Privacy en AVG: eenmalig of een ongoing proces?

Mei 2018: de AVG trad in werking en iedereen spande zich in om klaar te zijn voor de inwerkingtreding van de AVG. Ook in 2018 veel na-ijlende bedrijven en organisaties, die het niet lukte om in mei 2018 “klaar te zijn” voor de AVG.

Wat is de stand van zaken nu anderhalf jaar verder?
Kun je nadat je alles “klaar hebt gekregen” voor de AVG het hele privacy gebeuren afstrepen en overgaan tot de orde of de waan van de dag?
Of is privacy en AVG nog steeds een actueel thema?

Privacy en de naleving van de AVG is niet een eenmalig iets dat wanneer het eenmaal is afgevinkt nooit meer tevoorschijn gehaald hoeft te worden.
Het is een onderdeel van de bedrijfsvoering geworden. Ik bedoel hier niet mee dat er geroepen wordt: “Mag dit wel van de AVG?” of “Dit mag niet in verband met de privacy!”

Wat ik wel bedoel is dat het belangrijk is om regelmatig de bedrijfsprocessen onder andere na te lopen:

  • om te bekijken of de privacy maatregelen werken

  • om na te gaan of er werkzaamheden in de bedrijfsvoering zijn gewijzigd die invloed kunnen hebben op de privacy

  • om na te gaan of nieuwe processen ook privacyproof zijn

  • om na te gaan of geconstateerde datalekken een incidentele of een structurele oorzaak hebben.

Want waar gewerkt wordt, worden nieuwe producten en werkwijzen ontwikkeld, worden fouten gemaakt en dat kan allemaal invloed hebben op de privacy van persoonsgegevens.

Wilt u graag meer weten over het nalopen van de pricacyzaken in uw bedrijfsprocessen, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Welke persoonsgegevens verzamelt uw organisatie?

De AVG lijkt enigszins ingeburgerd, maar vergt nog steeds de nodige aandacht.
Want weet u welke persoonsgegevens u verzamelt, opslaat en verwerkt in uw eigen organisatie.
Van welke personen en met name van welke categorieën personen u dat doet?
En weet u dan precies wat er dan allemaal aan gegevens over die personen bewerkt, verzameld of opgeslagen worden?

Als organisatie bent u verplicht om in kaart te brengen welke persoonsregistraties u heeft, van welke categorieën u gegevens verzamelt en welke gegevens dat dan zijn.
Het lijkt zo gemakkelijk om maar even de grootste categorieën zoals bijvoorbeeld werknemers en klanten en de vanzelfsprekende gegevens daarvan te noemen, maar dat is niet genoeg.
Want ongemerkt is er toch nog een derde categorie personen apart ondergebracht in een registratie, die wellicht als subcategorie van de hoofdcategorie is ontstaan, echter door zijn aard een aparte persoonsregistratie is geworden.

Hoe weet u nu als organisatie dat u geen persoonsregistratie “vergeten” bent?
Dat doet u door te inventariseren bij alle bedrijfsprocessen:

  • waar er persoonsregistraties zijn

  • van welke categorie personen

  • welke gegevens er dan geregistreerd worden

  • wie deze registratie beheert en

  • wie deze registratie kan inzien.

Daarnaast inventariseert u ook:

  • hoe er geregistreerd wordt

  • welke risico’s er zijn rondom de persoonsregistratie

  • welke beveiligingsmaatregelen er zijn.

Op die manier brengt u beter in kaart wat u aan persoonsregistraties heeft en kunt u de risico’s beter managen.

Wilt u graag meer weten over het inventariseren van uw persoonsregistraties om te voldoen aan de AVG, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Wat doet een DPO of FG?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen, al dan niet in loondienst van de organisatie.

Maar wat zijn dan de taken van de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG)?
De wettelijke taken, die de DPO of FG moet uitvoeren zijn de volgende:

  • informeren en adviseren van de directie en medewerkers van de organisatie over de AVG

  • toezien op de naleving van de AVG in de organisatie

  • advies geven over een gegevensbeschermingseffectbeoordeling en toezien op de uitvoering hiervan.

  • samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens

  • Verslag uitbrengen over alles wat met de AVG te maken heeft aan de directie van de organisatie

Daarnaast zorgt de DPO of de FG dat iedereen in de organisatie zich ervan bewust is hoe men omgaat met persoonsgegevens in de organisatie en hoe dit verhoudt met de AVG. Ze geven voorlichting. Ze behandelen klachten en incidenten met betrekking tot de AVG en nemen audits af met betrekking tot de bescherming van persoonsgegevens.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Een DPO of FG inhuren, kan dat?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen.

De vraag daarbij is of die dan persé in dienst moet zijn bij de organisatie zelf. Dit kan, maar hoeft niet.
Een DPO of FG kan ook enkele dagen per maand ingehuurd worden al naar gelang de grootte van de organisatie, de omvang van de gegevensbestanden en de diversiteit van de te verwerken gegevens.

Bovendien is dan de onafhankelijkheid van de DPO of de FG beter gewaarborgd dan bij een medewerker als DPO/FG. Want volgens de wet moet de DPO/FG onafhankelijk zijn en gevraagd en ongevraagd advies geven.
Welke taken de DPO/FG nu allemaal heeft, komt in een volgend artikel aan de orde.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

AVG: de hausse voorbij?

25 mei 2018, bijna een jaar geleden. Berichten, artikelen enzovoorts verschenen in hoog tempo. Op het gebied van de AVG moest en zou iedereen toch echt alles geregeld hebben, want anders..
Bij het niet voldoen aan de AVG-wetgeving zouden er grote boetes kunnen volgen.

We zijn nu bijna een jaar verder. Wat ik vooral merk is dat dit voor met name kleine organisaties nog steeds vragen oproept.
Vragen in de trant van:

  • wat mag ik nu wel en niet registreren

  • wanneer heb ik nu wel een verwerkersovereenkomst nodig

  • hoe doe ik dat met persoonsgegevens als we samen met andere organisaties iets organiseren

  • mag mijn collega me nog wel vervangen op mijn vrije dag.

Vragen, die er op neer komen: mag dit wel van de AVG?
De vraag stellen is hem beantwoorden.
Er mag best wel wat van de AVG. De AVG is bedoeld om:

  • de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te regelen

  • het vrije verkeer van persoonsgegevens in Europa te regelen

  • de positie van personen van wie persoonsgegevens worden verwerkt te versterken

  • de organisaties, die persoonsgegevens verwerken, verantwoordelijk te stellen om aan te tonen dat ze zich aan de wet houden en ervoor zorgen dat ze persoonsgegevens beschermt.

Wat betekent dit laatste punt nu voor kleine organisaties?

  • Dat betekent dat je je bewust moet zijn wat en waarom en welke persoonsgegevens je nodig hebt om je klanten te kunnen bedienen

  • Dat je vertrouwelijk en zorgvuldig met persoonsgegevens omgaat

  • Dat het ook duidelijk is wie er toegang heeft tot welke persoonsgegevens in de organisatie

  • Dus ook nadenken hoe de organisatie persoonsgegevens gebruikt.

  • Denk na over beveiliging van persoonsgegevens

Zorg er daarbij wel voor dat het werkbaar en praktisch blijft.

Wil je graag weten hoe je privacy praktisch en werkbaar implementeert in je organisatie, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Kent u uw organisatie?

Deze vraag wordt niet vaak gesteld aan de leiding of directie van een organisatie van een bedrijf.
Waarom eigenlijk niet?
Gaan we ervan uit dat de directie wel weet:

  • hoe zijn organisatie in elkaar zit

  • wie wat doet

  • welke acties genomen moeten worden bij bepaalde activiteiten

  • welke informatie wanneer beschikbaar is.

Zomaar een paar vragen, die aan de directie gesteld kunnen worden of die de directie zelf kan stellen.

De ondernemer heeft zijn kennis en kunde op zijn vakgebied. Dat vakgebied kent hij als geen ander. Daarnaast komt er bij het ondernemen meer bij kijken dan alleen het werken met klanten op zijn vakgebied.

Bij de dagelijkse gang van zaken en zeker bij groei van de onderneming komen er steeds meer van dergelijke vragen naar voren bij de leiding van de onderneming:

  • hoe leg ik de informatie over contracten vast?

  • Wat mag en moet ik vastleggen in het personeelsdossier?

  • Hoe informeer ik mijn klanten over bijvoorbeeld de algemene voorwaarden of de privacy?

Bij doorvragen hierop blijkt dat de leiding van een onderneming niet altijd goed weet:

  • hoe hun activiteiten georganiseerd zijn

  • waar mogelijke juridische knelpunten en problemen zich voordoen?

Hoe krijg je inzicht in de processen van jouw organisatie en waar de juridische knelpunten en problemen kunnen liggen.
Vaak probeer je zo goed en zo kwaad als je kan antwoorden te zoeken op vragen van onderwerpen, die niet op je vakgebied liggen. En er is best wel veel te vinden, maar hoe moet je dit nu interpreteren voor jouw onderneming?

Zoek je antwoorden én hulp hierbij, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Juridische vragen van ondernemers

Een ondernemer heeft zijn kennis en kunde op zijn vakgebied. Jouw vakgebied ken je als geen ander. Je zorgt er voor dat je vakkennis en je expertise op peil houdt.
Daarnaast komt er bij het ondernemen meer bij kijken dan alleen het werken met jouw klanten op jouw vakgebied.
Dat meerdere van het ondernemen dat is niet altijd gemakkelijk: je moet je administratie en boekhouding bijhouden, je zorgt dat je website actueel is en goed vindbaar, je doet aan acquisitie en marketing en nog meer.

Vaak probeer je zo goed en zo kwaad als je kan antwoorden te zoeken op vragen van onderwerpen, die niet op je vakgebied liggen. En er is best wel veel te vinden, maar hoe moet je dit nu interpreteren voor jouw onderneming?
Hoe pas je voor jouw bedrijf de gevonden antwoorden toe?
Als ondernemer wil je géén problemen op het gebied van bijvoorbeeld aansprakelijkheid of privacy.

Als jurist krijg ik regelmatig met de volgende zeer diverse vragen van ondernemers te maken (dit zijn er maar enkele):

  • hoe regel ik mijn aansprakelijkheden

  • wat moet ik doen om te voldoen aan de privacy regels

  • wanneer heb ik een verwerkersovereenkomst nodig

  • hoe zorg ik ervoor dat mijn klanten kunnen weten wat er in mijn Algemene Voorwaarden staat

  • hoe maak ik een goed contract

  • welke juridische documenten heb ik nodig

  • enzovoorts

Door deze juridische vragen stellen en proberen zelf een antwoord te zoeken , lijkt het alsof je door alle bomen het bos niet meer ziet en dus niet weet wat nu wel en wat nu niet kan en mag en nodig is.
Zoek je antwoorden én hulp, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

 

Geen zorgen over de AVG, want we hebben een FG

Organisaties, die al dan niet verplicht een Functionaris Gegevensbescherming of Privacy Officer hebben aangesteld, kunnen niet achterover leunen met de opmerking dat ze (nog) voldoen aan de AVG omdat ze een Functionaris Gegevensbescherming (in dienst) hebben.

Bescherming van persoonsgegevens is niet de verantwoordelijkheid van de Functionaris Gegevensbescherming, maar van de directie van de organisatie.

En ook is het niet de bedoeling dat de Functionaris Gegevensbescherming de hele organisatie privacyproof maakt en dat in de toekomst zal blijven doen. En dat de rest van de organisatie overgaat op de normale orde van de dag.

Privacy en bescherming van persoonsgegevens is nu net iets dat van hoog tot laag door de gehele organisatie gedaan moet worden. Een Functionaris Gegevensbescherming kan daarbij ondersteunen, adviseren, waarschuwen en informeren. Zorgen dat de bescherming van persoonsgegevens is gewaarborgd daar kan de Functionaris Gegevensbescherming bij helpen, maar de verantwoordelijkheid is en blijft bij de directie van de organisatie.
Want de mensen in de organisatie werken aan de processen, waarbij persoonsgegevens betrokken zijn en weten daarom wat er met die persoonsgegevens gebeurt.
De Functionaris Gegevensbescherming helpt met zijn kennis van de AVG en in samenwerking met de mensen in de organisatie om de bescherming van persoonsgegevens op een goed niveau te krijgen en te houden.

De Functionaris Gegevensbescherming is dan adviseur, sparringpartner en kennisinstituut en is daarbij afhankelijk van de mensen in de organisatie, die de Functionaris Gegevensbescherming vragen stellen, informeren en indien nodig waarschuwen.

Dus nee, met een Functionaris Gegevensbescherming kun je als directie van een organisatie niet achteroverleunen en zeggen: “Wij hebben de AVG geregeld”.

Meer weten neem contact met me op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Kent u uw juridische rechten en plichten?

Iedere organisatie, ieder bedrijf dient zich aan de wet te houden. En daarbij heb je als bedrijf rechten en plichten. Heel vaak wordt daarbij niet altijd gedacht aan de juridische aspecten van rechten en plichten.

Elke ondernemer weet dat hij/zij moet voldoen aan een aantal verplichtingen, waaronder:

  • inschrijving in het Handelsregister bij de Kamer van Koophandel

  • administratieplicht

  • BTW-wetgeving

  • Privacywetgeving

Daarnaast zijn er ondernemingen, die te maken hebben met specifieke wet- en regelgeving zoals bijvoorbeeld:

  • milieuwetgeving

  • arbeidsrecht

  • contractenrecht

Bovendien komt er ook in het gewoon ondernemen op diverse plekken in de processen regelgeving, rechten en plichten voor, die juridische consequenties kunnen hebben, zoals:

  • wie mag bestellen / inkopen

  • wie mag korting verlenen

  • zijn bij de offertes de Algemene Voorwaarden meegestuurd

  • let men op verlenging van langdurige contracten

  • mag ik voor de website en foldermateriaal zomaar elke willekeurige foto, die ik op internet vind, gebruiken.

Bovenstaande vragen en nog veel meer komen op wanneer je eens kritisch naar de processen in je bedrijf kijkt.
Nu kan ik me voorstellen dat het lastig is om je bedrijfsvoering en je processen te vertalen naar juridische rechten en plichten.
Daarvoor is het nodig en handig om eerst te weten hoe je bedrijfsprocessen verlopen en daarnaast kennis te hebben van het recht.
Als ondernemer op je eigen vakgebied heb je dat niet altijd.

Hoe je dit kunt doen?
Door bijvoorbeeld de methode van de cirkel van negen stappen te volgen, die beschreven staan in mijn boek: Orde in de chaos van regelgeving en bedrijfsvoering.
Meer weten bestel het boek via https://www.boekenbestellen.nl/boek/orde-in-de-chaos-van-regelgeving-en-bedrijfsvoering/23947 of neem contact met me op via: info@juridiqua.nl of via 06-13624614.

Vastleggen van de bedrijfsvoering – Ook goed voor de AVG

25 mei 2018 is aanstaande en in de pers verschijnen heel veel items over de AVG. Waar die items vooral over gaan, is dat veel organisaties er niet klaar voor zijn.

Waarom zijn ze dat niet?
Niet alleen omdat ze te laat begonnen zijn of omdat ze niet weten wat ze nu moeten doen?
Zeker bij grotere organisaties weten ze dit vaak wel, maar het kost veel tijd en werk.

Waar zit dat werk in?
Dat werk ligt voornamelijk in het beschrijven van de gegevensstromen en de processen waar persoonsgegevens in voorkomen. Want dat is de basis voor het verwerkingsregister. Wanneer de organisatie weet welke persoonsgegevens in welke processen voorkomen en hoe deze worden gebruikt, is het veel gemakkelijker om het verwerkingsregister in te vullen.

Want op dat moment weet je:

  • welke persoonsgegevens worden verwerkt

  • de grondslag voor de verwerking

  • het doel van de verwerking

  • eventuele externe partijen bij de verwerking.

Het probleem is echter dat veel kleine en middelgrote bedrijven niet weten hoe hun bedrijfsvoering in elkaar zit. En dus ook niet in welk gedeelte van de bedrijfsvoering persoonsgegevens gebruikt worden en welke dit dan zijn.

Dit kan ander. De basis om je organisatie privacyproof te maken ligt in de beschrijving van je bedrijfsvoering. Uiteraard is de beschrijving van je bedrijfsvoering de basis voor meerdere zaken in je bedrijf. Dit kun je lezen in mijn boek: Orde in de Chaos van regelgeving en bedrijfsvoering.
Maar voor de AVG alleen al is de beschrijving van je bedrijfsvoering een goed begin.

Meer weten hoe het boek “Orde in de chaos van regelgeving en bedrijfsvoering” én het privacyproof maken van je organisatie, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.