Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Binnen de AVG worden er strengere eisen gesteld aan de wijze hoe u omgaat met de verwerking van persoonsgegevens.
In dit artikel hebben we voor u op rij gezet wat er met betrekking tot de samenwerking tussen u en GreenStar voor u van toepassing is. Hierbij hebben wij het 'AVG 10-stappenplan' (opgesteld door de Autoriteit Persoonsgegevens) als leidende informatiebron gehanteerd.
1. Verwerker of Verwerkersverantwoordelijke
Voor iedereen is het van belang dat er zorgvuldig met persoonsgegevens wordt omgegaan, zowel met uw gegevens als met andere gegevens die u aan ons verstrekt, zoals gegevens van uw medewerkers. GreenStar (vanuit rechtspersoon Ovis Telematics BV) heeft als verwerkingsverantwoordelijke in het kader van de AVG de benodigde maatregelen getroffen om te voldoen aan de eisen van de AVG, zie ook onze privacyverklaring op onze website en ook de nodige verwerkersovereenkomsten afgesloten met partijen aan wie zij gegevensverwerking heeft uitbesteed (leveranciers EcoBoxen, online boekhouding; hostingpartij etc).
GreenStar is géén verwerker in het kader van de AVG. Dit zit als volgt: Indien een bedrijf Rijdiensten verleend die primair bestaan uit gegevensverwerking kan er sprake zijn van een verwerker en van een verwerkersopdracht waarbij de ene partij de verwerking van gegevens uitbesteedt aan de andere. U geeft GreenStar opdracht om u te ondersteunen bij het verbeteren van rijgedrag al dan niet in combinatie met ritregistratie. De dienstverlening van GreenStar bestaat daarbij niet primair uit het verwerken van persoonsgegevens, maar uit het inzichtelijk maken en verbeteren van rijgedrag en het weergeven van locatie- en ritinformatie.
De Nederlandse wetgever stelt dat zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, de dienstverlener daar zelf verantwoordelijk voor is. Met andere woorden: indien de opdracht zich niet primair richt op het verwerken van persoonsgegevens maar slechts een bijkomende activiteit is die voortvloeit uit een andere hoofdtaak, (rijgedrag verbetering en ritregistratie), dan wordt hij niet als ‘verwerker’ beschouwd en hoeft GreenStar dus ook geen verwerkersovereenkomst af te sluiten met haar klanten.
Let op: Het is de verantwoordelijkheid van u om voor uzelf te bepalen of u een verwerkersverantwoordelijke partij bent. Als dat het geval is en u werkt met andere leveranciers die gegevens in opdracht van u verwerken, dient u met die partijen een verwerkersovereenkomst af te sluiten.
2. Overzicht persoonsgegevens en verwerkingen
Als verwerkersverantwoordelijke bestaat onder de AVG een verantwoordingsplicht welke inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Hierin dient u onder andere een overzicht (een 'Verwerkingsregister') te maken waarin u opsomt welke persoonsgegevens u opslaat en met welk doel u dit doet.
Belangrijk:
- Zijn er naast GreenStar nog andere partijen met wie u persoonsgegevens deelt? Zorg er dan voor dat u met al deze partijen een overzicht opstelt van de persoonsgegevens die u met de partij deelt/verwerkt en welk doel dit heeft.
In dit artikel vindt u de verzamelde gegevens die wij gebruiken om onze dienstverlening uit te voeren.
3. Functionaris Gegevensbescherming (FG)
Als u persoonsgegevens verwerkt bent u een verwerkersverantwoordelijke en heeft u een Functionaris Gegevensbescherming nodig. Een Functionaris Gegevensbescherming (FG) is de centrale persoon binnen uw bedrijf die alles weet van persoonsgegevens/privacy. Het is verplicht om een FG aan te stellen wanneer uw organisatie “veel” persoonsgegevens verwerkt. Wat precies de drempel is voor "veel persoonsgegevens" is niet geheel duidelijk. Alle officiële richtlijnen staan in dit artikel 'Functionaris voor de Gegevensbescherming' van de Autoriteit Persoonsgegevens.
Ondanks dat de richtlijnen impliceren dat u wellicht geen FG verplicht bent aan te stellen raden wij u wel aan om dit te doen.
4. Data Protection Assessment (DPIA)
Een Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA) is in sommige gevallen verplicht om de risico’s van de gegevensverwerkingen vóóraf in kaart te brengen en de risico’s te verkleinen.
U kunt aan hand van deze criteria zelf bepalen of u dient te voldoen aan DPIA.
Let op: Binnen uw verantwoordingsplicht dient u te onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Zo kunt u hierin opnemen niet of nauwelijks aan de criteria om een DPIA uit te voeren te voldoen.
Indien u in uw organisatie een verplichte functionaris voor de gegevensbescherming (FG) heeft aangewezen dan dient u het advies over de uitvoering van een DPIA van deze FG over te nemen in uw verantwoordingsplicht.
5. Privacyverklaring
Informeer uw werknemers over wat u doet met hun persoonsgegevens en wijs hen op hun rechten door een privacyverklaring op te stellen. De rechten van uw werknemers omtrent hun persoonsgegevens vindt u onder kopje 9 van dit stappenplan.
6. Privacy by Design / Privacy by Default
Nieuwe applicaties en processen moeten zo privacy vriendelijk mogelijk worden ontwikkeld en ontworpen (design). Daarbij moeten bestaande applicaties en processen standaard zo privacy vriendelijk worden ingesteld (default).
GreenStar houdt in haar ontwikkeling rekening met de eisen die gesteld worden aan dit onderdeel, zoals ook is terug te vinden in onze verwerkersovereenkomst.
Tip: Houdt er bij uw keuze voor derden/leveranciers altijd rekening mee dat dit onderwerp een verplichting vanuit de AVG is en u de bijbehorende documentatie van deze derden/leveranciers altijd op orde dient te hebben!
7. Overzicht van applicaties en beveiliging
Technisch moeten persoonsgegevens beveiligd zijn. Hierbij moet u rekening houden met oude applicaties, nieuwe applicaties en applicaties van derden, zoals GreenStar.
In de verwerkersovereenkomst van GreenStar staat uitgelegd hoe GreenStar omgaat met de beveiliging van de persoonsgegevens die binnen het online portaal van GreenStar aanwezig zijn.
Tip: Maak een lijst van systemen en/of applicaties die u gebruikt en waar u informatie van uw werknemers in opslaat. Zorg ervoor dat u met ieder bedrijf op die lijst een verwerkersovereenkomst heeft.
8. Protocol datalekken
Het beschikken over een 'Protocol datalek' is al verplicht sinds 1 januari 2016. De Autoritiet Persoonsgegevens gaat vermoedelijk na 25 mei 2018 strenger op deze protocollen controleren. Stel een protocol datalekken op, vorm een 'Team datalek' binnen uw bedrijf en maak medewerkers verantwoordelijk voor de afhandeling en documenteren van het datalek.
In de verwerkersovereenkomst van GreenStar kunt u terugvinden hoe GreenStar omgaat bij een eventueel datalek.
9. Rechten betrokkenen (uw werknemers)
Onder de AVG worden de rechten van betrokkenen (de individuen waarvan de persoonsgegevens afkomstig zijn) aanzienlijk uitgebreid. Zo heeft de betrokkene het recht om vergeten te worden. Hier hoeft u niet altijd gehoor aan te geven, bijvoorbeeld als de gegevens nog nodig zijn voor het instellen van een rechtsvordering of u deze dient te behouden voor uw wettelijke bewaarplicht.
Handel verzoeken van betrokkenen met wijziging/verwijdering/toezending van persoonsgegevens vlot af. Leg toestemming van betrokkenen voor verwerking van persoonsgegevens altijd vast als er toestemming is verleend. Meldt de betrokkenen hoe lang de persoonsgegevens bewaard worden en met welke personen of organisaties de persoonsgegevens worden gedeeld.
10. Bewustwording
Maak al uw medewerkers bewust van de nieuwe wetgeving (AVG) die per 25 mei 2018 van toepassing is. Plan een bijeenkomst voor de (relevante) personen om hen op de hoogte te brengen van de AVG en zorg dat de wijzigingen binnen uw processen bij alle relevante personen bekend zijn.
Tip: Stuur een interne memo uit naar uw medewerkers waarin u verwijst naar dit artikel.
Documentatie en officiële bronnen
- Bekijk de snelle versie 'AVG in een notendop' op de website Autoriteit Persoonsgegevens.
- Bekijk de volledige versie 'Handleiding AVG' op de website van de Rijksoverheid.
- Bekijk het 'AVG 10-stappenplan' op de website Autoriteit Persoonsgegevens.
- Informatie over de Data Protection Assessment (DPIA)
Opmerkingen
0 opmerkingen
Artikel is gesloten voor opmerkingen.