AVG deel II: Verwerken van persoonsgegevens
Verwerkt je organisatie persoonsgegevens, dan gelden er bepaalde verplichtingen. Zo moet je organisatie vastleggen welke persoonsgegevens worden verwerkt, met welk doel en hoe lang. Werk je samen met andere partijen die persoonsgegevens voor jou verwerken, dan gelden aanvullende verplichtingen. In deze checklist lees je wat je moet regelen als je organisatie persoonsgegevens verwerkt of laat verwerken.
Verwerken persoonsgegevens
In de Algemene verordening gegevensbescherming staan regels voor het verwerken van persoonsgegevens. Je doet als organisatie al snel aan het verwerken van gegevens. Verwerken is een breed begrip. De AVG verstaat onder verwerken onder meer: verzamelen, vastleggen, opslaan, wijzigen, gebruiken, aanpassen, verspreiden, doorsturen, wissen, enzovoort. Zo zijn activiteiten als een ledenadministratie bijhouden, een smoelenboek van medewerkers op de website plaatsen, een personeelsdossier aanleggen en e-mailadressen van klanten bewaren, voorbeelden van het verwerken van persoonsgegevens.
Verwerkingsregister
Je organisatie heeft volgens de AVG verantwoordingsplicht. Dat betekent dat je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Dat kan met een verwerkingsregister. Dit is verplicht voor organisatie van 250 of meer medewerkers. Hoe het register eruitziet mag je zelf weten, maar aan de inhoud stelt de AVG wel eisen. Het moet onder meer naam en contactgegevens, doel van de gegevensverwerking, aard van de gegevens en de bewaartermijn bevatten.
Verwerkt je organisatie gegevens in opdracht van een externe partij? Dan moet je ook hierover informatie opnemen in het verwerkingsregister.
Verwerkersovereenkomst
Werkt je organisatie samen met een externe partij die persoonsgegevens van je organisatie verwerkt? Dan moeten zowel jouw organisatie als de verwerkende partij afspraken hierover vastleggen in een verwerkersovereenkomst. Denk aan de arbodienst die voor jou de verzuimadministratie bijhoudt en de verzuimverzekeraar. In de verwerkersovereenkomst moeten in ieder geval het onderwerp en de duur van de gegevensverwerking staan, de aard en het doel ervan, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Zowel jouw organisatie als de externe partij (de verwerker) zijn ervoor verantwoordelijk dat er een verwerkersovereenkomst is. Meer weten over het opstellen van een verwerkersovereenkomst? Bekijk dit model.
Data protection impact assessment (DPIA)
Het is niet verplicht om een Data protection impact assessment (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s en maatregelen van gegevensverwerking in kaart te brengen. Dit is alleen verplicht voor organisaties met een hoog privacyrisico, denk hierbij aan organisaties die veel bijzondere persoonsgegevens verwerken, zoals arbodiensten, verzuimverzekeraars en ziekenhuizen.
Ook al is het niet verplicht, het is wel aan te raden een DPIA uit te voeren. Zo weet je zeker dat je organisatie voldoet aan de regels uit de AVG.
Functionaris gegevensbescherming (FG)
Het aanstellen van een functionaris gegevensbescherming is in sommige gevallen verplicht:
- als er op grote schaal bijzondere persoonsgegevens verwerkt worden;
- als de hoofdfunctie van de organisatie om observatie draait. Denk hierbij aan cameratoezicht voor beveiliging of monitoring van gezondheid;
- als het een overheidsinstantie of publieke organisatie betreft.
Wat grootschalige verwerking is staat niet concreet in de AVG. Je moet denken aan van ziekenhuizen, financiële instellingen en internetproviders. Hierdoor is er risico van grootschalige schade bij een datalek.
Privacyprotocol
Hoewel niet verplicht, is het wel nuttig om een privacyprotocol op te stellen. Dat is een document waarin je regels en werkwijzen vastlegt, die bepalen hoe je organisatie omgaat met privacy. Dit document kun je zo uitgebreid maken als je wilt. Denk aan het verplicht vergrendelen van het computerscherm bij het verlaten van het bureau of hoe om te gaan met de e-mailboxen van afwezige collega’s. Belangrijk: zorg dat al je medewerkers op de hoogte zijn van de geldende privacyregels en dat het privacyprotocol voor iedereen toegankelijk is.
Wil je het privacyprotocol aanpassen? Let op: als je organisatie een ondernemingsraad heeft, moet je die betrekken bij de besluitvorming. Dat staat in artikel 27 van de Wet op de ondernemingsraden (WOR).