WETGEVING





AVG 25 MEI 2018

Concrete stappen die moeten zijn genomen!









 








PRIVACY: AVG 25 MEI 2018

Als (hoofd)verwerker  van data is het belangrijk om de juiste maatregelen te treffen. Zorg in ieder geval  voor een "verwerkersovereenkomst" , een "register van verwerkingsactiviteiten", een beschrijving van een passend "gegevensbeschermingsbeleid" en de benoeming van een security officer.

TOP 8 VERBETERINGSACTIES

  1. Op plaatsen waar bedrijven (contactpersonen) gegevens achterlaten van deelnemers kan men dit bedrijf een akkoord laten “tekenen” dat de deelnemers hierover zijn geïnformeerd (en akkoord gaan). 

  2. Nadenken over de bewaartermijn van gegevens. Hoeveel jaar na afronding van een opleiding of het verwerken van een subsidie bewaren we de gegevens? Welke (deel)gegevens kunnen eerder of later worden verwijderd of geanonimiseerd?

  3. Het doel waarvoor de persoonsgegevens worden verwerkt heeft veelal als grondslag “gerechtvaardigd belang”. Hiervoor moet een motivatie zijn beschreven. Naast de keuze van gerechtvaardigd belang zijn er: "door toestemming vanuit de betrokkene (of via een overeenkomst/opdracht waarbij de betrokkene partij is)" en "wettelijke verplichting".

  4. Wat zijn de voorwaarden voor het uploaden van documenten. Moeten hier zaken op zijn doorgestreept. Hoe wordt afgevangen dat dit wordt nageleefd? Hoe lang moeten de documenten worden bewaard of toegankelijk zijn?

  1. Wat mag in “memo-velden” aan informatie worden opgeslagen? Het noemen van afspraken met een deelnemer is niet bezwaarlijk, wel de reden waarom de afspraak wordt gemaakt. Zaken met betrekking tot de studiehouding, gezondheid en dergelijke bij voorkeur niet benoemen (tenzij er een goede motivatie voor het "gerechtvaardigd belang" is beschreven).

  2. Mogen/kunnen werkgevers deelnemergegevens en voortgang inzien? Staan zij garant dat ze toestemming hiervoor hebben van de deelnemer?

  3. Bijzondere categorieën van persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Wanneer dit type gegevens worden verwerkt moet extra aandacht naar de beschrijving van het doel en de beveiliging.

  4. Voor andere dan in de wet genoemde doelen is het verwerken van BSN niét toegestaan. Controleer dat er geen BSN wordt verwerkt.