PromZ Magazine 1-2018

z 2018 - nummer 1 - www.promz.nl 63 Werk aan de winkel! 9 grond van een gerechtvaardigd belang, dan dienen ook deze belangen gedocumenteerd te worden. Voor personeel is de wettelijke grondslag de arbeidsovereenkomst om persoonsge- gevens te verwerken, bij klanten is het vaak een combinatie van uitvoering van overeenkomst en het gerechtvaardigde belang dat u heeft voor marketing en sales om bepaalde gegevens van klanten vast te leggen. De eisen voor toestemming om persoons- gegevens te verwerken worden aangescherpt, zie volgende paragraaf. Gebruik daarom toestemming als laatste wettelijke grondslag omdat die het moeilijkste bewijsbaar is. 7 Toestemming Toestemming moet in het vervolg worden aangetoond. Voor toestemming die ook betrekking heeft op andere aangelegen- heden, gelden specifieke voorwaarden. De organisatie zal de huidige wijze van toestemming vragen dienen te evalueren, de toestemming vast te kunnen leggen in systemen en mogelijk- heden bieden om de toestemming in te trekken. Toestemming dient ook verkregen te worden indien er persoonsgegevens ver- werkt worden die niet noodzakelijk zijn voor de uitvoering van de overeenkomst. 8 Datalek Controleer of u sluitende procedures heeft voor het melden van datalekken, de opsporing en het onderzoek naar datalekken. Maar ook procedures voor het melden van datalekken bij de toezicht- houder en/of betrokkene. Tevens is van belang om specifieke procedures te hebben voor datalekken die bij bewerkers/ver- werkers plaatsvinden. Zorg voor een adequate beveiliging (mede te bepalen op het risico van de persoonsgegevens die worden verwerkt.) 9 Gegevensbescherming door privacy by design De organisatie dient (om naleving te kunnen aantonen) interne beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan de beginselen van gegevensbescherming door ontwerp (minimalisering van verwerking/pseudonimiseren etc). Stel procedures op die ervoor zorgen dat de bescherming van per- soonsgegevens reeds bij de ontwikkeling van nieuwe producten/ diensten, de uitvoering hiervan of de keuze en het gebruik van nieuwe toepassingen, reeds in de beginfase wordt onderzocht en uitgewerkt om aan de beginselen van de AVG te kunnen voldoen. 10 Internationaal Indien een organisatie meerdere vestigingen in de Europese Unie heeft, dient te worden vastgesteld welke toezichthoudende autoriteit als leidende autoriteit zal optreden voor grensover- schrijdende verwerkingen. 11 Bestaande contracten De AVG stelt niet alleen voorwaarden aan de inzet van verwerkers (bijvoorbeeld salarisadministratiebureau) maar ook de contractu- ele bepalingen in de overeenkomst tussen de organisatie en de verwerker. Om aan deze voorwaarden te kunnen voldoen, dient de organisatie de huidige contracten te reviewen, aan te passen en overeen te komen met de verwerkers. Gezien de looptijd van contracten is het aan te raden hier nu mee te beginnen. mr Alexander J.J.T. Singewald, Singewald Consultants Group, singewald@privacy.nl, tel. 0297 369767 En wat gaat u nu doen? A. Waarschuw de directie dat er een nieuwe wet (AVG) is die moet worden ingevoerd. B. Maak een overzicht van alle systemen waarin persoonsge- gevens worden verwerkt en voor welke doeleinden, bepaal bewaartermijnen, te lang bewaren geeft een datalek risico, let wel op de wettelijke fiscale bewaartermijn. C. Maak een overzicht van alle datastromen in uw organisatie, waar komen de gegevens vandaan (intern/extern) voor welk doel zijn deze verzameld, waar worden deze verder voor gebruikt en is dat verenigbaar. D. Maak een intern register (er is geen meldingsplicht meer bij de Autoriteit Persoonsgegevens) waarin wordt beschreven van wie voor welke doeleinden welke persoonsgegevens worden verzameld en voor welke doeleinden deze worden gebruikt. Wie de ontvangers zijn van de gegevens en of er verwerkers in het spel zijn die gegevens in opdracht van uw organisatie verwerken. Minimale informatie over bevei- liging en of informatie aan bedrijven gevestigd buiten de Europese Unie worden overgedragen en welke eventuele maatregelen zijn genomen. E. Stop verwerkingen zonder doeleinden of zonder wettelijke grondslag zoals bijvoorbeeld contract, gerechtvaardigd belang, toestemming. F. Zorg dat alle communicatie offline en online voldoet per 25 mei 2018 aan de nieuwe eisen, dit gaat om privacy- statements, colofons van catalogi met privacyinformatie, bestelformulieren, arbeidsovereenkomsten. G. Zorg voor procedures als personen hun persoonsgegevens willen inzien, verbeteren en wissen. H. Laat zien dat je met het onderwerp bezig bent, maak een dossier, maar wacht niet lang met het invoeren van de nieuwe regels in uw organisatie. De bescherming van per- soonsgegevens is een onderdeel van het kwaliteitsbeleid van uw organisatie.