De wetgeving met betrekking tot persoonsgegevens gaat op de schop. Vanaf 25 mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Omdat er veel gaat veranderen en er onduidelijkheid bestaat over deze nieuwe Europese wet heeft Impres begin februari en half maart een workshop georganiseerd over de AVG.
 
Tijdens de workshoprondes die Impres heeft aangeboden, zijn er veel vragen gesteld. Deze willen we jou niet onthouden. Met behulp van deze blog beantwoorden we de vragen één voor één.

Gegevensverwerkingen

Hoelang mag je gegevens van oud-werknemers bewaren?
Er is een plicht om bijvoorbeeld zeven jaar loonadministratie te bewaren. Je moet voldoen aan de wetgeving. De bewaarplicht van bijvoorbeeld loonadministratie gaat boven de AVG-wetgeving. Wellicht kun je ook een deel van de gegevens verwijderen als deze niet nodig zijn om te bewaren.

Is er ook een maximum op hoelang je iets mag bewaren?
De wet zegt niet iets expliciets daarover, maar gaat ook uit van common sense. Het is belangrijk dat de termijn waarop je data opslaat voldoet aan het doel waarvoor je het bewaart. Voor sommige gegevens is een wettelijke bewaartermijn, bijvoorbeeld voor persoonsgegevens van sollicitanten.

Mag je gegevens van klanten (zoals klant gaat rijbewijs halen over 3 maanden) bewaren? Dan kan ik daarop terugkomen bij de klant als hij/zij het rijbewijs heeft gehaald, zodat ik mijn product (verzekering) kan aanbieden.
Dit mag, mits er een grondslag is om deze gegevens te verwerken (bijvoorbeeld toestemming).

Wat is ‘op grote schaal’ gegevens verwerken?
Dit is een relatief begrip. Vanuit de wetgeving wordt er niet een lijn getrokken. Wel is het zo dat het altijd belangrijk is om voorzichtig te zijn met de verwerking van persoonsgegevens. Het beste is om je altijd te conformeren aan de AVG.

Voor een WaJong-medewerker slaan wij meer gegevens op dan voor andere werknemers, hoe zit dat met de AVG?
Ook hier geldt dat wettelijke verplichtingen vanuit, in dit geval de Wet Wajong, prevaleren boven de AVG-regelgeving. Het is belangrijk dat de persoonsgegevens veilig bewaard worden om hier zo min mogelijk risico mee te nemen.

Als mensen zich aanmelden voor een activiteit en ik beheer dat, en moet vervolgens collega’s de gegevens verstrekken van de mensen die zich aangemeld hebben… Hoe ga ik daarmee om?
Het is belangrijk dat de gegevens niet via e-mail worden verstuurd. Dit is een onveilig medium. Beter is het om de gegevens via bijvoorbeeld Zivver te versturen of te printen en de lijst met gegevens geven aan je collega’s. Na afloop is het advies om de papieren te (laten) versnipperen.

Als je klanten in het buitenland (EU) hebt, waarvoor je persoonsgegevens verwerkt, zoals facturatie. Hoe werkt dat?
De wet geldt in de hele EU. Vastleggen van deze verwerking is belangrijk evenals waarom je deze gegevens verwerkt.  Je kunt er wellicht voor kiezen minder gegevens op facturen op te nemen of een goed beveiligde portal aan te bieden waar klanten facturen kunnen inzien/downloaden.

Terug naar onderwerpen

Recht op verwijdering

Als ik bij een callcenter aangeef dat ik verwijderd wil worden, maar zij zeggen dat zij het niet kunnen omdat de gegevens van een andere partij zijn, hoe zit dat?
Het callcenter is in dit geval een verwerker van de andere partij (waarvoor zij bellen). De andere partij is verantwoordelijk. Uiteindelijk moeten zij dus jouw gegevens verwijderen. Wel is het zo dat het callcenter dit door dient te geven als verwerker.

Als iemand zich wil laten verwijderen van bijv. een nieuwsbrief, hoe zit dat? 
Dan is het belangrijk alle gegevens te verwijderen van deze persoon. Dus de aanmelding, de verwijderingsaanvraag, etc.

Terug naar onderwerpen

Formulieren

Hoe zit het als een bezoeker alleen bedrijfsgegevens invult bij een formulier, zoals zakelijk e-mailadres en telefoonnummer?
Als hier geen persoonsgegeven bij zit, zoals een naam, valt dit niet onder de AVG. Zodra er wel een persoonsgegeven ingevuld wordt, vallen deze gegevens onder de AVG.

Mag je, als je een klantonderzoek hebt gedaan, de antwoorden anoniem bewaren?
Ja dit mag, zolang de gegevens niet herleidbaar zijn tot een persoonsgegeven.

Als je gegevens vraagt in een formulier die niet verplicht zijn, mag dat?
Vraag hierbij is of je deze gegevens echt nodig hebt. Als dat niet zo is, waarom vraag je ze dan? ‘Interessant’ of ‘leuk’ is geen goede reden om deze gegevens te verwerken. Dit betekent echter weer niet dat het vragen van een extra gegeven niet uit te leggen is.
 
Terug naar onderwerpen

Datalek

Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?
Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. In sommige gevallen mag melding achterwege blijven, bijvoorbeeld indien de persoonsgegevens voor derden niet begrijpelijk zijn omdat ze zijn versleuteld.

Als er een datalek in enige vorm plaatsvindt (bijvoorbeeld het kwijtraken van een USB-stick) en je meldt dit aan de Autoriteit Persoonsgegevens, kun je dan een boete krijgen?
Nee, juist wanneer je het niet meldt kun je een boete krijgen. Je voldoet dan namelijk niet aan de eis van de privacywetgeving (namelijk: in de meeste omstandigheden wel melden)

Wat gebeurt er als je het meldt?
Het is goed om een datalek te melden. De melding moet op een juiste manier gebeuren. Zo voorkom je vervelende situaties. Vanuit de wetgeving is het meestal verplicht om te melden. We verwachten dat de handhaving per 25 mei 2018, als de Algemene Verordening Gegevensbescherming ingaat, strenger wordt.

Wanneer is iets een datalek?
Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.

Hoeveel mensen mag ik in een e-mail in de cc meenemen, is er een minimaal of maximum aantal? Ik heb alleen ontvangers een e-mail gestuurd die ik ken, dan is het toch geen datalek?
Er is geen minimum of maximum aantal mensen wat in de cc geplaatst mag worden. Het is belangrijk hiermee voorzichtig om te gaan. De informatie moet terechtkomen bij de juiste personen. Zodra er één verkeerde adressant in de cc van een e-mail meegenomen is, is er in principe dan al sprake van een datalek.

Als ik als consument een datalek constateer, kan ik dan een advocaat in de hand nemen? En valt er dan wat te ‘halen’?
Indien een consument het bedrijf aansprakelijk kan stellen: Ja. We denken dat dit ook eerder gaat gebeuren dan dat er een boete wordt opgelegd door de AVG. Of er wat te ‘halen’ valt is natuurlijk relatief. Momenteel is er weinig jurisprudentie over ‘wat is je geleden schade?’.  Waarschijnlijk krijg je in een procedure gelijk, maar het achterhalen van de geleden schade is lastig te bepalen.
 
Op het moment dat je actief vraagt of een persoon/organisatie de data mag verwerken door een derde: Heb je het dan voldoende afgevangen?
Ja. Echter weet je niet altijd van tevoren wat je te wachten staat en waar je een akkoord op geeft. Dit is een grijs gebied.

Terug naar onderwerpen

Functionaris Gegevensbescherming

Is een Functionaris Gegevensbescherming nodig bij het MKB?
Dit ligt er aan. Het is niet altijd nodig. Het is in 3 gevallen verplicht:

  • Overheidsinstanties en publieke organisaties
  • Organisaties die vanuit kernactiviteiten op grote schaal individuen volgen
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken wat een kernactiviteit is

Goed om te weten: als Functionaris Gegevensbescherming kun je niet ontslagen worden.

Hoe zit het met back-up personen van een Functionaris Gegevensbescherming? Wat doe je als deze wegvalt?
In de organisatie moet gedekt zijn dat er iemand is die de Functionaris Gegevensbescherming op kan vangen als dit nodig is. Het is belangrijk dat de organisatie weet wat er moet gebeuren bij bijvoorbeeld een datalek. Er moet dan een aangewezen persoon zijn die dit kan.

Terug naar onderwerpen

Verwerkersovereenkomst

Moeten alle bewerkersovereenkomsten veranderd worden?
Ja dat moet. Bewerkersovereenkomsten moeten verwerkersovereenkomsten worden en afgestemd worden op de AVG.

Wanneer heb je een verwerkersovereenkomst nodig?
Bijna altijd als je persoonsgegevens verwerkt. In bijna alle gevallen val je onder de AVG. Schakel je iemand in voor het bouwen van je website dan is een verwerkersovereenkomst nodig.

Is deze ook nodig voor een partij die de IT verzorgt?
Ja, ook dan is een verwerkersovereenkomst nodig.

Jullie spreken ook over Google/Cloud, hebben jullie daar ook een verwerkersovereenkomst mee?
Ja, je moet akkoord gaan met hun verwerkersovereenkomst.

Terug naar onderwerpen

E-mail

Het is niet verstandig om een excellijst (met persoonsgegevens) te versturen via de e-mail, waarmee dan wel?
Zivver. Dit is een Nederlands alternatief voor WeTransfer. Het is een beveiligd platform die AVG/GDRP-compliant is. Je kunt er versleuteld mee chatten en versleuteld bestanden verzenden.

Mag je wel intern lijsten / gegevens doorsturen via e-mail?
Hiervoor geldt hetzelfde als voor bovenstaande. Dit is niet verstandig om via e-mail te doen, ook al wordt er gebruik gemaakt van een beveiligd netwerk. Mail gaat eerst naar buiten, om vervolgens bij je collega terecht te komen. Het kan dus onderschept worden. De meest verstandige oplossing is een dienst die bestanden versleuteld verzendt.

Terug naar onderwerpen

Lees ook onze blog over e-mail en de AVG

Mag ik nog wel e-mail gebruiken binnen de AVG? Hoe ga ik om met e-mail en de AVG? Wat zijn goede, privacyvriendelijke alternatieven voor e-mail?

Wachtwoorden

In hoeverre is het delen van een wachtwoord  in lijn met de privacy en het loggen van gegevens?
Het delen van een wachtwoord is in principe niet in lijn met de privacywetgeving. Wel zijn er diverse tools om kritieke informatie (zoals wachtwoorden) te versturen. Het is tevens belangrijk dat er gelogd wordt wie toegang heeft tot het wachtwoord en daarmee dus in de website, applicatie of tool kan komen.

Tip: Gebruik een uniek wachtwoord voor je mail. Gebruik deze niet voor meerdere systemen. Via je mail kunnen hackers bijna je volledige identiteit stelen.
Tip: Sla wachtwoorden niet op in de browser.

Wat moet je doen als je het wachtwoord voor de wachtwoordkluis kwijt bent?
Dit is altijd te achterhalen. Bijvoorbeeld door middel van een emergency kit die je krijgt op het moment dat je een wachtwoordkluis aanmaakt.

Bij systemen zonder two factor authentication kan je niet goed uitleggen dat het AVG-proof is. Geldt dat ook voor een gebruiker, in plaats van organisatie? De gebruiker heeft zelf de keuze om two-factor in te schakelen, hoe zit dat in die gevallen?
Indien de persoon alleen bij zijn eigen gegevens kan, zou het goed moeten zijn. Dit geldt dus zolang de gebruiker alleen bij de eigen gegevens kan. Nog steeds is het een aanrader om two factor authentication in te stellen. Dit zorgt voor een hogere mate van veiligheid.

Tip: In Google G-suite kun je een device policy instellen. Zoals een sterk wachtwoord van bijv. minimaal 15 tekens. Je kunt ook instellen dat apps gescheiden moeten worden op telefoons, zoals bijv. twee Gmail apps op je telefoon.

Terug naar onderwerpen

Updates

Hoe houd je controle en grip op updates en op systemen die niet geüpdatet zijn?
Het is lastig om goed controle en grip te houden op updates en systemen. Je bent hierin afhankelijk van je leverancier. Gebruikmaken van ICT-audits kan een goede methode zijn om je systemen te checken.

Terug naar onderwerpen

Overig

Moet je opnieuw laten zien aan bestaande klanten hoe je omgaat met de gegevens?
Als er wijzigingen zijn van verwerkingen die je eerder niet deed, moet je dit vragen aan de persoon. Toestemming geldt alleen voor gegevens die je nodig hebt voor zaken die niet uit je normale dienstverlening voortvloeien. Als er gegevens via een website worden gevraagd dient de privacyverklaring daarop te worden aangepast.

Wat doe je met formulieren waarin je alleen een vraag beantwoordt en iemand stuurt actief een vraag naar je?
Alsnog is het dan belangrijk om aan te geven wat je doet met deze gegevens.

Wat als ik regelmatig op beurzen sta, visitekaartjes verzamel en die personen een bericht stuur met een bedankje. Mag dat binnen de AVG?
Binnen de AVG moet je toestemming vragen. Als je een visitekaartje krijgt, is het niet duidelijk of die persoon er toestemming voor heeft gegeven. Ga hier praktisch mee om. Vermeldt dit bijvoorbeeld op je website of bij het bericht wat je stuurt (waarom ontvangt de ontvanger dit bericht?).

Moet je een periodieke controle op je beleid ook documenteren?
Ja, dit moet. Eigenlijk is het het beste alles wat je doet te documenteren.

Als iemand mondeling toestemming geeft om bijvoorbeeld sollicitatiegegevens voor langere tijd te bewaren. Is dat rechtsgeldig?
Ja, dat is het. Het is te adviseren om vast te leggen wanneer dit akkoord is gegeven.

Vallen de ABC-eilanden onder de AVG?
Nee, de ABC-eilanden vallen niet onder de AVG-regelgeving, ondanks dat de inwoners van deze eilanden wel EU-burgers zijn. Er wordt op de ABC-eilanden zelfs nog gewerkt met een oude versie van het burgerlijk wetboek van voor 1992. Bedrijven kunnen zich wel conformeren aan de AVG-wetgeving.

Hoe zit het als iemand via Teamviewer met je meekijkt?
Het is belangrijk dat je hier zelf toestemming voor geeft. Er is namelijk een risico dat iemand anders bij persoonsgegevens kan via jouw pc. Als een externe IT-dienstverlener op jouw server, netwerk of individuele apparaten kan kijken, dient daar een verwerkersovereenkomst mee gesloten te worden.

Als je externe gegevens op een harde schijf in een kluis opslaat en niet in de cloud, is dat beter?
Er is altijd een kans dat iemand die gegevens kan stelen. De cloud wordt tegenwoordig goed beveiligd. Het is niet perse zo dat je via een harde schijf die beveiligd is, veiliger bent. Geen enkele oplossing is niet te kraken.

Hoe lang mag je je scherm van je desktop / mobiel niet vergrendeld laten, terwijl je niet bij je device bent?
Dit hangt af van de soort gegevens die je verwerkt. Belangrijk is dat het te verantwoorden is aan de personen waarvan je de gegevens verwerkt en de Autoriteit Persoonsgegevens. Aan te raden is om als je wegloopt van je scherm, het scherm te vergrendelen.

Mogen ingehuurde medewerkers (freelancers, ZZP-ers, etc.) die niet uit de EU komen wel aangesloten blijven bij mijn organisatie?
Ja, dit mag. Belangrijk is om een verwerkersovereenkomst met hen te sluiten. Zij moeten namelijk ook voldoen aan de AVG. Tevens is het verstandig de toegang tot bijvoorbeeld productie-omgevingen van je website of platform te ontzeggen, zodat zij niet bij actuele data kunnen.

Mag je ‘zomaar’ foto’s publiceren op bijvoorbeeld je website of Facebook, zonder toestemming van de betrokkene(n)?
Foto’s met daarop mensen die in het openbaar zijn gemaakt mogen in principe worden gebruikt, tenzij aannemelijk is dat daarmee inbreuk wordt gemaakt op de persoonlijke levenssfeer of het portretrecht van die persoon (bijvoorbeeld: iemand die met een slokje te veel op in de kroeg staat…).

Terug naar onderwerpen

Heb je nog meer vragen?

Stuur ons jouw vraag via info@impres.nl, dan zorgen wij voor een antwoord op jouw vraag.

*Aan deze blog kunnen geen rechten ontleend worden.

Naar boven