Een verbindingsbrug

Privacy services

Introductie AVG


Privé - privacy Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Hoewel deze wet eigenlijk niet zo vernieuwend was, heeft zij alleen al door de publiciteit die eraan gegeven is grote gevolgen gehad. Op de eerste plaats voor natuurlijke personen, die meer en sterkere rechten hebben gekregen. Op de tweede plaats voor organisaties – zij zullen aan de slag moeten. Ze zullen nu ernst moeten maken met het opstellen en uitvoeren van privacybeleid.

Algemene Verordening Gegevensbescherming -
General Data Protection Regulation


Veel van wat in de AVG of GDPR staat is al decennialang geldend recht. De grote impact van deze nieuwe regelgeving is vooral het gevolg van de hoge boetes die de Europese toezichthouders bij overtredingen kunnen opleggen en de introductie van de zogeheten verantwoordingsplicht. Deze plicht houdt in dat organisaties niet alleen moeten voldoen aan de regelgeving, maar ook in staat moeten zijn aan te tonen dát ze daaraan voldoen. Voortaan kan geen bedrijf of instelling het nog zonder privacybeleid stellen.

Privacybeleid


Keuzes maken De AVG legt organisaties verplichtingen op die moeten worden vertaald in beleid. We noemen enkele voorbeelden:
  • Verwerkingen van persoonsgegevens moeten in een register worden vastgelegd. In dit register worden ook de bewaartermijnen opgenomen.
  • Voor bepaalde verwerkingen moeten vooraf de privacyrisico's in kaart worden gebracht (DPIA's).
  • Veel organisaties zijn verplicht een Functionaris voor Gegevensbescherming (FG of in het Engels DPO) aan te stellen. Vallen zij niet onder deze verplichting, dan is het in het kader van de verantwoordingsplicht raadzaam schriftelijk vast te leggen waarom men geen FG hoeft aan te stellen.
  • Datalekken moeten voortaan in een intern register worden bijgehouden, ook als ze niet ernstig genoeg zijn om aan de Autoriteit Persoonsgegevens of de betrokkenen te worden gemeld.
  • Werknemers, klanten en leveranciers moeten worden geďnformeerd over het feit dat, en hoe, u hun gegevens verwerkt en over hun rechten met betrekking tot deze gegevens (inzage, correctie, verwijdering enz.).
  • Er moet een proces worden ingericht om op adequate wijze tegemoet te komen aan verzoeken van individuen (bijvoorbeeld tot inzage in de eigen gegevens).

Functionaris Gegevensbescherming -
Data Protection Officer


Functionaris Gegevensbescherming Een FG of DPO is iemand die binnen een organisatie toezicht houdt op de toepassing en naleving van de privacyregelgeving. In bepaalde situaties is een FG verplicht:
  • Voor overheidsinstanties en publieke organisaties: gemeenten, provincies, rijksoverheid, zorg- of onderwijsinstellingen enz.
  • Voor organisaties waarvan de kernactiviteit bestaat uit het op grote schaal volgen van individuen: personeelsvolgsystemen, cameratoezicht.
  • Voor organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken. Denk aan ziekenhuizen, die grote hoeveelheden gezondheidsgegevens verwerken.
Bedrijven die gezien de aard en omvang van hun werkzaamheden het zonder FG kunnen stellen, zullen van tijd tot tijd wel behoefte hebben aan iemand met privacykennis: een privacy officer of –jurist.

Onze diensten


Niet elke organisatie heeft een fulltime FG of privacy officer nodig. Dan kan onze dienst DPO/FG-as-a-Service een goede oplossing zijn.
Wanneer u het vermoeden hebt dat zich een datalek heeft voorgedaan, is het onderzoeken daarvan en het verzorgen van een melding bij de Autoriteit Persoonsgegevens voor u waarschijnlijk geen dagelijkse routine. Wij helpen u daarbij, al is het maar om te beoordelen of er daadwerkelijk sprake is van een datalek.
Tot slot kunnen wij u ook van dienst zijn bij het opstellen van privacybeleid en het verzorgen van privacytraining.

U leest hier meer over op Privacy Services, onderdeel van Quodata.