AVG: Mag ik deze persoonsgegevens verwerken?
Nu alle hectiek rondom de AVG eindelijk voorbij is begint natuurlijk het echte werk pas. De Autoriteit Persoonsgegevens mag nu handhaven en dagelijks zijn we nog steeds bezig met de verwerking van persoonsgegevens. Wanneer mag dat nu wel of niet? Het blijft een lastige vraag, maar ik ga het proberen een stuk overzichtelijker te maken voor je.
Mag je deze persoonsgegevens verwerken? – Een stappenplan
Eigenlijk zijn er bij elke verwerking een aantal vragen die je jezelf moet stellen:
- Is het een persoonsgegeven? Zo nee, dan is de AVG niet eens van toepassing en mag je altijd verwerken.
- Is het ook een bijzonder persoonsgegeven? Zo ja, kun je gebruik maken van een uitzondering?
- Welke grondslag gebruik je om te verwerken?
- Formuleer het doel waarvoor je wil verwerken
Je mag de gegevens nu verwerken.
Bewaartermijn
Goed, je mag nu verwerken. Je bent dan nog niet helemaal klaar:
- Je mag niet meer verwerken dan nodig. Verwijder gegevens die je niet nodig hebt.
- Je mag niet langer verwerken dan nodig.
Zorg daarom dat je goede bewaartermijnen vaststelt.
Facturen moeten bijvoorbeeld 7 boekjaren bewaard worden, dat is een wettelijke verplichting. Als daar persoonsgegevens op staan, moet je die dus ook 7 boekjaren bewaren. Dat wil overigens nog niet zeggen dat je die gegevens ook ergens anders net zo lang mag bewaren.
Namen en e-mailadressen die je hebt om iemand een nieuwsbrief toe te mogen sturen, die heb je natuurlijk zo lang nodig als iemand op de nieuwsbrieflijst staat. Die bewaar je dus tot ze zichzelf uitschrijven.
Zo moet je voor elk doel bepalen hoe lang je die gegevens bewaart. En natuurlijk moet je ook zorgen dat je ze na die tijd weer verwijdert.
Informatieplicht
Je moet betrokkenen wel nog steeds informeren over de verwerking. Dat is het makkelijkst met een privacyverklaring.
In die privacyverklaring staan onder meer de grondslag en het doel van de verwerking, de bewaartermijn, of gegevens buiten de EER worden opgeslagen en wat de rechten van betrokkenen zijn.
Zijn ook de andere documenten in orde?
Vergeet vooral niet met alle verwerkers een verwerkersovereenkomst te sluiten. Soms is dat al geregeld in het algemene contract of in de algemene voorwaarden. Het hoeft niet altijd een apart document te zijn.
Heb je ook je verwerkingsregister al geregeld?
Dat kan gewoon in bijvoorbeeld een excel bestand. Er moet in elk geval het volgende in komen te staan:
- Naam en contactgegevens van de verwerkingsverantwoordelijke (de onderneming) en van de Functionaris Gegevensbescherming (FG of DPO genoemd) als je die hebt;
- Doeleinden van de verwerking (waarom verwerk je de persoonsgegevens);
- Beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
- Met wie persoonsgegevens gedeeld worden;
- Of gegevens in een derde land worden opgeslagen;
- Bewaartermijnen van de persoonsgegevens;
- Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
Beveiligingsmaatregelen
Je moet technische en organisatorische beveiligingsmaatregelen treffen. Zorg bijvoorbeeld dat gegevens niet met meer personen gedeeld worden dan nodig, dat wachtwoorden sterk zijn en regelmatig gewijzigd worden, dat gegevens versleuteld worden opgeslagen, dat de archiefkast op slot kan, dat de website met het contactformulier een SSL-verbinding heeft etcetera.
Denk trouwens ook aan je eigen privacy! Je kunt instellingen van je telefoon en de apps nog zo goed geregeld hebben, dat wil niet zeggen dat het niet meer gehackt kan worden. Gebruik daarom een webcamcover of cameraschuifje voor je telefoon en laptop.
Gerelateerde blogposts
WBTR; Wat betekent dit voor jouw vereniging?
| Kennisbank voor organisaties...
Wet en regelgeving: Jongeren en vrijwilligerswerk
| Kennisbank voor organisaties