Meest gestelde vragen

Wetgeving

HRM en organisatie

Vanaf wanneer geldt de AVG?

Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.
Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden.  Tijdens deze 2 jaar geldt in Nederland nog steeds de Wet bescherming persoonsgegevens.

Wat is een functionaris voor de gegevensbescherming?

Een functionaris voor de gegevensbescherming (FG) is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de geldende privacywetgeving.

De wet stelt een aantal eisen aan FG’s:

  • Een FG moet een natuurlijk persoon zijn.
  • Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
  • Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.

Ben ik verplicht een functionaris voor de gegevensbescherming aan te stellen?

Als de AVG van kracht is, zijn diverse organisaties verplicht een Functionarissen voor de gegevensbescherming (FG’s) aan te stellen.

Het verplicht aanstellen van een FG geldt voor:

  1. overheidsinstanties en -organen (ongeacht de door hen verwerkte gegevens)
  2. organisaties die – als een van hun kerntaken – stelselmatig en op grote schaal personen observeren
  3. organisaties die op grote schaal bepaalde categorieën persoonsgegevens verwerken.

Ook waar de AVG het aanstellen van een FG niet specifiek verplicht stelt, kan het voor sommige organisaties zinvol zijn vrijwillig een FG aan te wijzen.

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Het is nog niet bekend of dit in Nederland gaat gebeuren.

Wat is een Privacy Impact Assessment (PIA)?

Een Privacy Impact Assessment (PIA) is een instrument waarmee organisaties privacyrisico’s in kaart kunnen brengen. Het onderzoek richt zich op de mogelijke impact bij verwerkingen van persoonsgegevens op de privacy. Hierdoor krijgt uw bedrijf inzicht in wat de risico’s zijn en kunt u passende procedures en maatregelen die de privacy en veiligheid van gegevensverwerking borgen.

Heeft mijn personeel recht op het eigen personeelsdossier?

Nu hebben medewerker al het recht om het eigen personeelsdossier in te zien. Als de AVG van kracht is, dan hebben ze het recht om een kopie van het eigen personeelsdossier in een standaardformaat te ontvangen (bijvoorbeeld pdf).

Mag ik foto’s plaatsen in een smoelenboek op ons intranet?

De Autoriteit Persoonsgegevens stelt heel duidelijk:  foto’s van werknemers in een smoelenboek zetten vereist toestemming van de gefotografeerde. Dat is ook in de Wet bescherming persoonsgegevens zo geregeld. Dus het mag alleen als uw medewerker hiervoor toestemming heeft gegeven. De toestemming is pas geldig als deze vrijwillig, specifieke voor deze situatie en op basis van voldoende informatie is gegeven. De medewerker kan de toestemming op elk moment intrekken. U moet de foto vanaf dat moment uit het smoelenboek op intranet verwijderen.

Heeft de OR iets te zeggen over de verstrekking van personeelsgegevens?

Als uw organisatie  van plan is  personeelsgegevens te verstrekken, dan moet u dit eerst voorleggen aan de ondernemingsraad (OR). De OR heeft wettelijk instemmingsrecht bij voorgenomen verstrekkingen van personeelsgegevens. Dat houdt in dat uw organisatie een regeling hiervoor in principe niet mag vaststellen, veranderen of intrekken zonder instemming van de OR.

Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers

Internet / ICT

Klantgegevens

Weg met de pop-up vensters?

Ja: in het geval er geen cookies worden gebruikt waarvoor toestemming nodig is kunnen de pop-up schermen achterwege blijven.

Nee: zoals hierboven uitgelegd, op het moment dat een cookie gebruikt wordt voor trackingdoeleinden, dan blijft het verplicht om de bezoeker vooraf om toestemming te vragen. Dit cookiegebruik valt namelijk buiten het doel van het verzamelen van ‘informatie over kwaliteit of effectiviteit’ en deze cookies maken bovendien een meer dan geringe inbreuk op de privacy. Omdat met name deze vorm van cookiegebruik voor een hoop web-gedreven aanbieders interessant is, betekent dit dat we nog niet van pop-up vensters en banners zijn verlost.

Let op: Ook in het geval slechts “toegestane” cookies worden geplaatst betekent dat nog niet dat de bezoeker over het gebruik van dat soort cookies niet geïnformeerd hoeft te worden. Omdat in de Telecommunicatiewet wordt verwezen naar de Wbp zijn de betreffende bepalingen daaruit ook relevant voor de cookiewetgeving.

Zie voor een meer uitgebreide toelichting over dit onderwerp het artikel: Een Cookie erbij?

Moet ik een privacystatement hebben op bedrijfswebsite?

Een privacy statement is wettelijk verplicht voor elke website die persoonsgegevens van bezoekers gebruikt. U moet in het statement aangeven welke privacygevoelige gegevens u verzamelt en met welk doel. De informatieverstrekking bij het verkrijgen van persoonsgegevens rechtstreeks van de betrokkene is in de AVG specifieker en uitgebreider dan die was in de Wbp.

Een privacy statement moet voor klanten makkelijk te vinden. Als klanten op uw website via een digitaal bestelproces producten kunnen bestellen, dan is sterk aan te raden om het privacy statement (naast uw algemene voorwaarden) een “af te vinken” onderdeel van dit proces te laten zijn.

In uw privacy statement dient u de volgende onderwerpen (in begrijpelijke taal!) op te nemen:

  • uw bedrijfsgegevens;
  • welke gegevens verzameld worden;
  • wat u met de verzamelde gegevens doet;
  • met welk doel (bijv. contact opnemen, producten leveren etc.) u de gegevens nodig heeft;
  • of u voor de verwerking van de persoonsgegevens derde partijen gebruikt (de zgn. bewerkers);
  • hoe lang u de gegevens wilt bewaren;
  • welke cookies u gebruikt (indien van toepassing);
  • op welke wijze u de gegevens beveiligt;
  • waar u de gegevens opslaat (in Ned. of elders?);
  • uitleg over inzage en correctie recht van de opgegeven privacy gegevens en de verwijdering daarvan (het recht om vergeten te worden);
  • contactgegevens in verband met inzage- en correctie recht alsmede het recht om vergeten te worden.

 

Als u al deze onderwerpen in uw privacy statement opneemt dan is uw privacystatement AVG-gereed.

 

Mogen wij op bedrijfswebsite gebruik maken van cookies?

In maart 2015 werd de tot dan toe bestaande cookie wetgeving aangepast. Vanaf die datum geldt als regel voortaan dat men zonder toestemming cookies plaatsen mag mits de cookies de privacy van de bezoeker niet, of slechts een klein beetje, schenden én je dat doet dan slechts dan in het kader van het doel om “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.

 

  • Geen toestemming vereist

Wanneer we dan spreken over cookies die geen of weinig inbreuk op de privacy maken dan kunnen we een onderscheid maken tussen:

  • analytische cookies en
  • functionele cookies:

 

  • Altijd toestemming vereist!

Websites die inbreuk maken op de privacy moeten altijd toestemming aan de gebruiker vragen om cookies te plaatsen.

Te denken is m.n. aan tracking software. Met deze software wordt het surfgedrag van een gebruiker gevolgd over één of meerdere websites en apps.

Mag ik ook onder de AVG nog een nieuwsbrief aanbieden via onze (bedrijfs)website?

Ja, dat mag mits u zich houdt aan een aantal regels.

  1. Allereerst heeft u toestemming van de betrokkene nodig. Dat mag niet via een reeds aangevinkt “ja, ik wil” vakje. Dit moet via de zogenaamde opt/in methodiek met een open en vrije mogelijkheid tot aanvinken. De toestemming moet heel expliciet en specifiek juist voor deze nieuwsbrief zijn. Als u meerdere nieuwsbrieven heeft, voldoet één bepaald toestemming niet automatisch voor het toezenden van de rest.
  2. Ten tweede dient u ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. U heeft geen adresgegevens nodig voor het verzenden van een online nieuwsbrief en evenmin heeft u bijv. het geslacht van de ontvanger nodig. Vaak kunt u volstaan met de naam van de ontvanger en diens emailadres.
  3. Kortom: verzamel niet meer dan nodig is. Hoe verleidijk het wellicht vanuit marketingdoeleinden ook is om juist zoveel mogelijk te weten te komen over uw (potentiële) klanten. Bij deze regel gaat het overigens sec om het verzamelen, verwerken en gebruiken van informatie van een natuurlijk persoon. Algemene gegevens van een organisatie of instelling zijn geen persoonsgegevens; nadere gegevens van een contactpersoon binnen die organisatie of instelling zijn dat weer wel.
  4. In het kader van het toestemmingsproces moet u uw klant aangeven wat er met de gegevens die u vraagt gaat doen. Voor een nieuwsbrief is dit veelal simpel: u heeft die gegevens nodig om de nieuwsbrief te kunnen verzenden en wellicht kunt u ook aangeven hoe vaak u per jaar van plan bent dat te doen. U kunt e.e.a. ook in uw privacy statement opnemen en in het toestemmingsproces daarnaar verwijzen.
  5. Vergeet vervolgens niet om in elke nieuwsbrief de mogelijkheid op te nemen om eenvoudig uit te kunnen schrijven. Deze mogelijkheid moet u bieden. En het liefste niet in een bijna onleesbare lettergrootte. De AVG verwacht van u volledige transparantie.
  6. Een transparantie die ook tot uitdrukking moet komen in het doel van de nieuwsbrief. Heeft u een commercieel doel dan mag u zich niet verschuilen achter allerlei fraaie mistige verhalen die tot doel hebben uw commerciële insteek juist te verhullen.
  7. U moet volstrekt duidelijk zijn van wie de nieuwsbrief afkomstig is. Door de naam van de nieuwsbrief, uw bedrijfslogo, uw adresgegevens etc. en (zeker niet te vergeten) de wijze waarop men op een eenvoudige wijze met u in contact kan komen.

De nieuwe privacywetgeving heeft dus impact op de nieuwsbrieven aan uw klanten.

Hebben klanten het recht om hun persoonsgegevens op te vragen?

Ja, dat hebben ze. Met de invoering van de AVG wordt het begrip dataportabiliteit ingevoerd. Een begrip dat wil zeggen dat degene van wie u als organisatie gegevens opslaat en verwerkt het recht heeft om eigen gegevens mee te nemen naar een andere partij. Klanten hebben het recht een kopie te ontvangen van de persoonsgegevens die u als organisatie heeft verzameld.

Het gaat om alle gegevens die klanten actief en bewust aan u hebben verstrekt, zoals accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die op een online formulier zijn ingevuld. En het gaat ook om gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.

U hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken, dat wil zeggen gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld. Deze gegevens moet u bij een inzageverzoek overigens wél verstrekken.

De gegevens moet u, op verzoek, aanleveren in, zoals de Verordening zegt, een gestructureerd, veelgebruikt en machine leesbaar formaat. In andere woorden: de kopie moet in een algemeen gebruikt digitaal formaat worden aangeleverd zodat de bestanden verder gebruikt kunnen worden.

Mag ik kosten in rekening brengen voor dataportabiliteit?

Nee, in principe niet. Bij het huidige inzagerecht volgens de Wbp mag u geld vragen voor het verstrekken van kopieën, maar bij het recht op dataportabiliteit volgens de AVG heeft u deze mogelijkheid niet.

Alleen als u kunt aantonen dat een verzoek duidelijk ongegrond is of excessief (bijvoorbeeld als u heel veel verzoeken van één persoon krijgt), kunt u geld vragen of het verzoek weigeren. De kosten zijn voor uw rekening en mag u niet verhalen op uw klanten of gebruiken als argument om een verzoek af te wijzen.

Heeft u een andere vraag?

Vraag het gerust via onderstaand contactformulier, wij geven zo spoedig mogelijk antwoord.

Contact