AVG
Persoonsgegevens zijn gegevens die herleidbaar zijn naar een individu. Dit is een naam of e-mailadres maar kan dus ook een IP adres van een klant of medewerker zijn welke in logbestanden wordt opgeslagen.
Een Eenmanszaak en een VOF vallen onder de AVG wetgeving. Een BV of NV daarentegen niet direct; de contactpersonen werkzaam bij een BV of NV vallen wel onder de wet.
Bij het verwerken van persoonlijke gegevens moet rekening gehouden worden met een aantal punten.
1. Doelbinding
Bij het verkrijgen van de persoonlijke gegevens moet aangegeven worden voor welke doeleinden deze gegevens gebruikt gaan worden.
Wil je daarna de gegevens voor een ander doel (her)gebruiken, dan moet gecontroleerd worden of het nieuwe doel voldoende aansluit bij het oorspronkelijke doel.
Bij twijfel, neem altijd contact op met je manager of privacy officer.
2. Grondslag
Je hebt een goede reden nodig om persoonsgegevens te verwerken. Een goede reden is het aangaan van een overeenkomst met de klant of het in dienst nemen van een nieuwe medewerker. Voor de wet zijn medewerkers en klanten ongeveer gelijk.
Bijzondere persoonsgegevens zoals godsdienst, strafblad mogen in principe helemaal niet verwerkt worden.
Er zijn bijzondere persoonsgegevens, zoals een BSN nummer, die niet verwerkt mogen worden tenzij dit wordt voorgeschreven door een andere wet. In uitzonderlijke situaties kan dit dus wel mogen.
3. Noodzakelijkheid (proportionaliteit en subsidiariteit)
Gebruik je niet meer persoonsgegevens dan nodig?
Zijn er andere manieren beschikbaar om tot hetzelfde resultaat te komen waarbij je minder persoonsgegevens verwerkt?
4. Bewaren
Je moet er op letten dat je de persoonsgegevens op de juiste plaats opslaat. Bij voorkeur sla je ze alleen op in de daarvoor bedoelde IT systemen. Excel bestanden op een lokale- of netwerkschijf horen daar niet bij.
Persoonsgegevens mogen niet langer bewaard worden dat het doel waarvoor ze zijn verzameld. Dit met uitzondering van wetgeving die je verplicht de gegevens een bepaalde termijn te bewaren.
Voor gegevens moet een bewaartermijn vastgesteld worden. Deze termijn moet in een register beschreven zijn.
5. Kwaliteit
Zijn de persoonsgegevens die je verwerkt juist, compleet en worden ze onderhouden?
6. Integriteit en vertrouwelijkheid
Zijn er passende maatregelen genomen om de persoonsgegevens te beveiligen? Werk altijd vanuit ondersteunde, beveiligde IT systemen van je werkgever.
De onderneming heeft de plicht om de IT systemen op de AVG af te stemmen. Denk daarbij aan zaken als het uitvoeren van penetratietesten (controleren of het systeem te hacken is) en het formeel regelen van de bewaartermijn.
Tegenwoordig is de klant ook echt de koning als het gaat over de eigen gegevens.
7. Rechten van betrokkenen
De betrokkenen, klanten en medewerkers van een onderneming, moeten inzage kunnen krijgen in welke gegevens van hem/haar bekend zijn. Ook mag de betrokkene de gegevens aan (laten) passen.
Ze hebben recht op: inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar waarmee ze controle uit kunnen oefenen op de eigen gegevens.