Voldoe jij al aan de AVG wetgeving? Doe de Privacy Deep Scan | DR3Data

Voldoe jij aan de wetgeving?

Kun je nog niet met een volmondig ‘ja’ antwoorden, geen probleem. De DR3Data Privacy Deep Scan, in samenwerking met My Privacy Solutions, geeft je een objectief beeld van je huidige situatie. En interessanter nog: je krijgt kant en klare handvatten om je organisatie volledig volgens de AVG wetgeving te laten werken.

Stel je vraag
Ontvang vrijblijvend een offerte

Hoe werkt de DR3Data Privacy Deep Scan

De DR3Data Privacy Deep Scan bestaat uit een vragenlijst die per onderwerp is opgebouwd. Bij de Intu√Įtieve en dynamische vragenlijst bepalen de vragen en antwoorden jouw ‚Äėranking‚Äô binnen de Privacy Maturity Index.

Na het doorlopen van alle vragen  in de Privacy Deep Scan heb je een volledig rapport over de huidige stand van zaken met heldere en direct uitvoerbare maatregelen die je naar een hoger niveau brengen in de Privacy Maturity Index.

  • Ruim 1.700 vragen

  • 28 onderwerpen

  • 57 subonderwerpen

FAQ’s AVG

De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.

Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Alle informatie over een ge√Įdentificeerde of identificeerbare persoon (gegevens die terug zijn te leiden naar een persoon) is een persoonsgegeven. Hierbij maakt het niet uit of je de naam of contactgegevens van een persoon hebt.¬† Zo is een kenteken van een auto bijvoorbeeld een persoonsgegeven, maar ook een IP adres, social media ID of foto.

De AVG zorgt onder meer voor:

  • versterking en uitbreiding van privacy rechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders

De Autoriteit Persoonsgegevens (AP) is het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens. De organisatie houdt zich dus bezig met privacy. De AP heeft als wettelijke taak te beoordelen of personen, organisaties en de overheid de Wet bescherming persoonsgegevens naleven.

De AP kan inzage eisen in het register van gegevensverwerking en aantoonbaarheid dat er in overeenstemming met de AVG wordt gehandeld. Zij kan verwerkingen verbieden of beperken, inbreuk persoonsgegevens meedelen en  het verplichten tot rectificeren/ wissen van persoonsgegevens. Bovendien kan zij gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie opschorten. Tot slot kan zij boetes opleggen.

De AVG is van toepassing als jouw organisatie persoonsgegevens verwerkt. Met ‚Äėpersoonsgegevens‚Äô bedoelen we data die gekoppeld kan worden aan priv√©-gegevens. Voorbeelden zijn namen, e-mailadressen, maar ook data als IP-adressen en social media.

Organisaties moeten:

  • alle verwerkingsactiviteiten met persoonsgegevens registreren en datalekken registreren.
  • een gegevensbeschermingseffectboordeling (Data protection impact assessment; DPIA) uitvoeren bij nieuwe verwerkingsactiviteiten met een hoog privacy risico.
  • Voldoen aan passende waarborgen bij internationaal dataverkeer.
  • Gegevensbescherming doorvoeren via ontwerp en standaardinstellingen van (web)applicaties (privacy by design & default).
  • Zorgen voor een passende beveiliging en opslagbeperking (dataminimalisatie).
  • Verantwoordelijkheid dragen voor afdoende garanties voor beveiliging en voor verwerkingsactiviteiten bij verwerkers.
  • Persoonsgegevens rechtmatig en behoorlijk verzamelen en indien nodig zorgen voor een eenduidige toestemming over het doel van de gegevensverwerking. Het doel moet vooraf bepaald zijn, transparant ¬†en goed zijn omschreven.
  • een FG/ DPO aanwijzen wanneer er op grote schaal, of bijzondere persoonsgegevens worden verwerkt.
  • Toestemming krijgen van ouders voor verwerking van persoonsgegevens van kinderen onder de 16 jaar.
  • De AP Raadplegen voorafgaande aan (privacy gevoelige) verwerkingen.
  • Zorgen voor bewustwording over privacy onder personeel.
  • Een datalek melden bij de AP en zo nodig de betrokkene informeren.
  • Aantoonbaar compliant zijn voor de wet.

De Data protection impact assessment (DPIA) is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De AP adviseert om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.

De verwerker is een zelfstandige partij die toegang heeft tot de persoonsgegevens van de verwerkingsverantwoordelijke en/ of in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.  Dit kan het geval zijn wanneer er persoonsgegevens worden bewaard of opgevraagd, maar ook als er bijvoorbeeld persoonsgegevens worden verzameld of gewijzigd. Hierbij valt te denken aan hosting partijen, telemarketingbedrijven, aanbieders van webportalen of elektronische dossiers en administratiekantoren.

Onder de AVG  dient er te allen tijde een verwerkersovereenkomst te worden afgesloten. De verantwoordelijkheid hiervoor rust bij zowel de verwerker als de verwerkingsverantwoordelijke.

De verwerkersverantwoordelijke geeft instructies over de verwerking van persoonsgegevens. De verantwoordelijke bepaalt welke verwerking er plaats vindt, hoe die verwerking plaatsvindt en voor welk doel de gegevens worden verwerkt.

Om persoonsgegevens te mogen verwerken, heb je een grondslag nodig. Met andere woorden moet er een reden zijn waarom je persoonsgegevens opslaat en/ of gebruikt. De AVG noemt een 6-tal grondslagen:

  • Toestemming van de betrokken persoon. De toestemming moet een duidelijke actieve handeling zijn en de verantwoordelijke moet volledig transparant zijn over het doel van de verwerking. De toestemming moet aanwijsbaar en gedocumenteerd te zijn.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Denk hierbij bijvoorbeeld aan het vastleggen van account- of factuurgegevens t.b.v. een online bestelling. Alleen de data die daadwerkelijk noodzakelijk is voor de uitvoering van de overeenkomst mag worden vastgelegd.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting, zoals de wettelijke bewaartermijn van personeelsdossiers.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • Het gerechtvaardigd belang dient wel op te wegen tegen het privacybelang van de betrokkene (privacytoets).

Een DPO of Data Protection Officer, ook wel een Functionaris voor de Gegevensbescherming (FG) of privacyfunctionaris genoemd, is een data expert die voortdurend toezicht houdt op de naleving en implementatie van AVG binnen een organisatie en is hier ook intern en extern het aanspreekpunt voor.

Er zijn 3 gevallen waarin een organisatie verplicht is een DPO aan te stellen:

  1.  Als je organisatie een overheidsinstantie of overheidsorgaan is;
  2.  Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door het verwerken van data. In ieder geval wanneer er sprake is van elke vorm van tracking en profilering op internet of offline. Dus ook behavioural advertising, of e-mail retargetting vallen hieronder;
  3.  Als je organisatie persoonsgegevens verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Voor het mogen verwerken van al deze gegevens gelden overigens bijzondere aanvullende regels.

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet je denken aan het kwijtraken van een USB – stick, de diefstal van een laptop of een inbraak door een hacker. Maar niet ieder beveiligingsincident is een datalek.

Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als je onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). De AVG stelt strenge eisen aan de registratie van de datalekken die zich in je organisatie hebben voorgedaan. Je moet namelijk alle datalekken documenteren. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.

Ben je op 25 mei 2018 nog niet op orde volgens de AVG en wordt je aangeklaagd door een gebruiker, dan geldt het nieuwe boeteregime: ¬†‚ā¨20 miljoen of 4% van de wereldwijde jaaromzet. Er zijn grofweg drie categorie√ęn overtredingen te onderscheiden:

  1. Schending van processuele/procedurele verplichtingen; bijvoorbeeld het niet melden van een datalek. Overtreding van deze verplichtingen kan leiden tot een boete tot ‚ā¨10 miljoen of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar.
  2. Schending van de materi√ęle verplichtingen; denk hierbij aan de verplichting voor een zorgvuldige gegevensverwerking of de informatieplicht.
  3. Het niet opvolgen van een bevel van de AP.

Overtreding van de verplichtingen uit de tweede en derde categorie kan leiden tot een boete tot ‚ā¨20 miljoen of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar. Bij de vaststelling van de hoogte van de boete wordt er onder andere gekeken naar de aard, ernst en duur van de overtreding, of de verwerkingsverantwoordelijke al eerder een overtreding begaan heeft en welke categorie√ęn persoonsgegevens het betreft.

Met de invoering van de AVG verdwijnt de in de Wbp vastgelegde verplichting voor de AP om vooraf een bindende aanwijzing te geven aan een overtreder. Dit betekent evenwel niet dat de AP geen bindende aanwijzing kan geven. Dit kan zij nog steeds op grond van artikel 58 eerste en tweede lid in de vorm van een bevel. Wat niet is geregeld is dat de AP verplicht is om een bindende aanwijzing te geven voordat zij een boete oplegt. Artikel 83 AVG vermeldt enkel dat een boete opgelegd kan worden naast of in de plaats van een maatregel, zoals een bindende voorwaarde.

Data mag niet langer dan nodig worden bewaard. Er dient verantwoord te worden omgegaan met data van klanten en er mag alleen bijhouden worden wat relevant is. Het doel en de grondslag voor het opslaan of verwerken van de data moet goed gedocumenteerd zijn.

Jazeker. Er is een degelijke privacy policy verplicht met de melding van gebruikte cookies en eventueel andere manieren waarop je data verzamelt. Bovendien ben je verplicht tot het geven van uitleg en redenen waarom je de gegevens verzamelt en wat ermee gebeurt.

Er mogen alleen gegevens verzameld worden die relevant zijn voor je bedrijf of promotie. Het verzamelen van een telefoonnummer, e-mailadres of functie is algemeen aanvaard. Onderwerpen als leeftijd, bedrijfsomzet of voorkeuren zijn niet relevant.

Verwerken is een breed begrip, zelfs ‚Äėopslaan‚Äô is al verwerken. Maar ook gebruiken, analyseren, combineren of verwijderen is verwerken. Je kunt er dus eigenlijk gewoon vanuit gaan dat je bij digitale marketing persoonsgegevens aan het verwerken bent zodra je ermee te maken hebt.

Ook B2B-gegevens vallen onder de AVG. Zo kan een werkmailadres een persoonsgegeven zijn. Het aantal klachten hierover bij de AP is wel lager omdat een werkmailadres minder invloed heeft op iemands persoonlijke leven dan bijvoorbeeld een privé 06-nummer. De privacywetgeving blijft echter wel van toepassing als het persoonsgegevens betreft.

Let op:  Onder de AVG kan bepaalde informatie, zoals een algemeen e-mail adres of een telefoonnummer, van een rechtspersoon worden beschouwd als een persoonsgegeven. Dit is bijvoorbeeld het geval wanneer de naam van de rechtspersoon een afgeleide is van die van een natuurlijke persoon, of doordat informatie over een ZZP-er of personenvennootschap iets zegt over de eigenaar.

Indien de vastgelegde data ten aanzien van de inhoud, het doel, of het resultaat van de entiteit zijn terug te leiden naar een natuurlijk persoon, moeten deze als persoonsgegevens worden beschouwd en daardoor is de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming van toepassing.

De AVG regelt niet de gevallen waarin je toestemming (opt-in) moet vragen voor het versturen van e-mail. Het vragen om opt-in voor het versturen van commerci√ęle of charitatieve e-mail is geregeld in de Telecommunicatiewet (met als toezichthouder de Autoriteit Consument en Markt). Die blijft gelden en verandert niet. Er moet nog steeds in dezelfde gevallen om toestemming gevraagd worden. De regel dat je geen toestemming nodig hebt om e-mail aan klanten te sturen blijft dus ook van kracht.

Telemarketing, e-mail en social media worden niet genoemd in de nieuwe AVG wet. Toch is de nieuwe privacywet wél belangrijk als je deze kanalen inzet. Je werkt namelijk met persoonsgegevens. Hieronder vallen niet alleen het e-mailadres of telefoonnummer, maar ook alle andere data die je inzet om relevant te communiceren. Bijvoorbeeld alle data die je hebt om gericht te adverteren op Facebook, of de data die je verwerkt om je e-mails te personaliseren

  • Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen naar een andere organisatie.
  • Het recht op vergetelheid. Het recht om ‚Äėvergeten‚Äô¬†te worden. Dit betekent dat je de persoonlijke gegevens van die klant dient te verwijderen uit je database. Wanneer je als verwerker de gegevens hebt doorgegeven aan andere partijen, is het jouw verantwoordelijkheid om ervoor te zorgen dat ook bij hen de gegevens worden verwijderd.
  • Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die je van hen verwerkt, in te zien
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die je verwerkt te wijzigen.
  • Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
  • Het recht om bezwaar te maken tegen volledige geautomatiseerde individuele besluitvorming, waaronder profilering.
  • Het recht om bezwaar te maken tegen de gegevensverwerking of de toestemming voor verwerking in te trekken.

Iedere organisatie, dus zowel verantwoordelijken als bewerkers, moet op verzoek van de Autoriteit Persoonsgegevens documenten kunnen tonen waaruit blijkt dat zij voldoet aan de privacy regelgeving. Organisaties moeten dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe hun organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval je dat niet kunt, riskeer je een aanzienlijke boete.

De Privacy Deep Scan zorgt voor een correcte en direct uitvoerbare privacy implementatie. De PDS laat zien in hoeverre jouw organisatie werkt in overeenstemming met de geldende wet- en regelgeving rondom de AVG. De PDS geeft richting aan de privacy implementatie met handvatten die direct toepasbaar zijn.

  1. Screen je bestaande database met persoonsgegevens en identificeer de personen die je geen expliciete toestemming hebben gegeven.
  2. Stel een plan van aanpak op om hen alsnog om toestemming te vragen.
  3. Maak een overzicht van de manier waarop jij persoonsgegevens verzameld en analyseer de mogelijke fouten daarin.
  4. Zorg voor een duidelijke privacy policy op je website.
  5. Zorg er voor dat je op een juiste manier informeert over het gebruik van cookies op je website. Maak dus een goede cookie disclamer.
  6. Geef in je Algemene Voorwaarden of in een bijlage daarvan duidelijk aan hoe jij omgaat met de AVG en de regels en afspraken daaromtrent.
  7. Schaf een SSL certificaat aan.

De voordelen van de DR3Data Privacy Deep Scan

De Privacy Deep Scan is de eerste stap naar privacy compliance. Het maakt jouw privacy implementatie inzichtelijk en meetbaar en geeft vervolgens concrete stappen en prioriteitstelling. De scan biedt antwoord op de vragen: Waar sta ik? Waar wil ik heen? Hoe kom ik daar? Start en groei naar optimalisatie.

Ontvang vrijblijvend een offerte

Meer weten over de Privacy Deep Scan

Voornaam
Achternaam
E-mailadres
Telefoonnummer
Bedrijfsnaam
Bericht

96% van onze klanten beveelt ons aan!

Totaal oordeel8,0
Service8,3
Snelheid8,5
Nakomen van afspraken8,7
Kennis en uitgebracht advies8,0
Actualiteit/kwaliteit van de data7,1
Prijs-kwaliteitverhouding7,3
Bekijk reviews