Articles tagged with: AVG

Welke persoonsgegevens verzamelt uw organisatie?

De AVG lijkt enigszins ingeburgerd, maar vergt nog steeds de nodige aandacht.
Want weet u welke persoonsgegevens u verzamelt, opslaat en verwerkt in uw eigen organisatie.
Van welke personen en met name van welke categorieën personen u dat doet?
En weet u dan precies wat er dan allemaal aan gegevens over die personen bewerkt, verzameld of opgeslagen worden?

Als organisatie bent u verplicht om in kaart te brengen welke persoonsregistraties u heeft, van welke categorieën u gegevens verzamelt en welke gegevens dat dan zijn.
Het lijkt zo gemakkelijk om maar even de grootste categorieën zoals bijvoorbeeld werknemers en klanten en de vanzelfsprekende gegevens daarvan te noemen, maar dat is niet genoeg.
Want ongemerkt is er toch nog een derde categorie personen apart ondergebracht in een registratie, die wellicht als subcategorie van de hoofdcategorie is ontstaan, echter door zijn aard een aparte persoonsregistratie is geworden.

Hoe weet u nu als organisatie dat u geen persoonsregistratie “vergeten” bent?
Dat doet u door te inventariseren bij alle bedrijfsprocessen:

  • waar er persoonsregistraties zijn

  • van welke categorie personen

  • welke gegevens er dan geregistreerd worden

  • wie deze registratie beheert en

  • wie deze registratie kan inzien.

Daarnaast inventariseert u ook:

  • hoe er geregistreerd wordt

  • welke risico’s er zijn rondom de persoonsregistratie

  • welke beveiligingsmaatregelen er zijn.

Op die manier brengt u beter in kaart wat u aan persoonsregistraties heeft en kunt u de risico’s beter managen.

Wilt u graag meer weten over het inventariseren van uw persoonsregistraties om te voldoen aan de AVG, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Wat doet een DPO of FG?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen, al dan niet in loondienst van de organisatie.

Maar wat zijn dan de taken van de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG)?
De wettelijke taken, die de DPO of FG moet uitvoeren zijn de volgende:

  • informeren en adviseren van de directie en medewerkers van de organisatie over de AVG

  • toezien op de naleving van de AVG in de organisatie

  • advies geven over een gegevensbeschermingseffectbeoordeling en toezien op de uitvoering hiervan.

  • samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens

  • Verslag uitbrengen over alles wat met de AVG te maken heeft aan de directie van de organisatie

Daarnaast zorgt de DPO of de FG dat iedereen in de organisatie zich ervan bewust is hoe men omgaat met persoonsgegevens in de organisatie en hoe dit verhoudt met de AVG. Ze geven voorlichting. Ze behandelen klachten en incidenten met betrekking tot de AVG en nemen audits af met betrekking tot de bescherming van persoonsgegevens.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Een DPO of FG inhuren, kan dat?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen.

De vraag daarbij is of die dan persé in dienst moet zijn bij de organisatie zelf. Dit kan, maar hoeft niet.
Een DPO of FG kan ook enkele dagen per maand ingehuurd worden al naar gelang de grootte van de organisatie, de omvang van de gegevensbestanden en de diversiteit van de te verwerken gegevens.

Bovendien is dan de onafhankelijkheid van de DPO of de FG beter gewaarborgd dan bij een medewerker als DPO/FG. Want volgens de wet moet de DPO/FG onafhankelijk zijn en gevraagd en ongevraagd advies geven.
Welke taken de DPO/FG nu allemaal heeft, komt in een volgend artikel aan de orde.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Wie is verantwoordelijk voor de verwerking van persoonsgegevens?

De vraag stellen is hem beantwoorden.
Volgens de AVG is de verwerkingsverantwoordelijke daarvoor verantwoordelijk.
Maar wie is dan die verwerkingsverantwoordelijke?
Dat is

  • de organisatie,

  • het bedrijf,

  • de onderneming,

  • de overheidsinstantie,

  • de stichting,

  • de vereniging

die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Het doel van de verwerking is de reden waarom die verantwoordelijke de persoonsgegevens verwerkt.
En dat doel is heel divers:

  • het leveren van diensten aan klanten

  • het leveren van producten aan klanten

  • de gemeentelijke bevolkingsadministratie

  • het geven van onderwijs of cursussen

  • het coachen van cliënten

En zo zijn er nog heel veel doelen of redenen te bedenken waarom de organisatie persoonsgegevens verwerkt.

Daarnaast kan het zijn dat de organisatie wel de verantwoordelijke is, maar zelf niet de capaciteit of de juiste middelen heeft om deze persoonsgegevens te verwerken. Dan kan een verwerker uitkomst bieden. Denk bijvoorbeeld aan een kleine ondernemer met enkele werknemers, die de salarisadministratie en de salarisbetaling uitbesteedt.

Wie is dan verantwoordelijk? Nog steeds de verwerkingsverantwoordelijke. Dat wil echter niet zeggen dat de verwerker fijn achterover kan leunen. Die heeft uiteraard zijn verantwoordelijkheid ten opzichte van de verantwoordelijke. Mocht er iets met de persoonsgegevens gebeuren, dan is en blijft de verwerkingsverantwoordelijke nog steeds het eerste aanspreekpunt.

Meer weten hoe de verwerkingsverantwoordelijke, verwerker en de AVG, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Alles klaar voor de AVG? Na 25 mei 2018 begint het pas!

Op dit moment merk ik dat de AVG leeft bij onder andere directies, medewerkers, bestuursleden van diverse organisaties, zelfstandige professionals.
Iedereen probeert op tijd, het liefst nog voor 25 mei aanstaande al datgene gereed te krijgen om te voldoen aan de eisen die de AVG stelt.

Op dat moment kun je dit item van de to-dolijst afstrepen en verder naar het volgende op deze lijst.
Ja en nee! Het is echt niet zo dat wanneer

  • je je privacy statement of je privacyreglement hebt aangepast

  • je met elke verwerker van jouw persoonsgegevens verwerkersovereenkomsten hebt afgesloten

  • je een procedure melding datalekken hebt opgesteld

  • je alle procedures hebt geïnventariseerd waarin persoonsgegevens worden verwerkt

dat je er dan bent.

Nee, het begint dan pas. Nu zal de organisatie er mee moeten werken. Hoezo zult u denken? Ik heb toch alles klaar?
De zaken die ik hierboven heb genoemd, ja die zijn klaar, maar nu komt de praktijk en de werkelijkheid.

Er is een datalek geconstateerd en dan?
Dan volg je de procedure melding datalekken. Echter in die procedure staat dat je behalve een melding moet doen naar de Autoriteit Persoonsgegevens je ook het lek moet dichten én er voor moet zorgen dat een dergelijk lek niet meer voorkomt.

De organisatie verandert, de medewerkers en de persoonsgegevens veranderen mee. Dat wil zeggen dat ook daar zaken kunnen veranderen. Denk bijvoorbeeld aan:

  • nieuwe categorieën klanten

  • medewerkers die andere functies gaan uitvoeren en daardoor nu wel of juist niet meer met de verwerking van persoonsgegevens te maken hebben.

Dit en nog veel meer kan invloed hebben op de bescherming van persoonsgegevens. Bewust bezig zijn met de privacy en de bescherming van persoonsgegevens is net als kostenbewustheid. Het hoort gewoon bij de bedrijfsvoering.

Meer weten hoe de privacy en de bescherming van persoonsgegevens ook na 25 mei 2018 goed kunt aanpakken, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.