FAQ
Een relatie is een partner of toeleverancier waar u persoonsgegevens mee uitwisselt, dit kan bijvoorbeeld een verwerker, verwerkingsverantwoordelijke, subverwerker of ontvanger zijn.
Een verwerking is alles wat er met persoonsgegevens kan gebeuren. Wanneer er persoonsgegevens worden ingezien, bewerkt, verwijderd, opgeslagen of anderzijds behandeld worden ze dus verwerkt.
Een persoon, bedrijf of overheidsinstantie die bepaald hoe en waarom er persoonsgegevens verwerkt worden. Dit kan gezien worden als de opdrachtgever (verwerkingsverantwoordelijke) en opdrachtnemer (verwerker).
Verwerkers zijn personen, bedrijven of overheidsinstanties die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerken. Dit mag enkel gebeuren voor de door de verwerkingsverantwoordelijke gestelde doelstelling.
Subverwerkers zijn verwerkers die zijn ingehuurd door de verwerkers waarbij de verwerkingsverantwoordelijke verantwoordelijk is voor de (sub)verwerkers.
U bent wettelijk verplicht een PIA uit te voeren als:
U systematisch persoonlijke aspecten van een natuurlijk persoon evalueert (hier valt ook profiling onder), U op grote schaal bijzondere persoonsgegevens verwerkt, U (bijvoorbeeld via cameratoezicht) op grote schaal en systematisch mensen volgt. Zelfs wanneer u niet wettelijk verplicht bent om een PIA uit te voeren kan het nuttig zijn om dit alsnog te doen. U krijgt hiermee een goede indruk van welke risico’s er gepaard gaan met een bepaalde verwerking.
De rechten van betrokkenen houden in dat betrokkene vanaf mei 2018 : Inzage kunnen vragen in de persoonsgegevens die bedrijven over hun verwerken (mits dit geen onredelijke last legt op het bedrijf) (recht op inzage), bedrijven mogen vragen om correctie als de betrokkene een fout ziet/merkt in de aangeleverde persoonsgegevens (recht op correctie), bedrijven mogen vragen om een uitdraai van de gegevens die bedrijven over ze hebben (recht op dataportibaliteit). bedrijven mogen vragen of ze de persoonsgegevens die ze van de betrokkene hebben willen verwijderen (recht op vergetelheid).
Dit laatste recht houdt in dat niet alleen het bedrijf dat de persoonsgegevens van de betrokkene heeft ontvangen het moet wissen, maar ook alle bedrijven waaraan de persoonsgegevens zijn aangeleverd (subverwerkers, uitbesteden email campagnes etc).
De AVG stelt dat er 2 begrippen centraal moeten staan bij het verwerken van persoonsgegevens: “Privacy by design” en “Privacy by default”. De Autoriteit Persoonsgegevens (AP) beschrijft “Privacy by design” als volgt: “Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kunt u een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.”
Privacy by Default houdt in dat de standaardinstellingen van programma’s of diensten al standaard staan ingesteld op maximale privacyinstellingen. Uitgangspunt is hierin dat de betrokkene zonder (verborgen) instellingen aan te passen toch de maximale privacy geniet.
Een datalek is een inbreuk op beveiliging die ertoe leidt dat er ongeoorloofde toegang, wijziging, of opvragingen hebben plaatsgenomen van de opgeslagen persoonsgegevens.
Een incident is eigenlijk hetzelfde als een datalek, maar het verschil is hier dat er nog moet worden vastgesteld of er ongeoorloofde toegang is verleend die kan leiden tot opvraging, wijziging, of vernietiging van opgeslagen persoonsgegevens.
In het geval van grensoverschrijdende gegevensverwerking gaat het erom waar het hoofdkantoor van de verwerkingsverantwoordelijke staat, als die bijvoorbeeld in Nederland staat heb je eigenlijk vooral met de Autoriteit Persoonsgegevens te maken, deze is dan de leidende toezichthouder. Er zijn echter ook toezichthouders betrokken in de landen van de betrokkene(n), maar deze zullen dan met de leidende toezichthouder afstemmen wat er gedaan moet worden wat betreft maatregelen/boetes.
Wanneer u geen toegang krijgt tot de tool kunt u een aantal dingen doen:
De AVG.Management Tool draait op een beveiligingscertificaat van wat voorheen Comodo was. Het kan zijn dat u een beveiligingswaarschuwing krijgt waarin verteld wordt dat de uitgever onbekend is. Wanneer dit voorkomt kunt u kijken of uw computer up-to-date is. We hebben gemerkt dat klanten met een Mac-OS lager dan 10.11 vaak die melding krijgen. U zult een software-upgrade moeten uitvoeren om deze melding in het vervolg niet meer te krijgen.
Voor overige problemen kunt u een mailtje sturen naar helpdesk@avg.management.
Wanneer er een recht op vergetelheid wordt beoefend moet u rekening houden met een aantal zaken. Er zijn namelijk uitzonderingen voor het recht van vergetelheid. Het recht van vergetelheid is namelijk niet van toepassing op de volgende wettelijke grondslagen: Contractuele overeenkomst, wettelijke verplichting, vitale belangen en taak van algemeen belang.
Twee dingen waar u in elk geval rekening mee moet houden zijn: De Wet op de omzetbelasting die valt onder de fiscale bewaarplicht.
Dit houd in dat u alle facturen van u en uw klanten moet bewaren (Wet op de omzetbelasting Art. 35c) gedurende 7 jaar (fiscale bewaarplicht). Verder moet u onder de fiscale bewaarplicht de volgende dingen bewaren voor 7 jaar:
- het grootboek
- de debiteuren- en crediteurenadministratie
- de voorraadadministratie
- de in- en verkoopadministratie
- de loonadministratie
Dit betekent dus dat ook wanneer een werknemer een recht op vergetelheid uitvoert u de loonstroken niet mag verwijderen tot de 7 jaar verstreken zijn.
Voor de uitzonderingen op deze bewaarplicht kunt u terecht bij de bron: De Belastingdienst
Dit zijn in elk geval de dingen die alle organisaties moet bewaren. Het kan zijn dat op basis van het type persoonsgegevens er ook andere bewaarplichten gelden.