Kennisartikel 9 mei, 2023

GDPR, AVG, AP, verwerking en datalekken

Crowe Peak/ Kennisbank/ Kennisartikel/

GDPR, AVG, AP, verwerking en datalekken

Dit is wat je moet weten over privacy 

GDPR, AVG, persoonsgegevens, privacyfunctionaris, BOY, data-integrity; de termen ten aanzien van de bescherming van data en persoonlijke details vliegen je de afgelopen jaren om de oren. Uiteraard wil jouw organisatie er alles aan doen om te voldoen, vooral richting jullie eigen medewerkers en jullie klanten. Maar waar moeten jullie beginnen? En waar staan al die begrippen nu eigenlijk voor? Wat heeft prioriteit wanneer het gaat om privacy en veiligheid? Crowe Peak is jouw partner in privacy en helpt je een weg te banen in de wereld van wetgeving.  

Direct verder lezen over het AVG-proof beschermen van de gegevens van jouw medewerkers?

Lees het in onze AVG-brochure.

Download hem direct

Het belang van privacy 

Zoals de Nederlandse Autoriteit Persoonsgegevens (AP) stelt “veel bedrijven verdienen hun geld vooral met persoonsgegevens. Daar is op zich niets mis mee. Maar te vaak houden bedrijven zich niet aan de regels als zij gegevens verzamelen, koppelen en gebruiken. Dit gebeurt op grote schaal en vaak in complexe en ondoorzichtige systemen. (..) Dit kan leiden tot discriminatie en uitsluiting van mensen.” 

Privacy is daarmee een niet uit het oog te verliezen aandachtspunt in je dagelijks leven en tijdens het zakendoen. Niet alleen voor de bescherming van jou, je medewerkers en je klanten als individuen, maar ook voor de betrouwbaarheid en de geloofwaardigheid van je organisatie. Privacy behelst nu eenmaal een fundamenteel recht waar niet zonder geldige reden, of met zorgvuldig vormgegeven waarborgen inbreuk op mag worden gemaakt. Daarbij is in de recente geschiedenis steeds duidelijker geworden dat bescherming van persoonsgegevens ook van het grootste belang is om online veiligheid te kunnen garanderen. Wanneer persoonlijke informatie in verkeerde handen valt en/of gedeeld wordt zonder toestemming geeft dit niet alleen een unheimisch gevoel, maar bestaat ook het reële risico op identiteitsdiefstal en het optreden van materiële en immateriële schade. Daarmee is het beschermen van de privacy binnen het bedrijfsleven niet alleen een wettelijke, maar in zekere zin ook een morele plicht.  

Privacy in Europese wetgeving (GDPR) 

Om de ernst van bovengenoemde gevolgen van het niet handhaven van privacybescherming te onderstrepen, de plichten hieromtrent meer handen en voeten te geven en bedrijven te helpen van hun privacybeleid een prioriteit met concrete doelen te maken is in 2018 binnen de gehele Europese Unie (EU) de General Data Protection Regulation (GDPR) ingevoerd. Deze verordening heeft als doel individuen te beschermen en reguleert daarmee de verwerking van persoonsgegevens door allerhande organisaties. Naleving van de GDPR wordt gehandhaafd door de autoriteiten die over gegevensbescherming gaan in de individuele EU-lidstaten. In Nederland is de betreffende autoriteit de hierboven genoemde Autoriteit Persoonsgegevens (AP). Wanneer deze een inbreuk op de GDPR ontdekt kan dit leiden tot het uitdelen van boetes ter hoogte van maximaal 4% van het bedrag aan jaarinkomsten van de betrokken organisatie, met een maximum van 20 miljoen euro. Het niet serieus nemen van je privacybeleid kan daarmee potentieel een kostbare zaak worden.  

Privacy in Nederlandse wetgeving (AVG) 

De GDPR is op nationaal niveau geïmplementeerd in alle lidstaten van de Europese Unie. In Nederland is dit gebeurd met de Algemene Verordening Gegevensbescherming (AVG of AVG). De AVG is een vervanging van de oude Wet bescherming persoonsgegevens en is inhoudelijk vrijwel identiek aan haar Engelstalige spiegelbeeld, de GDPR. Je kan daarmee stellen dat in Nederland de GDPR en de AVG hetzelfde zijn. 

De regels uit de GDPR/AVG zijn daarmee niet alleen van toepassing binnen Nederland of voor Nederlandse bedrijven. De GDPR geldt namelijk voor alle ondernemingen en organisaties die persoonsgegevens van natuurlijke persoonlijke personen (individuen/mensen) in de Europese Unie bijhouden en verwerken, óók wanneer zij buiten de EU gevestigd zijn. De belangrijkste organisaties die wel uitgezonderd zijn van de wetgeving zijn organisaties die zich bezighouden met nationale veiligheid of rechtshandhaving zoals politie en justitie.  

Dit betekent dat je er als commerciële organisatie vanuit kan gaan dat je gebonden bent aan de GDPR/AVG. Ook wanneer je denkt niet veel met privacy te maken te hebben. Persoonsgegevens zijn namelijk overal. De kans dat je daarom op enige wijze de activiteit onderneemt die de GDPR voornamelijk reguleert, namelijk het verwerken van persoonsgegevens is bijna honderd procent. Benieuwd of jouw organisatie inderdaad persoonsgegevens verwerkt en zo ja, wat de GDPR/AVG daarom van je vraagt? Lees snel verder.  

5 jaar AVG webinar

Onze specialisten vertellen je in 45 minuten meer over AVG compliant zijn

Bekijk direct de replay

Belangrijkste termen uit de GDPR en AVG 

Omdat de GDPR belangrijke verplichtingen voor vrijwel alle in Europa actieve organisaties met zich brengt is het voor iedere DGA, manager, HR-manager, CFO, CTO, CiSO en marketingmanager verstandig enige basiskennis te hebben van de GDPR/AVG. Omdat de AVG echter doorspekt is van juridisch jargon en definities is het verstandig om een professional je hier een introductie op te laten geven. Ben je op zoek naar een AVG-training voor jezelf, je managementteam of je organisatie? Neem dan direct contact met ons op. Wil je eerst een meer hoog-over begrip van de belangrijkste zaken uit de GDPR/AVG? Raadpleeg dan de hieronder staande begrippenlijst en de rest van dit overzichtsartikel.  

  • AP- autoriteit persoonsgegevens: de Nederlandse handhavingsorganisatie onder de GDPR/AVG. De AP is de officiële toezichthouder wanneer het op privacy aankomt. Dit betekent niet alleen dat zij boetes op mag leggen (zie hierboven), maar ook zat zij een bedrijf (tijdelijk) stil kan leggen bij grove schending van de GDPR; 
  • Verwerking: elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens, zoals verzamelen, opslaan, raadplegen, gebruiken, verstrekken en wissen van persoonsgegevens; 
  • Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens binnen een organisatie vaststelt; 
  • Verwerker: de natuurlijke persoon of rechtspersoon die persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt;  
  • Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene (degene van wie de persoonsgegevens worden verwerkt) aanvaardt dat zijn/haar persoonsgegevens worden verwerkt; 
  • Recht op inzage: het recht van betrokkenen om te weten welke persoonsgegevens van hen worden verwerkt en op welke manier; 
  • Recht op rectificatie: het recht van betrokkenen om onjuiste persoonsgegevens te laten corrigeren of aanvullen. 
  • Recht om vergeten te worden: het recht van betrokkenen om te verzoeken om verwijdering van hun persoonsgegevens.  
  • Privacy by design: het inrichten van systemen en processen met als uitgangspunt dat de bescherming van persoonsgegevens vanaf het ontwerp ervan wordt meegenomen. 
  • Data Protection Officer (DPO): een functionaris die toezicht houdt op de naleving van de GDPR binnen een organisatie.  

Wil je weten of jouw organisatie dient te werken op basis van privacy by design? Ben je benieuwd of jouw organisatie een DPO in dienst moet nemen? Of heb je vragen over toestemming, rectificaties of verzoeken-om-vergeten-te-worden? Neem dan contact op met onze specialisten.  

De belangrijkste definitie: “persoonsgegevens” 

In bovenstaande lijst zie je in bijna iedere definitie het woord “persoonsgegevens” terug. Dit maakt “persoonsgegevens” feitelijk de belangrijkste definitie uit de AVG. En die luidt “alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon”. Maar wat betekent dit nu eigenlijk concreet? Dat persoonsgegevens alle gegevens zijn waarmee een persoon kan worden geïdentificeerd/achterhaald. Voorbeelden van persoonsgegevens zijn daarmee combinaties van naam en geboortedatum of opzichzelfstaand een BSN, een telefoonnummer of paspoortnummer. Belangrijk is om op te merken dat ook een mening over een persoon, een analyse van iemand of een beschrijving of indruk van een persoon specifiek naar één persoon kunnen terugleiden en daarom onder de privacywet vallen. Ook interne gespreksnotities, notulen, assessments en beoordelingsformulieren zijn daarom een bron van zorg onder de GDPR.  

Privacy in jouw organisatie – een introductie 

Bovenstaande begrippen zijn van groot belang wanneer je een privacy-beleid ontwikkelt voor jouw organisatie. En dat dat nodig is, dat blijkt wel uit de omvang van de AVG, de wijdverbreidheid van zijn toepassingsgebied en de hoogte van de boetes die op niet-naleving staan. En hoewel dit wellicht intimiderend over kan komen, hebben we ook goed nieuws: AVG/GDPR compliance valt of staat eigenlijk vooral met goed procesmanagement. Eén van de belangrijkste zaken die de wet namelijk van ondernemers vraagt is dat zij de persoonsgegevens (zie hierboven) die zij in handen hebben en krijgen op gestructureerde wijze verwerken en dat zij dit doen op basis van de juiste grondslag. Hieronder geven we daarom een introductie op het beginsel van een verwerkingsregister en lichten we de basis grondslagen voor verwerking toe. Daarna gaan we nog specifiek in op de onderwerpen “privacy en jullie personeel” en “privacy en jullie klanten”.  

Een verwerkingsregister – wie, wat, hoe, waarom  

Een verwerkingsregister is een document dat de verwerkingsactiviteiten van persoonsgegevens binnen een organisatie beschrijft. Een dergelijk document is onder de Europese en Nederlandse privacywet voor iedere verwerker van persoonsgegevens verplicht. Kort gezegd moet je in het verwerkingsregister aandacht besteden aan de volgende vragen: 

  • Wie?  
  • Wat? 
  • Hoe?  
  • Waarom? 

Anders geformuleerd: het verwerkingsregister moet informatie bevatten over de verwerking van persoonsgegevens, waaronder in ieder geval het doel van de verwerking, de categorieën aan persoonsgegevens die worden verwerkt, de ontvangers van de gegevens (en of die ontvangers kwalificeren als ‘derden’ en/of zich buiten de EU bevinden) en de bewaartermijnen. Het verwerkingsregister is niet bedoeld om administratieve rompslomp voor ondernemers te creëren. Het poogt juist de enorme hoeveelheid aan informatie omtrent de verwerking van persoonsgegevens te stroomlijnen en de betrokkenen en toezichthouders in staat te stellen inzicht te krijgen in de manier waarop persoonsgegevens worden verwerkt. Hierbij is van belang om op te merken dat een register alleen goed kan worden opgesteld als alle werkprocessen binnen de organisatie waarbij persoonsgegevens worden verzameld en gebruikt in kaart zijn gebracht. De zogenoemde ‘data-map’ die zo kan worden opgesteld, moet regelmatig geüpdatet worden zodat het verwerkingsregister ook weer up-to-date kan worden gehouden. Hiervoor maken veel bedrijven gebruik van de bekende plan-do-check-act-methode. Hulp nodig bij het opstellen van een (template) verwerkingsregister? Neem contact met ons op.  

Grondslag voor gebruiken van persoonsgegevens  

De AVG vraagt niet alleen van bedrijven dat ze bijhouden welke gegevens ze verwerken en hoe ze dat doen, maar ook of ze zich er wel van hebben vergewist dat ze dat mochten. Daarom verlangt de GPDR/AVG van alle verwerkers dat zij alleen persoonsgegevens verwerken op basis van een in de verordening vastgelegde grondslag. Daarbij geldt dat verwerkers voor iedere individuele verwerking van persoonsgegevens een grondslag moeten kunnen aantonen. De grondslagen die mogelijk zijn onder de AVG/GDPR laten zich als volgt samenvatten: 

  • Verwerking op basis van een wettelijke plicht
  • Verwerking van gegevens die nodig zijn voor de goede uitvoering van een (arbeids)overeenkomst
  • Verwerking van gegevens op basis van een gerechtvaardigd belang. Voor deze wat ondoorzichtige grondslag is van belang dat er een belangenafweging plaatsvindt tussen het (gerechtvaardigde) belang van de organisatie en het recht van privacy van de betrokkene. De verwerking moet op basis van die belangenafweging noodzakelijk zijn en niet verder gaan dan nodig. Omdat de vraag of er sprake is van een gerechtvaardigd belang zeer casusafhankelijk is, is het verstandig om in gevallen hiervan te schakelen met een privacy-professional. 
  • Verwerking op basis van toestemming. Of en in hoeverre toestemming een geldige grondslag is voor de verwerking van persoonsgegevens hangt af van de context. In geval van een arbeidsrelatie tussen betrokkene en verwerker wordt toestemming over het algemeen niet als geldige reden gezien, omdat de privacywet als uitgangspunt neemt dat een medewerker zich over het algemeen verplicht zal voelen tegenover zijn werkgever en daarom niet ‘vrij’ toestemming kan geven of onthouden.  
  • Verwerking op basis van vitale belangen van de betrokkene of een andere natuurlijke persoon; of 
  • Verwerking op basis van een taak van algemeen belang of uitoefening van openbaar gezag.  

Van deze laatste twee gronden is slechts in uitzonderingssituaties sprake. Over het algemeen zullen reguliere, commerciële, partijen de meeste verwerkingsacties uitvoeren op basis van een overeenkomst, op basis van toestemming of – in het geval van bijvoorbeeld een arbeidsrelatie – op basis van een gerechtvaardigd belang.  

Blijf op de hoogte van het laatste nieuws

Schrijf je in voor onze maandelijkse nieuwsbrief

"*" geeft vereiste velden aan

Privacy en jullie personeel 

Een groep betrokkenen waarvan veel organisaties (bovenmatig) veel persoonsgegevens verwerken zijn hun eigen werknemers. Je weet nu eenmaal veel van je werknemers, je communiceert met en over ze en hun gegevens bevinden zich in allerlei systemen. Hieronder volgen daarom een aantal richtlijnen voor werkgevers voor een privacy-proof personeelsbeleid.  

Privacy tijdens de werving en selectie  

Omdat werving en selectie noodzakelijk is voor iedere organisatie is verwerking van persoonsgegevens voor dit doel over het algemeen een gerechtvaardigd belang. In de meeste situaties is daarom onder de AVG/GDPR toegestaan om de volgende gegevens van sollicitanten te verwerken: 

  • Naam, huisadres, telefoon en e-mailadres; 
  • Geboortedatum; 
  • Informatie over gevolgde opleidingen, cursussen en stages; 
  • Gegevens die betrekking hebben op de functies waarop wordt gesolliciteerd; en 
  • Gegevens die betrekking hebben op de vorige functie en de beëindiging van het vorige dienstverband.  

Het is hierbij wel van belang dat voorkomen dient te worden dat bovengenoemde gegevens gaan ‘rondzwerven’ in de organisatie. Daarom is het belangrijk om een protocol vast te leggen waarin in ieder geval is vastgelegd welke functionarissen toegang hebben tot de gegevens in het sollicitatiedossier. Verder is het goed om oog te hebben voor het feit dat verwerking van een aantal andere persoonsgegevens van sollicitanten uit den boze is. Dit zijn de zogenoemde bijzondere persoonsgegevens. Dit betreft informatie over: 

  • Etnische achtergrond;  
  • Politieke- en geloofsovertuiging; 
  • Lidmaatschap van een vakbond; 
  • Medische gegevens; 
  • Biometrische en genetische gegevens; en 
  • Seksuele voorkeuren. 

In dit verband kan het problematisch zijn dat pasfoto’s en video-cv’s veelal dit soort informatie bevatten. Het is daarom ook verstandig om te werken met een sollicitatiecode die bij de vacaturetekst wordt gevoegd. Hierin kunnen de verwachtingen van de organisatie kenbaar worden gemaakt en kan een privacyverklaring worden bijgevoegd. Verder is goed om op te merken dat – ook vanuit het oogpunt van privacy – het af te raden is om te vragen naar zwangerschap of een kinderwens en het verzoeken om een kopie van het paspoort in principe niet is toegestaan.  

Tot slot is het vragen naar medische gegevens en gezondheid ook aan strenge regels gebonden. Kort gezegd is de enige toegestane vraag de vraag “of er omstandigheden zijn die van invloed kunnen zijn op de uitoefening van de functie”.   

Do’s and don’ts bij screening 

In het kader van sollicitaties doen veel organisaties ook aan ‘screening’. Onder screening valt volgens de AVG/GDPR bijvoorbeeld ook googlen van namen en het opvragen van referenties. Om AVG-proof te opereren is het van belang dat je bij screening de volgende do’s and don’ts in acht neemt: 

  • Informeer sollicitanten van tevoren dat ze mogelijk worden opgezocht op social media, zoals LinkedIn. Willekeurig googlen is onder de AVG niet toegestaan; 
  • Vraag nooit referenties op zonder toestemming van de sollicitant. Hierbij is van belang dat een voormalig werkgever ook niet zonder toestemming van de sollicitant gegevens mag verstrekken; 
  • Het strafrechtelijk verleden van de sollicitant natrekken mag alleen wanneer de belangenafweging (zie: grondslag voor gebruiken van persoonsgegevens) dit vergt; en 
  • Het vragen van een VOG vraagt ook om een belangenafweging. 

Het personeelsdossier 

Wanneer een medewerker eenmaal is aangenomen breekt een nieuwe fase aan wat betreft de beperkingen aan de verwerking van persoonsgegevens. Een werkgever mag ervan uitgaan dat hij gedurende het dienstverband onder de GDPR/AVG een grondslag heeft om de volgende gegevens van een werknemer te verwerken:  

  • Kopie legitimatiebewijs (hierbij geldt een kleine beperking wanneer er sprake is van een ingeleende kracht); 
  • Bankgegevens van de werknemer; 
  • Loonbelastingverklaring; 
  • Verklaring niet-privégebruik auto; 
  • Manurenregistraties; 
  • Gegevens over de diploma’s van de werknemer; 
  • Functioneringsverslagen; en 
  • Gegevens over ziekteverzuim. 

Hierbij wordt opgemerkt dat onderdeel van een zorgvuldig beleid wel is dat niet iedere HR-medewerker direct toegang heeft tot bovengenoemde gegevens. Alleen noodzakelijk bevoegde personen hoeven dergelijke gegevens te kunnen raadplegen.  

Bewaartermijnen 

Wanneer sprake is van een arbeidsrelatie zijn de mogelijkheden voor verwerking van persoonsgegevens dus iets ruimer. Echter, deze mogelijkheden zijn zeker niet onbegrensd. Ook niet ten aanzien van de termijn. Dit zijn de bewaartermijnen waarmee rekening gehouden moet worden voor persoonsgegevens van (ex)werknemers: 

  • Fiscale gegevens en salarisadministratie: 7 jaar vanaf uitdiensttreding; 
  • Loonbelastingverklaring: 5 jaar vanaf uitdiensttreding; 
  • Kopie legitimatiebewijs: 5 jaar vanaf uitdiensttreding; en 
  • Overige persoonsgegevens: 2 jaar vanaf uitdiensttreding. 

Wanneer slechts sprake is geweest van een sollicitatie mogen de persoonsgegevens van de sollicitant tot maximaal vier weken na afronding van het traject met de specifieke kandidaat worden verwerkt. Alleen met expliciete toestemming van de sollicitant mag dit langer zijn.  

Monitoring en controle 

Door controle van e-mails, GPS-tracking, telefoongegevens en browsing-geschiedenissen is het monitoren van medewerkers makkelijker dan ooit. Ook dit is echter in de GDPR/AVG aan strenge regelgeving onderworpen. Hetzelfde geldt voor cameratoezicht op het personeel. De belangrijkste regels omtrent deze activiteiten hebben we onder elkaar gezet in onze whitepaper In control met de privacywet.

AVG en arbeidsongeschiktheid 

Wanneer een medewerker arbeidsongeschikt raakt, komt er veel op de werkgever af. Niet alleen praktisch, omdat de medewerker tijdelijk vervangen moet worden, maar ook op het gebied van administratie. Wat er nog eens bij komt is dat in die papierwinkel goed rekening gehouden dient te worden met de privacy van de werknemer. Maar hoe doe je dat? Samengevat luidt het antwoord: “door geen gegevens te verwerken die onder het medisch beroepsgeheim kunnen vallen.” Dit betekent concreet het volgende voor de omgang met ziekmelding en re-integratie, het contact met de verzuimverzekeraar en de verwerking van gegevens in het verzuimsysteem: 

Ziekmelding en re-integratie  

Bij de ziekmelding en het re-integratietraject geldt kort gezegd dat alleen de hoogstnoodzakelijke gegevens mogen worden verwerkt ten behoeve van een correcte ziekmelding en een functionerend verzuim- en re-integratiebeleid. Dit betekent onder meer dat je bij een ziekmelding alleen de volgende informatie mag uitvragen: (i) het telefoonnummer van de werknemer en het verpleegadres, (ii) vermoedelijke duur van het verzuim, (iii) informatie ten aanzien van noodzakelijke overdracht van werk, (iv) of de werknemer onder de vangnetbepalingen van de ziektewet valt, (v) of de ziekte verband houdt met een arbeidsongeval en (vi) of er sprake is van een verkeersongeval waarbij eventueel een derde aansprakelijk kan zijn. Gegevens over de aard en de oorzaak van de ziekte mag je als werkgever niet verwerken.   

Verzuimverzekeraar  

Indien er persoonsgegevens van een (zieke) medewerker worden doorgegeven aan een derde partij, dan dient de betrokken medewerker daarover te worden geïnformeerd. Dat geldt ook in geval van doorgifte van gegevens aan een verzuimverzekeraar. Is er binnen jouw organisatie behoefte aan meer informatie over het hoe en wanneer uitvragen van, verwerken van en opslaan van (persoons)gegevens van medewerkers? Kijk dan vooral op onze privacypagina [link].    

Verzuim systeem & bewaartermijn  

De privacyregels rondom zieke medewerkers zijn dus streng. Let er daarom ook op dat het door jullie organisatie gebruikte verzuimsysteem enkel toegankelijk wordt gemaakt voor een beperkte groep personen. Vertrouw ook niet alleen op de IT-leverancier voor de veiligheid van gegevens hierin; als werkgever ben je zelf verantwoordelijk voor het naleven van de privacyregels en dus ook voor naleving bij het gebruik van software. Heb je hier vragen over of ben je benieuwd naar specifieke bewaartermijnen voor verzuimdossiers? Download dan hier [link] onze volledige whitepaper over de privacywet.   

Let op de OR  

Tot slot: voor organisaties met een ondernemingsraad (OR) geldt dat de OR een wettelijk instemmingsrecht heeft bij het opstellen/wijzigen van regelingen met betrekking tot: 

  • Het verwerken van persoonsgegevens van medewerkers; en 
  • Regelingen inzake personeelsvolgsystemen.

Lees meer over de ondernemingsraad in het uitgebreide artikel dat we schreven.

Let hierbij op dat instemming van de OR niet automatisch geldigheid onder de privacywet betekent.

Dergelijke regelingen moeten ook aan alle overige AVG-eisen voldoen en het management blijft hiervoor verantwoordelijk. Meer weten over personeelsvolgsystemen? Neem contact met ons op.  

Privacy en jullie klanten 

Een andere groep ‘betrokkenen’ van wie – vaak ongemerkt – enorm veel persoonsgegevens (kunnen) worden verwerkt zijn de klanten van bedrijven. Het is dan ook van belang dat ook omtrent verwerking van persoonsgegevens van klanten nauwgezet en op reguliere basis een verwerkingsregister [link naar kop over verwerkingsregisters hierboven] wordt bijgehouden. Verder gelden onder de AVG/GDPR veel specifieke regels voor de verwerking van persoonsgegevens via je website en andere digitale kanalen. Hieronder zetten we een aantal van de belangrijkste aandachtspunten hieromtrent onder elkaar. 

Privacy op de website 

De meest in het oogspringende verplichting voor organisaties met een website onder de AVG is dat hierop duidelijkheid geboden moet worden over welke persoonlijke gegevens hierop verzameld worden en waar deze voor worden gebruikt. Dit mag niet gebeuren in ‘kleine lettertjes’. Toestemming voor verwerking van persoonsgegevens en informatie hierover moet in begrijpelijke taal gegeven worden. 

Verder hebben gebruikers van je website het recht om in te zien welke persoonlijke gegevens je van ze bewaart. Ook hebben ze het recht om deze gegevens te corrigeren en/of te laten verwijderen. Daarom is het ook van belang om een procedure in te stellen om deze rechten uit te oefenen. Tot slot is van bijzonder belang dat je je websitebezoekers een privacyverklaring betrekt die up-to-date is. Meer over de privacyverklaring lees je hieronder.  

De privacyverklaringen  

Een privacyverklaring/privacy statement is een document waarin je als website-eigenaar uitlegt welke persoonlijke gegevens je verzamelt, waarom je ze verzamelt en hoe je ze gebruikt. De verklaring moet rechten van de gebruikers, zoals het recht om de gegevens in te zien, te corrigeren en te verwijderen, bevatten en informatie geven over uitoefening van die rechten, bewaartermijnen en veiligheidsmaatregelen. Een sluitende privacyverklaring opstellen op basis van het privacybeleid van je bedrijf is daarom een hele klus. 

Een van de meest gehoorde vragen omtrent de AVG/GDPR is dan ook “is een privacyverklaring verplicht?” Het antwoord op die vraag is “soms” of wellicht zelfs “vaak”. Op grond van het algemene transparantiebeginsel dat is vastgelegd in de AVG is iedere verwerker verplicht om informatie te verstrekken over hoe persoonsgegevens worden verwerkt. Deze verplichting ontstaat op het moment dat de verwerking aanvang neemt. Concreet betekent dit dat wanneer je website geen IP-adres registreert of cookies plaats bij enkele bezichtiging van de website, een privacyverklaring strikt niet noodzakelijk is. Indien dit echter wel gebeurt, is een privacyverklaring, bijvoorbeeld middels een cookiebanner direct verplicht. Het is dan dus ook van belang dat de bezoeker de verklaring niet kan missen.  

Wanneer je website niet automatisch gegevens trackt, maar wel informatie over bezoekers binnen kan krijgen via bijvoorbeeld een contactformulier, is een privacy statement verplicht vanaf het moment dat de gegevens worden afgegeven. Desalniettemin kan het – uit het oogpunt van transparantie – ook voor bedrijven die niet (direct) verwerken verstandig zijn om een privacy statement gebaseerd op het verwerkingsregister/verwerkingsprotocol op te stellen. Heb je hier hulp bij nodig? Crowe Peak kijkt graag mee.  

Wat moet er in een privacy statement staan?  

Wanneer je hebt geconstateerd dat een privacy statement nodig is voor op je website, wil je graag weten wat daarin moet komen te staan. Dat is in ieder geval het volgende: 

  • Naam en contactgegevens van de verwerkingsverantwoordelijke (of de vertegenwoordiger daarvan in de EU); 
  • De contactgegevens van de DPO (zie hieronder) indien deze vereist is; 
  • De gegevens die verwerkt zullen worden; 
  • De doeleinden en rechtsgrond van de verwerking van de gegevens; 
  • In het geval de hij bovengenoemde rechtsgrond een ‘gerechtvaardigd belang’ betreft, het betreffende gerechtvaardigde belang; 
  • De (categorieën) van ontvangers van de persoonsgegevens; 
  • Informatie over eventuele plannen om de persoonsgegevens door te geven buiten de EU; 
  • De bewaartermijn die wordt gehanteerd; 
  • De rechten van de betrokkene zoals het recht op inzage, correctie en verwijdering; 
  • Het recht om de toestemming tot verwerking in te kunnen trekken; 
  • De gevolgen van het niet verstrekken van de gegevens; 
  • Informatie over of er gebruik wordt gemaakt van geautomatiseerde besluitvorming en eventuele profilering; 
  • Wanneer de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en of zij afkomstig zijn van openbare bronnen.  

Privacy en je documentmanagement 

Persoonsgegevens van je klanten (en andere gelieerde partijen) bevinden zich niet alleen in je website(omgeving), maar veelal op allerlei (digitale) plekken binnen je organisatie. Ook voor documentmanagement zijn er daarom binnen de AVG/GDPR allerhande (algemene) regels die de privacy van individuen moet waarborgen. Dit uit zich niet alleen in de eerder geformuleerde plicht tot het opstellen en hanteren van een verwerkingsregister, maar ook in voorschriften over doelbinding, specifieke bewaartermijnen, gegevensbeveiliging en beveiliging tegen datalekken. Welke voorschriften binnen jouw organisatie speciale aandacht verdienen zal afhankelijk zijn van waar je welke persoonsgegevens verwerkt. Crowe Peak helpt je graag om dit in beeld te brengen.  

Moet ik een DPO aannemen?  

Voor bepaalde organisaties geldt dat zij onder de AVG/GDPR zelfs verplicht zijn om iemand aan te nemen die als specifieke taak heeft het privacybeleid op te stellen en te handhaven. Dit geldt in ieder geval voor overheidsinstanties, organisaties die als kernactiviteit hebben om individuen op grootschalige, regelmatige en systematische basis te monitoren en organisaties die als kernactiviteit hebben om bijzondere persoonsgegevens op grootschalige wijze te verwerken of gegevens over strafrechtelijke veroordelingen en strafbare feiten op grootschalige wijze te verwerken.  

Ook organisaties die niet verplicht zijn om een DPO in dienst te nemen, kunnen ervoor kiezen om dit te doen en dit integraal onderdeel te maken van hun privacybeleid. Ook kunnen zij ervoor kiezen om een DPO in te huren als externe consultant om te helpen bij het implementeren van de AVG-regelgeving. Gezien de omvang van de verplichtingen en de complexiteit van de materie is dit voor veel organisaties aan te raden.

Meer weten? 

Met bovenstaande informatie en onze whitepaper ten aanzien van AVG- en HR-beleid hopen wij je op weg te helpen met de uitdagingen van de privacywet. Het is echter goed voor te stellen dat hier nader over van gedachte wisselen niet als overbodige luxe voelt. Onze adviseurs staan daarom graag klaar om jullie GDPR-uitdagingen samen het hoofd te bieden. Voel je welkom om contact op te nemen.

Crowe peak

Benieuwd wat wij voor jouw organisatie kunnen betekenen?

Laten we snel kennismaken!

Contact