Home > Oplossingen > Privacy check > Privacy-compliance

PRIVACY-CHECK: HOE COMPLIANT IS UW BEDRIJF?

Toets uw kennis en bepaal zelf of u voldoende maatregelen heeft genomen of kans loopt op ernstige verwijtbare nalatigheid!

BEANTWOORD DE VOLGENDE 16 VRAGEN


1. Verwerkt uw organisatie persoonsgegevens?

 

Vrijwel elke organisatie verwerkt persoonsgegevens. Denk bijvoorbeeld aan:

  • personeels- en salarisadministratie;
  • klant- en mailbestanden;
  • ledenlijsten, bestanden van vrijwilligers, donateurs;
  • brieven van sollicitanten;
  • gegevens verzameld via websites, app’s;
  • fysieke dossiers;
  • cameratoezicht.

 

2. Heeft u de verwerking uitbesteed aan zgn. bewerkers?

3. Zo ja, hebt u met hen een (bewerkers)overeenkomst gesloten?

 

Veel organisaties verwerken persoonsgegevens via derden, de zgn. bewerkers. Denk bijvoorbeeld aan salarisadministrateurs, softwareleveranciers, website-ontwikkelaars, hostingpartners, etc. Ook dan blijft de leiding van de organisatie zelf verantwoordelijk en moet deze erop toezien dat wet- en regelgeving wordt nageleefd door de bewerker(s).

 

4. Bent u transparant over de verwerking van persoonsgegevens naar betrokkenen toe?

5. Kunnen betrokkenen hun privacyrechten uitoefenen?

 

In de huidige wet- en regelgeving hebben betrokkenen de volgende rechten:

  • recht op informatie;
  • recht op inzage;
  • recht op correctie en verwijdering;
  • recht op verzet.

In de AVG krijgen betrokkenen aanvullende rechten. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen om hun persoonsgegevens te verwerken. Ook kan onder bepaalde omstandigheden het recht op dataportabiliteit gelden.

 

6. Heeft u voor elke gegevensverzameling met persoonsgegevens de gegevensbewerkingen in kaart gebracht?

 

Onder de AVG heeft u documentatieplicht. U moet kunnen aantonen dat u conform de AVG handelt. Breng ten minste in kaart:

  • welke persoonsgegevens u verzamelt;
  • met welk doel u de gegevens verzamelt;
  • waar de gegevens vandaan komen;
  • met wie u de gegevens deelt.
 
  

7. Verwerkt uw organisatie bijzondere persoonsgegevens?

 

Een organisatie mag géén bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. Bijzondere persoonsgegevens zijn gegevens over:

  • godsdienst of levensovertuiging;
  • ras;
  • politieke voorkeur;
  • gezondheid;
  • seksuele leven;
  • lidmaatschap van een vakbond;
  • strafrechtelijk verleden.

Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot een persoon herleidbaar nummer is.

 

8. Is de verwerking gebaseerd op een wettelijke grondslag?

 

Er zijn 3 manieren op basis waarvan persoonsgegevens verwerkt kunnen worden:

  • wettelijke grondslag (er is een wet die de bewerking toestaat);
  • gerechtvaardigd belang (bijv. diefstal tegengaan met cameratoezicht);
  • toestemming van betrokkenen.

Ook bij gerechtvaardigd belang en/of met toestemming van betrokkenen mag u géén bijzondere persoonsgegevens verwerken.

 

9. Bestaat er voor de verwerking een vooraf bepaald duidelijk en gerechtvaardigd doel?

10. Is verwerking ook beperkt tot dat doel?

 

In de wet staat dat persoonsgegevens alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld mogen worden. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.

 

11. Verwerkt u standaard alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaald, duidelijk en gerechtvaardigd doel?

 

U mag van een betrokkene meer gegevens verzamelen als de betrokkene daar expliciet toestemming voor geeft. Die verzameling mag niet met * verplicht zijn en ook niet standaard alvast aangevinkt zijn. Dus geen ‘ x Ja, ik wil aanbiedingen ontvangen’ als iemand zich inschrijft voor een nieuwsbrief of de gebruikerslocatie registeren.

 

12. Worden de gegevens niet langer bewaard dan noodzakelijk?

 

Op grond van de wet zijn er geen concrete bewaartermijnen voor persoonsgegevens. Organisaties mogen zelf bepalen hoe lang zij persoonsgegevens bewaren. De bewaartermijn dient te passen bij het doel waarvoor de gegevens zijn verzameld. Wel zijn er concrete bewaartermijnen in andere wetten, waaraan organisaties zich moeten houden.

 

13. Houdt u zich aan de bepalingen rond cameratoezicht?

 

Organisaties moeten cameratoezicht vooraf melden bij de Autoriteit Persoonsgegevens, tenzij er een vrijstelling geldt. Wil een organisatie cameratoezicht inzetten voor de beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen? Dan is dit in de regel vrijgesteld, mits het gaat om duidelijk zichtbare camera’s. De vrijstelling geldt dus niet voor verborgen camera’s.

Als uitgangspunt geldt dat een organisatie camerabeelden niet langer dan 4 weken mag bewaren. Voor een langere bewaartermijn moet een goede reden zijn. Bijvoorbeeld als een bepaald incident is vastgelegd, zoals een winkeldiefstal. De organisatie mag de betreffende beelden dan bewaren tot dit incident is afgehandeld.

 

14. Zijn de persoonsgegevens op passende wijze beveiligd, zowel in technische als organisatorische zin?

 

De wet vereist dat u passende technische en organisatorische maatregelen treft om de persoonsgegevens te beveiligen tegen verlies, diefstal of enige vorm van onrechtmatige verwerking. Vragen daarbij zijn:

  • wie kunnen de gegevens inzien, bewerken;
  • is dat voor de uitoefening van hun functie noodzakelijk;
  • hoe gemakkelijk is het om de persoonsgegevens te kopiëren naar een datastick o.i.d.;
  • vindt er logging plaats op de verwerkingen;
  • hoe zijn de persoonsgegevens afgeschermd voor onbevoegden;
  • is deze vorm van afscherming voldoende;
  • hoe gemakkelijk is het om gebruikersnamen, wachtwoorden of andere sleutels te achterhalen;
  • is het verplicht om wachtwoorden of andere toegangscodes regelmatig opnieuw in te stellen.

 

15. Heeft u een privacy- en beveiligingsbeleid opgesteld?

 

Het opstellen van een privacy- en beveiligingsbeleid is niet verplicht. Het opstellen zorgt er echter voor dat mensen in uw organisatie zich bewust zijn van de geldende wet- en regelgeving en daarnaar handelen. In de AVG geldt verantwoordingsplicht. Dit houdt in dat organisaties met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

 

16. Is er een protocol waarin wordt beschreven hoe te handelen bij een datalek?

 

Per 1 januari 2016 geldt de meldplicht datalekken. De meldplicht houdt in dat organisaties direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben.

Van een datalek is sprake als persoonsgegevens (per ongeluk) in het bezit komen van mensen of organisaties die deze gegevens niet in hun bezit behoren te hebben. Bijvoorbeeld door het verlies van de USB-stick, een e-mail aan de verkeerde ontvanger of het kunnen inzien van gegevens van anderen.