Informatiebrochure Wbp



Vergelijkbare documenten
c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

gewoondoenreintegratie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

Privacyreglement OCA(Zorg)

Privacy reglement. Inleiding

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Privacyreglement Potenco

Rubriek Onderwerp Nummer Datum document KWALITEIT - BELEID Privacybeleid

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

Privacyreglement CURA XL

Privacy reglement Pagina 1 van 6

Privacyreglement van De Zaak van Ermelo

Kwaliteit boek 1 - Beleid : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : Pagina 1 van 6 PRIVACYREGLEMENT

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Privacyreglement. NLeducatie

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

PRIVACY REGLEMENT

Privacyreglement 2018

Privacy reglement. Pagina 1 van 9

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

P R I V A C Y R E G L E M E N T

THUISZORG GEZELLIG PRIVACYREGLEMENT T HUISZORG GEZELLIG VECHTSTRAAT AS ZWOLLE

Privacy reglement Geluk in werken

Privacyreglement AMK re-integratie

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Privacyreglement Hulp bij ADHD

Privacyreglement Stichting Queridon taal & horeca September 2017

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

STE Languages. Privacyreglement versie 1.2

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

Privacyreglement Werkvloertaal 26 juli 2015

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

BLAD GEMEENSCHAPPELIJKE REGELING

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

Privacyreglement Work4People Privacyreglement

Wettelijke kaders voor de omgang met gegevens

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt.

Privacyreglement Picos B.V.

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

PRIVACYREGLEMENT DOCUMENTBEHEER ALGEMEEN

Reglement bescherming persoonsgegevens Nieuwegein

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

Chodsky Pes Club Nederland

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

2.1. Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Accent Taaltraining NT2.

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Privacyreglement versie 1.2, d.d

Art. 1 Begripsbepalingen In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder:

Privacyreglement. 1. Begripsbepalingen

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman

Privacyreglement. DutchNL

Privacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:

PRIVACYREGELING MEDEWERKERS

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

: Privacyreglement Datum : 14 mei 2018 Versienummer : V1.0

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

8.50 Privacyreglement

Privacyreglement WSVH

Concept Bewerkersovereenkomst uitvoering

Bewerkersovereenkomst

STICHTING UNICA-FILMFESTIVAL IN NEDERLAND

Privacyreglement Auto huren op Curacao

1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement Esma dienstverlening (februari 2018)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

THUISZORG GEZELLIG PRIVACYREGLEMENT V1.0 TER PELKWIJKPARK SH ZWOLLE

PROTOCOL. Onze vereniging

Documentinformatie: Wijzigingslog:

Beschrijving uniforme maatregelen m.b.t. Direct marketing

PRIVACYREGLEMENT UNIT ACADEMIE HOOFDSTUK 1 ALGEMENE BEPALINGEN. Artikel 1 Begripsbepalingen

Privacyreglement van Talenta. christelijk bureau voor jobcoaching en re-integratie

Documentinformatie: Wijzigingslog:

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

Privacyreglement Geneesmiddelenbulletin (Ge-Bu)

Privacyreglement Stichting Werkcarrousel

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen

Privacyreglement. Begripsbepaling Artikel 1

Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.

Phytalis-Verwerkersovereenkomst

Transcriptie:

info brochure Wbp:Layout 2 11-10-2012 17:22 Pagina 1 Bijlage 5 bij de Privacy Gedragscode Informatiebrochure Wbp Wet bescherming persoonsgegevens

Sims is een initiatief van RAI Vereniging en BOVAG Sims, Amsterdam 2012 vormgeving: Ruud Franken, P.51 Design drukwerk: drukkerij de Jong, Driebergen Hoewel bij de samenstelling van dit document grote zorgvuldigheid is betracht, kunnen de makers geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede) gebaseerd zijn op de informatie in dit document.

Voorwoord In de praktijk is de discussie rondom de bescherming van persoons- en privacygegevens de laatste jaren flink toegenomen. Het besef dringt bij steeds meer consumenten door dat bedrijven gegevens verzamelen terwijl zij zich niet aan de regels houden die zijn gesteld. Deze bedrijven maken dan ook een inbreuk op hun privacy. Consumenten vragen een streng optreden van de overheid. Vooral ook omdat op steeds meer plaatsen gegevens moeten worden achtergelaten en het onduidelijk is wat er met die gegevens gedaan wordt. Om te voorkomen dat u onnodig inbreuk maakt op de privacy is deze informatiebrochure Wet bescherming persoonsgegevens mobiliteitsbranche opgesteld. De Stichting Standaardisatie- en Informatiebeleid voor de Mobiliteitssector (hierna: SIMS), opgericht door de Nederlandsche Vereniging de Rijwiel- en Automobiel Industrie (hierna: RAI Vereniging) en de BOVAG, acht het namelijk van belang u zo goed mogelijk te informeren door u op een overzichtelijke en heldere wijze kennis te laten nemen van de spelregels. SIMS wenst u succes met het juist implementeren van de privacyregelgeving binnen uw organisatie!

Hoofdstuk 1: Inleiding De Wet bescherming persoonsgegevens (Wbp) regelt, ter bescherming van de privacy, wat er allemaal wel en niet mag met persoonsgegevens. In de Wbp staat wat de rechten van personen zijn als zijn/haar gegevens gebruikt worden. Een consument heeft bijvoorbeeld het recht op informatie, het recht op inzage en het recht op verzet tegen het gebruik van zijn/haar gegevens. SIMS heeft in lijn met het bepaalde in de Wbp, de Privacygedragscode Mobiliteitssector (hierna: Gedragscode) opgesteld. Tevens heeft zij de Zelfevaluatie Wet bescherming persoonsgegevens in de mobiliteitsbranche (hierna: zelfevaluatie) opgesteld. De Gedragscode draagt bij aan de doorzichtigheid van door de mobiliteitssector gehanteerde verwerking en gebruik van persoonsgegevens en biedt aanknopingspunten voor klanten en instanties om te beoordelen of de verwerking van de persoonsgegevens door de Mobiliteitssector volgens de geldende wet- en regelgeving geschiedt. De Zelfevaluatie is een instrument ten behoeve van het management van bij BOVAG en RAI Vereniging aangesloten organisaties voor het verkrijgen van een oordeel over de implementatie en/of naleving van de bepalingen van de Wbp. De Zelfevaluatie geeft bovendien antwoord op de vraag wat de huidige en de gewenste situatie is. Aangezien de Gedragscode en de Zelfevaluatie documenten zijn waar u even goed voor moet gaan zitten, is deze brochure bedoeld om u kort en helder weer te gegeven welke acties u dient op te pakken en in welke volgorde. Tevens wordt de privacywet uitgelicht, worden de rechten van de consumenten beschreven en worden er enkele praktijksituaties behandeld waar u tegenaan kunt lopen. Deze brochure dient dan ook in samenhang gelezen te worden met de Gedragscode en de Zelfevaluatie en vormt een leidraad voor deze documenten.

Hoofdstuk 2: Toelichting privacywet Sommige organisaties hebben persoonsgegevens van consumenten nodig voor hun werk. Maar de consument heeft ook recht op privacy en bescherming van zijn gegevens. Daarom zijn bedrijven verplicht persoonsgegevens goed te beschermen. Ook mogen zij alleen persoonsgegevens verwerken als ze daar een goede reden voor hebben en alleen als de betrokkene geïnformeerd is over wat er met de gegevens gebeurt. Dit is geregeld in de Wet bescherming persoonsgegevens (Wbp). Onderstaand een uitleg van de privacywet aan de hand van enkele vragen: 2.1 Wat is de reikwijdte privacywet? De privacywet heeft betrekking op (1) ieder gebruik van (2) persoonsgegevens: 1. Onder 'gebruik' valt ongeveer alles wat met gegevens kan worden gedaan. In de privacywet staat een niet-limitatieve opsomming: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen. 2. Persoonsgegevens zijn gegevens die betrekking hebben op een bekende persoon of een onbekende persoon, die aan de hand van de bijgehouden gegevens zonder al teveel moeite toch kan worden geïdentificeerd. Met andere woorden, persoonsgegevens vertellen iets wezenlijks over een persoon. Persoonsgegevens geven, direct of indirect, dus informatie over een bepaald persoon: Directe persoonsgegevens Sommige persoonsgegevens geven duidelijk feitelijke informatie over een persoon, bijvoorbeeld naam, adres, postbusnummer, woonplaats, geboortedatum of leeftijd, geslacht, burgerlijke staat, gezinssamenstelling, titulatuur, opleidingen, beroep, telecommunicatie-nummer(s), giro- en/of banknummer. Kortom ieder gegeven dat een persoon kan identificeren. Ook gegevens die een waardering over een bepaalde persoon inhouden, bevatten informatie over die persoon, bijvoorbeeld iemands IQ. Indirecte persoonsgegevens Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon, bijvoorbeeld over zijn maatschappelijke status. De winst van een eenmanszaak zegt bijvoorbeeld iets over het inkomen van haar eigenaar. Als deze gegevens zijn te herleiden tot een bepaalde persoon is sprake van persoonsgegevens. Gegeven of persoonsgegeven Soms kan het moeilijk zijn om te bepalen of een gegeven een persoonsgegeven is. Als u twijfelt, kunt u informatie vinden op een van de websites van het CBP (www.cbp.nl of Mijn privacy.nl). Grofweg gaat het dus om geautomatiseerde verwerking van persoonsgegevens. Binnen de mobiliteitssector is vaak sprake van een persoonsgegeven en worden de persoonsgegevens op een geautomatiseerde manier verwerkt 1. Vandaar dat het ook van belang is dat de regels van de Wbp ter harte worden genomen. 1 Zie ook hoofdstuk 6 Praktijkvoorbeelden.

2.2 Wie is verantwoordelijk voor de naleving van de privacywet? Degene die formeel optreedt als werkgever, is wettelijk verantwoordelijk voor het voeren van goed privacybeleid. Bij verenigingen, stichtingen, coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen en besloten vennootschappen, ligt de verantwoordelijkheid bij de rechtspersoon. In de praktijk komt het voor dat bedrijfsactiviteiten worden uitbesteed aan een derde. Dit ontslaat de werkgever echter niet van zijn verplichtingen. Maar ook deze derde heeft volgens de wet bepaalde verantwoordelijkheden, zoals de verplichting om gegevens goed te beveiligen. 2.3 Wat is het verschil tussen een betrokkene, gebruiker of een verwerker? Binnen de Wbp wordt onderscheid gemaakt tussen een verwerker (verantwoordelijke), bewerker en betrokkene. De verwerker (verantwoordelijke) is de natuurlijke persoon, rechtspersoon of ieder ander die alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Veelal is dit het bedrijf dat de gegevens van klant nodig heeft om te kunnen ondernemen. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Het grote verschil bestaat erin dat de bewerker niet de doelen en middelen voor de verwerking van persoonsgegevens bepaalt, maar slechts in opdracht van de verantwoordelijke persoonsgegevens verwerkt. Degene op wie een persoonsgegeven betrekking heeft, wordt betrokkene genoemd. 2.4 Wat zijn de gevolgen van het niet-nakomen van de regels? Overtreding van de privacywet kan leiden tot interne conflicten, aansprakelijkheid, negatieve publiciteit, en zelfs overheidsingrijpen en boetes. Dit zijn risico s welke u niet moet willen lopen. Vandaar dat het van belang is dat u voldoet aan de Privacyregelgeving. 2.5 Welke rechten en plichten heeft een betrokkene? Onderstaande enkele rechten en plichten van een betrokkene: Informatieplicht gebruiker Een betrokkene moet kunnen nagaan wat er met zijn/haar gegevens gebeurt. Daarom heeft een bedrijf of instelling die de persoonsgegevens gebruikt, de plicht een betrokkene te informeren over het doel van het verzamelen en over de naam en adres van de organisatie. Recht op inzage Een betrokkene heeft recht op inzage in zij/haar gegevens en het gebruik daarvan door een organisatie. Een betrokkene kan een organisatie vragen of die zijn/haar persoonsgegevens gebruikt. Recht op correctie Op basis van inzage in de gegevens kan een betrokkene de organisatie verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dat kan als de gegevens die gebruikt worden door de organisatie feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking.

Recht van verzet Het recht van verzet houdt in dat een betrokkene het recht heeft bezwaar te maken (verzet aan te tekenen) tegen bepaalde vormen van gebruik van uw gegevens door een organisatie. Er zijn twee vormen van verzet mogelijk: Een betrokkene kan in enkele gevallen verzet aantekenen in verband met zijn/haar bijzondere persoonlijke omstandigheden. Een betrokkene kan verzet aantekenen tegen het gebruik van zijn/haar gegevens voor directmarketingdoeleinden. De organisatie moet dat gebruik dan altijd direct beëindigen. Een organisatie die persoonsgegevens gebruikt voor direct-marketingdoeleinden moet een betrokkene informeren over het recht van verzet. Bovenstaande rechten worden ook omschreven in de Gedragscode en in de Zelfevaluatie. Als bijlage bij de Zelfevaluatie is tevens een informatieblad opgenomen van het College Bescherming Persoonsgegevens (hierna CBP) om u zo goed mogelijk te informeren.

Hoofdstuk 3: Verwerking en toezicht persoonsgegevens Een organisatie moet elke verwerking van persoonsgegevens melden, bijvoorbeeld wanneer de organisatie persoonlijke gegevens opvraagt, gebruikt of verspreidt. De meldingen van de verwerking van persoonlijke gegevens zijn openbaar, dit is geregeld in de Wbp. Melden verwerking persoonsgegevens Organisaties die gegevensverwerkingen melden, doen dat bij het CBP of bij de functionaris voor de gegevensbescherming (FG) van de eigen organisatie. De FG houdt intern toezicht op de verwerking van persoonsgegevens. Door de melding komt de registratie in een openbaar meldingenregister te staan. In de melding staat wat een organisatie met welke gegevens doet en aan wie de gegevens worden verstrekt. In de het document Zelfevaluatie is opgenomen hoe en waar de melding gedaan kan worden. In de Zelfevaluatie is beschreven of u meldingspichtig bent en hoe u zich eventueel kunt melden. Toezicht op persoonsgegevens Het CBP controleert bij organisaties zonder FG of deze zorgvuldig omgaat met persoonsgegevens. De toezichthouder controleert bijvoorbeeld of de gegevens verwerkt worden voor de daarvoor bestemde doeleinden. Ook ziet het CBP er op toe dat de gegevens worden beveiligd en dat de privacy ook in de toekomst verzekerd blijft. Wanneer een organisatie zich niet houdt aan de WBP, kan het CBP maatregelen nemen. De belangrijkste maatregel is uitoefening van bestuursdwang. In dat geval eist het CBP van de overtreder dat hij de overtreding binnen een bepaalde termijn ongedaan maakt. Daarbij kan het College een dwangsom opleggen. Het CBP kan ook boetes uitschrijven. Bijvoorbeeld wanneer de verwerking van persoonsgegevens niet, onjuist of te laat is aangemeld.

Hoofdstuk 4: Uitleg opt-out en opt-in regeling In de praktijk bestaat er veel onduidelijkheid over de opt-in en opt-out regeling. Het is van groot belang dat bedrijven hier zorgvuldig mee omgaan, aangezien dit zeer vervelend kan zijn voor een betrokkene. Onderstaand daarom de twee regelingen uitgelegd: Opt-out Opt-out is het recht van betrokkene om bezwaar te maken tegen bepaalde verwerkingen van zijn/haar persoonsgegevens. Dit wil zeggen dat een betrokkene ongevraagde reclameboodschappen per post kan ontvangen totdat hij te kennen geeft daar geen prijs op te stellen. Het bekendste voorbeeld hiervan is de JA/NEE of NEE/NEE stickers op de brievenbus: een betrokkene krijgt ongeadresseerd reclamedrukwerk in de bus, tenzij hij duidelijk kenbaar heeft gemaakt dit niet meer te willen. Een betrokkene kan altijd en kosteloos verzet aantekenen tegen het verwerken van zijn persoonsgegevens. Hij moet dan uit het bestand worden gehaald. Het is zaak dit binnen uwe gehele organisatie dan ook goed te regelen. Opt-in Tegenover het opt-out principe staat het zogenaamde opt-in principe. Dat betekent dat het bedrijven en instellingen verboden is ongevraagde digitale reclameboodschappen te verzenden, tenzij u daarvoor uw voorafgaande toestemming geeft. Het opt-insysteem is een systeem voor het op grote schaal verzenden van (vaak periodieke) e-mail of sms-berichten. Het houdt in dat elke ontvanger vooraf toestemming moet geven voor het toezenden van de e-mail of het sms-bericht. Meestal gebeurt dat doordat iemand zijn e-mailadres of mobiele nummer intypt in een aanmeldingsformulier op een website, of doordat iemand een 'subscribe'-mail stuurt naar een aanmeldadres. Onderstaand drie types opt-in: Single opt-in Single opt-in houdt in dat van te voren toestemming gegeven wordt zonder dat er sprake is van een vorm van bevestiging. Nadeel hiervan is dat iemand het e-mailadres kan opgeven van een ander die daar geen weet van heeft. Misbruik ligt derhalve op de loer. Double opt-in Met het double opt-in systeem ontvangt de eigenaar van het e-mailadres een bevestigingsemail waar een link in staat die aangeklikt moet worden om de inschrijving definitief te maken. In tegenstelling tot single opt-in is de kans op misbruik nagenoeg uitgesloten. Heden ten dage, met oog op OPTA regelgeving, is dit de beste manier om het adressenbestand te vergroten. Confirmed opt-in Bij confirmed opt-in ontvangt degene die zich ingeschreven heeft een bevestigings e-mail. In die e-mail staat bij voorkeur wel een link om de mogelijkheid te bieden weer uit te schrijven. In tegenstelling tot de double opt-in is er geen extra bevestigingslink. Het verdient de voorkeur om of de double opt-in of de confirmed opt-in te hanteren. Uiteraard bestaat ook de mogelijkheid om een betrokkene een handtekening te laten plaatsen onder een document, waarin u om toestemming vraagt. Bijvoorbeeld wanneer de betrokkene in het bedrijf aanwezig is.

Hoofdstuk 5: Stappenplan Om op een goede wijze aan de verplichtingen van de Privacyregels te kunnen voldoen of om vast te stellen of men van melding is vrijgesteld, moet veel informatie worden verzameld. Tevens dient u, indien u de Gedragscode van toepassing wil verklaren, alle processen binnen uw organisatie zorgvuldig te hebben getoetst en daar waar nodig aanpassing te hebben gedaan. Onderstaand treft u een stappenplan aan dat een hulpmiddel kan zijn. Dit is tevens een instrument dat gebruikt kan worden bij eventuele nieuwe verwerkingen en voor het periodiek controleren van de verwerkingen. Stap 1. Start met het doornemen van de Zelfevaluatie In aansluiting op de Gedragscode heeft SIMS de Zelfevaluatie Wet bescherming persoonsgegevens in de mobiliteitsbranche opgesteld. Voor het realiseren van een goede bescherming van de persoonsgegevens in een organisatie is privacybewustzijn en het proces van privacybewustwording namelijk van groot belang. Deze zelfevaluatie is een instrument ten behoeve van het management van bij BOVAG en RAI Vereniging aangesloten organisaties voor het verkrijgen van een oordeel over de implementatie en/of naleving van de bepalingen van de Wbp. De zelfevaluatie geeft bovendien antwoord op de vraag wat de huidige en de gewenste situatie is. Tevens kan er aangegeven worden wie verantwoordelijk kan worden gesteld voor de vervolgactie en wanneer deze actie gereed dient te zijn. Stap 2. Controleer hoe uw organisatie ervoor staat m.b.t. de Privacyregelgeving Volg de eisen en voorwaarden van de Privacyregelgeving op door de acties opgenomen in de Gedragscode op te volgen. Neem daarom de Gedragscode door en deel de inhoud ervan met uw medewerkers. De Gedragscode is zo ingericht dat stapsgewijs de wet wordt doorgelopen en u erop wordt gewezen aan welke eisen u dient te voldoen. Ook in de zelfevaluatie komen de vragen terug. U kunt dus het gemakkelijkst de vragen in de zelfevaluatie doorlopen. Daarmee volgt u dan ook het stramien van de Gedragscode. Kort samengevat onderstaand de te nemen acties uit de Gedragscode voor een juiste basis: - Controleer of u een goede privacy statement hanteert. Zo niet, gebruik dan het model privacy statement (bijlage 2 bij de Gedragscode). - Indien gebruik wordt gemaakt van de diensten van een Bewerker zal met deze Bewerker een bewerkersovereenkomst worden gesloten, waarin schriftelijk of in een andere, gelijkwaardige vorm onder meer wordt vastgelegd dat technische en organisatorische maatregelen ter beveiliging van die gegevens moeten worden genomen. Een model bewerkersovereenkomst is als bijlage 3 bij de Gedragscode opgenomen. - Maak een periodiek zelfstandige analyse d.m.v. het model zelfevaluatie Wbp (Bijlage 4 bij de Gedragscode). Om een goede start te maken om te bezien waar u als bedrijf staat en waar u aan kunt werken, is het verstandig bij aanvang van het goed inregelen van de Wbp binnen uw organisatie de Zelfevaluatie met een aantal medewerkers binnen uw organisatie door te lopen. Tevens kunt u acties en een deadline eraan koppelen. In het vervolg kunt u dan extra aandacht geven aan de gebieden die nog niet volledig zijn ingevuld.

Stap 3. Indien u voldoet aan de eisen opgenomen in de Gedragscode, verklaart u de Gedragscode van toepassing op uw organisatie. Het is van belang dat u daadwerkelijk de Gedragscode van toepassing verklaart. U geeft daarmee dan aan dat u handelt naar de eisen en voorwaarden opgenomen in de Gedragscode. Daarmee geeft u dan ook automatisch aan dat u de wet volgt en handelt naar de eisen en voorwaarden opgenomen in de wetgeving. U dient dan ook wel ervoor te zorgen dat uw medewerkers zullen handelen naar de Gedragscode en dat u daarvoor instaat. Een onderdeel daarvan kan zijn dat u deze informatiebrochure (of een gedeelte daarvan) deelt met uw medewerkers. Stap 4. Hanteer de juiste algemene voorwaarden Zorg dat u juiste algemene voorwaarden hanteert waarin duidelijk is aangegeven wat u met de gegevens doet. De algemene voorwaarden van BOVAG voldoen aan de eisen. Advies is dan ook deze te gebruiken. Instrueert u uw medewerkers goed dat bij iedere opdracht / koop de juiste voorwaarden tijdig worden meegegeven. Stap 5. Loop het proces binnen uw organisatie door m.b.t. klantencontacten Loop met uw medewerkers het proces binnen uw organisatie door om in kaart te brengen wanneer er klantcontacten zijn en wanneer de gegevens van een Betrokkene gebruikt worden. Controleer vervolgens nogmaals aan de hand van de Gedragscode of u aan de wettelijke eisen voldoet. Stap 6. Ga na wat de doelstelling(en) van de verwerking zijn Het is goed om de doelstelling(en) van uw verwerkingen te beschrijven en vast te leggen. Daarmee geeft u aan wat u met de gegevens doet van een Betrokkene. Een Betrokkene mag er dan ook op vertrouwen dat wat u daar beschrijft ook daadwerkelijk wordt gedaan met zijn/haar gegevens. Stap 7. Controleer in hoeverre de beveiligingsmaatregelen voldoende zijn Betrokkenen vertrouwen erop dat u de gegevens die u verwerkt goed worden beveiligd, zodat er geen anderen met de gegevens vandoor kunnen gaan. Controleert u dan ook de beveiliging van de gegevens en de processen. Neem daar waar nodig de juiste stappen. Stap 8. Neem organisatorische maatregelen om de rechten van een betrokkene te kunnen waar borgen Bijlage 2 bij de Zelfevaluatie beschrijft de rechten van Betrokkene. Daarnaast zijn de rechten van Betrokkene ook opgenomen in de Gedragscode. Het is van belang om goed na te gaan hoe u ervoor kunt zorgen dat Betrokkene deze rechten kan inroepen Stap 9. Voldoe, indien nodig, aan de meldingsplicht De Zelfevaluatie beschrijft op of u verplicht om een melding te doen. Tevens is in de Zelfevaluatie beschreven dat als u meldingsplichtig bent op welke manier u zichzelf kunt melden.

Hoofdstuk 6: Praktijkvoorbeelden 1. Klant levert auto af voor een APK beurt en staat aan de balie Laat de klant zijn gegevens invullen en ondertekenen op een (opdracht)formulier (noodzakelijk voor de opt-in). Zet duidelijk op het formulier dat zijn gegevens ook gebruikt zullen worden voor marketingdoeleinden. Geef ook de algemene voorwaarden mee aan de klant, zodat hij weet waar hij verzet kan aantekenen. Vervolgens kunt u zijn gegevens gebruiken. 2. Klant koopt een fiets Laat de klant zijn gegevens invullen en ondertekenen op een (opdracht)formulier (noodzakelijk voor de opt-in). Zet duidelijk op het formulier dat zijn gegevens ook gebruikt zullen worden voor marketingdoeleinden. Geef ook de algemene voorwaarden mee aan de klant, zodat hij weet waar hij verzet kan aantekenen. Vervolgens kunt u zijn gegevens gebruiken. 3. Klant belt voor het toesturen per post van een brochure over de nieuwste caravan Noteer de gegevens van de klant en stuur de brochure toe. In de toekomst kunt u zijn gegevens ook gebruiken om andere post toe te sturen, mits voor de klant duidelijk is waar hij verzet kan aantekenen indien hij geen post meer wenst te ontvangen. Indien u ook zijn e-mailadres opvraagt dient u de opt-in regeling juist te hanteren (zie ook Hoofdstuk 4). 4. Klant wil geen post meer ontvangen Laat de klant verzet aantekenen. Dit kan hij doen door een e-mail of brief te versturen. Voert u binnen uw totale organisatie goed door dat deze klant dan ook daadwerkelijke geen post meer van u mag ontvangen.

Hoofdstuk 7: FAQ-lijst - Ik heb de gedragscode gelezen en ik ben het ermee eens. Voldoe ik nu aan alle eisen? Nee, u dient daadwerkelijk de regels na te leven en te controleren binnen uw organisatie of u de privacyregels niet schendt. Hiervoor is ook de Zelfevaluatie ontwikkeld. Indien u er zeker van bent dat u de regels juist hanteert, kunt u de Gedragscode van toepassing verklaren. - Moet ik toestemming hebben om een reclamebrief te mogen versturen? Nee, maar een klant kan wel gebruik maken van zijn recht van verzet. Vervolgens mag u hem geen post meer toesturen. - Bedrijf wil een e-mailing verzenden maar heeft niet aan alle klanten vooraf toestemming gevraagd. Wat kan dit bedrijf doen? Dit bedrijf mag enkel aan de klanten van wie ze toestemming heeft verkregen een mailing toesturen. De overige klanten dient zij via de opt-in regeling eerst toestemming van te verkrijgen. Alternatief is dat de mailing per post wordt verzonden. Dit is altijd mogelijk, tenzij de klant recht van verzet heeft aangetekend. - Ik wil een geadresseerde folder aan mijn hele klantenbestand toesturen waar moet ik op letten? Of een klant geen gebruik heeft gemaakt van zijn recht van verzet. Dit moet duidelijk blijken uit uw bestanden. - Ik heb mobiel nummer van een persoon. Wat mag ik ermee? Bij het verzenden van een SMS dient u vooraf toestemming te vragen of u het nummer hiervoor mag gebruiken. Dit kunt u doen door de opt-in regeling juist toe te passen. Deze persoon mag u wel bellen, mits hij/zij niet aangemeld is bij het bel-me-niet-register. Controleer dit register dan ook voordat u hem/haar belt.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback