De gevolgen van de Europese privacy verordening (AVG) voor het MKB

De nieuwe Europese wetgeving op gebied van privacy dient personen meer bescherming te bieden. Het toepassen van privacy principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

De invoering van de AVG verwerkersovereenkomsten per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt, indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP)

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

Afsluiten verwerkersovereenkomsten

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen, die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet. Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden. Denk aan salarisadministratie, accountant, Arbodienst, ICT beheerder.

Inzage in opgeslagen informatie

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden. Daarvoor dient te worden geïnventariseerdwelke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.

Juridisch zijn een aantal punten van belang:
wijs privacy officer/functionaris gegevensverwerking (FG) aan;
instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc. en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
stel model verwerkingsovereenkomsten op t.b.v. externe actoren van MKB;
stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram;
zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening opdrachtbevestiging).

Door zich als bedrijf aan deze regels te houden, wordt voorkomen dat uiteindelijk een boete kan worden opgelegd bij overtreding.

zorg voor een systeem, waaruit blijkt dat niet-klanten expliciet akkoord gaan met mailing voor nieuwsbrieven, seminars. Beheer zelf (email-)adressenbestand;
Formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl. logging security incidenten.

Bron: Actuele Artikelen                                               

Rechtspraak gereed voor de AVG

De Rechtspraak behandelt persoonsgegevens vertrouwelijk en beveiligt die gegevens conform de bepalingen uit de AVG en – als het om strafzaken gaat – de Richtlijn gegevensbescherming politie.

De Rechtspraak is klaar voor de Algemene Verordening Gegevensbescherming (AVG). Privacy van betrokkenen bij de rechtspraak is van groot belang. In een zaaksdossier staan vaak bijzondere en gevoelige persoonsgegevens, die noodzakelijk zijn voor een goede rechtspleging.

Het is van belang dat betrokkenen in rechtszaken zonder terughoudendheid hun verhaal kunnen doen en niet bang hoeven te zijn dat de informatie in verkeerde handen valt. De Rechtspraak behandelt persoonsgegevens daarom vertrouwelijk en beveiligt die gegevens conform de bepalingen uit de AVG en – als het om strafzaken gaat – de Richtlijn gegevensbescherming politie.

Landelijk verwerkingsregister

In het kader van de Wet bescherming persoonsgegevens (Wbp) had de Rechtspraak al maatregelen genomen, zoals een procedure meldplicht datalekken en de benoeming van een functionaris voor de gegevensbescherming. In het kader van de AVG is nu ook een landelijk privacybeleid vastgesteld, een privacy governance ontworpen (de wijze waarop dit onderwerp bestuurlijk is belegd) en een privacyverklaring
opgesteld. Alle persoonsgegevens die in de landelijke IT-systemen worden geregistreerd, zijn in kaart gebracht in een landelijk verwerkingsregister. Ook de gerechten hebben geanalyseerd welke registraties van persoonsgegevens met welk doel worden bijgehouden.

Rechten betrokkenen

Voor personen die willen weten welke persoonsgegevens de rechtspraak heeft geregistreerd of die willen wijzigen of wissen is 1 procedure afgesproken die alle gerechten en diensten hanteren. Zij kunnen een verzoek indienen aan de hand van een formulier en dat naar het gerecht sturen waar hun zaak heeft gediend of naar de Raad voor de rechtspraak. Gezien de gevoeligheid van de geregistreerde persoonsgegevens kan pas inzage worden gegeven als men zich in persoon heeft geïdentificeerd in een van de gerechtsgebouwen. Deze extra maatregel bij de Rechtspraak is nodig om misbruik te voorkomen. Als het verzoek betrekking heeft op een rechtszaak dan zijn de rechten beperkt. Zo is het niet mogelijk een afschrift te vragen van het gehele dossier, de inhoud van de rechtszaak te corrigeren of zich tegen de inhoud te verzetten met een beroep op de privacyrechten binnen de AVG. Hiervoor is de rechterlijke procedure bedoeld.

Toezicht

Onderdeel van de invoering van de AVG is de speciale regeling toezicht op de verwerking van persoonsgegevens in de rechtspraak. Dat toezicht is op grond van de AVG niet belegd bij de Autoriteit Persoonsgegevens (AP), maar moet door de Rechtspraak in alle Europese landen zelf ingericht worden. Voor de gerechten (rechtbanken, gerechtshoven en Hoge Raad) is dat toezicht belegd bij de procureur-generaal van de Hoge Raad. Voor de bestuursrechtelijke colleges (Afdeling bestuursrechtspraak Raad van State, Centrale Raad van Beroep en het College van Beroep voor het bedrijfsleven) is het toezicht belegd bij de nieuw ingestelde ’AVG-commissie bestuursrechtelijke colleges‘. Klachten over gegevensverwerking in het kader van de uitoefening van gerechtelijke taken kan men dus bij 1 van deze toezichthouders indienen. De AP neemt alleen nog maar klachten over gegevensverwerking in het kader van de bedrijfsvoering in behandeling. Deze regeling is bedoeld om de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken te waarborgen.

Blijvende aandacht

De Rechtspraak houdt privacybescherming op de kaart. Belangrijke uitdaging is het zo veel mogelijk beperken van de toegang tot gegevens. In dat kader worden het komende jaar de autorisaties van medewerkers en de systemen van de Rechtspraak aangepast. Ook blijft er permanent aandacht voor het vergroten van bewustzijn van medewerkers als het gaat om de omgang met persoonsgegevens.

Bron: de Rechtspraak