AVG tips voor bedrijven

De AVG is in de praktijk nog best wel eens lastig toe te passen. Wetten als de AVG worden door Europese instanties geschreven over de loop van een aantal jaren, en veel externe partijen mogen er daarna nog commentaar op geven. Op deze manier zijn er veel zaken in de wet terecht gekomen die in theorie goed klinken en breed toepasbaar zouden moeten zijn, maar in de praktijk nog best lastig kunnen zijn. In dit artikel geven wij een paar AVG-tips, zodat u zich op deze punten in ieder geval zeker kunt voelen.

Is die andere partij verwerker voor mij?

Partijen die voor u een opdracht doen en daarbij persoonsgegevens verwerken zijn niet altijd verwerkers. Een partij is namelijk alleen verwerker voor u, als u de doelen en middelen van de verwerking bepaalt, en het verwerken zelf het hoofddoel van de opdracht is. Als u, bijvoorbeeld, een reisbureau opdracht geeft om een vakantie voor uw medewerker te boeken, dan heeft u het doel bepaalt. Het reisbureau bepaalt echter hoe zij uitvoering geven aan die opdracht, en het hoofddoel van deze verwerking is het boeken van de reis, niet het “opslaan, doorgeven, bewerken, of uitvoeren van een andere actie” met de persoonsgegevens. Als u uw administratie neerlegt bij een administratiekantoor en daarbij vraagt uw jaaraangifte te doen en instructies geeft, dan is het administratiekantoor verwerker. Een accountant die een controle uitvoert is meestal geen verwerker omdat deze onafhankelijk te werk gaat.

Waar zal ik mijn gegevens opslaan in de cloud?

Data die opgeslagen wordt in de cloud, komt op een server van het bedrijf dat de dienst aanbiedt te staan. Veel grote Cloud aanbieders zijn Amerikaanse bedrijven, zoals Amazon, Microsoft, IBM, en Google. De Amerikaanse overheid heeft volgens haar eigen wetten het recht gegevens op servers van Amerikaanse bedrijven in te zien, onder het mom van de nationale veiligheid. Het maakt daarbij helaas niet uit of deze gegevens in de VS, of op een andere plek in de wereld staan. Microsoft is in het verleden al tegen deze vergaande macht in beroep gegaan, maar ook zij zullen zich als Amerikaans bedrijf aan de Amerikaanse wet moeten houden. Als uw data erg gevoelig is, dan is het aan te raden een hosting partij in Nederland of een andere EU-land te vinden. Zo weet u zeker dat uw data niet opgeëist kan worden door de Amerikaanse overheid.

Moet ik gehoor geven aan alle inzageverzoeken?

Onder de AVG mogen betrokkenen (personen wiens persoonsgegevens u verwerkt) verzoeken sturen om hun privacyrechten uit te oefenen. Een van die rechten is het recht op inzage. U moet op alle verzoeken reageren. Sommige verzoeken tot inzage kunt u weigeren, bijvoorbeeld één persoon hetzelfde verzoek erg vaak stuurt, of als u niet met zekerheid kunt vaststellen dat de aanvrager ook echt bij de persoonsgegevens hoort. U dient alle verzoeken in ieder geval te behandelen binnen een maand. Mocht het verzoek zo complex zijn dat een maand niet genoeg is, dan mag u dit, met melding aan de betrokkene natuurlijk, nog eens met twee maanden verlengen.

ISO2Handle en AVG

ISO2Handle heeft samen met ICT Institute een privacy tool ontwikkeld, waarmee u eenvoudig op één centrale plek uw verwerkingsregister, DPIA’s, en verwerkersovereenkomsten bij kunt houden. Mocht u vragen hebben over privacy, of ondersteuning zoeken bij het voldoen aan de AVG, dan horen wij het graag!

Meer lezen over de Algemene verordening gegevensbescherming? Ga naar onze uitgebreide AVG pagina.