PromZ Vak 01-2018

z 2018 - nummer 1 - promzvak.nl 51 Als je het maar lang genoeg ontkent, ga je het geloven 9 Verder dat men als betrokkene wettelijke rechten heeft zoals recht op inzage, correctie, recht om te blokkeren, recht van vergetelheid en dataportabiliteit. 6 Wettelijke grondslag Zowel in de communicatie naar betrokkene als bij een inzagever- zoek, dient de organisatie aan te geven voor welke doeleinden zij gegevens verwerken en op welke grondslag. Organisaties dienen dus voor alle gegevensverwerkingen de doeleinden en de grond- slag te documenteren. Indien verwerkt wordt op grond van een gerechtvaardigd belang, dan dienen ook deze belangen gedocu- menteerd te worden. Voor personeel is de wettelijke grondslag de arbeidsovereenkomst om persoonsgegevens te verwerken, bij klanten is het vaak een combinatie van uitvoering overeenkomst en het gerechtvaardigde belang dat u heeft voor marketing en sales om bepaalde gegevens van klanten vast te leggen. De eisen voor toestemming om persoonsgegevens te verwerken worden aangescherpt, zie volgende paragraaf. Gebruik daarom toestem- ming als laatste wettelijke grondslag omdat die het moeilijkste bewijsbaar is. 7 Toestemming Toestemming moet in het vervolg worden aangetoond. Voor toestemming die ook betrekking heeft op andere aangelegen- heden, gelden specifieke voorwaarden. De organisatie zal de huidige wijze van toestemming vragen dienen te evalueren, de toestemming vast te kunnen leggen in systemen en mogelijk- heden bieden om de toestemming in te trekken. Toestemming dient ook verkregen te worden indien er persoonsgegevens ver- werkt worden die niet noodzakelijk zijn voor de uitvoering van de overeenkomst. 8 Datalek Controleer of u sluitende procedures heeft voor het melden van datalekken, de opsporing en het onderzoek naar datalekken. Maar ook procedures voor het melden van datalekken bij de toezicht- houder en/of betrokkene. Tevens is van belang om specifieke procedures te hebben voor datalekken die bij bewerkers/ver- werkers plaatsvinden. Zorg voor een adequate beveiliging, mede te bepalen op het risico van de persoonsgegevens die worden verwerkt. 9 Gegevensbescherming door privacy by design De organisatie dient (om naleving te kunnen aantonen) interne beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan de beginselen van gegevensbescherming door ont- werp (minimalisering van verwerking/pseudonimiseren etc). Stel procedures op die ervoor zorgen dat de bescherming van per- soonsgegevens reeds bij de ontwikkeling van nieuwe producten/ diensten, de uitvoering hiervan of de keuze en het gebruik van nieuwe toepassingen reeds in de beginfase wordt onderzocht en uitgewerkt om aan de beginselen van de AVG te kunnen voldoen. 10 Internationaal Indien een organisatie meerdere vestigingen in de Europese Unie heeft, dient te worden vastgesteld welke toezichthoudende autoriteit als leidende autoriteit zal optreden voor grensover- schrijdende verwerkingen 11 Bestaande contracten De AVG stelt niet alleen voorwaarden aan de inzet van verwer- kers (bijvoorbeeld salarisadministratiebureau) maar ook aan de contractuele bepalingen in de overeenkomst tussen de organi- satie en de verwerker. Om aan deze voorwaarden te kunnen voldoen, dient de organisatie de huidige contracten te reviewen, aan te passen en overeen te komen met de verwerkers. Gezien de looptijd van contracten is het aan te raden hier vroegtijdig mee te beginnen. En wat gaat u doen na het lezen van dit artikel? A. Waarschuw de directie dat er een nieuwe wet (AVG) die moet worden ingevoerd B. Maak een overzicht van alle systemen waarin persoonsgegevens worden verwerkt en voor welke doeleinden, bepaal bewaarter- mijnen, te lang bewaren geeft een datalek risico, let wel op de wettelijke fiscale bewaartermijn. C. Maak een overzicht van alle datastromen in uw organisatie, waar komen de gegevens vandaan (intern/extern) voor welk doel zijn deze verzameld, waar worden deze verder voor gebruikt en is dat verenigbaar. D. Maak een intern register (er is geen meldingsplicht meer bij de Autoriteit Persoonsgegevens) waarin wordt beschreven van wie voor welke doeleinden welke persoonsgegevens worden verza- meld en voor welke doeleinden deze worden gebruik. Wie de ontvangers zijn van de gegevens en of er verwerkers in het spel zijn die gegevens in opdracht van uw organisatie verwerken. Minimale informatie over beveiliging en of informatie aan bedrij- ven gevestigd buiten de Europese Unie worden overgedragen en welke eventuele maatregelen zijn genomen. E. Stop verwerkingen zonder doeleinden of zonder wettelijke grondslag zoal bijvoorbeeld contract, gerechtvaardigd belang, toestemming. F. Zorg dat alle communicatie off-line en online voldoet per 25 mei 2018 aan de nieuwe eisen, dit gaat om privacystatements, colofons van catalogi met privacyinformatie, bestelformulieren, arbeidsovereenkomsten. G. Zorg voor procedures als personen hun persoonsgegevens willen inzien. H. Laat zien dat je met het onderwerp bezig bent, maak een dossier, maar wacht niet lang met het invoeren van de nieuwe regels in uw organisatie. De bescherming van persoonsgegevens is een onderdeel van het kwaliteitsbeleid van uw organisatie. I. Beter opletten en de wet invoeren. (Zie ook pag. 65) mr Alexander J.J.T. Singewald, Singewald Consultants Group, singewald@privacy.nl , tel. 0297 369767