Menu

Q&A over de AVG: veelgestelde vragen over de nieuwe privacywet [1/3]

26-Apr-2018

Eind maart organiseerde PrivacyBlox, in samenwerking met zusterbedrijf ICTRecht, een webinar over de Algemene Verordening Gegevensbescherming (AVG). Tijdens deze webinar konden kijkers vragen stellen over wat de nieuwe privacywet gaat betekenen voor hun organisatie. De meest voorkomende vragen hebben we verzameld, samengevoegd en beantwoorden we in deze blogserie.

Met in dit eerste deel onder meer aandacht voor verwerkersovereenkomsten met bedrijven zoals MailChimp, wat in een privacyverklaring dient te staan en informatie over het aanstellen van een Functionaris Gegevensbescherming (FG).

Q: Gaat de Autoriteit Persoonsgegevens direct op 25 mei 2018 handhaven? 

A: Officieel mag de Autoriteit Persoonsgegevens (AP) vanaf 25 mei 2018 meteen handhaven. De voorzitter van de AP heeft wel aangegeven dat probleemoplossing voorop staat. Daarbij kan in sommige gevallen een snelle interventie het beste werken, in andere gevallen is een sanctie in de vorm van een last of boete beter op zijn plaats. Op dit moment wordt aangegeven dat de AP graag helpt met het beantwoorden van vragen en publiceert de AP ook regelmatig stukken ter ondersteuning van organisaties in de voorbereiding op de AVG.

Q: Hoe sluit je een verwerkersovereenkomst met grote bedrijven als Amazon, Dropbox en MailChimp? 

A: Grote bedrijven bieden vaak zelf een verwerkersovereenkomst aan voor hun gebruikers. Deze kan veelal verwerkt zitten in hun algemene voorwaarden, reeds onderdeel zijn van het contract, vindbaar zijn in uw accountomgeving of zijn op te vragen.

Q: Wanneer is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht? 

A: Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Daarnaast geldt de verplichting voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Relevant daarbij is onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid die deze organisatie verwerkt en hoe lang de organisatie mensen volgt. Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens (zoals gezondheid, ras of politieke opvatting) verwerken en dit een kernactiviteit is. Voor concerns is het mogelijk om een gezamenlijke FG aan te wijzen.

Voor meer informatie over dit onderwerp, lees de blog van ICTRecht over ‘Artikel 29-werkgroep richtlijnen Functionaris Gegevensbescherming (FG)’.

Q: Wat is een privacyverklaring en wat moet erin staan?

A: Verwerkingsverantwoordelijken dienen de betrokkenen van wie zij persoonsgegevens verwerken (zoals websitebezoekers, klanten of medewerkers) te informeren over welke gegevens zij verzamelen en met welk doel. Dat gebeurt meestal met een privacyverklaring. Deze moet in duidelijke en eenvoudige taal zijn opgesteld en makkelijk te vinden zijn. Betrokkenen moeten goed kunnen begrijpen wat er staat. Welk taalniveau hier het beste bij aansluit, is ter beoordeling van de verwerkingsverantwoordelijke.

De privacyverklaring moet verder in ieder geval de volgende punten bevatten:

  • de identiteit en de contactgegevens van de organisatie (en indien aanwezig van de FG)
  • de doelen van de gegevensverwerking (bijvoorbeeld: ‘wij verzamelen uw naam en adres zodat wij u onze diensten kunnen leveren’) en de genomen beveiligingsmaatregelen
  • de rechten van de betrokkenen (o.a. inzage- en correctierecht, maar ook het recht om persoonsgegevens te laten verwijderen en het recht om een klacht in te dienen bij een toezichthouder)
  • informatie over de ontvangers van de gegevens en of deze zich in derde landen bevinden (dus alle derde partijen naar wie de gegevens worden doorgestuurd)
  • informatie over de nieuwsbrief (mocht die er zijn)
  • indien er gebruik wordt gemaakt van profiling (aan de hand van verzamelde gegevens een profiel van iemand maken) dan dient dit ook gemeld te worden
  • informatie over cookies (wanneer deze worden gebruikt)

Q: Dient de verwerkersovereenkomst een aparte overeenkomst te zijn? 

A: Nee, het gaat erom dat partijen afspraken maken over de verwerking van persoonsgegevens en dat deze afspraken op de een of andere manier schriftelijk worden vastgelegd. Dat hoeft niet in een apart document, maar kan ook als onderdeel van de hoofdovereenkomst, algemene voorwaarden of service level agreement. Zolang de verplichte onderdelen uit de verwerkersovereenkomst onder de AVG, hierin maar goed worden vastgelegd.

Op zoek naar praktisch advies en uitleg over de AVG? Het ‘Handboek AVG Compliance in de praktijk’ biedt uitkomst! Dit praktijkboek bevat vele praktische voorbeelden en stappenplannen voor de belangrijkste privacydocumenten, processen en verplichtingen van de AVG.