wettelijke-grondslag-AVG-GDPR

Wettelijke grondslag

– Noodzakelijke verwerking van persoonsgegevens. Te denken valt aan een salarisadministratie, maar ook algehele boekhouding. Een gerechtvaardigd belang is voldoende reden. Denk daarbij aan gegevens die nodig zijn voor het aangaan voor een overeenkomst of die nodig zijn voor het uitvoeren van werkzaamheden. Let wel dat alleen strikt noodzakelijke, persoonlijk herleidbare gegevens worden bewaard en niet langer dan voor het doel noodzakelijk.

– Is er geen noodzaak voor de verwerking, dan is altijd aantoonbare toestemming nodig van betrokkene.

De betrokkene dient vooraf gewezen te zijn op het privacy beleid.

Documentatieplicht verwerking persoonsgegevens

Alle verwerkingen van persoonsgebonden gegevens dienen gedocumenteerd te worden. Dit mag elektronisch en automatisch. Het moet op een dusdanige wijze gebeuren dat bij een datalek te herleiden is door wie of wat, wanneer en op welke wijze de verwerking is gedaan.

Beschermingsplicht AVG

Elke verwerkingsverantwoordelijke en verwerker heeft een beschermingsplicht voor de persoonsgebonden data die zij (laten) verwerken. De te nemen (of genomen) technische én organisatorische maatregelen moeten beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

verandwoordingsplicht AVGVerantwoordingsplicht AVG (accountability)

Onder de AVG (GDPR) moet u kunnen aantonen dat de manieren, waarop uw organisatie persoonsgebonden data verwerkt én beschermt, voldoen aan de eisen van de AVG (GDPR). U moet kunnen aantonen dat u aan de belangrijkste beginselen van verwerking voldoet, waar onder:

  • Rechtmatigheid
  • Transparantie
  • Doelbinding
  • Juistheid

Daarnaast moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen heeft genomen om de persoonsgebonden data te beschermen.

Verwerkersovereenkomst

Tussen verwerkingsverantwoordelijke en verwerker is een verwerkersovereenkomst verplicht. Bent u een verwerker voor uw klanten? Denk ook aan uw leveranciers. YourICT is een verwerker voor u. Denk aan systeembeheer werkzaamheden, e-mail diensten, back-up en dergelijke. Maar vergeet ook leveranciers van software waarin gegevens verwerkt worden niet. Uw (salaris)administratie, Quantaris, Van Brug software, Microsoft, Google etc.

Functionatis-Gegevensbescherming-Data-Protection-OfficerFunctionaris Gegevensbescherming

Het aanstellen van een Functionaris Gegevensbescherming (FG), ook wel Data Protection Officer (DPO) genoemd, kan verplicht zijn. Dit is van toepassing op overheden, publieke organisaties en op iedereen die op grote schaal bijzondere persoonsgebonden gegevens verwerkt of op grote schaal individuen volgt. Denk daarbij onder andere aan cameratoezicht of monitoring van iemands gezondheid via wearables (IoT). Het aanstellen van een FG is voor de meeste bedrijven dus niet verplicht, het mag echter wel. Het hebben van een FG laat zien dat u de AVG (GDPR) serieus neemt.

Data Protection Impact Assessment (DPIA)

De Data Protection Impact Assessment is verplicht bij een hoog risico of grootschalige verwerking. Hiermee kunt u aantonen dat u weet welke maatregelen u moet treffen om aan de AVG (GDPR) te voldoen. Dit is weer onderdeel van de verantwoordingsplicht.

Meldplicht datalekken

Elk datalek waarbij persoonsgebonden gegevens (vermoedelijk) betrokken zijn, moet gemeld worden bij de Autoriteit Persoonsgegevens (AP). Het niet melden van een datalek is een overtreding van een grondslag van de AVG (GDPR) en kan een boete opleveren tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dit hoger uitvallen.

Voorbeelden van datalekken:

– Data (mogelijk) in handen van onbevoegde derden

  • Door een hack
  • Verloren geraakte hardware (niet alleen ICT gerelateerd), door bijvoorbeeld diefstal of vermissing
  • Virusbesmetting

– Onbedoelde vernietiging van data, bijvoorbeeld door brand of ransomware

– Ongewenste onbereikbaarheid van data, denk daarbij aan ransomware.

Het melden van datalekken moet gebeuren bij de Autoriteit Persoonsgegevens.

procedure-datalekProcedure Datalek

De AVG (GDPR) verplicht elk bedrijf of instelling om een procedure of draaiboek klaar te hebben liggen voor het geval er een datalek wordt ontdekt. In de AVG (GDPR) staan een aantal verplichtingen waaraan deze procedure moet voldoen. Denk onder andere aan het tijdsbestek waarbinnen de datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP) én eventueel de betrokkenen.

Het melden van datalekken moet gebeuren bij de Autoriteit Persoonsgegevens.