Confianza
E-magazine

AVG special

Eruit halen wat erin zit.

01Voorwoord

02Kom in actie!

03Tien stappen

04Vragen en antwoorden!

05AVG varia

01Voorwoord

Veiligheid voor alles! Daar is waar het om draait met de nieuwe AVG. Deze Algemene Verordening Gegevensbescherming is volop in het nieuws geweest. Maar weet jij precies wat de AVG betekent? En wat je moet doen om jouw bedrijf AVG-proof te maken? En hoe zit het met de privacy? 

Hoog tijd dus om alle informatie over de AVG nog eens op een rij te zetten. Je leest het in onze nieuwste editie van het e-magazine. 

Stap voor stap
Om je op weg te helpen, lees je hoe je stap voor stap de AVG integreert in jouw bedrijf. Verder krijg je antwoorden op vragen rondom de AVG (register van verwerkingen, persoonsgegevens, enz.).  En als laatste komen een aantal gevarieerde onderwerpen rondom de AVG aan bod. Kortom: een handig document om te bewaren!

Ons motto is: eruit halen wat erin zit! Dat geldt uiteraard ook voor informatie over de AVG.

02Kom in actie!

Strengere privacyregels vanaf 25 mei 2018! Kom in actie

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze Europese privacywet bevat de regels voor het (automatisch) verwerken van persoonsgegevens. Wat betekent de AVG voor jou?

De AVG is de opvolger van de Nederlandse Wet bescherming persoonsgegevens en is meer toegespitst op de gedigitaliseerde samenleving. De AVG is aanzienlijk strenger dan zijn Nederlandse voorganger. Bedrijven en instellingen die persoonsgegevens verwerken krijgen meer verplichtingen. Meer dan ooit zal je als bedrijf moeten laten zien dat je je aan de wet houdt. Onder de AVG moet je met specifieke documenten kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de regels te voldoen. Dit wordt de ‘verantwoordingsplicht’ genoemd.

Voor wie?
De nieuwe Europese privacywet geldt voor alle bedrijven en instellingen die persoonsgegevens verwerken. Het gaat dus niet alleen om grote bedrijven. Ook kleinere bedrijven en zzp’ers moeten zich aan de AVG houden. In de praktijk krijgt vrijwel iedereen te maken met de AVG, want ook de meest gangbare gegevens vallen onder het bereik van de nieuwe wet. Voorbeelden zijn opgeslagen afspraken en telefoonnummers van klanten en personeelsinformatie.

Harmonisering
Naast een betere privacybescherming voor burgers, biedt de AVG ook voordelen voor bedrijven. Dat komt door de harmonisering waarvoor de AVG zorgt. Er geldt nog maar één privacywet in de EU, in plaats van 28 verschillende nationale wetten. Ben je in meerdere EU-landen actief? Dan ga je er in meerdere opzichten op vooruit. Je hebt minder administratieve kosten en nalevingskosten, doordat onder de AVG in alle lidstaten dezelfde wetgeving geldt. Ook heb je meer rechtszekerheid en voorkomt de AVG dat bedrijven het in het ene land makkelijker hebben dan in het andere. Verder heb je nog maar met één toezichthouder te maken.

Privacy
De AVG zal de privacyrechten van mensen scherper waarborgen. Tegelijk worden burgers zich steeds bewuster van hun privacyrechten en daar eerder voor opkomen. Er wordt dus het nodige van jou gevraagd. De AVG bied je instrumenten die helpen om de wet na te leven, zoals modelbepalingen voor het doorgeven van persoonsgegevens. Het is uiteraard zaak de nieuwe regels juist toe te passen. Meer informatie vind je op de website van de Autoriteit Persoonsgegevens.

03Tien stappen

Voldoe in 10 stappen aan AVG

Het kan je niet ontgaan zijn. Op 25 mei 2018 is definitief de Algemene Verordening Gegevensbescherming van toepassing. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee.

Alle bedrijven en organisaties die werken met persoonsgegevens hebben zich moeten voorbereiden op deze AVG. Dus ook kleine mkb’ers en zzp’ers. Heb je hiermee nog geen start gemaakt? We zetten de tien stappen nog een keer voor je op een rij. 

Stap 1 - Bepaal of je een functionaris voor de gegevensbescherming dient aan te stellen
Verplichte of vrijwillige functionaris gegevensbescherming
Onder de AVG kan het zijn dat je verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. De FG wordt ook wel data protection officer genoemd. De FG wordt gezien als een functionaris die binnen de onderneming toezicht houdt op de toepassing en naleving van de AVG.

Stap 2 - Breng in kaart welke persoonsgegevens je verwerkt
Het is belangrijk om de persoonsgegevens die binnen jouw organisatie worden verwerkt, in kaart te brengen, zodat je een start kan maken met een zorgvuldige verwerking van deze persoonsgegevens.

Stap 3 -  Bepaal of je verplicht bent om de privacyrisico’s van een gegevensverwerking in kaart te brengen door middel van een DPIA
DPIA staat voor Data protection impact assessment (DPIA). Een DPIA is een hulpmiddel om vooraf de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen en deze risico’s vervolgens te verkleinen door maatregelen te treffen.
Niet voor elke gegevensverwerking hoef je een DPIA uit te voeren. Een DPIA is slechts verplicht als jouw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.

Stap 4 - Stel een privacybeleid op
Het opstellen van een privacybeleid, ook wel gegevensbeschermingsbeleid genoemd, is in bepaalde gevallen verplicht. Je bent verplicht een privacybeleid op te stellen als dat in verhouding staat tot jouw verwerkingsactiviteiten.

Stap 5 - Maak een register verwerkingen en register datalekken
Register verwerkingen
In aantal gevallen ben je verplicht een register van verwerkingsactiviteiten op te stellen. Of je een verwerkingsregister moet opstellen, hangt af van de omvang van jouw organisatie en het type gegevens dat je verwerkt.
Register datalekken
Er is sprake van een datalek op het moment dat er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is onder andere het geval als iemand toegang krijgt tot persoonsgegevens of persoonsgegevens openbaar toegankelijk worden zonder dat dit de bedoeling is.

Stap 6 - Stel vast wat jouw doel is en wat de grondslag is voor de gegevensverwerking
In de AVG zijn de volgende voorwaarden opgenomen waaraan voldaan moet zijn om rechtmatig persoonsgegevens te verwerken:

  • Gerechtvaardigd doel
  • Grondslag verwerking

Stap 7 - Evalueer de manier waarop je toestemming vraagt, krijgt en registreert
Eén van de grondslagen op basis waarvan jouw organisatie persoonsgegevens kan verwerken is ‘toestemming’ van de betrokkene. De AVG stelt strenge eisen aan deze grondslag. Zo dient een toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. Daarom is het van belang dat je de manier evalueert waarop je deze toestemming vraagt, krijgt en registreert. Controleer vervolgens of je aan de eisen in de AVG voldoet en pas zo nodig de werkwijze aan.

Stap 8 - Stel de wijze vast waarop informatie wordt verschaft aan betrokkene
Je moet de betrokkene heldere informatie geven over de persoonsgegevens die je verwerkt en voor welk(e) doel(en) je deze gegevens verwerkt. Dit wordt ook wel de informatieplicht genoemd.

Stap 9 - Controleer bewerkersovereenkomsten en verwerkersovereenkomsten
Met de komst van de AVG wijzigen de definities:

  • ‘bewerker’ in ‘verwerker’ en
  • ‘bewerkersovereenkomst’ in ‘verwerkersovereenkomst’.

Stap 10 - Bepaal onder welke toezichthouder je valt
De AVG gaat uit van de zogeheten onestopshop-regel. Dit houdt in dat als je een grensoverschrijdende gegevensverwerking uitvoert, je maar met één privacytoezichthouder zaken hoeft te doen. Deze toezichthouder wordt de ‘’leidend toezichthouder’’ genoemd.

Dit is een samenvatting van het stappenplan. Het volledige stappenplan lees je hier.

Bron: RWV

04Vragen en antwoorden!

De invoering van de AVG roept best veel vragen op. Wij hebben de antwoorden!

HOE MAAK IK EEN REGISTER VAN VERWERKINGEN?

De belangrijkste nieuwe eis in de strengere privacywet AVG is de verantwoordingsplicht. Dit houdt in dat je bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.

Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijg je inzicht in welke persoonsgegevens je verwerkt binnen jouw organisatie.

Wat is een verwerkingsregister?
Het verwerkingsregister is een registratie van de persoonsgegevens die binnen jouw organisatie worden verwerkt. Afhankelijk of je verwerker of verwerkingsverantwoordelijke bent, moet je minimaal bepaalde informatie vast te leggen.

Voor bijna elk mkb-bedrijf verplicht
Heeft jouw bedrijf meer dan 250 werknemers? Dan bent je verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken. Lees meer.

HOE LANG MAG JE PERSOONSGEGEVENS BEWAREN?

Hoe lang mag je bij een vacature bijvoorbeeld de sollicitatiegegevens van kandidaten bewaren? Wat zijn de regels rond het bewaren van camerabeelden en de gegevens over het internetgebruik van medewerkers?

Hoe lang ben je verplicht bepaalde gegevens, zoals facturen en dergelijke, minimaal op te slaan? Wat zegt de strengere AVG erover?

Volgens de AVG mag je persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor je ze hebt verzameld. Daarna moet je de persoonsgegevens ook daadwerkelijk vernietigen.

Wat zijn persoonsgegevens?
Het gaat in het kader van de AVG altijd over persoonsgegevens. Persoonsgegevens zijn gegevens die, alleen of in combinatie met andere gegevens, terug te herleiden zijn naar een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn onder andere naam, adres, woonplaats, kentekennummer, personeelsnummer, mailadres en videobeelden.

Concrete termijnen
In de AVG zijn echter geen concrete termijnen opgenomen voor het bewaren van persoonsgegevens. In sommige gevallen schiet andere wetgeving je te hulp waarin specifieke bewaartermijnen zijn opgenomen. Dit kunnen maximale bewaartermijnen zijn, daarna moet je de gegevens vernietigen, of minimale bewaartermijnen, waarbij je zelf een passende termijn moet bepalen voor het eventueel langer bewaren. Is er geen wetgeving dan moet je zelf beargumenteerd bewaartermijnen te bepalen.

Lees meer.

HOE BEVEILIG IK MIJN PERSOONSGEGEVENS?

Je moet volgens de strengere privacywet AVG persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geef jij daar invulling aan?

Zijn er zaken die minimaal geregeld moeten worden? Hoe ga ik met deze verplichting om richting mijn leveranciers en serviceproviders?

Want jouw onderneming is volgens de Algemene verordening gegevensbescherming (AVG) verantwoordelijk voor het nemen van passende technische én organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens.

Persoonsgegevens goed beveiligen
Hoe moet ik volgens de AVG die persoonsgegevens dan goed beveiligen? Hiervoor moet je met de volgende zaken rekening houden:

  • De stand van de techniek 
  • De aard, de omvang en doeleinden van de verwerkingen 
  • De qua waarschijnlijkheid en ernst uiteenlopende risico's voor de personen 
  • Verwerkers 
  • De uitvoeringskosten 
  • Beleid 

Wat hiermee wordt bedoeld en welke maatregelen je treft, lees je hier.
 

05AVG varia

EERST VRAGEN, DAN COOKIES

Twee van de drie websites overtreden de nieuwe privacywetgeving. Veel bedrijven plaatsen tracking cookies op hun site, vóórdat je toestemming hebt gegeven. Of de toestemming wordt niet op de juiste manier gevraagd. Dit zegt de Consumentenbond op basis van eigen onderzoek.

Toestemming cookies
De AVG stelt specifieke eisen aan het vragen van toestemming voor het plaatsen van tracking cookies. De toestemming voor cookies moet 'vrij', 'ondubbelzinnig', 'specifiek' en 'geïnformeerd' zijn. Hieraan voldoet slechts ruim 30%, aldus de Consumentenbond.

Niet weigeren
Sites plaatsen niet alleen tracking cookies zonder toestemming. Het ontbreekt ook vaak aan een duidelijke keuze waarbij je ze kan weigeren en toch de site kan bezoeken. Sommige sites plaatsen niet direct tracking cookies, maar maken ze onontkoombaar omdat je bij weigering de site niet kunt bezoeken. Dat is niet AVG-proof.

‘Meer informatie’
Soms plaatsen sites de optie om cookies te weigeren achter een 'meer informatie'-link. Dit is strikt genomen ook niet conform AVG.

Wil je weten hoe je tracking cookies plaatst conform de AVG, kijk dan op de site van de Autoriteit Persoonsgegevens.
 

TOCH EEN DATALEK! WAT NU?

De AVG schrijft voor dat jouw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de Autoriteit Persoonsgegevens (AP). Wat betekent dit voor jouw bedrijf? Waaraan moet je precies voldoen?

Wat is een datalek?
Een datalek wordt in de AVG (artikel 4) omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én indien persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.

Datalek snel melden
Als een datalek heeft plaatsgevonden, meld je deze zonder onredelijke vertraging, maar wel uiterlijk 72 uur nadat je er kennis van hebt genomen. Als de melding aan de AP niet binnen 72 uur plaatsvindt, moet je motiveren waardoor de vertraging is opgetreden. 

Niet melden
Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de kans hierop.

Lees hier het volledige artikel op de website van Confianza.
 

AVG-REGELS ALS WERKNEMER VERTREKT

Jouw werknemer die beschikt over belangrijke persoons- en privacygevoelige gegevens, gaat het bedrijf verlaten. Je wil niet dat de bedrijfsgegevens op straat komen te liggen. Neem daarom maatregelen en maak goede afspraken met de (ex-) werknemer.

Hoe vaak gebeurt het niet dat als een werknemer uit dienst is, hij nog kan inloggen op het ICT-systeem van een bedrijf? Heb je de login van de bedrijfspagina voor deze werknemer op social media geblokkeerd? Heb je ook gedacht aan de login van ICT-netwerken van bedrijven waarmee je samenwerkt?

Maak goede afspraken
Maak daarom afspraken en tref de benodigde maatregelen als jouw werknemer uit dienst gaat. Als werkgever moet je, in het kader van de strengere privacywet AVG die per 25 mei is ingegaan, namelijk zorgvuldig omgaan met persoons- en privacygevoelige gegevens, zoals salarissen, BSN-nummer en klantgegevens. Daarom moet je het bedrijf, en ook medewerkers, beschermen tegen onder andere het onrechtmatig verwerken, vernietigen en opslaan van deze gegevens.

Zijn de usb-sticks ingeleverd?
Waaraan moet je denken? Zorg ervoor dat de (ex-)werknemer op de datum dat hij uit dienst gaat, bedrijfseigendommen, zoals usb-sticks, een laptop, mobiele telefoon en desktop, inlevert. Daarnaast moet je ervoor zorgen dat de ex-werknemer niet meer kan inloggen op het netwerk van jouw bedrijf, niet meer kan inloggen op de sociale media van jouw bedrijf of andere ICT-netwerken van bedrijven waarmee je samenwerkt. Vraag jezelf ook af of de (ex-)werknemer elders, bijvoorbeeld thuis, beschikt over privacy- en persoonsgevoelige informatie.

Tip: neem in de beëindigingsovereenkomst op dat als de ex-medewerker alsnog bij privacy- en persoonsgevoelige informatie kan, de ex-medewerker jouw bedrijf hiervan onmiddellijk op de hoogte brengt. ?

TOESTEMMING GEBRUIK FOTO WERKNEMER

Gebruik je foto's van werknemers voor bijvoorbeeld website of een smoelenboek? Dat mag op grond van de privacywetgeving alleen wanneer de werknemer hier uitdrukkelijk toestemming voor gegeven heeft en de werknemer weet waarvoor hij deze toestemming precies geeft.

Zorg dus dat je schriftelijk toestemming vraagt, en daarbij duidelijk uitlegt voor welke specifieke doeleinden je deze informatie wilt hebben. Zorg vervolgens dat de foto’s goed beveiligd worden tegen misbruik.

Deze regels gelden voor de AVG en worden strenger uitgelegd. Nieuw is bijvoorbeeld de boete bij niet naleving van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet wanneer dat meer is.

Let op! Geeft de werknemer de toestemming niet, gebruik de foto dan ook niet. 

HOE HEBBEN WIJ HET GEREGELD?

Ook wij hebben ons voorbereid op de komst van de AVG. Voor welke werkzaamheden zijn wij verwerkers en voor welke werkzaamheden zijn wij verantwoordelijke? 

Confianza is verwerker:

  • in de situatie wanneer er een ‘opdracht tot specifieke werkzaamheden wordt overeengekomen’;
  • en in de situatie wanneer de loonadministratie wordt verwerkt.

In alle andere gevallen is Confianza een verwerkingsverantwoordelijke. Dit loopt uiteen van het samenstellen van de jaarrekening tot en met de aangifte inkomstenbelasting/vennootschapsbelasting.

In onze privacyverklaring hebben wij vastgelegd hoe Confianza Accountants omgaat met jouw gegevens en die van jouw werknemers. Die privacyverklaring lees je hier. Wil je weten hoe onze verwerkersovereenkomt eruit ziet? Dan verwijzen wij je graag naar onze website.

Confianza Magazine

01 Voorwoord

02 Kom in actie!

03 Tien stappen

04 Vragen en antwoorden!

05 AVG varia

Bel: 071-4076380 of info@confianza.nl
Dune Pebbler
|
Privacy regeling