AVG, privacy

De stichting Staten en Stinzen wil voldoen aan de Europese privacywetgeving. Zij heeft een notitie opgesteld aan de hand van een overzicht van de firma DAS. De tekstdelen 1 -10, in romein, vormen samen het overzicht van DAS. Als punten A – J, in cursief, is de gedragscode van de stichting toegevoegd.

10 aandachtspunten uit de nieuwe Europese privacywet (DAS)

1. Weet hoe je de persoonsgegevens verwerkt. Kan je aangeven hoe jij alle persoonsgegevens binnen jouw bedrijf verwerkt en met welk doel je dit doet? En houd je ook bij waar deze gegevens vandaan komen en met wie je ze allemaal deelt? Breng het in kaart en leg de processen vast. Dat ben je wettelijk verplicht.A. De stichting bewaart geen andere bestanden dan bestanden met de naam, het postadres en het e-mailadres van personen. De gegevens zijn door de desbetreffende personen aan de stichting verstrekt.

2. Bewaak de privacyrechten van je klanten en personeel. De nieuwe wet biedt iedereen van wie de persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten. Iedereen moet eenvoudig inzage krijgen in wat er aan persoonlijke gegevens is vastgelegd. Maar ook moet iedereen de gegevens kunnen laten corrigeren of op verzoek laten verwijderen of beschikbaar kunnen stellen aan een andere organisatie. B. De stichting kan op afspraak alle geregistreerden inzage geven in de opgeslagen gegevens, deze (laten) corrigeren en verwijderen. Aangezien de stichting geen andere dan bereikbaarheidsgegevens beheert, is de mogelijkheid dat een geregistreerde de stichting verzoekt deze gegevens beschikbaar te stellen aan een andere organisatie, louter theoretisch.

3. Een Gegevensbeschermingseffectbeoordeling brengt privacyrisico’s in kaart. In een Gegevensbeschermingseffectbeoordeling, of ook wel data protection impact assessment (DPIA) genoemd, worden vooraf de privacyrisico’s van de verwerking van de persoonsgegevens in kaart gebracht. Met als doel om te beoordelen of je voldoet aan de wettelijke eisen. En om eventuele maatregelen te treffen ter voorkoming van datalekken of andere overtredingen. De Autoriteit Persoonsgegevens (AP) komt met een lijst van verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling verplicht is. C. De stichting neemt aan dat een gegevensbeschermingseffectbeoordeling op haar niet van toepassing is.

4.. Alleen persoonsgegevens vragen en opslaan die noodzakelijk zijn voor het doel. Pas jouw systemen zó aan dat die alleen de persoonsgegevens verwerken die noodzakelijk zijn voor het doel dat je nastreeft. De gedachte hierbij is dat bezoekers beschermd moeten worden. Bijvoorbeeld het verplicht aanvinken van hokje ‘Ik wil de nieuwsbrief ontvangen’ mag niet, als dat niet noodzakelijk is om een vraag van een klant te beantwoorden D. De stichting vraagt geen andere dan enkele bereikbaarheidsgegevens en deze zijn gekoppeld aan de vraag of de geregistreerde alleen per e-mail of ook per post moet kunnen worden bereikt.

5. Voldoet de privacyverklaring van jouw bedrijf? De nieuwe wetgeving verplicht je om betrokkenen te laten weten wat er met zijn gegevens gebeurt. Dit betekent dat je meer gedetailleerde informatie moet vastleggen in de privacyverklaring. De verklaring moet in duidelijke taal zijn geschreven. E.De privacyverklaring van de stichting wordt gevormd door deze lijst van aandachtspunten.

6. Is jouw bedrijf of organisatie verplicht een functionaris voor de gegevensbescherming aan te stellen? Niet alle organisaties zijn verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Laat je goed voorlichten of je verplicht een FG moet aanstellen. F. De secretaris van de stichting ziet erop toe dat de geregistreerde gegevens worden gebruikt overeenkomstig deze notitie.

7. Datalekken moeten worden vastgelegd. Maak een stappenplan waarin precies wordt aangegeven hoe je omgaat met het vermoeden van een datalek of een echt datalek. Beveiliging moet ook periodiek worden getest en geëvalueerd. G. De stichting beschouwt het gevaar van datalekken als theoretisch.

8. Voldoet de verwerkersovereenkomst aan de nieuwe eisen? Laat je de verwerking van persoonlijke gegevens door een andere partij uitvoeren, bijvoorbeeld de hostingprovider of het salarisadministratiekantoor? Dan heb je in de bewerkersovereenkomst specifieke afspraken over de omgang met deze persoonlijke gegevens vastgelegd. Onder de nieuwe wet gelden strengere regels en heeft de bewerkersovereenkomst een nieuwe naam gekregen: verwerkersovereenkomst. Pas niet alleen de naam aan, maar laat ook de inhoud toetsen aan de nieuwe eisen.H. De stichting laat de verwerking van persoonlijke gegevens over aan de secretaris en de eventuele bestuursassistenten. Er komen geen externe partijen aan te pas.

9. Maak inzichtelijk hoe je toestemming vraagt en leg vast hoe deze toestemming is verkregen. De wet verplicht je om de processen inzichtelijk te houden. Leg dus vast hoe je te werk gaat. I. In een bijlage zal de stichting vastleggen hoe te werk wordt gegaan bij het opvragen van bereikbaarheidsgegevens.

10. Toestemming intrekken net zo makkelijk als krijgen. Iedereen moet op eenvoudige wijze zijn toestemming tot verwerking van de persoonsgegevens weer kunnen intrekken. Werp dus geen drempels op. J. De stichting zal geen drempels opwerpen die het bemoeilijken de geregistreerde gegevens te doen verwijderen.