Op 3 november 2017 publiceerden wij het 2e deel van ons artikel over de nieuwe AVG. Je hebt je mogelijk verdiept in de veranderingen, maar heb je ook al actie ondernomen om wijzigingen door te voeren in systemen, processen en contracten? In dit 3e deel gaat het over persoonsgegevens, jouw administratieplicht, AVG tooling en de Data Protection Officer.
Op 3 november 2017 publiceerden wij het 2e deel van ons artikel over de nieuwe AVG. Je hebt je mogelijk verdiept in de veranderingen, maar heb je ook al actie ondernomen om wijzigingen door te voeren in systemen, processen en contracten? In dit 3e deel gaat het over persoonsgegevens, jouw administratieplicht, AVG tooling en de Data Protection Officer.
Officiële definitie van persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Hele gevoelige gegevens zoals iemands ras, godsdienst, seksuele geaardheid, politieke opvatting, gezondheid (ook van familieleden), lidmaatschap van een vakbond, strafrechtelijk gedrag, genetische (DNA) en biometrische gegevens worden aangemerkt als bijzondere persoonsgegevens. Voor deze persoonsgegevens biedt de wet een hoge mate van bescherming.
De verwerking van bijzondere persoonsgegevens is verboden, tenzij sprake is van een wettelijke uitzondering. Een voorbeeld van een wettelijke uitzondering is uitdrukkelijke toestemming van de persoon wiens persoonsgegevens het betreft.
Persoonsgegevens mogen verwerkt worden mits dit op een rechtmatige wijze gedaan wordt. Een organisatie moet o.a. de juiste grondslag hebben voor de verwerking van persoonsgegevens.
Er dient ten minste aan één van de onderstaande voorwaarden voldaan te worden:
Anders dan onder het Wbp regime het geval was hoef je vanaf 25 mei 2018 geen melding meer te maken aan de Autoriteit Persoonsgegevens (AP) in het geval je persoonsgegevens verwerkt.
In plaats daarvan dien jij als verantwoordelijke of als verwerker te voldoen aan de in de AVG opgenomen documentatieplicht. Je bent verplicht een register/documentatie bij te houden van alle verwerkingen die je binnen jouw organisatie (of elders bij een verwerker) uit laat voeren, zodat je op elk moment jouw verwerkingen van persoonsgegevens kunt verantwoorden. Anders gezegd: Je moet kunnen aantonen dat je, in overeenstemming met de bepalingen van de AVG, de juiste organisatorische en technische maatregelen hebt getroffen.
Je moet dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe jouw organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval je dat niet kunt riskeer je een aanzienlijke boete.
De AVG schrijft niet voor hoe je deze privacy administratie moet bijhouden maar wel wàt je moet registeren. Je hebt dus de mogelijkheid om dit bijvoorbeeld in Excel bij te houden maar ik adviseer je om gebruik te maken van speciaal ontwikkelde AVG tooling. Deze tooling helpt jouw organisatie niet alleen met het centraal administreren van alle gegevensverwerkingen, maar geeft tevens begeleiding en advies d.m.v interactieve vragenlijsten zonder dat je daarvoor een jurist hoeft in te schakelen. Ze worden namelijk continu juridisch bijgehouden. In de tool kunnen zelfs eenvoudig (sub-) verwerkersovereenkomsten gegenereerd worden o.b.v. voor jouw organisatie vooraf vastgestelde juridische templates. Zeer handig voor MKB bedrijven die juridische kosten willen beperken, maar ook geschikt voor grotere organisaties met veel medewerkers die hiermee te maken krijgen. Je kan zelfs een autorisatie/rechten structuur inrichten, risico-matrix rapportages genereren en het biedt audit trails.
Ik ben zelf zeer te spreken over de mogelijkheden met de tool PrivacyBlox. Zie voor meer informatie of het aanvragen van een demo: www.privacyblox.nl
Deze Functionaris voor de Gegevensbescherming houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie. De wettelijke taken en bevoegdheden van de DPO geven hem/haar een onafhankelijke positie in de organisatie. Het is mogelijk een externe medewerker als DPO aan te stellen. De DPO moet een natuurlijk persoon zijn. Niet iedere organisatie is verplicht een DPO aan te stellen. Onder de AVG zijn 3 typen organisaties verplicht een DPO aan te stellen:
Vooral voor de 3e categorie is het wat lastiger te bepalen of jouw organisatie daartoe behoort. Voldoet jouw organisatie aan de onderstaande criteria? Dan is een DPO verplicht:
De AVG definieert vreemd genoeg niet duidelijk wat groot is. Ziekenhuizen, het OV, internationale fastfoodketens, verzekeraars, banken, zoekmachines, telecom- en internetproviders voldoen natuurlijk aan dit criterium. Ben je dat niet? Dan is van belang:
DDMA: www.ddma.nl
Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl
PrivacyBlox: www.privacyblox..nl
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
Ontvang de meest actuele Loyalty Marketing trends, cases, inzichten, wetenschappelijke artikelen, uitnodigingen voor events, boekreviews, opinies en nog veel meer elke maand automatisch in je mailbox.
Bekijk ons privacybeleid voor meer informatie over de verwerking van jouw gegevens.