nieuws

De nieuwe AVG-privacywet: de 10 meest gestelde vragen

Digitaal werken

Weinig ondersteuners zijn echt goed op de hoogte van de AVG die 25 mei ingaat. Terwijl ook jullie hierin een belangrijke rol vervullen. Hier volgen de 10 meest gestelde, urgente vragen mét de antwoorden!

De nieuwe AVG-privacywet: de 10 meest gestelde vragen

Trainer en expert Bouke van Kleef gaf de workshop AVG tijdens de Management Support Workshopdagen en vertelde al dat schrikbarend weinig ondersteuners goed op de hoogte zijn van de nieuwe privacywet AVG. Hij geeft hier antwoord op de 10 meest gestelde vragen.

Vraag 1: Moet ik alles gaan weggooien?

Nou, niet alles maar wel veel. Let daarbij op de wettelijke bewaartermijn. Zo mag je sollicitatiebrieven vier weken bewaren zonder toestemming van de sollicitant, en één jaar met toestemming van de sollicitant.
Doe altijd een check: heb ik niet te veel bewaard? En het antwoord is eigenlijk bijna altijd: ja. Want over het algemeen bewaren secretaresses echt veel, ze zijn de harde schijf van de organisatie. Bereid je er op voor dat je méér moet gaan weggooien dan je nu doet.

Vraag 2: Wat moet er in een verwerkersovereenkomst staan?

Bron: Autoriteit persoonsgegevens

Je moet de volgende onderwerpen vastleggen:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en jouw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

Instructies verwerking

De verwerking vindt in principe uitsluitend plaats op basis van schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers

De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting jou heeft.

In de overeenkomst kun je ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting jou voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

Privacyrechten

De verwerker helpt je om te voldoen aan je plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen

De verwerker helpt je ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan je terug, als je dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits

De verwerker werkt mee aan jouw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

Tip

Zet deze toestemming op de agenda van de komende meetings. Vraag de externen om toestemming, die kun je dan simpelweg verwerken in de notulen. Is iemand afwezig, vraag per mail om akkoord.

Vraag 3: Hoe ga ik om met vergaderingen met externen?

Stel: je organiseert een vergadering met interne én externe mensen. Als je deze mensen mailt, dan kun je de mailadressen in de BCC zetten. Dan zijn ze anoniem.
Maar als je interne en externe mensen wilt uitnodigen voor die meeting (en ze ook de stukken wilt toesturen) dan kan dat niet in een vergaderverzoek. Want een vergaderverzoek kent geen BCC!

Je mag hun dus geen vergaderverzoek meer sturen, TENZIJ je van tevoren, vóór 25 mei, toestemming hebt van hen, dus dat ze akkoord gaan met het delen van hun naam en mailadres.

Vraag 4: Moet ik ook oude dossiers opruimen en stukken zoals kopie ID’s weggooien?

Ja, en geef prioriteit aan het weggooien van zeer gevoelige informatie zoals het personeelsdossier van de collega’s die al jaren uit dienst zijn, overbodige kopie ID’s en CV’s van sollicitanten die niet zijn aangenomen. En als je besluit níet weg te gooien omdat je de inspanning onevenredig groot vindt, vraag dan na bij de Functionaris Gegevensbescherming en laat hem of haar dit duidelijk aangeven in het verwerkingsregister – met een duidelijke reden.

Vraag 5: Met wie moet ik een verwerkersovereenkomst afsluiten?

Met externe partijen waarmee je andermans persoonsgegevens deelt. Denk aan een verzekeringsmaatschappij, webhostingsbedrijf, marketingpartij, drukker (visitekaartjes), IT-leverancier, opleider, reisbureau enzovoort. Ook wanneer je een lijst deelt met de bloemist om mensen een bos bloemen te sturen en als je een derde partij naambadges laat maken voor je congres.

Vraag 6: Wat is precies een datalek?

Een datalek is een beveiligingsincident waarbij je als organisatie niet kan uitsluiten dat er persoonsgegevens zijn gelekt. Voorbeelden: ransomware, verliezen van een niet beveiligde USB-stick waarop persoonsgegevens zijn opgeslagen, een verkeerd geadresseerde e-mail. Maar ook een drukker die een mailing op naam drukt en deze proefdruk weggooit zonder deze te versnipperen is al een (mogelijk) datalek. Een beveiligingsincident is dus een breed begrip.

Vraag 7: Waar meld ik een datalek?

Jijzelf moet het datalek veelal intern melden. De daarvoor verantwoordelijke persoon, veelal de FG (Functionaris Gegevensbescherming) moet het lek dan binnen 72 uur melden bij de Autoriteit persoonsgegevens: https://datalekken.autoriteitpersoonsgegevens.nl/

Het meest gemelde datalek

Het meest gemelde datalek – de helft van alle gevallen! – is een verkeerd geadresseerde e-mail. Geen hack, geen verloren laptop, harde schijf of usb- stick. Er worden momenteel 3.000 datalekken per kwartaal gemeld bij de autoriteit. De helft van al die meldingen gaat over het lekken van gegevens van één persoon.

De FG: Functionaris Gegevensbescherming

Veel grote bedrijven en organisaties zoals scholen, ziekenhuizen en overheden hebben een FG, een Functionaris Gegevensbescherming. Daar kun je terecht. Een FG is een officiële functie en moet als zodanig ingeschreven staan bij de autoriteit persoonsgegevens. Kleinere bedrijven die geen bijzondere gegevens verwerken, hebben vaak geen FG, maar wel een aanspreekpunt.

>> Lees alles over de FG in De AVG, alles wat je moet weten op een rij <<

Vraag 8: Wat betekent het recht op inzage en vergetelheid voor mij?

Het recht op vergetelheid is een nieuw recht waar je vanaf 25 mei 2018 gebruik van kunt maken. Je kunt elke organisatie vragen jouw overbodige persoonsgegevens te verwijderen. De organisatie moet daarop reageren. Het kan zijn dat de organisatie niet alles kan of mag weggooien, bijvoorbeeld omdat ze de gegevens nog moeten bewaren zoals in een factuur op naam in de financiële administratie. Voor marketingdoeleinden mag je je recht op vergetelheid altijd toepassen.

Let op: je mag je recht op vergetelheid niet toepassen bij bijvoorbeeld de Belastingdienst of de gemeente waar je woont. Wel kun je een dergelijk verzoek neerleggen bij een supermarkt, loterij en verzekeringsmaatschappij waar je geen klant (meer) bent.

Vraag 9: Is mijn netwerkschijf wel veilig?

Op zich kan de data op een netwerkschijf wel veilig zijn, maar het is niet veilig genoeg voor bijvoorbeeld bijzondere persoonsgegevens, BSN of een kopie ID. Daarnaast staan er op netwerkschijven vaak bestanden waar niemand het bestaan meer van afweet. Lees maar eens dit artikel De AVG en mijn F: schijf.

Vraag 10: Is e-mail wel veilig?

Nee, eigenlijk is e-mail niet geschikt voor privacygevoelige informatie. Advies: verstuur persoonsgegevens in versleutelde e-mails, beveilig bijlagen met een wachtwoord en het beste is nog om bestanden te delen waarbij je een tool of portal gebruikt die kan monitoren wie er wanneer toegang heeft gehad tot een document, zoals SharePoint.

Alles over de AVG op Management Support

Meer weten over de AVG? Management Support heeft de antwoorden voor je! Zo helpen we jou om te voldoen aan de AVG-wet. Lees ook de andere artikelen over de AVG:

Meer weten over de AVG?

Reageer op dit artikel