Afgelopen bespraken we stappen 1 tot en met 4 uit het 10-stappenplan van de regelhulp voor de AVG. Deze week is het de beurt aan de stappen 5 tot en met 7.
Stap 5 – Wordt volgens de AVG-uitgangspunten van ‘privacy by design’ en ‘privacy by default’ gewerkt?
Allereerst de betekenis van bovenstaande begrippen. ‘Privacy by design’ houdt als eerste in dat je bij het ontwerpen van producten en diensten (bijvoorbeeld je website) ervoor zorgt dat persoonsgegevens goed worden beschermd. Daarnaast betekent het kortgezegd dat elk systeem of formulier (denk aan het contactformulier op de website of het inventarisatieformulier) niet om meer gegevens wordt gevraagd dan strikt noodzakelijk is voor de uitvoering van de dienst. Wanneer bijvoorbeeld een potentiële klant via jouw website een bedrijfsfolder bestelt dan is bijvoorbeeld het vragen om een geboortedatum niet nodig.
‘Privacy bij default’ houdt in dat je technische en organisatorische maatregelen moet nemen zodat je standaard niet meer gegevens vraagt dan strikt noodzakelijk. Denk hierbij aan het automatisch aangevinkte vakje op een contactformulier (of aanmelding nieuwsbrief).
In de praktijk betekent privacy by design en privacy by default dat vooral kritisch moet worden gekeken naar de diverse formulieren die je gebruikt (bv. inventarisatieformulier, meer/ minderwerkformulier en opleveringsformulier en het contactformulier op je website).
Stap 6 – Is het opstellen van een register van verwerkingsactiviteiten nodig in mijn hoveniersbedrijf?
Er zijn diverse voorwaarden geformuleerd op basis waarvan een onderneming een register van verwerkingsactiviteiten moet bijhouden. Voor het hoveniersbedrijf is (doorgaans de enige) voorwaarde het ‘uitvoeren van niet-incidentele verwerkingen’.
De AVG vertalend blijkt dat een ‘niet-incidentele verwerking van een persoonsgegeven’ elke verwerking met enig structureel of voortdurend karakter is. Het gaat dan om verwerkingen die vrijwel elke hovenier met regelmaat doet. Denk aan het bijhouden van de salarisadministratie of een klantenbestand. Het verwerkingsregister bevat onder andere:
- Naam en contactgegevens van je bedrijf
- Doelen waarvoor persoonsgegevens worden verwerkt.
- Een beschrijving van de categorieën persoonsgegevens (bv. NAW-gegevens, telefoonnummers).
- Een beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens te beveiligen.
Voor de TuinKeur-hoveniers zal op korte termijn een voorbeeld van een register van verwerkingsactiviteiten beschikbaar worden gesteld.
Stap 7 – Heb je de juiste maatregelen genomen om persoonsgegevens te beveiligen?
Eén van de grondbeginselen van de AVG is dat je de persoonsgegevens, die je verzamelt als bedrijf, goed beveiligt. De AVG schrijft voor dat je technische en organisatorische maatregelen moet nemen om deze gegevens/verwerkingen te beveiligen.
Organisatorisch betekent een en ander in de praktijk dat in eerste instantie een overzicht moet worden gemaakt van de beveiligingsmaatregelen die in je bedrijf worden genomen om persoonsgegevens te beschermen. Tegelijkertijd kunnen dan ook de risico’s worden bepaald en zoveel mogelijk worden verkleind. Verkleining van risico’s kan worden bereikt door bijvoorbeeld minder mensen in je bedrijf toegang te geven tot persoonsgegevens (klanten en/of medewerkers). Maar denk ook eens aan de hoeveelheid gegevens die je verzamelt: is alles nodig?
Technische maatregelen bestaan bijvoorbeeld uit het up-to-date houden van software (bv. browser, virusscanner en besturingssysteem), juiste inrichting van een back-up en het beperken van verwerking van gegevens op een (centrale) server.
Onderdeel van de beveiliging is eveneens je website/e-mail. In een eerder gepubliceerd artikel (De impact van AVG op je website) is hierover meer te lezen.
Komende week zullen we de laatste stappen bespreken (8 t/m 10). Aan de orde komen onder andere de verwerkingsovereenkomst en de privacy verklaring.
