De AVG lijkt enigszins ingeburgerd, maar vergt nog steeds de nodige aandacht.
Want weet u welke persoonsgegevens u verzamelt, opslaat en verwerkt in uw eigen organisatie.
Van welke personen en met name van welke categorieën personen u dat doet?
En weet u dan precies wat er dan allemaal aan gegevens over die personen bewerkt, verzameld of opgeslagen worden?
Als organisatie bent u verplicht om in kaart te brengen welke persoonsregistraties u heeft, van welke categorieën u gegevens verzamelt en welke gegevens dat dan zijn.
Het lijkt zo gemakkelijk om maar even de grootste categorieën zoals bijvoorbeeld werknemers en klanten en de vanzelfsprekende gegevens daarvan te noemen, maar dat is niet genoeg.
Want ongemerkt is er toch nog een derde categorie personen apart ondergebracht in een registratie, die wellicht als subcategorie van de hoofdcategorie is ontstaan, echter door zijn aard een aparte persoonsregistratie is geworden.
Hoe weet u nu als organisatie dat u geen persoonsregistratie “vergeten” bent?
Dat doet u door te inventariseren bij alle bedrijfsprocessen:
-
waar er persoonsregistraties zijn
-
van welke categorie personen
-
welke gegevens er dan geregistreerd worden
-
wie deze registratie beheert en
-
wie deze registratie kan inzien.
Daarnaast inventariseert u ook:
-
hoe er geregistreerd wordt
-
welke risico’s er zijn rondom de persoonsregistratie
-
welke beveiligingsmaatregelen er zijn.
Op die manier brengt u beter in kaart wat u aan persoonsregistraties heeft en kunt u de risico’s beter managen.
Wilt u graag meer weten over het inventariseren van uw persoonsregistraties om te voldoen aan de AVG, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387
De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.
De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen, al dan niet in loondienst van de organisatie.
Maar wat zijn dan de taken van de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG)?
De wettelijke taken, die de DPO of FG moet uitvoeren zijn de volgende:
-
informeren en adviseren van de directie en medewerkers van de organisatie over de AVG
-
toezien op de naleving van de AVG in de organisatie
-
advies geven over een gegevensbeschermingseffectbeoordeling en toezien op de uitvoering hiervan.
-
samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens
-
Verslag uitbrengen over alles wat met de AVG te maken heeft aan de directie van de organisatie
Daarnaast zorgt de DPO of de FG dat iedereen in de organisatie zich ervan bewust is hoe men omgaat met persoonsgegevens in de organisatie en hoe dit verhoudt met de AVG. Ze geven voorlichting. Ze behandelen klachten en incidenten met betrekking tot de AVG en nemen audits af met betrekking tot de bescherming van persoonsgegevens.
Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387
De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.
De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen.
De vraag daarbij is of die dan persé in dienst moet zijn bij de organisatie zelf. Dit kan, maar hoeft niet.
Een DPO of FG kan ook enkele dagen per maand ingehuurd worden al naar gelang de grootte van de organisatie, de omvang van de gegevensbestanden en de diversiteit van de te verwerken gegevens.
Bovendien is dan de onafhankelijkheid van de DPO of de FG beter gewaarborgd dan bij een medewerker als DPO/FG. Want volgens de wet moet de DPO/FG onafhankelijk zijn en gevraagd en ongevraagd advies geven.
Welke taken de DPO/FG nu allemaal heeft, komt in een volgend artikel aan de orde.
Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387
25 mei 2018, bijna een jaar geleden. Berichten, artikelen enzovoorts verschenen in hoog tempo. Op het gebied van de AVG moest en zou iedereen toch echt alles geregeld hebben, want anders..
Bij het niet voldoen aan de AVG-wetgeving zouden er grote boetes kunnen volgen.
We zijn nu bijna een jaar verder. Wat ik vooral merk is dat dit voor met name kleine organisaties nog steeds vragen oproept.
Vragen in de trant van:
-
wat mag ik nu wel en niet registreren
-
wanneer heb ik nu wel een verwerkersovereenkomst nodig
-
hoe doe ik dat met persoonsgegevens als we samen met andere organisaties iets organiseren
-
mag mijn collega me nog wel vervangen op mijn vrije dag.
Vragen, die er op neer komen: mag dit wel van de AVG?
De vraag stellen is hem beantwoorden.
Er mag best wel wat van de AVG. De AVG is bedoeld om:
-
de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te regelen
-
het vrije verkeer van persoonsgegevens in Europa te regelen
-
de positie van personen van wie persoonsgegevens worden verwerkt te versterken
-
de organisaties, die persoonsgegevens verwerken, verantwoordelijk te stellen om aan te tonen dat ze zich aan de wet houden en ervoor zorgen dat ze persoonsgegevens beschermt.
Wat betekent dit laatste punt nu voor kleine organisaties?
-
Dat betekent dat je je bewust moet zijn wat en waarom en welke persoonsgegevens je nodig hebt om je klanten te kunnen bedienen
-
Dat je vertrouwelijk en zorgvuldig met persoonsgegevens omgaat
-
Dat het ook duidelijk is wie er toegang heeft tot welke persoonsgegevens in de organisatie
-
Dus ook nadenken hoe de organisatie persoonsgegevens gebruikt.
-
Denk na over beveiliging van persoonsgegevens
Zorg er daarbij wel voor dat het werkbaar en praktisch blijft.
Wil je graag weten hoe je privacy praktisch en werkbaar implementeert in je organisatie, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387
De vraag stellen is hem beantwoorden.
Volgens de AVG is de verwerkingsverantwoordelijke daarvoor verantwoordelijk.
Maar wie is dan die verwerkingsverantwoordelijke?
Dat is
-
de organisatie,
-
het bedrijf,
-
de onderneming,
-
de overheidsinstantie,
-
de stichting,
-
de vereniging
die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Het doel van de verwerking is de reden waarom die verantwoordelijke de persoonsgegevens verwerkt.
En dat doel is heel divers:
-
het leveren van diensten aan klanten
-
het leveren van producten aan klanten
-
de gemeentelijke bevolkingsadministratie
-
het geven van onderwijs of cursussen
-
het coachen van cliënten
En zo zijn er nog heel veel doelen of redenen te bedenken waarom de organisatie persoonsgegevens verwerkt.
Daarnaast kan het zijn dat de organisatie wel de verantwoordelijke is, maar zelf niet de capaciteit of de juiste middelen heeft om deze persoonsgegevens te verwerken. Dan kan een verwerker uitkomst bieden. Denk bijvoorbeeld aan een kleine ondernemer met enkele werknemers, die de salarisadministratie en de salarisbetaling uitbesteedt.
Wie is dan verantwoordelijk? Nog steeds de verwerkingsverantwoordelijke. Dat wil echter niet zeggen dat de verwerker fijn achterover kan leunen. Die heeft uiteraard zijn verantwoordelijkheid ten opzichte van de verantwoordelijke. Mocht er iets met de persoonsgegevens gebeuren, dan is en blijft de verwerkingsverantwoordelijke nog steeds het eerste aanspreekpunt.
Meer weten hoe de verwerkingsverantwoordelijke, verwerker en de AVG, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.