Articles tagged with: privacy

Privacy en AVG: eenmalig of een ongoing proces?

Mei 2018: de AVG trad in werking en iedereen spande zich in om klaar te zijn voor de inwerkingtreding van de AVG. Ook in 2018 veel na-ijlende bedrijven en organisaties, die het niet lukte om in mei 2018 “klaar te zijn” voor de AVG.

Wat is de stand van zaken nu anderhalf jaar verder?
Kun je nadat je alles “klaar hebt gekregen” voor de AVG het hele privacy gebeuren afstrepen en overgaan tot de orde of de waan van de dag?
Of is privacy en AVG nog steeds een actueel thema?

Privacy en de naleving van de AVG is niet een eenmalig iets dat wanneer het eenmaal is afgevinkt nooit meer tevoorschijn gehaald hoeft te worden.
Het is een onderdeel van de bedrijfsvoering geworden. Ik bedoel hier niet mee dat er geroepen wordt: “Mag dit wel van de AVG?” of “Dit mag niet in verband met de privacy!”

Wat ik wel bedoel is dat het belangrijk is om regelmatig de bedrijfsprocessen onder andere na te lopen:

  • om te bekijken of de privacy maatregelen werken

  • om na te gaan of er werkzaamheden in de bedrijfsvoering zijn gewijzigd die invloed kunnen hebben op de privacy

  • om na te gaan of nieuwe processen ook privacyproof zijn

  • om na te gaan of geconstateerde datalekken een incidentele of een structurele oorzaak hebben.

Want waar gewerkt wordt, worden nieuwe producten en werkwijzen ontwikkeld, worden fouten gemaakt en dat kan allemaal invloed hebben op de privacy van persoonsgegevens.

Wilt u graag meer weten over het nalopen van de pricacyzaken in uw bedrijfsprocessen, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Welke persoonsgegevens verzamelt uw organisatie?

De AVG lijkt enigszins ingeburgerd, maar vergt nog steeds de nodige aandacht.
Want weet u welke persoonsgegevens u verzamelt, opslaat en verwerkt in uw eigen organisatie.
Van welke personen en met name van welke categorieën personen u dat doet?
En weet u dan precies wat er dan allemaal aan gegevens over die personen bewerkt, verzameld of opgeslagen worden?

Als organisatie bent u verplicht om in kaart te brengen welke persoonsregistraties u heeft, van welke categorieën u gegevens verzamelt en welke gegevens dat dan zijn.
Het lijkt zo gemakkelijk om maar even de grootste categorieën zoals bijvoorbeeld werknemers en klanten en de vanzelfsprekende gegevens daarvan te noemen, maar dat is niet genoeg.
Want ongemerkt is er toch nog een derde categorie personen apart ondergebracht in een registratie, die wellicht als subcategorie van de hoofdcategorie is ontstaan, echter door zijn aard een aparte persoonsregistratie is geworden.

Hoe weet u nu als organisatie dat u geen persoonsregistratie “vergeten” bent?
Dat doet u door te inventariseren bij alle bedrijfsprocessen:

  • waar er persoonsregistraties zijn

  • van welke categorie personen

  • welke gegevens er dan geregistreerd worden

  • wie deze registratie beheert en

  • wie deze registratie kan inzien.

Daarnaast inventariseert u ook:

  • hoe er geregistreerd wordt

  • welke risico’s er zijn rondom de persoonsregistratie

  • welke beveiligingsmaatregelen er zijn.

Op die manier brengt u beter in kaart wat u aan persoonsregistraties heeft en kunt u de risico’s beter managen.

Wilt u graag meer weten over het inventariseren van uw persoonsregistraties om te voldoen aan de AVG, neem dan contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Wat doet een DPO of FG?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen, al dan niet in loondienst van de organisatie.

Maar wat zijn dan de taken van de Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG)?
De wettelijke taken, die de DPO of FG moet uitvoeren zijn de volgende:

  • informeren en adviseren van de directie en medewerkers van de organisatie over de AVG

  • toezien op de naleving van de AVG in de organisatie

  • advies geven over een gegevensbeschermingseffectbeoordeling en toezien op de uitvoering hiervan.

  • samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens

  • Verslag uitbrengen over alles wat met de AVG te maken heeft aan de directie van de organisatie

Daarnaast zorgt de DPO of de FG dat iedereen in de organisatie zich ervan bewust is hoe men omgaat met persoonsgegevens in de organisatie en hoe dit verhoudt met de AVG. Ze geven voorlichting. Ze behandelen klachten en incidenten met betrekking tot de AVG en nemen audits af met betrekking tot de bescherming van persoonsgegevens.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Een DPO of FG inhuren, kan dat?

De hausse rondom de AVG is enigszins weggeëbd. Het lijkt business as usual te worden. De autoriteit Persoonsgegevens laat van zich horen door boetes, onderzoek en advisering en er verschijnen artikelen over de AVG in de pers.

De AVG en beveiliging en bescherming van persoonsgegevens is blijvend en zal onderdeel uitmaken van de bedrijfsvoering van organisaties. Daarbij kan het voor een organisatie noodzakelijk zijn om een Data Protection Officer (DPO) of een Functionaris Gegevensbescherming (FG) aan te stellen.

De vraag daarbij is of die dan persé in dienst moet zijn bij de organisatie zelf. Dit kan, maar hoeft niet.
Een DPO of FG kan ook enkele dagen per maand ingehuurd worden al naar gelang de grootte van de organisatie, de omvang van de gegevensbestanden en de diversiteit van de te verwerken gegevens.

Bovendien is dan de onafhankelijkheid van de DPO of de FG beter gewaarborgd dan bij een medewerker als DPO/FG. Want volgens de wet moet de DPO/FG onafhankelijk zijn en gevraagd en ongevraagd advies geven.
Welke taken de DPO/FG nu allemaal heeft, komt in een volgend artikel aan de orde.

Wilt u graag weten wat een DPO of een FG voor uw organisatie kan en moet doen, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

AVG: de hausse voorbij?

25 mei 2018, bijna een jaar geleden. Berichten, artikelen enzovoorts verschenen in hoog tempo. Op het gebied van de AVG moest en zou iedereen toch echt alles geregeld hebben, want anders..
Bij het niet voldoen aan de AVG-wetgeving zouden er grote boetes kunnen volgen.

We zijn nu bijna een jaar verder. Wat ik vooral merk is dat dit voor met name kleine organisaties nog steeds vragen oproept.
Vragen in de trant van:

  • wat mag ik nu wel en niet registreren

  • wanneer heb ik nu wel een verwerkersovereenkomst nodig

  • hoe doe ik dat met persoonsgegevens als we samen met andere organisaties iets organiseren

  • mag mijn collega me nog wel vervangen op mijn vrije dag.

Vragen, die er op neer komen: mag dit wel van de AVG?
De vraag stellen is hem beantwoorden.
Er mag best wel wat van de AVG. De AVG is bedoeld om:

  • de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te regelen

  • het vrije verkeer van persoonsgegevens in Europa te regelen

  • de positie van personen van wie persoonsgegevens worden verwerkt te versterken

  • de organisaties, die persoonsgegevens verwerken, verantwoordelijk te stellen om aan te tonen dat ze zich aan de wet houden en ervoor zorgen dat ze persoonsgegevens beschermt.

Wat betekent dit laatste punt nu voor kleine organisaties?

  • Dat betekent dat je je bewust moet zijn wat en waarom en welke persoonsgegevens je nodig hebt om je klanten te kunnen bedienen

  • Dat je vertrouwelijk en zorgvuldig met persoonsgegevens omgaat

  • Dat het ook duidelijk is wie er toegang heeft tot welke persoonsgegevens in de organisatie

  • Dus ook nadenken hoe de organisatie persoonsgegevens gebruikt.

  • Denk na over beveiliging van persoonsgegevens

Zorg er daarbij wel voor dat het werkbaar en praktisch blijft.

Wil je graag weten hoe je privacy praktisch en werkbaar implementeert in je organisatie, neem gerust contact met mij, Helmi van Bergen, op via: info@juridiqua.nl of via 06-13624614 of 046-4581387

Alles klaar voor de AVG? Na 25 mei 2018 begint het pas!

Op dit moment merk ik dat de AVG leeft bij onder andere directies, medewerkers, bestuursleden van diverse organisaties, zelfstandige professionals.
Iedereen probeert op tijd, het liefst nog voor 25 mei aanstaande al datgene gereed te krijgen om te voldoen aan de eisen die de AVG stelt.

Op dat moment kun je dit item van de to-dolijst afstrepen en verder naar het volgende op deze lijst.
Ja en nee! Het is echt niet zo dat wanneer

  • je je privacy statement of je privacyreglement hebt aangepast

  • je met elke verwerker van jouw persoonsgegevens verwerkersovereenkomsten hebt afgesloten

  • je een procedure melding datalekken hebt opgesteld

  • je alle procedures hebt geïnventariseerd waarin persoonsgegevens worden verwerkt

dat je er dan bent.

Nee, het begint dan pas. Nu zal de organisatie er mee moeten werken. Hoezo zult u denken? Ik heb toch alles klaar?
De zaken die ik hierboven heb genoemd, ja die zijn klaar, maar nu komt de praktijk en de werkelijkheid.

Er is een datalek geconstateerd en dan?
Dan volg je de procedure melding datalekken. Echter in die procedure staat dat je behalve een melding moet doen naar de Autoriteit Persoonsgegevens je ook het lek moet dichten én er voor moet zorgen dat een dergelijk lek niet meer voorkomt.

De organisatie verandert, de medewerkers en de persoonsgegevens veranderen mee. Dat wil zeggen dat ook daar zaken kunnen veranderen. Denk bijvoorbeeld aan:

  • nieuwe categorieën klanten

  • medewerkers die andere functies gaan uitvoeren en daardoor nu wel of juist niet meer met de verwerking van persoonsgegevens te maken hebben.

Dit en nog veel meer kan invloed hebben op de bescherming van persoonsgegevens. Bewust bezig zijn met de privacy en de bescherming van persoonsgegevens is net als kostenbewustheid. Het hoort gewoon bij de bedrijfsvoering.

Meer weten hoe de privacy en de bescherming van persoonsgegevens ook na 25 mei 2018 goed kunt aanpakken, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Privacy en ZZP

Als ondernemer moet je de wet volgen, maar geldt dan ook elke wet voor elke ondernemer? Dat niet altijd, maar de komende privacywet ofwel AVG (in het engels GDPR) geldt voor elke ondernemer, dus ook voor de ZZP-er.

Want ook de ZZP-er verwerkt persoonsgegeven, al is het alleen maar van zijn of haar klanten en zijn het alleen maar NAW-gegevens. Toch ben je als ZZP-er verantwoordelijk voor de verwerking van die persoonsgegevens.

Een ZZP-er zal over het algemeen het volgende moeten doen:

  • een privacystatement op de website plaatsen waarin staat wat, waarom en hoe je persoonsgegevens verwerkt

  • een goede opt-in maken voor je nieuwsbrief waarin je duidelijk vraagt om toestemming

  • Bovendien moet je dit kunnen aantonen.

Daarnaast kan het zijn dat je als ZZP-er extra zaken moet vastleggen of moet regelen. Dit hang t af van de branche, waarin je werkt, of de diensten, die je levert, of de soort klanten, die je bedient.

Kortom laat je voorlichten over de privacy en de AVG en ben voorbereid.

Wilt je meer weten over privacy, de AVG en hoe je als ZZP-er kan voldoen aan de privacywetgeving, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Hoe handig is dat: een eenvoudig privacy stappenplan voor ondernemers

Een privacystappenplan voor ondernemers: is dat nodig? Zeker en heel handig!
Privacy en de komende invoering van de AVG – de Algemene Verordening Gegevensbescherming – , ook wel genoemd met de Engelse afkorting GDPR, op 25 mei 2018, zal u als ondernemer niet zijn ontgaan.
U leest veel over mogelijke hoge boetes, die de Autoriteit Persoonsgegevens kan opleggen wanneer u deze wet overtreedt.
Als ondernemer vraagt u zich af:
  1. Waarom deze wet?
    De AVG is een Europese verordening en is gemaakt om de bescherming van persoonsgegevens in Europa te reguleren
  2. Moet ik als ondernemer iets doen met deze wetgeving?
    Het antwoord op deze vraag is een ondubbelzinnig “JA”. Geen mitsen, geen maren. Als ondernemer zult u aan deze wet moeten voldoen.
  3. Voor- en nadelen van deze wet?
    Laat ik beginnen met de nadelen. Het kost inspanning, tijd en geld om te voldoen aan de privacywetgeving.
    Voordelen zijn er ook: wanneer u voldoet aan de privacywetgeving, hier actief mee werkt, uw privacy zaken vastlegt, kunt u laten zien dat u voldoet aan deze wet. Ook aan uw accountant.
  4. Hoe en wat moet ik dan doen?
    Deze vraag wordt hieronder in het stappenplan beantwoord.
    De AVG zelf is behoorlijk uitgebreid. De kernpunten zijn te verdelen in 5 categorieën:
    1. Organisatie rondom privacy en persoonsgegevens regelen
    2. Compliant zijn ofwel voldoen aan de AVG
    3. Transparant zijn
    4. Beveiliging regelen
    5. Governance ofwel goed en behoorlijk bestuur
In het stappenplan, dat u hier kunt downloaden, leest u:
  • het antwoord op bovenstaande vragen
  • een stappenplan om aan de privacywetgeving te voldoen.
Wilt u na het lezen van dit privacy stappenplan meer informatie hoe Juridiqua u kan helpen met de privacy van uw onderneming?
Meer weten over privacy, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.

Iedere ondernemer wordt geacht de wet te kennen, inclusief de privacywet

De titel van deze blog is een variant op het volgende juridische beginsel: “Een ieder wordt geacht de wet te kennen”.
Dit is zoals gezegd een juridisch beginsel en geen wet. Het betekent dat je bij een veroordeling geen strafvermindering kunt krijgen omdat je niet wist dat jouw handeling strafbaar was.

En ja, dit geldt dus ook voor de AVG, de Algemene Verordening Gegevensbescherming, ofwel de nieuwe privacywet, die vanaf 25 mei 2018 geldt.
En ja, er kunnen hoge boetes opgelegd worden door de Autoriteit Persoonsgegevens wanneer een organisatie een of meerdere bepalingen van deze wet overtreedt.

Met andere woorden het niet weten dat er een privacywet bestaat of dat ook jouw organisatie of onderneming daaraan moet voldoen, kan dus nooit een excuus zijn om geen boete te krijgen.
Zeker niet wanneer je als ondernemer of organisatie artikelen en berichten dagelijks voorbij ziet komen, ook bijvoorbeeld via het Ondernemersplein, de informatiepagina bij uitstek over komende wetswijzigingen.

Maar ook het excuus dat het zo’n vaart niet zal lopen of dat het toch niet zal gelden voor onze organisatie of onderneming werkt ook niet, want dat doet het dus wel.

Ik zou zeggen: “aan de slag”. Privacy is een onderdeel van je bedrijfsvoering, dat nu eenmaal geregeld moet worden. Maar je kunt dat ook als een onderscheidend vermogen zien. Jouw organisatie of onderneming zorgt ervoor dat de verwerking van persoonsgegevens – de privacy dus – van klanten, medewerkers en leveranciers goed geregeld is.

Dat kost inderdaad tijd en inspanning. Laat je daarover goed informeren en indien nodig ondersteunen.
Uiteraard kan ik daarover meer vertellen en ondersteunen bij het organiseren van uw privacybeleid.
Meer weten over privacy, neem dan nu contact op met met Helmi van Bergen van Juridiqua, bureau voor juridisch organisatie advies via info@juridiqua.nl of via 046-4581387.