Privacywetgeving
Wat is de AVG?
Voor de hele EU is dezelfde wetgeving van kracht om de privacy van burgers te regelen: de General Data Protection Regulation (GDPR). In Nederland: de Algemene Verordening Gegevensbescherming. De AVG geldt voor alle bedrijven en organisaties. Het gaat over het verzamelen, het bewaren en het delen van persoonsgegevens.
Persoonsgegevens
Gewone persoonsgegevens: álle gegevens die horen bij een specifiek individu of daarnaar verwijzen. Bijv: naam, adres, foto, IP-adres computer. U mag ze alleen verzamelen als u daar een geldige reden voor heeft (een ‘grondslag’).
Bijzondere persoonsgegevens: persoonsgegevens die verwijzen naar zaken die gevoelig kunnen liggen. Bijv: geloofsovertuiging, medische status, etnische afkomst, lidmaatschap vakbond. Het verzamelen ervan is meestal verboden.
Grondslagen
Een grondslag is een wettelijk geldige reden om persoonsgegevens te verwerken:
- U kunt bewijzen dat u expliciet toestemming heeft van de betreffende persoon (bijv: aanmelding nieuwsbrief)
- Het is noodzakelijk voor het uitvoeren van een overeenkomst (bijv: arbeidscontract, huurovereenkomst, toegangskaartje kopen)
- Het is noodzakelijk om aan een wettelijke verplichting te voldoen (bijv: rechtszaak)
- Het gaat om een zaak van leven en dood (bijv: ongeval)
- Het is noodzakelijk in het kader van het algemeen belang en de openbare orde. En dan alleen als u daartoe gerechtigd bent (bijv: de gemeente hangt toezichtcamera op)
- U kunt aantonen dat u er een andere, heel goede reden voor heeft (bijv: onderzoek fraudezaak)
Rechten en plichten
- U mag niet méér persoonsgegevens verzamelen dan strikt noodzakelijk is
- U mag persoonsgegevens alleen maar gebruiken voor het doel waarvoor ze verzameld zijn
- U mag de gegevens niet langer bewaren dan noodzakelijk voor dat doel
- U moet de gegevens veilig bewaren (crashes, datalek)
- Uw contacten hebben het recht op inzage in de gegevens die u van hen bewaart
- Zij mogen u verzoeken de gegevens aan te passen, over te dragen en/of te verwijderen.
- Iedereen heeft recht op duidelijke informatie hoe u met persoonsgegevens omgaat (privacyreglement)
Privacyreglement
In een privacyreglement legt u vast:
- Welk soort persoonsgegevens verwerkt uw organisatie? Met welke grondslagen?
- Hoe komt u aan de persoonsgegevens?
- Hoe zorg u voor de veiligheid ervan?
- Met welke partijen deelt u de gegevens, en voor welke doeleinden?
- Welke gegevens worden verzameld via het bezoeken van uw website? (cookies, statistieken)
- Andere relevante zaken (bijv: delen van persoonsgegevens buiten de EU, digitale nieuwsbrief, adverteerders)
- Het contactadres voor meer informatie
Verwerkingsregister
Werkt u vaak met persoonsgegevens? In een ‘verwerkingsregister’ legt u nauwkeurig vast hoe u dat doet.
Verwerkingsverantwoordelijkheid
Besteedt u het verwerken van sommige persoonsgegevens uit aan een externe partij (bijv: financiële administratie, organisatie publieksevenement)? U blijft ‘verwerkingsverantwoordelijk’. Leg afspraken vast in een ‘verwerkingsovereenkomst’.
Privacyfunctionaris
Grote organisaties zijn verplicht een privacyfunctionaris aan te stellen: iemand die erop toeziet dat alle privacyregels goed worden toegepast en nageleefd. Ook voor kleine organisatie is het aan te raden dat iemand zich in de materie verdiept.
Datalek
Soms komen de gegevens in handen van anderen terecht (datalek) of bestaat het risico daarop (veiligheidslek). Gaat het om grote hoeveelheden gegevens, om gevoelige informatie, of kunnen de betrokkenen schade oplopen: u bent verplicht het lek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP) en/of bij de betrokkenen.
Portretrecht
Afbeeldingen waarop mensen herkenbaar staan afgebeeld, mag u niet zomaar publiceren. Daarop is het portretrecht van toepassing. Het portretrecht is onderdeel van de wetgeving op het auteursrecht
Meer lezen
- De Autoriteit Persoonsgegevens
- De AVG Regelhulp | AP
- Checklist privacy | AP
- Verwerkingsregister | AP
- Auteursrecht en portretrecht | VBMK Kennisbank
- Portretrecht | ANP