Veelgestelde vragen over AVG
– de nieuwe Privacy Wetgeving
Wij krijgen regelmatig vragen van bedrijven met betrekking tot specifieke problemen die zij ervaren, met betrekking tot het AVG. Natuurlijk gaan we jou niet vervelen met allerlei specifieke situaties, in plaats daarvan geven je een overzicht van de meest gestelde vragen die we ontvangen. Alleen het hebben van een goede privacy policy is lang niet alles, om te voldoen aan het AVG zijn er meer stappen nodig.
1. Wat houdt de AVG precies in?
De AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse vertaling van de GDPR (General Data Protection Regulation). Alle organisaties zich vanaf 25 mei 2018 hieraan houden. Deze verordening gaat zorgen voor een veel beter bescherming van persoonsgegevens en het gebruik van persoonsgegevens. Elke organisatie moeten kunnen aantonen welke gegevens ze opslaan en ook met welk doel. Er mogen geen onnodige gegevens opgeslagen worden en de opgeslagen gegevens mogen absoluut niet voor andere doeleinden gebruikt worden dan waarvoor is aangegeven.
2. Wat als ik me niet houd aan de nieuwe wetgeving?
De toezichthouder van deze nieuwe wetgeving krijgt veel meer zeggenschap dan voorheen. Er kunnen en zullen boetes opgelegd worden tot maar liefst 20 miljoen, of 4% van de bruto jaaromzet. Maar de toezichthouders kunnen organisaties zelfs verplichten om bepaalde handelingen te stoppen of bepaalde certificaten in te trekken. Voldoe dus aan de regels!
3. Als ik een externe dienst inhuur, wie is er dan verantwoordelijk?
Ongeacht wie de persoonsgegevens opslaat, de organisatie zelf is verantwoordelijk. Dit is altijd zo, ongeacht de locatie of dienst waarbij de persoonsgegevens worden opgeslagen. Dus je bent als organisatie altijd zélf verantwoordelijk voor een veilige omgeving van de database.
4. Welke gegevens mag ik verzamelen en wanneer moet ik stoppen met het verwerken van persoonsgegevens?
De doeleinden waarvoor persoonsgegevens worden verzameld moeten zeer duidelijk worden omschreven in ‘normale’ taal. Rechtvaardig de doeleinden en zorg dat zo goed als iedere lezer de tekst zal snappen.
Gerechtvaardigde doeleinden zijn: het verwerken van persoonsgegevens voor de beoordeling van, de advisering over, en de begeleiding van de klant bij financiële en verzekeringsproducten.
Hoofdregel is dat gestopt moet worden met het verwerken van de persoonsgegevens als deze persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor ze verzameld zijn, of wanneer u de persoonsgegevens voor andere doelen wilt gaan gebruiken dan is omschreven.
5. De vijf partijen die veel in de AVG worden genoemd zijn?
- De betrokkene (data subject) = de persoon over wie een bedrijf persoonlijke informatie kan hebben. (En alleen voor die duidelijke omschreven doelen)
- De verwerkingsverantwoordelijke (controller) = degene die het doel of de doelen, en de middelen van de verwerking bepaalt. (Welke informatie verzameld wordt en hoe dit zal worden gedaan)
- De verwerker (processor) = de partij die (eventueel als leverancier) de persoonsgegevens verwerkt in opdracht van, én ten behoeve van de verwerkingsverantwoordelijke (de klant die de persoonlijke gegevens wilt gebruiken).
- De Autoriteit persoonsgegevens (AP) = de Nederlandse toezichthouder die de Avg handhaaft. De dagelijke taken van de AP zijn onder andere het toezicht houden, advies geven, het voorlichten van bedrijven en andere bijkomende internationale taken.
- De Functionaris voor de gegevensbescherming (DPO) = een interne toezichthouder die werkzaam is bij het bedrijf dat persoonlijke gegevens wilt opslaan. Deze persoon is dus intern en werkt niet bij ‘de verwerker’ . Deze persoon geldt als aanspreekpunt (voor wat betreft het AVG) voor de klant en collega’s binnen het bedrijf.
6. Wat kan een klant doen om zijn of haar persoongegevens te verwijderen?
Best veel eigenlijk. Het hangt wel van de situatie af op welke rechten die persoon een beroep kan doen. Als bijvoorbeeld bepaalde persoonsgegevens niet correct zijn, kan er een rectificatie worden geeïst. Een bevoegde instantie moet dan de gegevens corrigeren of aanvullen.
Ook kun er bezwaar gemaakt worden tegen de gehele verwerking van zijn of haar persoonsgegevens. Of dit bezwaar wordt gehonoreerd, hangt af van de afweging tussen het belang van de organisatie om je gegevens te verzamelen en het privacybelang voor de betrokken persoon. Wanneer er bezwaar tegen gebruik van je gegevens voor direct marketing wordt gemaakt, dan moet een bedrijf daar onmiddellijk mee stoppen.
Geautomatiseerd besluit
Soms komt het voor dat een organisatie op basis van gegevens een geautomatiseerd besluit neemt, bijvoorbeeld een afwijzing van een kredietaanvraag of een sollicitatie. Met een inzageverzoek kan er worden nagegaan of het inderdaad om een automatisch besluit gaat.
In dit geval kan en mag er om een nieuw besluit worden gevraagd, dat door een persoon moet wordt beoordeeld. Daar heeft iedere betrokken persoon recht op.