Kennispagina

Verklarende vragen

Doe hier je eerste kennis op

Ja, de AVG geldt voor elke organisatie die persoonsgegevens gebruikt. Het maakt daarbij niet uit of je een zzp’er bent of een multinational. 

Een persoonsgegeven is alle informatie over een geïdentificeerd of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers, e-mailadressen, postcodes en ip-adressen zijn persoonsgegevens.

Onder de categorie bijzondere persoonsgegeven vallen: ras of etnische afkomst, religie, politieke opvattingen, lidmaatschap van een vakbond, genetische of biometrische gegevens met oog op unieke identificatie, gezondheid, seksuele leven, strafrechtelijk verleden.

Onder verwerking wordt verstaan: elke handeling die je kan uitvoeren met persoonsgegevens. Dit gaat van het verzamelen tot aan het vernietigen / wissen van persoonsgegevens en alles wat er in de tussentijd mogelijk is zoals: bewaren, raadplegen, wijzigen, gebruiken, doorsturen etc.

Het opstellen van het register van verwerkingsactiviteiten (verwerkingsregister) is een verplichting die voor bijna elke organisatie geldt.

Het verwerkingsregister bevat een overzicht en informatie over de persoonsgegevens die worden verwerkt (gebruikt) door je organisatie. In het register staat onder andere: welke persoonsgegevens je gebruikt en waarom je dat doet, hoe lang je de persoonsgegevens wilt bewaren en met  welke andere organisaties je de persoonsgegevens deelt.

Heb je nog geen verwerkingsregister? Neem dan eens contact met ons op om te horen hoe we je kunnen helpen.

Een ‘Data Privacy Impact Assessment’ (DPIA) of in het Nederlands een ‘Gegevensbeschermingseffectbeoordeling’ (GEB), is een instrument om risico’s bij het gebruik van persoonsgegevens in kaart te brengen. 

In bepaalde gevallen is het uitvoeren van een DPIA verplicht. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Ook wanneer een DPIA niet verplicht is kan het erg nuttig zijn om toch een DPIA uit te voeren.

PrivacyRight helpt je graag met het uitvoeren van (periodieke) DPIA’s. 

Er is sprake van een datalek wanneer er ongeoorloofde of onbedoelde toegang tot persoonsgegevens plaatsvindt. Of wanneer er sprake is van vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook verlies van persoonsgegevens.

Afhankelijk van de ernst van het datalek, kan het nodig zijn om het datalek te melden bij de Autoriteit Persoonsgegevens of bij de personen over wie de persoonsgegevens betrekking hebben.

Een datalek binnen je organisatie is erg vervelend. Een datalek kan je de integriteit, beschikbaarheid en vertrouwelijkheid van bedrijfs- en persoonsgegevens aantasten.

PrivacyRight helpt je graag bij het voorkomen en met een goede omgang van datalekken.

Het is verplicht om een privacybeleid op te stellen als dat in verhouding staat tot de verwerkingen die met de persoonsgegevens plaatsvinden. Of het verplicht is om zo’n privacybeleid op te stellen, hangt af van verschillende omstandigheden. Zoals de soort persoonsgegevens, de hoeveelheid en waarom er persoonsgegevens worden gebruikt.  

Wanneer het niet verplicht is om een privacybeleid op te stellen, kan het toch nuttig zijn om dat wel te doen. Het geeft inzicht of er voldoende maatregelen zijn genomen om de persoonsgegevens van werknemers, klanten, patiënten, te beschermen. Daarnaast is het een manier om aantoonbaar te maken dat je en hoe je voldoet aan de AVG.

PrivacyRight zorgt bij elke organisatie voor een passend privacybeleid. 

Organisaties zoals gemeenten, ziekenhuizen, scholen en organisaties die veel bijzondere persoonsgegevens gebruiken, zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen, ook wel Data Protection Officer (DPO).

Een FG  houdt onafhankelijk toezicht op de omgang met persoonsgegevens binnen organisaties. Verder informeert en adviseert een FG over de omgang met persoonsgegevens en is de FG aanspreekpunt voor de Autoriteit Persoonsgegevens. Een FG moet worden ingeschreven bij de Autoriteit Persoonsgegevens.

Ben je opzoek naar een geschikte FG? PrivacyRight biedt FG’s as a service.