Privacybeleid

(AVG)
Allround Automotive Solutions
ACH

Februari 2020

 

1. Inleiding

 

Binnen de schadeherstelketen worden persoonsgegevens o.a. van klanten ten behoeve van onze dienstverlening en van onze medewerkers ten behoeve van de bedrijfsvoering verwerkt.

De feiten voor ACH m.b.t. de Algemene Verordening Gegevensbescherming (AVG)

  • De AVG is van toepassing op de gegevensverwerkingen van ACH waarbij, rekening houdend met nationale beperkingen en uitzonderingen, voor de uitvoeringswetgeving Nederlands recht van toepassing is.
  • ACH verwerkt diverse gegevens. De inventarisatie komt verderop in dit beleid terug. Bij de verwerking heeft ACH zowel de rol van verwerkingsverantwoordelijke als verwerker.

Vanaf 25 mei 2018 is de wet AVG van kracht en vindt handhaving plaats door de Autoriteit Persoonsgegevens.

Dit privacybeleid behandelt de bepalingen van de AVG, er wordt aangegeven in hoeverre deze bepalingen de bedrijfsvoering van ACH raken en welke maatregeling genomen zijn om te voldoen aan hetgeen in de AVG wordt gesteld. Bij het schrijven van dit beleid is gebruik gemaakt van de handleiding Algemene verordening gegevensbescherming van het Ministerie van Justitie en Veiligheid[1] en het stappenplan zoals dat via www.avg.nl aangeboden wordt. Onze brancheorganisatie FOCWA adviseert en faciliteit i.s.m. de firma AVG de aangesloten leden.

Advies/deskundige begeleiding

Om te borgen dat de AVG op een correcte wijze wordt geïnterpreteerd, wordt tevens advies ingewonnen bij Advocaten van Oranje en waar van toepassing worden documenten en/of processen ook door Advocaten van Oranje getoetst.

Borging

Op dit privacybeleid wordt de PDCA-cyclus toegepast om de actualiteit te borgen.

Doel

Het privacybeleid helpt het bij het creëren van bewustwording over het belang en de noodzaak van het beschermen van persoonsgegevens. Het Privacybeleid beoogt compliant zijn met de Nederlandse en Europese wetgeving.

2. Beleidsprincipes Verwerking Persoonsgegevens

Beginselen

Elke verwerking van persoonsgegevens moet in lijn zijn met de volgende beginselen:

  1. De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zin (“rechtmatigheid, behoorlijkheid en transparantie”).
  2. De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”).
  3. De gegevens moeten toereikend zijn, ter zake dienend en beperkt tot het noodzakelijke zijn (“minimale gegevensverwerking”).
  4. De gegevens moeten juist zijn (“juistheid”).
  5. De gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”).
  6. De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).

Voor bovenstaande beginselen geldt dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving en kan aantonen dat de gegevensverwerking in lijn is met de beginselen (de verantwoordingsplicht). 

Legitieme gegevensverwerking

  1. Persoonsgegevens mogen alleen verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen/doeleinden. Dit betekent dat voordat begonnen wordt met verzamelen of verwerken van persoonsgegevens vast moet liggen waarvoor deze persoonsgegevens nodig zijn.
  2. Verdere verwerking is in drie situaties toegestaan[2].

Gerechtvaardigd verwerkingsdoel

Elke gegevensverwerking moet gerechtvaardigd zijn. Er zijn zes grondslagen, slecht één van de grondslagen hoeft van toepassing te zijn om de verwerking te rechtvaardigen.

Belangrijke rollen in de AVG

Binnen de AVG is er een drietal rollen die van belang zijn, nl: Verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker.
Bij elke rol horen bepaalde verantwoordelijkheden.

 

Van verwerker naar verwerkingsverantwoordelijke: Op het moment dat een verwerker over de gegevens, die via een verwerkingsverantwoordelijke zijn ontvangen, zelfstandig beslissingen gaat nemen over de doelen van de verwerking en de middelen, dan wordt de verwerker de verwerkingsverantwoordelijke voor die (nieuwe) bewerkingen.

3. Plichten verwerkings
verantwoordelijke

De verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. De plichten uit de verordening moeten worden nageleefd en de goede naleving moet aangetoond kunnen worden.

Om concreet invulling te kunnen geven dient de verwerkingsverantwoordelijke tenminste de volgende maatregelen te nemen:

  • Register van verwerkingsactiviteiten bijhouden (registerplicht).
    Dit register is opgeslagen op een separate harde schijf.
  • Evt een functionaris voor gegevensbescherming aan te stellen.
    Op basis van de huidige informatie kan gesteld worden dat dit voor ACH niet van toepassing is. De aard van de verwerkingen en de omvang van het bedrijf geven geen aanleiding om een functionaris gegevensverwerking aan te stellen.
  • Bij risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uitvoeren.

Met de huidige kennis van de ACH bewerkingen (zie register) van persoonsgegevens kan worden gesteld dat voor ACH de persoonsverwerking geen hoog risico inhoudt. Gegevensbeschermingseffectbeoordeling is daarmee niet aan de orde

  • Voorafgaand aan nieuwe risicovolle verwerkingsactiviteiten Autoriteit Persoonsgegevens raadplegen. Op basis van de huidige informatie kan gesteld worden dat dit voor ACH niet van toepassing is.
  • Bij het inrichten van verwerkingen rekening houden met het principe van privacy door ontwerp en standaardinstellingen.

ACH conformeert zich aan dit uitgangspunt.

  • Passende beveiligingsmaatregelen te treffen met het oog op de bescherming van de persoonsgegevens.
    ACH streeft naar de hoogst mogelijke beveiliging passend bij de aard van de verwerking.
  • In het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden betrokkenen daarover te informeren.
    ACH neemt bij een datalek éérst contact op met Advocaten van Oranje om de situatie door te spreken en te bepalen of melding noodzakelijk is. Advocaten van Oranje begeleidt het verdere proces. Uiteraard houden we daarbij rekening met de 72-uurs meldtermijn.
  • Dient afspraken te maken met verwerkers.
    ACH heeft als uitgangspunt dat er uitsluitend gegevens worden doorgegeven ter verwerking indien er verwerkersovereenkomst aan ten grondslag ligt.

4. Plichten als verwerker

De verwerkingsverantwoordelijke bepaalt het doel en middelen voor de verwerking en om die reden is ook het merendeel van de verplichtingen uit de Verordening aan de verwerkingsverantwoordelijke gericht. De afspraken die tussen de verwerkingsverantwoordelijke en verwerker dienen te worden vastgelegd in een overeenkomst.

  • In de rolverdeling tussen de verwerkingsverantwoordelijke en de verwerker betekent dit dat de verwerker handelt op basis van de instructies van de verwerkingsverantwoordelijke.
    ACH volgt de gegeven instructies op.
  • De verwerker moet de verwerkingsverantwoordelijke helpen bij het uitvoeren van sommige van de plichten, zoals bijvoorbeeld de invulling van de rechten van de betrokkene en het melden van datalekken.

ACH zal op verzoek van de verwerkingsverantwoordelijke meewerken.

  • De verwerker zorgt voor (aantoonbare) deskundigheid, betrouwbaarheid en de juiste middelen op technisch en organisatorisch gebied om naleving van de Verordening te garanderen. De verwerker dient zelfstandig passende beveiligingsmaatregelen te treffen voor de gegevensverwerkingen
    ACH heeft passende technische en organisatorische maatregelen genomen, passend bij de risico’s van de gegevensverwerking.
  • De verwerker dient zorg te dragen dat eenieder die onder het gezag van de verwerker handelt en toegang heeft tot de persoonsgegevens deze enkel in opdracht van de verwerkingsverantwoordelijke verwerkt en vertrouwelijk behandelt.

ACH conformeert zich hieraan en heeft voor betreffende personen een geheimhoudingsverklaring opgesteld.

  • De verwerker dient een register bij te houden van de verwerkingsactiviteiten.
    ACH houdt deze verwerkingsactiviteiten bij. Dit register is te vinden op <zet hier de link waar het register is opgeslagen>.

Een verwerker kan óók een functionaris voor gegevensbescherming aanstellen. Dan gelden dezelfde vereisten als de vereisten die aan die FG worden gesteld bij een verwerkingsverantwoordelijke.

Voor ACH in de rol van verwerker, is het, op basis van de huidige kennis van zaken, niet noodzakelijk om een FG aan te stellen.

5. De rechten van de betrokkene

Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten [3]aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:

  • Het recht op informatie over de verwerkingen;
  • Het recht op inzage in zijn gegevens;
  • Het recht op correctie van de gegevens als deze niet kloppen;
  • Het recht op verwijdering van de gegeven en ‘het recht om vergeten te worden’;
  • Het recht op beperking van de gegevensverwerking;
  • Het recht op verzet tegen de gegevensverwerking;
  • Het recht op overdracht van zijn gegeven (dataportabiliteit);
  • Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

De verwerkingsverantwoordelijke moet gehoor geven aan deze rechten, tenzij het verzoek ongegrond of buitensporig is. Binnen een maand na ontvangst van het verzoek van de betrokkene informeren over de uitvoering van het verzoek (of aangeven dat geen gehoor gegeven wordt aan het verzoek). Voor nadere informatie over snelheid en vormvereisten zie hoofdstuk 7 van de handleiding algemene verordening gegevensbescherming.

Indien een betrokkene een van deze rechten uitoefent en bij ACH een verzoek indient, schakelt ACH <naam advocaat/jurist>  in om het verzoek op correcte wijze af te handelen.

6. Verantwoording afleggen

De Verordening bepaalt dat het nemen van maatregelen alleen niet afdoende is, e.e.a. moet ook aangetoond worden. Daarvoor zijn bij ACH de volgende maatregelen genomen:

  • Bijhouden register verwerkingsactiviteiten.
  • Informatievoorziening aan betrokkenen op schrift gesteld d.m.v. een privacyverklaring.
  • Bij hanteren grondslag toestemming wordt de wijze vastgelegd waarop toestemming wordt gevraagd én bewijs dat deze toestemming daadwerkelijk is verleend.
  • Wanneer grondslag gerechtvaardigd belang wordt gehanteerd, wordt het gerechtvaardigd belang gedocumenteerd.
  • Documenteren van processen en procedures ter waarborging van de rechten van de betrokkenen.
  • Verwerkersovereenkomsten worden conform de eisen uit de Verordening opgesteld voor elke inzet van verwerkers. Daar waar we gebruik maken van derden zullen wij geen persoonsgegevens doorgeven aan andere partijen waarmee geen verwerkersovereenkomst is afgesloten als dit noodzakelijk is voor uitvoering van de doeleinden waarvoor de gegevens zijn gekregen.
  • Er is een procedure opgesteld hoe te handelen bij een datalek.
  • Datalekken worden geregistreerd.
  • Bij het ontwerpen van nieuwe processen/procedures wordt rekening gehouden met de uitgangspunten van gegevensbescherming door ontwerp en door standaardinstellingen. Bij voorkeur wordt bij de beschrijving van het proces/procedure aangegeven welke maatregel n.a.v. de AV.

7. Beveiligingseisen verwerkingen

De Verordening stelt verplicht dat de verwerkte persoonsgegevens worden beveiligd. Er dienen passende technische en organisatorische maatregelen getroffen te worden die een op het risico afgestemd beschermingsniveau waarborgen. Denk hierbij aan de volgende maatregelen:

  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Technische maatregelen zijn bijvoorbeeld het toepassen van encryptie, het opzetten van een firewall of het opslaan van gegeven in beveiligde omgevingen. Bij organisatorische maatregelen kan gedacht worden aan het beperken van de toegang tot gegevens tot bepaalde medewerkers (autorisatiebeleid).

Voor ACH betekent dit dat zij professionele partijen inhuurt om invulling te geven aan de technische ondersteuning van de gegevensverwerking teneinde een zo goed mogelijke beveiliging te bewerkstelligen.( Evt: Daarnaast heeft ACH een autorisatiebeleid en bevoegdhedenregeling waarin de autorisatie en bevoegdheden van de medewerkers staan vermeld).

Toegangsbeveiliging

Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam.

ACH heeft persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord, de zgn 2fa (two factor authenticatie).

Data minimalisatie.

Dataminimalisatie houdt in dat er nooit meer persoonsgegevens opgeslagen moeten zijn dan strikt nodig is voor het doel waarvoor deze zijn gevraagd.

ACH heeft als uitgangspunt dat we uitsluitend de benodigde gegevens opslaan. De persoonsgegevens worden uitsluitend gebruikt voor het doel waarvoor toestemming is gevraagd en gekregen.

Passende beveiligingsmaatregelen

ACH zorgt voor technische en organisatorische beveiligingsmaatregelen om een beveiligingsniveau te bereiken dat past bij het risico. Hierbij wordt rekening gehouden met de laatste stand van de techniek, de kosten van implementatie, evenals de aard, de reikwijdte, de context, de doeleinden van de verwerking en de risico’s voor de rechten en vrijheden van personen.

ACH heeft haar beveiligingsmaatregen uitbesteed. Alle beveiligingsmaatregelen die genomen dienen te worden zijn uitbesteed aan Rem en Co ICT diensten.

Bewaartermijnen

Persoonsgegevens mogen niet langer bewaard worden dan nodig. Hierbij dient wel rekening gehouden te worden met bijvoorbeeld wettelijke termijnen of andere randvoorwaarden die horen bij het doelbinding.

Bijvoorbeeld bij schadeherstel wordt FOCWA garantie gegeven. Deze FOCWA garantie duurt 4 jaar. De persoonsgegevens die opgeslagen zijn t.b.v. schadeherstel mét FOCWA garantie dient daarmee minimaal 4 jaar bewaard te blijven. Na de benodigde bewaartermijn dienen te gegevens verwijderd of geanonimiseerd te worden.

ACH vermeld de bewaartermijnen in het verwerkingsregister.

Privacy by default en Privacy by design

Privacy by default: ACH gaat er bij de verwerking van persoonsgegevens vanuit dat ‘Nee’ de standaard is.
Overal waar door ACH om toestemming wordt gevraagd voor het verwerken van persoonsgegevens of acceptatie van de privacy policy moet het antwoord actief op ja gezet worden.

Privacy by design: Bij het ontwerpen van producten en diensten zorgt ACH ervoor dat persoonsgegevens goed worden beschermd.
ACH verzamelt niet meer persoonsgegevens dan noodzakelijk voor het doel van de verwerking en bewaart deze niet langer dan nodig.

Systeemlandschap

Door inzicht te krijgen met welke partijen ACH samenwerkt en welke rollen daarin van toepassing zijn, ontstaat het systeemlandschap voor ACH

Deze gegevens zijn eveneens terug te vinden in het verwerkingsregister.
Met partijen die verwerker zijn voor ACH worden verwerkersovereenkomsten gesloten.

8. Incidenten met betrekking tot persoonsgegevens

Meldplicht datalek

De Verordening bevat een verplichting om onder omstandigheden een inbreuk in verband met persoonsgegeven (een datalek) mee te delen aan de Autoriteit Persoonsgegevens en de betrokkene. Bij een datalek heeft zich daadwerkelijk een beveiligingsincident voor gedaan; denk hierbij aan een hack van de ict systemen of verlies van laptop of usbstick met daarop persoonsgegevens.

Protocol meldplicht

Dit protocol beschrijft de procedure met daarin te nemen maatregelen die binnen de ACH genomen moeten worden bij een datalek volgens de meldplicht datalekken van de Algemene Verordening Persoonsgegevens (AVG). De meldplicht bij een datalek is verplicht conform de AVG. 

Reikwijdte van de meldplicht datalekken

Indien er sprake is van een inbreuk op de beveiliging van persoonsgegevens als bedoeld in de AVG die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens dan wordt dit als een datalek gekwalificeerd en zal dit bij de Autoriteit Personengegevens (AP) moeten worden gemeld. Er moet dus sprake zijn van het ‘lekken van data’ en dat het lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens tot gevolg heeft. Een enkele tekortkoming of kwetsbaarheid in de beveiliging is geen datalek. Dit is wel het geval wanneer redelijkerwijs niet kan worden uitgesloten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid.

Datalekken kunnen ontstaan door:

  • moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, mailware besmetting);
  • technisch falen (ICT-storingen);
  • menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username/wachtwoord aan collega’s en
  • externen);
  • calamiteit (brand datacentrum, wateroverlast);
  • verloren USB stick of laptop;
  • verzenden van email met emailadressen van alle geadresseerden;
  • maar ook het onrechtmatige verwerking van gegevens.

Meldingen

Een datalek kan door een medewerker of een bewerker  van <naam SHB>worden ontdekt. Deze ontdekking wordt aan de directie/vestigingsmanager of diens vervanger medegedeeld. Die vervolgens over zal gaan tot de beoordeling of er sprake is van een datalek.

Omdat (het vermoeden van) een datalek naar verwachting niet vaak voorkomt en voorkomen moet worden dat er onterecht wel of geen melding datalek wordt gedaan, is besloten om bij (een vermoeden van) een datalek onmiddellijk het hoofdkantoor van ACH te informeren en Advocaten van Oranje in te schakelen om dit proces extern te begeleiden.

Bij de beoordeling is aandacht voor de volgende aspecten:

  1. wat is de aard van het datalek (bijzondere of gevoelige gegevens dienen per definitie te worden gemeld) ;
  2. wat is de oorzaak dat dit incident heeft plaatsgevonden;
  3. is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures;
  4. is de organisatie verwijtbaar.

Indien sprake is van een datalek dan zal de directie binnen 2 dagen, maar niet later dan 72 uur na ontdekking zorg dragen voor een melding bij de Autoriteit Persoonsgegevens.

Interne registratie datalek

Verder zal de directie/vestigingsmanager een overzicht bijhouden van alle datalekken binnen ACH Per datalek wordt in het overzicht aangegeven wat de feiten en gegevens zijn van de aard van de inbreuk. De informatie over een datalek wordt voor minimaal 1 jaar in het overzicht bewaard.

Melding datalek aan Autoriteit Persoonsgegevens (AP)

Indien vastgesteld wordt dat er een melding aan de AP nodig is, wordt de procedure melding data AP opgestart. Na de melding datalek ontvangt ACH een ontvangstbevestiging van de Autoriteit Persoonsgegevens. De AP zal contact met ACH opnemen mocht na een melding aanleiding zijn om nadere actie te ondernemen.

Hierbij zal met name de herkomst van de melding worden geverifieerd en kan ACH  aanwijzingen van de AP krijgen.

Melding datalek aan betrokkene(n)

Wanneer vaststaat dat een datalek bij de AP gemeld moet worden dan dient hierna beoordeeld te worden of een datalek ook aan betrokkene(n) moet worden gemeld. Betrokkenen zijn degenen wiens persoonsgegevens zijn betrokken bij een inbreuk. In het geval van ACH zijn de betrokkenen bijvoorbeeld de klanten die schadeherstel hebben laten uitvoeren. Ook een medewerker van ACH kan als betrokkene worden aangemerkt indien het om persoonsgegevens gaat van die medewerker.

Een betrokkene moet ook onverwijld in kennis worden gesteld van de inbreuk. Indien de inbreuk waarschijnlijk geen ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene of wanneer de technische beschermingsmaatregelen (bijvoorbeeld encryptie) die zijn genomen voldoende bescherming bieden, kan melding van het datalek aan de betrokkene achterwege blijven.

Taken, verantwoordelijkheden en bevoegdheden:

  1. Iedere medewerker of bewerker van ACH die direct of indirect kennis draagt of krijgt van een datalek, is verplicht dit direct te melden de directie en bij diens afwezigheid aan de vervanger;
  2. De directie is verantwoordelijk voor het onderzoeken van het incident waarbij de externe deskundigheid via Kessels Advocaten/naam eigen advocaat wordt ingezet;
  3. De Directie is verantwoordelijk om het hoofdkantoor van ACH per direct in kennis te stellen van (een vermoeden van) een datalek.
  4. De Directie is verantwoordelijk voor de beoordeling of een datalek aan de Autoriteit Persoonsgegevens gemeld moet worden respectievelijk of een datalek aan de betrokkene moet worden gemeld;
  5. De Directie is verantwoordelijk voor de melding van datalekken bij de Autoriteit Persoonsgegevens;
  6. De Directie is verantwoordelijk voor het bijhouden van een overzicht van alle datalekken voor minimaal 1 jaar;
  7. De Directie is verantwoordelijk voor het nemen van adequate maatregelen om herhaling te voorkomen.

Interne controle

  1. De Directie analyseert jaarlijks de meldingen datalekken en stelt indien nodig een verbeterplan ter voorkoming van datalekken.
  2. De Directie beoordeelt minimaal jaarlijks of de procedure en de uitvoering van dit protocol nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de protocol.

9. Borging

Borging en herhaling

De wetgeving vereist aantoonbare regelmatige controle of alles volgens de wet uitgevoerd wordt. Door het bijwerken van het AVG stappenplan en het uitdraaien van de AVG-verklaring kan aangetoond worden dat de controles uitgevoerd worden.

Privacybescherming is een continu proces, het is belangrijk dat de Verklaring van de Stichting AVG daarom regelmatig wordt bijgewerkt. Net als alle andere beleidsdocumenten en passend bij het ingeschatte risico wordt het privacybeleid minimaal 1x per jaar gecontroleerd en geactualiseerd.

Het AVG-programma wordt bij voorkeur bijgewerkt als een van onderstaande situaties optreedt:

  • Er is een omvangrijke wijziging in de organisatiestructuur of personele bezetting.
  • De wetgeving is aangepast of aangescherpt.
  • Er zijn nieuwe of andere apparatuur, software en/of systemen in gebruik genomen in de organisatie.
  • Er worden structureel andere activiteiten worden uitgevoerd door de organisatie.

10. Overig

Persoonsgegevens naar het buitenland sturen

De Verordening stelt voorwaarden aan de doorgifte van persoonsgegevens naar landen buiten de Europese Unie.

Aangezien ACH een nationale organisatie is, zal dit naar verwachting niet voorkomen. Indien op enig moment geconstateerd wordt dat dit wel aan de orde is/gaat zijn worden passende maatregelen genomen om dit in het privacybeleid op te nemen zowel in het document als bij de uitvoering daarvan.

Toezicht op de naleving

In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de toepassing van de wet. Het is verplicht om medewerking te verlenen aan verzoeken van de Autoriteit Persoonsgegevens. Bij het opleggen van een eventuele boete wordt gekeken naar de aard en de ernst van de overtreding, de opzettelijke of nalatige aard en de genomen maatregelen.

Indien bij ACH een verzoek tot medewerking komt, schakelt ACH Kessels Advocaten in voor een zorgvuldige begeleiding.

Privacy Impact Assessment (PIA) en Functionaris Gegevensbescherming (FG)

Een Privacy Impact Assessment (PIA) is verplicht als een verwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;

  • Op grote schaal bijzondere persoonsgegevens verwerkt;
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De omschrijving ‘op grote schaal’ is voor verschillende uitleg vatbaar, maar de wet is hier niet duidelijker in, dus dat kunnen wij helaas ook niet zijn.

Op basis van de huidige gegevens kan voor ACH gesteld worden er geen hoog privacy risico is en daarmee is een Privacy Impact Assessment (PIA) niet verplicht voor ACH

Functionaris Gegevensbescherming (FG)

Het aanstellen van een Functionaris Gegevensbescherming (FG) is verplicht indien:

  • De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • De organisatie hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  • De organisatie hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Op basis van de huidige gegevens kan voor ACH gesteld worden dat er géén Functionaris Gegevensbescherming verplicht is.

Privacy policy

Om aan de wet te voldoen dient er een privacy policy (privacy statement, privacyverklaring) te zijn. De mensen van wie ACH de persoonsgegevens heeft opgeslagen, dan wel gaat opslaan, moeten vooraf goed geïnformeerd worden over hun rechten. Dit kan d.m.v. de privacy policy. Mensen moeten die dan ook makkelijk kunnen vinden zodat ze op de hoogte kunnen zijn van hun rechten zoals:

  • inzagerecht;
  • recht op rectificatie;
  • recht op vergetelheid;
  • recht op beperking van verwerking;
  • recht op kennisgevingsplicht;
  • recht op overdraagbaarheid van gegevens;
  • recht van bezwaar.

De privacy policy van de organisatie moet voor iedereen vindbaar zijn. Daarvoor heeft ACH de privacy policy op de website geplaatst en op elke pagina wordt er een link naar toe gelegd.

Het uitgangspunt bij ACH is dat in alle overeenkomsten (documenten waarin persoonsgegevens gevraagd worden) een verwijzing staat naar de privacy policy.

[1] Ministerie van justitie en veiligheid: Handleiding AVG versie 8 januari 2018. www.rijksoverheid.nl/avg

[2] Zie hoofdstuk 4 van de AVG, versie januari 2018.

[3] Voor nadere uitleg over de diverse rechten zie hoofdstuk 7 van de handleiding Algemene Verordening Gegevensbescherming.