Privacy en AVG: eenmalig of een ongoing proces?

Mei 2018: de AVG trad in werking en iedereen spande zich in om klaar te zijn voor de inwerkingtreding van de AVG. Ook in 2018 veel na-ijlende bedrijven en organisaties, die het niet lukte om in mei 2018 “klaar te zijn” voor de AVG.

Wat is de stand van zaken nu anderhalf jaar verder?
Kun je nadat je alles “klaar hebt gekregen” voor de AVG het hele privacy gebeuren afstrepen en overgaan tot de orde of de waan van de dag?
Of is privacy en AVG nog steeds een actueel thema?

Privacy en de naleving van de AVG is niet een eenmalig iets dat wanneer het eenmaal is afgevinkt nooit meer tevoorschijn gehaald hoeft te worden.
Het is een onderdeel van de bedrijfsvoering geworden. Ik bedoel hier niet mee dat er geroepen wordt: “Mag dit wel van de AVG?” of “Dit mag niet in verband met de privacy!”

Wat ik wel bedoel is dat het belangrijk is om regelmatig de bedrijfsprocessen onder andere na te lopen:

  • om te bekijken of de privacy maatregelen werken

  • om na te gaan of er werkzaamheden in de bedrijfsvoering zijn gewijzigd die invloed kunnen hebben op de privacy

  • om na te gaan of nieuwe processen ook privacyproof zijn

  • om na te gaan of geconstateerde datalekken een incidentele of een structurele oorzaak hebben.

Want waar gewerkt wordt, worden nieuwe producten en werkwijzen ontwikkeld, worden fouten gemaakt en dat kan allemaal invloed hebben op de privacy van persoonsgegevens.

Wilt u graag meer weten over het nalopen van de pricacyzaken in uw bedrijfsprocessen, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Welke persoonsgegevens verzamelt uw organisatie?

De AVG lijkt enigszins ingeburgerd, maar vergt nog steeds de nodige aandacht.
Want weet u welke persoonsgegevens u verzamelt, opslaat en verwerkt in uw eigen organisatie.
Van welke personen en met name van welke categorieën personen u dat doet?
En weet u dan precies wat er dan allemaal aan gegevens over die personen bewerkt, verzameld of opgeslagen worden?

Als organisatie bent u verplicht om in kaart te brengen welke persoonsregistraties u heeft, van welke categorieën u gegevens verzamelt en welke gegevens dat dan zijn.
Het lijkt zo gemakkelijk om maar even de grootste categorieën zoals bijvoorbeeld werknemers en klanten en de vanzelfsprekende gegevens daarvan te noemen, maar dat is niet genoeg.
Want ongemerkt is er toch nog een derde categorie personen apart ondergebracht in een registratie, die wellicht als subcategorie van de hoofdcategorie is ontstaan, echter door zijn aard een aparte persoonsregistratie is geworden.

Hoe weet u nu als organisatie dat u geen persoonsregistratie “vergeten” bent?
Dat doet u door te inventariseren bij alle bedrijfsprocessen:

  • waar er persoonsregistraties zijn

  • van welke categorie personen

  • welke gegevens er dan geregistreerd worden

  • wie deze registratie beheert en

  • wie deze registratie kan inzien.

Daarnaast inventariseert u ook:

  • hoe er geregistreerd wordt

  • welke risico’s er zijn rondom de persoonsregistratie

  • welke beveiligingsmaatregelen er zijn.

Op die manier brengt u beter in kaart wat u aan persoonsregistraties heeft en kunt u de risico’s beter managen.

Wilt u graag meer weten over het inventariseren van uw persoonsregistraties om te voldoen aan de AVG, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Wat doet een DPO of FG?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen, al dan niet in loondienst van de organisatie.

Maar wat zijn dan de taken van de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG)?
De wettelijke taken, die de DPO of FG moet uitvoeren zijn de volgende:

  • informeren en adviseren van de directie en medewerkers van de organisatie over de AVG

  • toezien op de naleving van de AVG in de organisatie

  • advies geven over een gegevensbeschermingseffectbeoordeling en toezien op de uitvoering hiervan.

  • samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens

  • Verslag uitbrengen over alles wat met de AVG te maken heeft aan de directie van de organisatie

Daarnaast zorgt de DPO of de FG dat iedereen in de organisatie zich ervan bewust is hoe men omgaat met persoonsgegevens in de organisatie en hoe dit verhoudt met de AVG. Ze geven voorlichting. Ze behandelen klachten en incidenten met betrekking tot de AVG en nemen audits af met betrekking tot de bescherming van persoonsgegevens.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Een DPO of FG inhuren, kan dat?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen.

De vraag daarbij is of die dan persé in dienst moet zijn bij de organisatie zelf. Dit kan, maar hoeft niet.
Een DPO of FG kan ook enkele dagen per maand ingehuurd worden al naar gelang de grootte van de organisatie, de omvang van de gegevensbestanden en de diversiteit van de te verwerken gegevens.

Bovendien is dan de onafhankelijkheid van de DPO of de FG beter gewaarborgd dan bij een medewerker als DPO/FG. Want volgens de wet moet de DPO/FG onafhankelijk zijn en gevraagd en ongevraagd advies geven.
Welke taken de DPO/FG nu allemaal heeft, komt in een volgend artikel aan de orde.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Allemaal losse procesbeschrijvingen. Handig? ja of nee?

Op een netwerkbijeenkomst spreek ik wel eens over het waarom van mijn boek: Orde in de Chaos van regelgeving en bedrijfsvoering. En als reactie komt terug dat ze alle losse processen hebben beschreven, maar niet zien waarom ze een geïntegreerde procesbeschrijving moeten maken.
Verder doorvragen levert op dat men wel vaak onduidelijkheden of dubbelingen ervaart bij de procesovergang van de ene afdeling naar de andere. Of er worden vaak bij dit soort situaties fouten of problemen ervaren waar men de vinger niet achter kan krijgen.
Die fouten of problemen willen ze echter wel graag uit de wereld hebben. Alleen weet men dan niet zo goed waar men het dan moet zoeken.

De oplossing is eigenlijk simpeler dan men denkt.
Zie de losse processen niet als afzonderlijke losstaande eenheden, maar als één groot proces waarbij over de afzonderlijke afdelingen heen wordt gekeken naar de overgangen in het proces.
Dit omdat vaak door de ontwikkelingen in de loop van de tijd dubbele acties zijn ontstaan. Soms door automatisering, soms door extra controles die ooit nodig waren, maar waarvan men nu de noodzaak niet meer ziet.
Hoe en waarom dit ooit is ontstaan is nu niet relevant; wel relevant is hoe deze inefficiënties verholpen kunnen worden.

Belangrijk is dat bedrijfsprocessen niet als een aantal losse processen worden gezien, maar juist als een geïntegreerd compleet bedrijfsproces met diverse onderdelen.

Meer weten lees mijn boek “Orde in de Chaos van regelgeving en bedrijfsvoering” of neem contact met me op via: info@juridiqua.nl of via 06-13624614

Vastleggen van de bedrijfsvoering – Ook goed voor de AVG

25 mei 2018 is aanstaande en in de pers verschijnen heel veel items over de AVG. Waar die items vooral over gaan, is dat veel organisaties er niet klaar voor zijn.

Waarom zijn ze dat niet?
Niet alleen omdat ze te laat begonnen zijn of omdat ze niet weten wat ze nu moeten doen?
Zeker bij grotere organisaties weten ze dit vaak wel, maar het kost veel tijd en werk.

Waar zit dat werk in?
Dat werk ligt voornamelijk in het beschrijven van de gegevensstromen en de processen waar persoonsgegevens in voorkomen. Want dat is de basis voor het verwerkingsregister. Wanneer de organisatie weet welke persoonsgegevens in welke processen voorkomen en hoe deze worden gebruikt, is het veel gemakkelijker om het verwerkingsregister in te vullen.

Want op dat moment weet je:

  • welke persoonsgegevens worden verwerkt

  • de grondslag voor de verwerking

  • het doel van de verwerking

  • eventuele externe partijen bij de verwerking.

Het probleem is echter dat veel kleine en middelgrote bedrijven niet weten hoe hun bedrijfsvoering in elkaar zit. En dus ook niet in welk gedeelte van de bedrijfsvoering persoonsgegevens gebruikt worden en welke dit dan zijn.

Dit kan ander. De basis om je organisatie privacyproof te maken ligt in de beschrijving van je bedrijfsvoering. Uiteraard is de beschrijving van je bedrijfsvoering de basis voor meerdere zaken in je bedrijf. Dit kun je lezen in mijn boek: Orde in de Chaos van regelgeving en bedrijfsvoering.
Maar voor de AVG alleen al is de beschrijving van je bedrijfsvoering een goed begin.

Meer weten hoe het boek “Orde in de chaos van regelgeving en bedrijfsvoering” én het privacyproof maken van je organisatie, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Wie is verantwoordelijk voor de verwerking van persoonsgegevens?

De vraag stellen is hem beantwoorden.
Volgens de AVG is de verwerkingsverantwoordelijke daarvoor verantwoordelijk.
Maar wie is dan die verwerkingsverantwoordelijke?
Dat is

  • de organisatie,

  • het bedrijf,

  • de onderneming,

  • de overheidsinstantie,

  • de stichting,

  • de vereniging

die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Het doel van de verwerking is de reden waarom die verantwoordelijke de persoonsgegevens verwerkt.
En dat doel is heel divers:

  • het leveren van diensten aan klanten

  • het leveren van producten aan klanten

  • de gemeentelijke bevolkingsadministratie

  • het geven van onderwijs of cursussen

  • het coachen van cliënten

En zo zijn er nog heel veel doelen of redenen te bedenken waarom de organisatie persoonsgegevens verwerkt.

Daarnaast kan het zijn dat de organisatie wel de verantwoordelijke is, maar zelf niet de capaciteit of de juiste middelen heeft om deze persoonsgegevens te verwerken. Dan kan een verwerker uitkomst bieden. Denk bijvoorbeeld aan een kleine ondernemer met enkele werknemers, die de salarisadministratie en de salarisbetaling uitbesteedt.

Wie is dan verantwoordelijk? Nog steeds de verwerkingsverantwoordelijke. Dat wil echter niet zeggen dat de verwerker fijn achterover kan leunen. Die heeft uiteraard zijn verantwoordelijkheid ten opzichte van de verantwoordelijke. Mocht er iets met de persoonsgegevens gebeuren, dan is en blijft de verwerkingsverantwoordelijke nog steeds het eerste aanspreekpunt.

Meer weten hoe de verwerkingsverantwoordelijke, verwerker en de AVG, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Privacy Statement ??

Een van de zaken, die een organisatie zal moeten doen voor de privacywetgeving, is kenbaar maken dat ze persoonsgegevens verwerken.

Hoe doe je dat dan?
Door een privacy statement op de website te plaatsen. Meestal staat dit privacy statement als een link bij de contactgegevens of op een aparte pagina met de Algemene Voorwaarden.

Veel organisaties hebben dit er wel al op staan, maar is die dan AVG-proof?
Bij veel privacy statements zie ik dat nog de Wet bescherming persoonsgegevens (Wbp) wordt genoemd. NU is dat op dit moment nog niet fout, maar vanaf 25 mei 2018 wel.
Wat te doen?

Alleen de Wbp vervangen door de Algemene Verordening Gegevensbescherming AVG is niet voldoende.
Wat dan wel doen?

Uiteraard de juiste wetgeving noemen.
Maar daarnaast moet er nog een heleboel in staan, wat er soms nu nog niet instaat. Zoals bijvoorbeeld de rechten van betrokkenen, die ten opzichte van de oude wet veel uitgebreider zijn in de nieuwe AVG.
Maar ook het doel van de verwerking van persoonsgegevens moet er in staan.

Met alleen het zinnetje “wij respecteren de privacy van de persoonsgegevens van onze klanten en bezoekers van onze website” ben je er niet.

Kortom laat je voorlichten over wat er in het privacy statement moet komen te staan en wat je nog meer moet doen om je bedrijf zo goed mogelijk voor te bereiden op de AVG.
Wil je meer weten over het privacy statement, de privacywetgeving in het algemeen, de AVG en hoe je kan voldoen aan de privacywetgeving, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Wat doet een Data Protection Officer of een Functionaris Gegevensbescherming?

Een van de onderwerpen van de komende AVG is de Data Protection Officer of Functionaris Gegevensbescherming, die in bepaalde organisaties verplicht is zoals bij:
  • overheidsorganisaties en publieke organisaties
  • organisaties die op grote schaal personen volgen
  • organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
Voor andere organisaties is een Data Protection Officer of Functionaris Gegevensbescherming niet verplicht, maar wel aan te bevelen. De volgende taken heeft deze functionaris in de organisatie:
  • informeren en adviseren over privacywet- en regelgeving
  • toezien op de naleving van privacywet- en regelgeving inclusief het interne privacybeleid
  • adviseren over en toezien op de uitvoering van DPIA’s
  • fungeren als aanspreekpunt voor betrokkenen
  • optreden als aanspreekpunt voor en samenwerken met de Autoriteit Persoonsgegevens.
Dit moet deze functionaris dan wel doen in samenwerking met de totale organisatie, want privacy is niet iets wat alleen door de Data Protection Officer of Functionaris Gegevensbescherming moet worden gedaan. De Data Protection Officer of Functionaris Gegevensbescherming is in dat opzicht meer te zien als een spiegel, de vraagbaak van de organisatie en het kennispunt. En de functionaris is niet diegene die alleen verantwoordelijk is voor de privacy in de organisatie.
Wilt u meer weten over privacy, de AVG en hoe uw organisatie kan voldoen aan de privacywetgeving, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Maak eens tijd voor je contracten!

Een contract voor een dienst of een abonnement is zo afgesproken. De afwegingen om dit te doen kunnen onder andere zijn:

  • mogelijk nut: een opdrachtenplatform;

  • noodzaak: webhosting van de website;

  • interessant: een vaktijdschrift.

Maar besef wel dat bepaalde contracten niet na een jaar zomaar opzegbaar zijn. Wat voor consumenten geldt, geldt niet (automatisch) voor B2B, ook niet voor de Zelfstandige Professional.
Waar het bij consumenten nu heel gewoon is om na een jaarcontract het abonnement op bijvoorbeeld de sportschool of dat tijdschrift per mand te kunnen opzeggen, is dat bij B2B niet vanzelfsprekend. Zeker niet waar het contracten betreft die met de onderneming of bedrijfsvoering te maken hebben.

Voorkomen is dus beter dan genezen. Maar hoe dit dan te voorkomen?
Contractmanagement of contractbeheer is dan het sleutelwoord.
Hiermee zorg je voor inzicht en overzicht, dus orde in de chaos van contracten. Inzicht en overzicht over welke contracten, de inhoud van die contracten, de kosten van elk contract, de opzegtermijn. Maar daarnaast is dit contractmanagement ook handig om te bepalen welke contracten of nuttig of nodig zijn en dus ook of je kosten kunt besparen.

Wilt u meer informatie hoe Juridiqua u kan helpen met contractmanagement of contractbeheer voor uw onderneming, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.