Ja. Uw bedrijf verandert voortdurend: u groeit, introduceert nieuwe tools of werkt met nieuwe partners. Als uw privacybeleid niet meebeweegt, voldoet u niet meer aan de AVG. Dat kan leiden tot klachten, boetes of reputatieschade. Als advocaat gespecialiseerd in privacyrecht help ik u dit voor te zijn. Zie ook mijn blog voor meer informatie en tips.

Begin met een inventarisatie: welke persoonsgegevens verzamelt u, waar slaat u het op en wie heeft toegang? Zonder overzicht loopt u het risico dat u niet aan inzage- of verwijderverzoeken kunt voldoen. Ik begeleid bedrijven om dit overzicht professioneel en AVG-proof vast te leggen. Zie ook mijn blog voor meer informatie en tips.

Een verzoek hoeft niet officieel te zijn. Ook een simpele e-mail met de vraag “Welke gegevens hebben jullie van mij?” is een formeel inzageverzoek. Negeert u dit, dan kan dit leiden tot klachten en boetes. Ik train bedrijven en hun teams om dit soort verzoeken tijdig te herkennen en correct af te handelen

Niet volledig. Standaardtools geven een basis, maar u blijft zelf verantwoordelijk. Vergelijk het met een huis: een goed slot op de deur, betekent niet dat alle ramen dicht zijn. Als advocaat privacyrecht laat ik zien waar de juridische én praktische gaten vallen.

Meer dan u denkt: naast naam en adres ook bankgegevens, medische informatie en kopieën van identiteitsbewijzen. Het verkeerd omgaan hiermee kan leiden tot boetes, het uitkeren van schadevergoedingen en reputatieschade. Ik help u om precies vast te stellen wat u verwerkt en hoe u dit AVG-proof beheert.

Door grip en overzicht te houden. Bewustwording in de organisatie, iemand intern verantwoordelijk maken voor dit onderwerp, beleid maken, protocollen en checklists opstellen, organogram en autorisatiematrix opstellen voor uw organisatie, regelmatig updaten van het verwerkingsregister voorkomen verrassingen. Ik help bedrijven om dit structureel in te richten, zodat zij rust en zekerheid ervaren.

Als je persoonsgegevens voor eigen doeleinden en bepaalt met welke middelen je dit verwerkt dan kwalificeer je als verwerkingsverantwoordelijke  in zin  van art. 4(7) AVG. Jij hebt het beheer over de gegevens. Als een verwerker namens jou bijvoorbeeld een bepaalde softwaretool aanbiedt, waarin jij je persoonsgegevens kunt opslaan, dan kwalificeert deze als verwerker als deze niet zelfstandig een doel heeft met de persoonsgegevens. Een verwerker bepaalt niet het doel en voert slechts uit in opdracht en ten behoeve van de verantwoordelijke. Dit moet je, op straffe van een boete, vastleggen in een verwerkersovereenkomst. De verwerkingsverantwoordelijke blijft altijd eindverantwoordelijk voor wat er gebeurt met de persoonsgegevens. Moeilijk te begrijpen of hoe pas je dit nu in de praktijk toe, schakel mij gerust in.

Over het begrip toestemming in de AVG is een groot document opgemaakt met guidelines. Als organisatie moet je kunnen aantonen dat de toestemming is gegeven. Dit moet een duidelijke actieve handeling zijn van degene die het betreft. Vooraf aangevinkte vakjes valt niet onder het begrip vrijelijk gegeven toestemming. Dit feit is voor iedereen nog wel goed te begrijpen. Maar wat nu als iemand zijn toestemming voor de verwerking van zijn persoonsgegevens intrekt? Maakt dat de verwerking met terugwerkende kracht onrechtmatig? Nee niet met terugwerkende kracht, maar je moet wel de verwerking onmiddellijk staken en de betreffende persoonsgegevens verwijderen. Weetje: Een werknemer kan in beginsel geen vrije toestemming geven aan zijn werkgever voor de verwerking van zijn persoonsgegevens. Deze verwerking zal dus altijd gebaseerd moeten worden op een andere grondslag dan de grondslag toestemming. Denk bijvoorbeeld aan een wettelijke verplichting op basis van belastingwetgeving of uitvoering van de overeenkomst. Wil je hier meer over weten, neem gerust contact op.

De wet schrijft voor dat u binnen één maand moet reageren. Is het verzoek complex, dan mag u de termijn één keer verlengen met twee maanden, maar dit moet u dan wél binnen de eerste maand kenbaar maken aan de klant. Te laat reageren kan sancties opleveren. Zorg dat u intern uw protocollen en termijnbewaking op orde hebt.

Bij de grondslag gerechtvaardigd belang geldt een drie stappen procedure: je moet kunnen duidelijk maken: 1) er sprake is van een gerechtvaardigd belang van je bedrijf, dit kan een economische belang zijn, 2) de verwerking noodzakelijk is voor de behartiging van dat gerechtvaardigd belang, en ten slotte 3) de belangen van de betrokkenen niet onevenredig worden geraakt door de gegevensverwerking. Wanneer je een beroep doet op uitvoering van bijvoorbeeld de arbeidsovereenkomst, dan is, naast dat er een rechtmatige overeenkomst moet zijn met de werknemer, de vraag relevant of de verwerking van de gegevens (inclusief verstrekking aan subverwerkers) ook daadwerkelijk noodzakelijk is voor de uitvoering van de overeenkomst.

Ja. Zowel materiële schade als immateriële schade kan door klanten worden geclaimd. Er zijn zelfs advocatenkantoren die zich specialiseren in het optuigen van massaclaims van consumenten tegen bedrijven na bijvoorbeeld het gebruik maken van een onjuiste grondslag en andere doeleinden dan gecommuniceerd voor het verwerken van persoonsgegevens, waardoor het bijvoorbeeld niet langer transparant is wat er met deze gegevens precies is gebeurd. Dit kunnen tijdrovende en kostbare juridische procedures zijn. Indien u de wet juist toepast in uw organisatie en in uw processen, kunt u al veel ellende voorkomen. Mocht er desondanks toch een claim of geschil ontstaan, na bijvoorbeeld een hack, dan kan ik u uiteraard ook bijstand verlenen.

Bedrijven die op grote schaal individuen volgen of hun activiteiten in kaart brengen, bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht,personeelsvolgsystemen of die op grote schaal bijzondere persoonsgegevens verwerken. Bij bijzondere persoonsgegevens kan je denken aan BSN, gegevens over iemands gezondheid, ras/etniciteit, vakbondslidmaatschap of geloofsovertuiging.

Een FG informeert en geeft onafhankelijk advies over de AVG en houdt toezicht op de juiste toepassing ervan in de organisatie. Verder geeft de FG advies en ziet toe op de gegevensbeschermingseffectbeoordeling (DPIA) die uitgevoerd moet worden bij het invoeren van nieuwe toepassingen of systemen waarmee persoonsgegevens worden verwerkt of opgeslagen.

Met mij als Externe FG haalt u direct de juiste kennis en juridische expertise in huis, mét daarbij de onafhankelijkheid zoals door de AVG wordt vereist.

Een DPIA is een Data Protection Impact Assessment oftewel een gegevensbeschermingseffectbeoordeling. Om te beoordelen of een DPIA vereist is kan worden gekeken naar art. 35 AVG, de Richtsnoeren voor gegevensbeschermingseffectbeoordeling WP248 rev01 (4 april 2017) en het Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling verplicht is van de Autoriteit persoonsgegevens. Een DPIA is vereist als het gaat om een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Denk hierbij aan het  grootschalig verwerken van (bijzondere) persoonsgegevens, het willen verwerken van gevoelige gegevens, het toepassen van een innovatieve toepassing (AI) of observatie.

Een sterk wachtwoord is uniek en moeilijk te raden. Combineer dit met tweestapsverificatie. Onveilige wachtwoorden leiden vaak tot datalekken, die u als bedrijf moet melden.

Nee. Een open netwerk is een groot risico: onbevoegden kunnen meekijken. Wordt hierdoor gevoelige informatie gelekt, dan bent u verantwoordelijk. Ik help u beleid op te stellen dat deze risico’s voorkomt.

Ja. Eén fout van een medewerker kan al een datalek veroorzaken. Zonder training loopt u het risico op boetes en reputatieschade. Ik bied praktische bewustwordingstrajecten die juridisch en organisatorisch kloppen.

U mag alleen gegevens vragen die noodzakelijk zijn voor uw doeleinden en gebaseerd op de juist grondslagen. Dataminimalisatie is uitgangspunt, waarbij de proportionaliteit (noodzakelijk) en subsidiariteit (afweging belangen: jouw doel van de verwerking en de inbreuk op de privacy van de betrokkenen) een grote rol spelen. Als advocaat privacyrecht adviseer ik u hoe u dit op een goede manier kunt doen.

Handel altijd binnen 72 uur en laat mij u helpen. Een datalek moet gemeld worde bij de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ik kan u voorzien van een protocol, wat te doen bij een datalek en sta u bij om als er een datalek plaatsvindt om te beoordelen of het datalek gemeld moet worden en indien dit het geval is, zal ik u ook hierbij helpen.

Klanten verwachten dat hun gegevens veilig zijn. Gaat dit mis, dan schaadt dat hun vertrouwen en uw reputatie. Ik help bedrijven beleid op te zetten dat gericht is op een juiste omgang met de persoonsgegevens en dus het vertrouwen van uw klant.

Niet langer dan noodzakelijk. ‘Voor de zekerheid bewaren’ leidt juist tot risico’s. Ik breng met u de bewaartermijnen in kaart en help u die vast te leggen en te communiceren, zowel intern als extern.

Alleen de personen die het nodig heeft voor uitvoeren van zijn taken, en dan ook alleen datgene wat noodzakelijk hiervoor is, in kaart gebracht middels een autorisatiematrix. Slecht geregelde toegangsrechten leiden vaak tot datalekken. Ik adviseer hoe u dit op een juiste wijze borgt.

Ja. Ook dossiers, printjes en notities met persoonsgegevens, die geen huishoudelijk taak of activiteit betreffen, vallen onder de reikwijdte van de AVG. Als u hier niet zorgvuldig mee omgaat, levert ook dat een datalek op. Ik help u beleid opstellen dat zowel digitaal als op papier AVG-proof is.