De AVG komt er nu snel aan en zorgt voor ingrijpende veranderingen met betrekking tot de bescherming van persoonsgegevens. De AVG bevat uitgebreide nieuwe verplichtingen voor het bedrijfsleven en versterkt de rechten van de betrokkenen. Over de rechten van betrokkenen kunt u lezen in mijn eerdere blog. In deze blog zal in het kort worden uitgelegd wat binnen de onderneming gedaan moet worden met betrekking tot de verwerking van persoonsgegevens om aan de vereisten van de AVG te voldoen.
Breng allereerst de gegevensverwerking in kaart. Hierbij moet u uzelf onder andere de volgende vragen stellen. Welke gegevens ontvangt u en van wie? Waar komen deze gegevens vandaan en op welke wijze ontvangt u die? En zijn de gegevens die u onder u hebt persoonsgegevens? De AVG ziet namelijk enkel op persoonsgegevens. Gegevens die niet direct of indirect tot identificatie van een individu leiden zijn geen persoonsgegevens.
Documenteer vervolgens welke persoonsgegevens u verwerkt en met welk doel u dit doet en met wie u ze hebt gedeeld. Onder de AVG heeft u een verantwoordingsplicht. Dit wil zeggen dat u moet kunnen aantonen dat uw onderneming in overeenstemming met de AVG handelt. Het handigste is dan ook om een register aan te leggen waaruit eenvoudig te herleiden is welke gegevens er zijn en waarvoor ze gebruikt worden.
U kunt het register ook gebruiken als een betrokkene zijn privacyrechten uitoefent. Zo kan een betrokkene vragen om inzage te krijgen en eventueel gegevens aan te passen of te verwijderen. Hier moet u gehoor aan geven. Ook moet u het verzoek tot wijziging of verwijdering doorgegeven aan de partijen waarmee u de gegevens hebt gedeeld. Het is dan ook prettig als alles eenvoudig te raadplegen is.
Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. De wettelijke grondslag kan bijvoorbeeld zijn een gerechtvaardigd belang of de toestemming van de betrokkene zelf.
Zorg er tenslotte voor dat het register up-to-date is en ook de meeste recente persoonsgegevens er in op zijn genomen. Het is raadzaam om één persoon binnen uw onderneming verantwoordelijk te maken voor het register. Overigens is het wel noodzakelijk dat iedereen binnen uw onderneming weet van het register en hoe er omgegaan moet worden met persoonsgegevens. Dit om onrechtmatige gegevensverwerking en datalekken tegen te gaan.
Auteur: MR. S. (Simone) van Oosterhout – Advocaat
s.vanoosterhout@blue-legal.nl
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan
