28-01-2019

Vandaag is het de Europese dag van de privacy. Deze dag staat in het teken van bescherming van persoonsgegevens. Ben jij inmiddels voldoende op de hoogte van de nieuwe privacywetgeving? Mag jouw organisatie zich al AVG proof noemen of is er toch nog werk aan de winkel? Recht Direct zet een aantal feiten & fabels op een rij.

Feiten & Fabels AVG

Vandaag is het de Europese ‘Dag van de Privacy’. Deze dag staat in het teken van bescherming van persoonsgegevens. Ben jij inmiddels voldoende op de hoogte van de nieuwe privacywetgeving? Mag jouw organisatie zich al AVG proof noemen of is er toch nog werk aan de winkel? Recht Direct zet een aantal feiten & fabels op een rij. 

Feit of Fabel?

De klant geeft niet aan dat hij geen nieuwsbrief wil ontvangen. Ik heb dan toestemming om de nieuwsbrief te versturen.
FABEL
Voor een rechtmatige verwerking van persoonsgegevens is toestemming of een andere wettelijke grondslag vereist. Je baseert de gegevensverwerking alleen op basis van toestemming, wanneer je de gegevensverwerking niet op een andere wettelijke grondslag kan baseren. Aan de grondslag toestemming zijn namelijk een aantal vereisten  verbonden. Het is bijvoorbeeld niet toegestaan om een vakje op de website vooraf aan te vinken, waardoor de klant niet de mogelijkheid heeft om zelf te bepalen of er toestemming wordt gegeven. Daarnaast is een veelgemaakte fout dat ondernemers nog steeds uitgaan van het principe ‘wie zwijgt, stemt toe’. Dit is onder de AVG niet meer toegestaan. Wanneer een klant niet reageert op het verzoek om toestemming te geven, mag je er niet vanuit gaan dat er daadwerkelijk toestemming is verkregen.

Ik moet een verwerkersovereenkomst afsluiten met partijen aan wie ik persoonsgegevens doorgeef.
FABEL
Een verwerkersovereenkomst is vereist wanneer één partij verwerkingsverantwoordelijke is en de andere partij verwerker. Tussen deze partijen moet er een opdracht zijn waarin de hoofdtaak het verwerken van persoonsgegevens is. Dit is bijvoorbeeld het geval bij een salarisverwerking: de persoonsgegevens van de medewerker worden verwerkt tot een loonstrook. Andere voorbeelden van verwerkers zijn: telefoon- of printdiensten, recruitmentsystemen, ICT dienstverleners en organisaties die je inschakelt om persoonsgegevens (extern) op te slaan.  In sommige gevallen heb je te maken met twee verwerkingsverantwoordelijken. In dat geval is het niet verplicht een verwerkersovereenkomst af te sluiten. Dit is het geval als het verwerken van de persoonsgegevens geen hoofdtaak  is ten behoeve van de verwerkingsverantwoordelijke, maar logischerwijs voortvloeit uit van een vorm van dienstverlening die de derde partij aanbiedt, bijvoorbeeld een pensioenuitvoerder, een advocatenkantoor en de arbodienst.

Betaalapp Tikkie gaat onzorgvuldig om met persoonsgegevens
FEIT
Met de nieuwe functie van Tikkie, Tikkie Pay, was het voor gebruikers mogelijk geld over te boeken naar mensen uit hun contactenlijst die hun 06-nummer aan Tikkie hadden gekoppeld. Gebruikers kregen daardoor onbedoeld ook toegang tot het IBAN-nummer van de ontvanger.  Hierdoor waren de rekeningnummers van miljoenen gebruikers tijdelijk openbaar. Een IBAN-nummer kan door kwaadwillenden gebruikt worden voor bijvoorbeeld identiteitsfraude. ABN Amro heeft de dienst inmiddels offline gehaald. Het datalek is door ABN Amro gemeld bij de Autoriteit Persoonsgegevens.

Ik heb een eenmanszaak. De AVG is voor mij niet van toepassing.
FABEL
De AVG geldt voor iedere organisatie waar persoonsgegevens worden verwerkt. De AVG is ook van toepassing op eenmanszaken, verenigingen en stichtingen.

Ik heb een privacyverklaring en een verwerkingsregister opgesteld, dat is voldoende.
FABEL
Het naleven van de AVG is een continu proces. Het enkel op papier opstellen van een privacyverklaring of verwerkingsregister is niet voldoende. De privacyverklaring moet daadwerkelijk aan betrokkenen verstuurd worden. Daarnaast is het goed om ervoor te zorgen dat bewaartermijnen daadwerkelijk worden nageleefd in de organisatie. Verder moet, wanneer er zich een ontwikkeling voordoet in het bedrijf, dit getoetst worden aan de AVG. Het is daarom noodzakelijk dat er blijvende aandacht is voor de AVG. Het opstellen van werkprocessen kan je hierbij helpen.

Ik ben mijn laptop verloren. Ik moet dit vastleggen in het register datalekken.
FEIT
Alle datalekken, dus ook de datalekken die niet bij de Autoriteit gemeld hoeven te worden, dien je vast te leggen in het register datalekken. In dit register van datalekken moet je de feiten, de gevolgen  en de genomen corrigerende beveiligingsmaatregelen van het datalek opnemen.

Op het niet naleven van de AVG volgen nu nog geen sancties.
FABEL
De Franse toezichthouder legt Google een boete op van 50 miljoen. Volgens de toezichthouder verzuimt Google om gebruikers, die een account aanmaken, juist te informeren over de data die het bedrijf verzamelt. Wanneer je opzettelijk de AVG niet naleeft, kan het zijn dat de toezichthouder een boete op legt. Zorg er dus voor dat je aan je informatieverplichting voldoet en voorkom een boete!

De Autoriteit Persoonsgegevens controleert het register voor verwerkingsactiviteiten.
FEIT
De Autoriteit is begonnen met controleren of organisaties een register voor verwerkingsactiviteiten bijhouden. De Autoriteit neemt hiervoor een willekeurige steekproef bij dertig grote organisaties uit een van de volgende tien sectoren: industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg.

Ik moet de persoonsgegevens van mijn klanten onmiddellijk na het de overeenkomst  verwijderen.
FABEL
De hoofdregel is dat je persoonsgegevens van klanten bewaart zolang als noodzakelijk is. Pas na het beëindigen van de overeenkomst gaat de bewaartermijn lopen. Wanneer een overeenkomst 10 jaar duurt, mag je de persoonsgegevens minimaal 10 jaar bewaren. Daarna gaat de bewaartermijn lopen. Voor de meeste ondernemers geldt een bewaartermijn van minstens 7 jaar, in verband met de fiscale bewaarplicht. Na het verstrijken van de bewaartermijn moeten de persoonsgegevens daadwerkelijk vernietigd of geanonimiseerd worden, tenzij er sprake is van een gerechtvaardigd belang. Een voorbeeld van een gerechtvaardigd bedrijfsbelang is dat de garantietermijn nog niet verstreken is of bij een bouwbedrijf die tekeningen nodig heeft om toekomstige klanten van dienst te kunnen zijn. Belangrijk is om het gerechtvaardigde belang vast te leggen. Het blijft wel van belang om verwerking van persoonsgegevens in alle gevallen te minimaliseren.

Ik mag een foto van mijn werknemer niet zomaar verwerken.
FEIT
Voor het verwerken van foto’s van werknemers is grondslag uit de AVG nodig. Voor deze verwerking is (vaak) toestemming nodig. Dit kun je doen door de werknemer een toestemmingsverklaring te laten ondertekenen. Belangrijk is dat de werknemer weet waar hij toestemming voor geeft. In een toestemmingsverklaring dien je duidelijk te maken dat de werknemer de toestemming op ieder moment kan intrekken. Wil je zo’n toestemmingsverklaring gebruiken? Neem dan contact op met de helpdesk.

Vragen?

Recht Direct houdt zich ook dit jaar weer bezig met de ontwikkelingen in wet- en regelgeving rondom de AVG. Deze ontwikkelingen worden uiteraard met jullie gedeeld!

Twijfel je of alle AVG documenten inhoudelijk op orde zijn? Recht Direct kan deze documenten inhoudelijk controleren.

Daarnaast kan Recht Direct helpen met de implementatie van de AVG binnen jouw organisatie. Wij hebben verschillende AVG modellen waar je gebruik van kunt maken.

Natuurlijk zijn wij ook bereikbaar voor korte hulpvragen over de AVG. Je kunt contact met ons opnemen via 0493 – 32 66 88 of via helpdesk@rechtdirect.nl.

Bij het samenstellen van dit artikel/deze nieuwsbrief is geen rekening gehouden met eventuele bijzondere van toepassing zijnde wetgeving en afspraken zoals opgenomen in de CAO en/of (arbeids)overeenkomst. Daarbij is rekening gehouden met de wetgeving die op het moment van het schrijven van de tekst geldend is. Het kan dus zijn dat, met de veranderende wetgeving, de inhoud later achterhaald is. Mocht je de informatie in de praktijk willen hanteren, neem dan van tevoren even contact op met een van de juristen van Recht-Direct zodat zij je goed kunnen informeren.