Vier vragen over de AVG die naar ons zijn opgestuurd

door | 7 november 2018

Aanstaande donderdag geven wij een presentatie in Breda met als onderwerp AVG. Hierop vooruitlopend konden de deelnemers een aantal vragen insturen. Wellicht leven deze vragen ook bij u, vandaar nu een blog met vier willekeurige vragen van het totaal aan ingestuurde vragen en hierop het antwoord. Ook kunt u nog een antwoord vinden op uw vragen in ons e-book, dat u onderaan deze pagina kunt downloaden. De reden voor dit e-book is gelegen in het feit dat er veel onjuiste informatie wordt verspreid over ISO 27001 en de Algemene Verordening Gegevensbescherming (AVG). Zaken worden vaak onnodig moeilijk gemaakt. Een voorbeeld is dat elke onderneming een Functionaris Gegevensbescherming in dienst moet hebben, dit is pertinent niet het geval. Door het lezen van ons e-book verwachten wij dat u met een helikopter view naar uw organisatie kunt kijken om te zien of u iets moet doen en wat, om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

Maar terugkomend op de ingestuurde vragen, onderstaand vier van deze vragen.

Wat zijn persoonsgegevens?

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Er zijn drie soorten persoonsgegevens. 1) Persoonsgegevens zoals NAW-gegevens, locatie en IP-adres. Voor bijzondere persoonsgegevens zoals BSN-nummer, religie, medische gegevens, ethische etc. is er een aparte regelgeving. 2) Pseudo-anonieme data; persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID. 3) Anonieme data; data die niet herleidbaar is naar een individu.

Wat wordt precies verstaan onder het verwerken van persoonsgegevens?

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Als je gegevens gebruikt om te analyseren, dan is dat dus ook verwerken. Bij digitale marketing ben je dus al heel snel aan het verwerken.

In hoeverre moet je echt overal je klantdata kunnen verwijderen (backups, etc)?

Een organisatie is verplicht binnen vier weken schriftelijk of per e-mail te reageren op een correctieverzoek. Besluit je de klantgegevens te corrigeren, dan moet dit zo snel mogelijk gebeuren. U moet het recht op vergetelheid ook toepassen op digitale back-upbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen.

Moet mijn privacy statement worden aangepast?

Wellicht, maar in je privacy statement moet het volgende staan:

  1. Identiteit: de bedrijfsnaam
  2. Doeleinden en rechtsgronden (bijvoorbeeld toestemming vragen voor een marketingdoel)
  3. Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting is, of noodzakelijke voorwaarde, dan moet je ook aangeven wat de gevolgen zijn als je het niet doet.
  4. Je moet aangeven hoe lang gegevens bewaard worden óf welke criteria bepalen hoe lang het opgeslagen zal worden.
  5. Recht op inzage, rectificatie of wissen van de gegevens. De betrokkene heeft recht en je moet dat opnemen in het statement. Je moet dus ook vermelden hoe dat gedaan kan worden (per e-mail/formulier).
  6. Aangeven dat ze het recht hebben om een klacht in te dienen bij de AP (Autoriteit Persoonsgegevens).

Contact

Wilt u meer informatie? Neem dan contact op met inTECHrity. Bel ons op 085 130 1281 of kijk op onze website www.intechrity.nl.