Europese Privacyverordening, wat moet je ermee? Stap 3: documentatie

Europese Privacyverordening, wat moet je ermee? Stap 3: documentatie

In dit vierde blog inzake de te nemen stappen voor implementatie van de AVG, ga ik in op de documentatie die je als bedrijf moet opstellen om aan de AVG te voldoen. De AVG regelt namelijk niet alleen dat je zorgvuldig moet omgaan met persoonsgegevens, maar je moet dit ook kunnen aantonen aan de hand van een aantal documenten. Het is van belang om deze documenten op de plank te hebben liggen, zodat je bij een controle door de Autoriteit Persoonsgegevens (al dan niet naar aanleiding van een datalek) kunt aantonen dat je je best hebt gedaan om aan de privacywetgeving te voldoen.

Verwerkingsregister

Als je met het opstellen van documentatie in het kader van de AVG aan de slag gaat, kun je het beste beginnen met het verwerkingsregister. Vrijwel ieder bedrijf is verplicht dit verwerkingsregister op te stellen. Afhankelijk van de vraag of je verantwoordelijke of verwerker bent (zie uitleg hierover in mijn blog over stap 1 “Europese Privacyverordening, wat moet je ermee? Stap 1: inventarisatie“)moet je een uitgebreider of wat beperkter register opstellen en bijhouden. De informatie die je bij de inventarisatie (stap 1) hebt verzameld, vormt de basis voor het verwerkingsregister.

Je moet als verantwoordelijke bijvoorbeeld in ieder geval de volgende gegevens opnemen in het verwerkingsregister:

  • naam en contactgegevens van jouw bedrijf;
  • indien van toepassing: naam en contactgegevens van de functionaris gegevensbescherming;
  • de doeleinden waarvoor je de gegevens verwerkt;
  • de typen persoonsgegevens die je verwerkt;
  • de typen betrokkenen van wie je persoonsgegevens verwerkt;
  • de derden aan wie je de gegevens doorgeeft;
  • indien van toepassing: de landen buiten de EU waaraan je persoonsgegevens doorgeeft;
  • de (beoogde) termijnen waarbinnen de gegevens worden gewist;
  • algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Nadat je het verwerkingsregister hebt opgesteld, is het van belang het register bij te houden. Indien jouw bedrijf bijvoorbeeld nieuwe diensten gaat aanbieden, waarvoor aanvullende persoonsgegevens worden verwerkt, moet dit worden opgenomen in het verwerkingsregister. Om het praktisch te houden en te voorkomen dat je het verwerkingsregister steeds opnieuw moet aanpassen, raden we je aan om de omschrijvingen in het register niet te expliciet te maken. Hoe algemener, hoe minder aanpassingen nodig zijn. Bovendien kun je, mits jouw bedrijf niet al te veel in ontwikkeling is, naar mijn mening volstaan met een periodieke check of het verwerkingsregister nog up-to-date is, bijvoorbeeld eens per (half) jaar.

Ben je op zoek naar een praktisch format voor het opstellen van het verwerkingsregister? Neem dan contact met ons op zodat we je deze kunnen toezenden.

Privacybeleid

Een tweede belangrijk intern document, is het privacybeleid. In dit document leg je intern vast hoe jouw bedrijf omgaat met persoonsgegevens. Ook dit document kan de Autoriteit Persoonsgegevens opvragen indien zich bijvoorbeeld een datalek binnen jouw bedrijf heeft voorgedaan. Het helpt dan als je in ieder geval iets kunt overleggen.

Het privacybeleid is vormvrij, je kunt daar dus je eigen invulling aan geven. Onderwerpen die je in ieder geval zou moeten opnemen, zijn bijvoorbeeld een beschrijving van de bewaartermijnen die je hanteert, de getroffen beveiligingsmaatregelen, de regels jullie hanteren op het gebied van commerciële mailings, de wijze waarop het personeel is geïnstrueerd inzake privacy, enzovoorts. Ook adviseren we je expliciet op te schrijven dat je bij de verwerking van persoonsgegevens de basisprincipes van de AVG in acht neemt (zie opgesomd in mijn blog over stap 2 “Europese Privacyverordening, wat moet je ermee? Stap 2: gewenste situatie“. Het privacybeleid moet duidelijk maken dat jouw bedrijf voldoet aan de AVG.

Het is van belang dat het privacybeleid bekend is bij alle medewerkers. Immers, zij zijn degenen die het privacybeleid uiteindelijk uitvoeren. Zorg er daarom voor dat het privacybeleid gemakkelijk te benaderen is door medewerkers, bijvoorbeeld door deze op een intranet te publiceren.

Privacyverklaring (en cookiemelding)

Om ook aan de buitenwereld te laten zien dat jouw bedrijf aan de AVG voldoet, moet je dit in een privacyverklaring opnemen op jouw website. Als personen via de website gegevens achterlaten, bijvoorbeeld via een contactformulier, moeten ze vooraf kunnen weten hoe jij met deze gegevens zult omgaan. Deze privacyverklaring mag dus niet ergens verstopt op de website staan, maar moet eenvoudig te vinden zijn (bijvoorbeeld door een link op te nemen in de footer onderaan de website). Ook moet de privacyverklaring makkelijk te begrijpen zijn, gebruik dus geen ingewikkelde formuleringen en laat je privacyverklaring vertalen in de talen waarin jouw website beschikbaar is.

In de privacyverklaring moet je in ieder geval opnemen hoe en met welke doeleinden je persoonsgegevens verzamelt en verwerkt, of je ze doorgeeft aan derden, welke rechten personen hebben ten aanzien van de gegevensverwerking (inzage, rectificatie, wissing, bezwaar, enzovoorts), en de contactgegevens van jouw bedrijf.

Indien jouw website gebruik maakt van cookies, zul je hierover ook iets moeten noemen in de privacyverklaring. Bovendien moet je, afhankelijk van het type cookies dat geplaatst wordt, een cookiemelding op je website plaatsen. En mogen de cookies pas “ingeladen” worden nadat de bezoeker hiervoor toestemming heeft gegeven. Dit hoeft niet indien het slechts functionele cookies (bijvoorbeeld het onthouden van de items die klanten in het winkelwagentje hebben geplaatst) of (milde) analytische cookies (bijvoorbeeld het tellen van het aantal websitebezoeken) betreft.

Tot slot

Voor alle documentatie in het kader van de AVG geldt: beter iets dan niets. Probeer dus in ieder geval wat basisdocumentatie vast te leggen. Heb je behoefte aan ondersteuning op dit vlak of heb je andere vragen op het gebied van privacy/AVG, bel of mail dan gerust! Ik ben bereikbaar via telefoonnummer 0544-39 33 33 of per e-mail s.deunk@bonsenreuling.nl.

Auteur

Sanne Deunk-Freriks

Jurist BonsenReuling
Als jurist bij BonsenReuling houd ik mij, naast de algemene MKB-adviespraktijk, graag bezig met juridische vraagstukken op het gebied van online ondernemen. Dit varieert van vraagstukken inzake privacyrecht tot vraagstukken met betrekking tot intellectueel eigendomsrecht, telecommunicatierecht en algemeen contractenrecht. Ik streef ernaar ondernemers op een praktische manier juridisch te ontzorgen, zodat zij zich zo veel mogelijk kunnen bezighouden met waar ze goed in zijn.

Daarnaast maak ik deel uit van het kernteam van juristenindezorg.nl, met welk team we zorginstellingen ontzorgen op het gebied van HR en P&O. Dit doen we op onze eigen praktische wijze, met kennis van zowel juridische, fiscale, bedrijfseconomische als pensioentechnische aspecten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *