Home > Blog > BRight checkt: privacy beleid

BRight checkt: privacy beleid

Wat betekent de nieuwe Privacy Verordening voor uw privacy beleid?

Er gaat heel wat veranderen op het gebied van privacywetgeving. De nieuwe Algemene Verordening Gegevensbescherming (AVG) legt verplichtingen op voor onder andere uw privacy beleid (lees hier de belangrijkste algemene veranderingen).

Indien een organisatie de AVG niet naleeft, kunnen boetes tot 20 miljoen euro worden opgelegd! Het is dus zaak om te bekijken of uw privacy beleid compliant is. Begin er op tijd mee, aangezien u vóór 25 mei 2018 aan alle verplichtingen moet voldoen.

In dit artikel wordt een uitgebreide checklist weergegeven met punten waar u zeker op moet letten bij uw privacy policy.

Algemeen

  • Geef aan wat onder welke definitie moet worden verstaan, zoals ‘verwerken’ of ‘Gebruiker’.
  • Geef aan waarop dit privacy beleid van toepassing is
  • Geef aan op welke datum dit beleid het laatst gewijzigd is.
  • Geef aan dat de gebruiker het recht heeft om een klacht in te dienen bij het toezichthoudend orgaan en benoem de wijze waarop.
  • Indien u uw privacy beleid wilt wijzigen, vraag dan opnieuw om toestemming aan de Gebruiker.
  • Praktische check: zorg ervoor dat u de afspraken met uw bewerker vastlegt in een bewerkersovereenkomst.

Toepassingsgebied

  • Geef aan wat het toepassingsgebied is voor de verwerking van de persoonsgegevens, bijv. gebruikers van de website.

Verantwoordelijke

  • Geef aan wie de verwerkingsverantwoordelijke is: naam + contactgegevens.
  • Indien er een vertegenwoordiger van verwerkingsverantwoordelijke is, geef dan de naam + contactgegevens weer.
  • Indien er een functionaris is aangesteld, geef dan de naam + contactgegevens weer. Bijv: “Binnen onze organisatie is [naam + contactgegevens] aangesteld als functionaris voor de bescherming van uw persoonsgegevens.”

Persoonsgegevens

  • Geef duidelijk aan welke persoonsgegevens worden verzameld. Bijvoorbeeld naam, e-mailadres, telefoonnummer, adresgegevens, IP-adres, etc. Wees zo specifiek mogelijk.
  • Bepaal bij het verzamelen van de persoonsgegevens of deze ook daadwerkelijk noodzakelijk zijn om de doeleinden te realiseren.
  • Praktische check bij meer dan 250 personen in dienst: maak een beleid omtrent het verwerken van de persoonsgegevens, documenteer de verwerking en leg dit vast in een register (dit is het accountability-vereiste).
  • Praktische check in geval de verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen: doe een onderzoek naar de risico’s (verplichte gegevensbeschermingseffectbeoordeling, incl. Privacy Impact Assessment).

Doeleinden

  • Geef duidelijk aan voor welke doeleinden de persoonsgegevens worden verzamelt en verwerkt. Wees zo specifiek mogelijk. Bovenstaande voorbeelden zijn niet specifiek genoeg.
  • Geef aan dat indien u de gegevens voor andere doelen wilt gaan verwerken, u eerst aanvullende toestemming verzoekt aan de gebruiker.
  • Indien geautomatiseerde besluitvorming (waaronder profilering) plaatsvindt, dient dit medegedeeld te worden aan de Gebruiker, samen met het belang en de verwachte gevolgen voor betrokkene. Benoem de onderliggende logica van de geautomatiseerde besluitvorming (dit dient nuttige informatie te zijn voor Gebruiker)
  • Een praktische check m.b.t. de opslag van de gegevens à De gegevens moeten in een vorm worden opgeslagen die het mogelijk maakt Gebruiker niet langer te identificeren dan voor de doeleinden van de verwerking noodzakelijk is (anonimisering, archivering, beveiliging).

Toestemming

  • Het moet bij de toestemming gaan om een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee Gebruiker door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
  • Geef aan dat de verwerking plaatsvind op grond van de expliciete toestemming van de Gebruiker voor de eerder genoemde doeleinden.
  • Zorg ervoor dat u als verwerkingsverantwoordelijke kunt aantonen dat Gebruiker toestemming heeft gegeven
  • Benoem of de gebruiker al dan niet verplicht is om de gegevens te verstrekken en wat de gevolgen zijn van het niet-verstrekken.
  • Geef aan dat de gebruiker het recht heeft om zijn toestemming in te trekken.
  • Indien Gebruiker zijn toestemming intrekt, dan heeft dit geen invloed op de rechtmatigheid van zijn toestemming voorafgaand aan de intrekking. Geen terugwerkende kracht.
  • Zorg ervoor dat het intrekken van de toestemming even eenvoudig is als het geven ervan.

Belangen Verwerkingsverantwoordelijke

  • Geef duidelijk aan wat de belangen zijn voor uw organisatie om de gegevens te verwerken. Wees daarbij zo specifiek mogelijk.
  • Noem de gevolgen van die verwerking voor de betrokkene.


Cookies

  • Indien u gebruik maakt van cookies, geef dit dan aan en verwijs naar uw cookiebeleid.

Bewaartermijn

  • Geef aan hoe lang de gegevens worden bewaard
  • Specificeer de bewaartermijn per doel

Toegang

  • Geef aan welke partijen toegang (kunnen) hebben tot de persoonsgegevens. Denk aan verwerkingsverantwoordelijke, gebruiker en derden.
  • Geef per partij aan of zij toegang hebben dan wel het recht hebben om de gegevens te verkrijgen.
  • Benoem het recht van de Gebruiker om de persoonsgegevens te verkrijgen in dusdanige vorm dat hij deze over kan dragen aan een andere verwerkingsverantwoordelijke.
  • Indien u de gegevens met derde (niet-EU) landen of internationale organisaties deelt, geef dan aan welke maatregelen worden getroffen om ervoor te zorgen dat de gegevens enkel worden verwerkt voor de genoemde doeleinden.

Beveiliging

  • Geef aan dat u strikt vertrouwelijk omgaat met de persoonsgegevens
  • Geef aan dat u maatregelen treft tegen verlies of onrechtmatige verwerking.
  • Beschrijf welke technische en fysieke maatregelen worden gebruikt. Geef zo duidelijk mogelijk aan op welke manier.
  • Zorg in ieder geval voor de volgende maatregelen:
  • de pseudonimisering en versleuteling van persoonsgegevens;
  •  het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • het vermogen om bij fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Rechten Gebruiker

  • Geef aan dat Gebruiker het recht heeft tot inzage, rectificatie en/of verwijdering van zijn gegevens.
  • Geef aan dat Gebruiker het recht heeft om de verwerking van persoonlijke gegevens te beperken en in welke gevallen dit mogelijk is.
  • Benoem het recht van Gebruiker op menselijke tussenkomst en uitleg bij geautomatiseerde besluitvorming.
  • Geef aan dat Gebruiker het recht heeft op overdraagbaarheid van zijn persoonsgegevens.
  • Praktische check: indien u als verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van Gebruiker, geef dan binnen één maand na ontvangst van het verzoek de reden van de afwijzing aan. Informeer Gebruiker vervolgens over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep in te stellen bij de rechter.
  • Praktische check: breng geen kosten in rekening voor het verstrekken van informatie naar aanleiding van een inzageverzoek (tenzij buitensporig of ongegrond).

Bezwaar

  • Geef aan dat gebruiker het recht heeft om bezwaar te maken tegen de verwerking van zijn gegevens.
  • Geef aan dat de verwerking wordt gestaakt, tenzij dit na belangenafweging niet hoeft.
  • Indien sprake is van verwerking voor direct marketing, dient u aan te geven dat gebruiker het recht heeft om voor verwerking hiervoor bezwaar te maken. De gegevens mogen dan niet meer voor dit doel worden verwerkt.

Tip van ons: Begin op tijd met het onder de loep nemen van uw privacybeleid. Heeft u vragen met betrekking tot uw privacy situatie? U kunt altijd contact met ons opnemen!