organisaties waarmee u de persoonsgegevens hebt gedeeld. Klachten U moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe u met hun persoonsgegevens omgaat.

Stap 4: Data protection impact assessment (DPIA) Bij het verwerken van gegevens met een hoog privacyrisico is een 'data protection impact analyse' (DPIA) verplicht. Hiermee brengt u de privacyrisico's van de verwerking van gegevens in kaart. Blijkt uit de DPIA dat de privacyrisico's hoog zijn, dan kunt u maatregelen nemen om deze te verkleinen. Verplicht uitvoeren DPIA Een DPIA moet u in ieder geval uitvoeren als u: bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische of biometrische gegevens op grote schaal verwerkt, of op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering). Stap 5: Inrichten systemen Bij het inrichten van uw systemen kunt u technisch al een zorgvuldige omgang met persoonsgegevens afdwingen. Vraag bijvoorbeeld geen gegevens op die u niet nodig heeft. Voor de verzending van een e-mailnieuwsbrief heeft u bijvoorbeeld geen woonadres nodig. In de AVG wordt dat privacy by design genoemd. Bij het vragen om persoonsgegevens moet de standaardinstelling van uw systemen zo privacyvriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in). U mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt. Ook mag u niet automatisch informatie naar iemand toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De standaardinstellingen moeten de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft. Stap 6: Toezicht Functionaris gegevensbescherming In bepaalde gevallen is het verplicht om voor uw organisatie een functionaris gegevensbescherming (FG) aan te stellen, ook wel data protection officer (DPO), genoemd. De functionaris gegevensbescherming is een onafhankelijk persoon die binnen uw organisatie adviseert en rapporteert over naleving van de AVG.

Aanstelling van een functionaris gegevensbescherming is verplicht wanneer: het de kernactiviteit van uw bedrijf is om op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) te verwerken; uw organisatie structureel mensen observeert (fysiek of digitaal, bijvoorbeeld via cameraobservatie). Voor overheidsorganisaties geldt dat de functionaris gegevensbescherming (FG) vrijwel altijd verplicht is. Intern of extern De positie functionaris gegevensbescherming kan vanuit uw organisatie worden ingevuld, maar ook door een externe partij. Aandacht voor naleving van de AVG is ook van belang voor organisaties die niet verplicht zijn een functionaris gegevensbescherming aan te stellen. Stap 7: Datalekken documenteren en melden Een datalek Een datalek heeft u als databestanden worden gehackt of als u onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek. De AVG verplicht u om binnen uw organisatie alle datalekken vast te leggen en te documenteren. Datalek melden Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico's voor (natuurlijke) personen uit voortkomen. Wel moet u ook dan het datalek intern vastleggen en documenteren. U beschrijft het datalek, de gevolgen van het datalek en de genomen maatregelen. Datalek bij verwerken data voor anderen Verwerkt u privacygevoelige data voor anderen? Dan bent u verplicht het datalek te melden aan uw opdrachtgever. Uw opdrachtgever meldt het zo nodig aan de AP.

Stap 8: Een verwerkersovereenkomst afsluiten Als een ander bedrijf de persoonsgegevens voor u verwerkt en opslaat, dan moet u met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet. Wat staat er in een verwerkersovereenkomst? In een verwerkersovereenkomst spreekt u af: wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt. Verder spreekt u hierin af dat: verwerking uitsluitend plaatsvindt op basis van uw schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt; personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben; de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen; de verwerker zonder uw schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren; de verwerker u helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit; de verwerker u helpt om andere verplichtingen na te komen, zoals het melden van datalekken; de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar u terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren; de verwerker meewerkt aan audits van u of een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen. Stap 9: Leidende toezichthouder bepalen Heeft uw organisatie vestigingen in meerdere landen of verwerkt u gegevens in verschillende landen? Dan is er sprake van grensoverschrijdende samenwerking. De toezichthouder van het land van de hoofdvestiging is in zo n situatie de leidende toezichthouder. Bij een Nederlandse hoofdvestiging is de Autoriteit Persoonsgegevens de leidende toezichthouder.

10: Toestemming vragen of andere grondslag? De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. U moet kunnen aantonen dat er geldige toestemming is verkregen. Persoonsgegevens mag u alleen verwerken als de AVG daar een grondslag voor geeft. Er zijn 6 grondslagen: 1. Verleende toestemming voor de verwerking van persoonsgegevens Onder de AVG is alleen sprake van toestemming als de betrokken persoon: in alle vrijheid ondubbelzinnig door een verklaring of een actieve handeling toestemming heeft gegeven voor specifieke verwerking van persoonsgegevens. Stilzwijgende toestemming is niet voldoende. U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen voor het verwerken van hun persoonsgegevens. Het intrekken van de toestemming moet net zo eenvoudig zijn als het geven ervan. U moet de toestemminggever ook op dit recht wijzen. Na intrekking van de toestemming moet u de verwerking van de betreffende gegevens stoppen. U kunt dan geen andere grondslag gebruiken om de gegevens toch te verwerken. Andere grondslagen Deze volgende 5 grondslagen zijn noodzakelijkheidsgrondslagen. De verwerking van persoonsgegevens mag alleen als het nodig is voor 1 van de genoemde doelen. 2. Uitvoering van een overeenkomst Persoonsgegevens mag u verwerken voor de uitvoering van een overeenkomst. Bijvoorbeeld het vastleggen van naam en adresgegevens om een besteld product bij uw klant thuis te kunnen afleveren. Deze gegevens mogen alleen voor dat doel worden gebruikt. U mag deze gegevens later niet gebruiken om uw klant een nieuwsbrief te sturen. Daarvoor heeft u weer toestemming nodig. 3. Wettelijke verplichting Soms moet u persoonsgegevens vastleggen om te voldoen aan een wettelijke verplichting. Een werkgever moet de persoonsgegevens van werknemers vastleggen en doorgeven aan bijvoorbeeld de Belastingdienst. Zonder toestemming van de werknemer mogen de gegevens niet worden doorgegeven aan een organisatie waarvoor geen wettelijke verplichting geldt. Daarvoor is weer toestemming nodig. 4. Vitaal belang In noodsituaties, als het gaat om gezondheid of gevaar voor leven kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om toestemming te krijgen. 5. Algemeen belang U mag onder deze grondslag persoonsgegevens verwerken als het gaat om een andere wettelijke bepaling waarin ook het doel van de verwerking is omschreven.

6. Gerechtvaardigd belang Persoonsgegevens mogen worden verwerkt voor het behartigen van een gerechtvaardigd belang. Het gerechtvaardigd belang gaat niet op als de rechten van de betrokken personen zwaarder wegen. Het kan gaan om een gerechtvaardigd belang als er sprake is van een relevante en passende relatie tussen een organisatie en haar klanten. Bij een gerechtvaardigd belang kan het bijvoorbeeld gaan om het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. De organisatie moet open zijn over het gerechtvaardigde belang. Betrokken personen kunnen bezwaar maken tegen het verwerken van persoonsgegevens op grond van het gerechtvaardigd belang. Meer informatie Op de website van AVG voor Verenigingen staat meer over het programma en de mogelijkheden voor ondersteuning. Ook kunt u voor meer informatie contact opnemen met de VHG Ondernemershelpdesk via (030) 659 56 50 of ledencontact@vhg.org. Bron: Kamer van Koophandel Stappenplan voor leden Om u te ondersteunen bij de verplichtingen die voortkomen uit de AVG, heeft Branchevereniging VHG met Stichting AVG een overeenkomst gesloten. Deze stichting heeft namelijk een 15- stappenplan ontwikkeld. Door online alle stappen te doorlopen en de instructies op te volgen, ontvangt u op het eind een verklaring waarmee uw bedrijf verklaart AVG-proof te zijn. Dit met het oog op uw inspanningsverplichting. Op basis van de overeenkomst krijgt u als VHG-lid een korting van 50% op gebruik van het programma.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback