Privacywetgeving

Wat is de AVG?

Voor de hele EU is dezelfde wetgeving van kracht om de privacy van burgers te regelen: de General Data Protection Regulation (GDPR). In Nederland: de Algemene Verordening Gegevensbescherming. De AVG geldt voor alle bedrijven en organisaties. Het gaat over het verzamelen, bewaren en delen van persoonsgegevens.

Persoonsgegevens

Gewone persoonsgegevens: álle gegevens die horen bij een specifiek individu of daarnaar verwijzen (naam, adres, foto, IP-adres computer, etc). U mag ze alleen verzamelen als u daar een geldige reden voor heeft (grondslag).

Bijzondere persoonsgegevens: persoonsgegevens die verwijzen naar zaken die gevoelig kunnen liggen (geloofsovertuiging, medische status, etnische afkomst, lidmaatschap vakbond, etc). Het verzamelen ervan is meestal verboden.

Grondslagen

Een grondslag is een geldige reden om persoonsgegevens te verwerken:

  • U kunt bewijzen dat u expliciet toestemming heeft van de betreffende persoon (bijv: aanmelding nieuwsbrief)
  • Het is noodzakelijk voor het uitvoeren van een overeenkomst (bijv: arbeidscontract, huurovereenkomst, toegangskaartje kopen)
  • Het is noodzakelijk om aan een wettelijke verplichting te voldoen (bijv: rechtszaak)
  • Het gaat om een zaak van leven en dood (bijv: ongeval)
  • Het is noodzakelijk in het kader van het algemeen belang en de openbare orde. En dan alleen als u daartoe gerechtigd bent (bijv: gemeente hangt toezichtcamera op)
  • U kunt aantonen dat u er een andere, heel goede reden voor heeft (bijv: onderzoek fraudezaak)

Rechten en plichten

  • U mag niet méér persoonsgegevens verzamelen dan strikt noodzakelijk is
  • U mag persoonsgegevens alleen maar gebruiken voor het doel waarvoor ze verzameld zijn
  • U mag de gegevens niet langer bewaren dan noodzakelijk voor het doel
  • U moet de gegevens veilig bewaren (crashes, datalek)
  • Uw contacten hebben het recht op inzage in de gegevens die u van hen bewaart
  • Zij mogen u verzoeken de gegevens aan te passen, over te dragen en/of te verwijderen.
  • Iedereen heeft recht op duidelijke informatie hoe u met persoonsgegevens omgaat (privacyreglement)

Privacyreglement

In een privacyreglement legt u vast:

  • Welk soort persoonsgegevens verwerkt uw organisatie? Met welke grondslagen?
  • Hoe komt u aan de persoonsgegevens?
  • Hoe zorg u voor de veiligheid ervan?
  • Met welke partijen deelt u de gegevens, en voor welke doeleinden?
  • Welke gegevens worden verzameld via het bezoeken van uw website? (cookies, statistieken)
  • Andere relevante zaken (bijv: delen van persoonsgegevens buiten de EU, digitale nieuwsbrief, adverteerders)
  • Contactadres voor meer informatie

Verwerkingsregister

Werkt u vaak met persoonsgegevens? In een ‘verwerkingsregister’ legt u nauwkeurig vast hoe u dat doet.

Verwerkingsverantwoordelijkheid

Besteedt u het verwerken van sommige persoonsgegevens uit aan een externe partij (bijv: financiële administratie, organisatie publieksevenement)? U blijft ‘verwerkingsverantwoordelijk’. Leg afspraken vast in een ‘verwerkingsovereenkomst’.

Privacyfunctionaris

Grote organisaties zijn verplicht een privacyfunctionaris aan te stellen: iemand die erop toeziet dat alle privacyregels goed worden toegepast en nageleefd. Kleine organisatie? Zorg dat iemand zich in de materie verdiept.

Datalek

Soms komen de gegevens in handen van anderen terecht (datalek) of bestaat het risico daarop (veiligheidslek). Gaat het om grote hoeveelheden gegevens, om gevoelige informatie, of kunnen de betrokkenen schade oplopen: u bent verplicht het lek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP) en/of bij de betrokkenen.

Meer lezen

 

Laatste check van deze pagina: 1 juni 2021