Is jouw mailbox ook ontploft door alle e-mails die je hebt ontvangen i.v.m. de wet Algemene Verordening Gegevensbescherming (AVG) van 25 mei jl.? Paniekvoetbal of niet? Wat is er nu precies aan de hand?
Als organisatie mag je sinds 25 mei niet zomaar persoonsgegevens verwerken. Een wettelijke grondslag is noodzakelijk. De AVG kent 6 grondslagen.
• Toestemming van de betrokken persoon.
• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
• De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Kun je als organisatie of bedrijf de verwerking van de persoonsgegevens baseren op minimaal één van deze grondslagen dan heb je het recht de persoonsgegevens te verwerken. Over het algemeen zullen de meest zzp-ers zich kunnen baseren op toestemming van de betrokken persoon. Immers met een intake verschaft de persoon in kwestie zelf de gevraagde gegevens en ook bij het versturen van een nieuwsbrief heeft de persoon in kwestie zichzelf aangemeld en d.m.v. de optint regeling zijn aanmelding bevestigt en kan degene zich ten allen tijden zelfstandig uitschrijven.
Data protection impact assessment (DPIA)
Onder de AVG kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
1. systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling
2. op grote schaal bijzondere persoonsgegevens verwerkt
3. op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico.
Nu even concreet:
Vraag jij bij een intake persoonlijke gegevens van je klant zoals adresgegevens, leeftijd, gezinssamenstelling etc. dan is het in het kader van de nieuwe wet verstandig een protocol op te stellen waarin verwerkt is waarom je deze gegevens vraagt en wat je er mee doet. We nemen vakblad Kleur&Stijl als voorbeeld. Wij vragen bij inschrijving om naam, adres- en bedrijfsgegevens. Deze informatie is noodzakelijk om het magazine te kunnen versturen, de factuur en voor aanmelding op de nieuwsbrief. Dit hebben wij vastgelegd in een protocol zodat bij een eventuele controle wij dit kunnen laten zien. Ook de procedure voor afmelding van het abonnement en de nieuwsbrief moet omschreven zijn. Net als op welke server deze gegevens worden bewaard en hoe deze zijn beveiligd.
Indien een ander bedrijf voor jou bijvoorbeeld de facturen maakt en daardoor persoonlijke gegevens worden gedeeld dan moet je een verwerkersovereenkomst opstellen. Een verwerkersovereenkomst bevat: duur gegevensverwerking , onderwerp, aard en doel, soort persoonsgegevens, rechten en plichten opdrachtgever, beschrijving van betrokkenen. Bij de Contracten Fabriek kun je een verwerkersovereenkomst inzien en eventueel voor € 9 online maken.
Voor bedrijven die niet een verhoogd risico lopen valt de nieuwe wet mee m.b.t. wat er allemaal moet gebeuren. Tijdens het K&Scafé in Almelo vertel ik meer over de AVG. Lees ook het eerder geplaatste artikel over de AVG