De wetgeving met betrekking tot persoonsgegevens is op de schop gegaan. Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Omdat er veel is veranderd ten opzichte van voorgaande privacywetgeving en er onduidelijkheid bestaat over deze Europese wet organiseert IMPRES regelmatig workshops.
Tijdens de workshoprondes die wij hebben aangeboden, zijn er veel vragen gesteld. Deze willen we graag met jou delen. In deze blog beantwoorden we de vragen één voor één.
Wist je dat de meeste datalekken via e-mail komen?
Bewaartermijn
Hoelang mag je gegevens van oud-werknemers bewaren?
Er is een plicht om bijvoorbeeld zeven jaar loonadministratie te bewaren. Je moet voldoen aan de wetgeving. De bewaarplicht van bijvoorbeeld loonadministratie gaat boven de AVG-wetgeving. Wellicht kun je ook een deel van de gegevens verwijderen als deze niet nodig zijn om te bewaren.
Is er ook een maximum op hoelang je iets mag bewaren?
De wet zegt niet iets expliciets daarover, maar gaat ook uit van common sense. Het is belangrijk dat de termijn waarop je data opslaat voldoet aan het doel waarvoor je het bewaart. Voor sommige gegevens is een wettelijke bewaartermijn, bijvoorbeeld voor persoonsgegevens van sollicitanten.
Mag je gegevens van klanten (zoals klant gaat rijbewijs halen over 3 maanden) bewaren? Dan kan ik daarop terugkomen bij de klant als hij/zij het rijbewijs heeft gehaald, zodat ik mijn product (verzekering) kan aanbieden.
Dit mag, mits er een grondslag is om deze gegevens te verwerken (bijvoorbeeld toestemming).
Gegevensverwerkingen
Wat is ‘op grote schaal’ gegevens verwerken?
Dit is een relatief begrip. Vanuit de wetgeving wordt er niet een lijn getrokken. Wel is het zo dat het altijd belangrijk is om voorzichtig te zijn met de verwerking van persoonsgegevens. Het beste is om je altijd te conformeren aan de AVG.
Voor een WaJong-medewerker slaan wij meer gegevens op dan voor andere werknemers, hoe zit dat met de AVG?
Ook hier geldt dat wettelijke verplichtingen vanuit, in dit geval de Wet Wajong, prevaleren boven de AVG-regelgeving. Het is belangrijk dat de persoonsgegevens veilig bewaard worden om hier zo min mogelijk risico mee te nemen.
Als mensen zich aanmelden voor een activiteit en ik beheer dat, en moet vervolgens collega’s de gegevens verstrekken van de mensen die zich aangemeld hebben… Hoe ga ik daarmee om?
Het is belangrijk dat de gegevens niet via e-mail worden verstuurd. Dit is een onveilig medium. Beter is het om de gegevens via bijvoorbeeld Zivver te versturen of te printen en de lijst met gegevens geven aan je collega’s. Na afloop is het advies om de papieren te (laten) versnipperen.
Als je klanten in het buitenland (EU) hebt, waarvoor je persoonsgegevens verwerkt, zoals facturatie. Hoe werkt dat?
De wet geldt in de hele EU. Vastleggen van deze verwerking is belangrijk evenals waarom je deze gegevens verwerkt. Je kunt er wellicht voor kiezen minder gegevens op facturen op te nemen of een goed beveiligde portal aan te bieden waar klanten facturen kunnen inzien/downloaden.
Moet je opnieuw laten zien aan bestaande klanten hoe je omgaat met hun gegevens?
Als er wijzigingen zijn van verwerkingen die je eerder niet deed, moet je dit vragen aan de persoon. Toestemming geldt alleen voor gegevens die je nodig hebt voor zaken die niet uit je normale dienstverlening voortvloeien. Als er gegevens via een website worden gevraagd dient de privacyverklaring daarop te worden aangepast.
Mag je een telefoonnummer en e-mail van een uitzendkracht aan een opdrachtgever verstrekken?
Het hangt van de situatie af of dit mag. Als hiervoor toestemming is gevraagd aan de uitzendkracht, en die heeft toestemming gegeven, dan mag het. Tevens moet je de uitzendkracht op de hoogte stellen van wat je gaat doen met deze (persoons)gegevens. Het delen van gegevens mag alleen nadat de uitzendkracht van tevoren is geïnformeerd. Let erop dat er dan ook een overeenkomst moet zijn tussen opdrachtgever en uitzendbureau en dat de (persoons)gegevens veilig gedeeld worden.
Recht op verwijdering
Als ik bij een callcenter aangeef dat ik verwijderd wil worden, maar zij zeggen dat zij het niet kunnen omdat de gegevens van een andere partij zijn, hoe zit dat?
Het callcenter is in dit geval een verwerker van de andere partij (waarvoor zij bellen). De andere partij is verantwoordelijk. Uiteindelijk moeten zij dus jouw gegevens verwijderen. Wel is het zo dat het callcenter dit door dient te geven als verwerker.
Als iemand zich wil laten verwijderen van bijv. een nieuwsbrief, hoe zit dat?
Dan is het belangrijk alle gegevens te verwijderen van deze persoon. Dus de aanmelding, de verwijderingsaanvraag, etc.
Formulieren
Hoe zit het als een bezoeker alleen bedrijfsgegevens invult bij een formulier, zoals zakelijk e-mailadres en telefoonnummer?
Als hier geen persoonsgegeven bij zit, zoals een naam, valt dit niet onder de AVG. Zodra er wel een persoonsgegeven ingevuld wordt, vallen deze gegevens onder de AVG.
Mag je, als je een klantonderzoek hebt gedaan, de antwoorden anoniem bewaren?
Ja dit mag, zolang de gegevens niet herleidbaar zijn tot een persoonsgegeven.
Als je gegevens vraagt in een formulier die niet verplicht zijn, mag dat?
Vraag hierbij is of je deze gegevens echt nodig hebt. Als dat niet zo is, waarom vraag je ze dan? ‘Interessant’ of ‘leuk’ is geen goede reden om deze gegevens te verwerken. Dit betekent echter weer niet dat het vragen van een extra gegeven niet uit te leggen is.
Wat doe je met formulieren waarin je alleen een vraag beantwoordt en iemand stuurt actief een vraag naar je?
Alsnog is het dan belangrijk om aan te geven wat je doet met deze gegevens.
Terug naar onderwerpen
Datalek
Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?
Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. In sommige gevallen mag melding achterwege blijven, bijvoorbeeld indien de persoonsgegevens voor derden niet begrijpelijk zijn omdat ze zijn versleuteld.
Als er een datalek in enige vorm plaatsvindt (bijvoorbeeld het kwijtraken van een USB-stick) en je meldt dit aan de Autoriteit Persoonsgegevens, kun je dan een boete krijgen?
Nee, juist wanneer je het niet meldt kun je een boete krijgen. Je voldoet dan namelijk niet aan de eis van de privacywetgeving (namelijk: in de meeste omstandigheden wel melden)
Wat gebeurt er als je het meldt?
Het is goed om een datalek te melden. De melding moet op een juiste manier gebeuren. Zo voorkom je vervelende situaties. Vanuit de wetgeving is het meestal verplicht om te melden. Door een melding te maken, voldoe je aan de wetgeving. Het verzwijgen kan nare consequenties hebben. De Autoriteit Persoonsgegevens ziet hier strenger op toe.
Wanneer is iets een datalek?
Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.
Hoeveel mensen mag ik in een e-mail in de cc meenemen, is er een minimaal of maximum aantal? Ik heb alleen ontvangers een e-mail gestuurd die ik ken, dan is het toch geen datalek?
Er is geen minimum of maximum aantal mensen wat in de cc geplaatst mag worden. Het is belangrijk hiermee voorzichtig om te gaan. De informatie moet terechtkomen bij de juiste personen. Zodra er één verkeerde adressant in de cc van een e-mail meegenomen is, is er in principe dan al sprake van een datalek.
Als ik als consument een datalek constateer, kan ik dan een advocaat in de hand nemen? En valt er dan wat te ‘halen’?
Indien een consument het bedrijf aansprakelijk kan stellen: Ja. We denken dat dit ook eerder gaat gebeuren dan dat er een boete wordt opgelegd door de AVG. Of er wat te ‘halen’ valt is natuurlijk relatief. Momenteel is er weinig jurisprudentie over ‘wat is je geleden schade?’. Waarschijnlijk krijg je in een procedure gelijk, maar het achterhalen van de geleden schade is lastig te bepalen.
Op het moment dat je actief vraagt of een persoon/organisatie de data mag verwerken door een derde: Heb je het dan voldoende afgevangen?
Ja. Echter weet je niet altijd van tevoren wat je te wachten staat en waar je een akkoord op geeft. Dit is een grijs gebied.
Functionaris Gegevensbescherming
Is een Functionaris Gegevensbescherming nodig bij het MKB?
Dit ligt er aan. Het is niet altijd nodig. Het is in 3 gevallen verplicht:
- Overheidsinstanties en publieke organisaties
- Organisaties die vanuit kernactiviteiten op grote schaal individuen volgen
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerken wat een kernactiviteit is
Goed om te weten: als Functionaris Gegevensbescherming kun je niet ontslagen worden.
Hoe zit het met back-up personen van een Functionaris Gegevensbescherming? Wat doe je als deze wegvalt?
In de organisatie moet gedekt zijn dat er iemand is die de Functionaris Gegevensbescherming op kan vangen als dit nodig is. Het is belangrijk dat de organisatie weet wat er moet gebeuren bij bijvoorbeeld een datalek. Er moet dan een aangewezen persoon zijn die dit kan.
Verwerkersovereenkomst
Moeten alle bewerkersovereenkomsten veranderd worden?
Ja dat moet. Bewerkersovereenkomsten moeten verwerkersovereenkomsten worden en afgestemd worden op de AVG.
Wanneer heb je een verwerkersovereenkomst nodig?
Bijna altijd als je persoonsgegevens verwerkt. In bijna alle gevallen is het nodig een verwerkersovereenkomst op te stellen. Schakel je bijvoorbeeld iemand in voor het bouwen van je website dan is een verwerkersovereenkomst nodig.
Is deze ook nodig voor een partij die de IT verzorgt en gegevens in de cloud opslaat?
Ja, een verwerkersovereenkomst is dan nodig. Dit komt omdat de partij persoonsgegevens verwerkt voor jou als verantwoordelijke.
Jullie spreken ook over Google/Cloud, hebben jullie daar ook een verwerkersovereenkomst mee?
Ja, je moet akkoord gaan met hun verwerkersovereenkomst.
Wij hebben een verwerkingsovereenkomst gestuurd naar al onze klanten. Nu gaan we een regel toevoegen. Moeten we dan een nieuwe versie toesturen naar al onze klanten en laten tekenen? Het gaat om één extra subverwerker die toegevoegd is.
In principe is het niet nodig dat er bij het toevoegen van een subverwerker een nieuwe overeenkomst gestuurd moet worden. Wat handig is, is om een bijlage op te nemen in de verwerkersovereenkomst. In deze bijlage kun je wijzigingen ten opzichte van eerdere versies noteren. Je kunt de klant vervolgens actief updaten dat er een extra subverwerker is toegevoegd (en waarom). Deze kun je toevoegen in een bijlage, welke je meestuurt. Daarnaast is het belangrijk dat de Verantwoordelijke bezwaar kan maken gedurende een vastgestelde periode. De periode dat Verantwoordelijke bezwaar kan maken kun je op bijvoorbeeld 30 dagen zetten. Na geen bezwaar kan de wijziging als aanvaard gelden. Vervolgens moet je de wijziging documenteren.
Wanneer moet je een verwerkersovereenkomst sluiten/ met welke leverancier moet je deze sluiten?
Als je andere partijen inschakelt om persoonsgegevens voor jou te verwerken, moet je hiermee een ‘verwerkersovereenkomst’ afsluiten. Het gaat daarbij om situaties waarbij je de andere partij opdracht geeft persoonsgegevens, waarvoor je zelf verantwoordelijk bent, te verwerken. Met andere woorden: het gaat om gevallen wanneer jij bepaalt wat er moet gebeuren met de gegevens en hoe. De salarisadministrateur of websitebouwer vallen hier bijvoorbeeld onder.
Mag ik nog wel e-mail gebruiken binnen de AVG? Hoe ga ik eigenlijk om met e-mail en de AVG?
Het is niet verstandig om een excellijst (met persoonsgegevens) te versturen via de e-mail, waarmee dan wel?
Zivver. Dit is een Nederlands alternatief voor WeTransfer. Het is een beveiligd platform die AVG/GDRP-compliant is. Je kunt er versleuteld mee chatten en versleuteld bestanden verzenden.
Mag je wel intern lijsten / gegevens doorsturen via e-mail?
Hiervoor geldt hetzelfde als voor bovenstaande. Dit is niet verstandig om via e-mail te doen, ook al wordt er gebruik gemaakt van een beveiligd netwerk. Mail gaat eerst naar buiten, om vervolgens bij je collega terecht te komen. Het kan dus onderschept worden. De meest verstandige oplossing is een dienst die bestanden versleuteld verzendt.
Hoe zit het met bewaren van gegevens die ik via e-mail krijg? Ik moet bepaalde gegevens kunnen aantonen aan bijvoorbeeld de belastingdienst of AFM. Daarnaast is het nodig om adviezen te bewaren, zodat ik bewijsmateriaal heb.
Gegevens, zoals een advies die gekoppeld is aan een persoon, die verplicht zijn om aan te tonen / leveren gaan boven de AVG. Zaken die besproken zijn met mensen zoals een advies, mogen bewaard worden als dit nodig is voor bijvoorbeeld je eigen rechtspositie, of als je daarvoor een gerechtvaardigd belang hebt.
Hoe gebruik ik e-mail voor interne en externe communicatie?
E-mail is oorspronkelijk bedoeld om korte en kleine berichten te versturen. Inmiddels is het uitgegroeid tot een medium om de meest complexe en belangrijke informatie mee te versturen. Kijkend naar het oorspronkelijke doel en de huidige situatie, kunnen we stellen dat het goed is nogmaals over e-mail en gegevensverzending na te denken. Het is belangrijk om gegevens op een veilige manier te verzenden. Welk medium daarvoor geschikt is, verschilt per situatie.
E-mail per definitie gebruiken zonder ergens anders over na te denken is geen goed uitgangspunt. Wel belangrijk is dat het medium werkbaar is. E-mail gebruiken voor interne of externe communicatie maakt geen verschil. Het gaat om wat je verstuurt.
Kan ik de bijlage van een e-mail versleutelen?
Ja, dit kan. Het versleutelen van een bijlage is een oplossing voor het veilig verzenden van gegevens via e-mail. Google en Outlook bieden diverse versleutelingsopties aan, zoals PGP of S/MIME (let er wel op dat de ontvanger hier ook gebruik van maakt). Ook met bijvoorbeeld Adobe kun je bijlagen versleutelen.
Een andere oplossing is berichten verzenden via een dienst die berichten (inclusief bijlagen) versleuteld verzendt, zoals Zivver.
Wachtwoorden
In hoeverre is het delen van een wachtwoord in lijn met de privacy en het loggen van gegevens?
Het delen van een wachtwoord is in principe niet in lijn met de privacywetgeving. Wel zijn er diverse tools om kritieke informatie (zoals wachtwoorden) te versturen. Het is tevens belangrijk dat er gelogd wordt wie toegang heeft tot het wachtwoord en daarmee dus in de website, applicatie of tool kan komen.
Tip: Gebruik een uniek wachtwoord voor je mail. Gebruik deze niet voor meerdere systemen. Via je mail kunnen hackers bijna je volledige identiteit stelen.
Tip: Sla wachtwoorden niet op in de browser.
Wat moet je doen als je het wachtwoord voor de wachtwoordkluis kwijt bent?
Dit is altijd te achterhalen. Bijvoorbeeld door middel van een emergency kit die je krijgt op het moment dat je een wachtwoordkluis aanmaakt.
Bij systemen zonder two factor authentication kan je niet goed uitleggen dat het AVG-proof is. Geldt dat ook voor een gebruiker, in plaats van organisatie? De gebruiker heeft zelf de keuze om two-factor in te schakelen, hoe zit dat in die gevallen?
Indien de persoon alleen bij zijn eigen gegevens kan, zou het goed moeten zijn. Dit geldt dus zolang de gebruiker alleen bij de eigen gegevens kan. Nog steeds is het een aanrader om two factor authentication in te stellen. Dit zorgt voor een hogere mate van veiligheid.
Tip: In Google G-suite kun je een device policy instellen. Zoals een sterk wachtwoord van bijv. minimaal 15 tekens. Je kunt ook instellen dat apps gescheiden moeten worden op telefoons, zoals bijv. twee Gmail apps op je telefoon.
Foto's en video's
Mag je ‘zomaar’ foto’s publiceren op bijvoorbeeld je website of Facebook, zonder toestemming van de betrokkene(n)?
Foto’s met daarop mensen die in het openbaar zijn gemaakt mogen in principe worden gebruikt, tenzij aannemelijk is dat daarmee inbreuk wordt gemaakt op de persoonlijke levenssfeer of het portretrecht van die persoon (bijvoorbeeld: iemand die met een slokje te veel op in de kroeg staat…)
Een intern smoelenboek, hoe zit het daarmee? Mag ik verplichten medewerkers daarin te laten komen?
Dat ligt eraan of je als werkgever een belang, bovenop het belang van de medewerker hebt. In principe moet je toestemming vragen aan de medewerkers om ze op te laten nemen in het smoelenboek. Dit geldt ook voor foto’s die gebruikt worden voor andere doeleinden, zoals Facebookpagina’s, Whatsappgroepen en commerciële communicatie-uitingen.
Hoe zit het met een vraag van een medewerker die een foto / video wil laten verwijderen?
Als organisatie moet je voldoen aan vragen van (oud-)medewerkers om hun foto/video te laten verwijderen. Dus als iemand verwijderd wil worden uit systemen, moet je dat als werkgever doen. Ook bijvoorbeeld een foto in de gang van medewerkers waar hij/zij op staat, zul je dan moeten verwijderen. Dit is misschien minder leuk, toch staat de medewerker in zijn/haar recht (tenzij diegene er toestemming voor heeft gegeven dat zijn beeld voor dat doeleinde gebruikt mocht worden).
Overig
Hoe houd je controle en grip op updates en op systemen die niet geüpdatet zijn?
Het is lastig om goed controle en grip te houden op updates en systemen. Je bent hierin afhankelijk van je leverancier. Gebruikmaken van ICT-audits kan een goede methode zijn om je systemen te checken.
Wat als ik regelmatig op beurzen sta, visitekaartjes verzamel en die personen een bericht stuur met een bedankje. Mag dat binnen de AVG?
Binnen de AVG moet je toestemming vragen. Als je een visitekaartje krijgt, is het niet duidelijk of die persoon er toestemming voor heeft gegeven. Ga hier praktisch mee om. Vermeldt dit bijvoorbeeld op je website of bij het bericht wat je stuurt (waarom ontvangt de ontvanger dit bericht?).
Moet je een periodieke controle op je beleid ook documenteren?
Ja, dit moet. Eigenlijk is het het beste alles wat je doet te documenteren.
Als iemand mondeling toestemming geeft om bijvoorbeeld sollicitatiegegevens voor langere tijd te bewaren. Is dat rechtsgeldig?
Ja, dat is het. Het is te adviseren om vast te leggen wanneer dit akkoord is gegeven.
Vallen de ABC-eilanden onder de AVG?
Nee, de ABC-eilanden vallen niet onder de AVG-regelgeving, ondanks dat de inwoners van deze eilanden wel EU-burgers zijn. Er wordt op de ABC-eilanden zelfs nog gewerkt met een oude versie van het burgerlijk wetboek van voor 1992. Bedrijven kunnen zich wel conformeren aan de AVG-wetgeving.
Hoe zit het als iemand via Teamviewer met je meekijkt?
Het is belangrijk dat je hier zelf toestemming voor geeft. Er is namelijk een risico dat iemand anders bij persoonsgegevens kan via jouw pc. Als een externe IT-dienstverlener op jouw server, netwerk of individuele apparaten kan kijken, dient daar een verwerkersovereenkomst mee gesloten te worden.
Als je externe gegevens op een harde schijf in een kluis opslaat en niet in de cloud, is dat beter?
Er is altijd een kans dat iemand die gegevens kan stelen. De cloud wordt tegenwoordig goed beveiligd. Het is niet perse zo dat je via een harde schijf die beveiligd is, veiliger bent. Geen enkele oplossing is niet te kraken.
Op welke wijze voldoet een USB stick aan de AVG? Is bitlocker alleen voldoende?
Een USB-stick is niet per definitie wel / niet te gebruiken onder de AVG. Het hangt van het doel af waarvoor je deze gebruikt. Het kan een handig medium zijn om gegevens op op te slaan. Encryptie (zoals BitLocker) kan natuurlijk gaan kwaad.
Hoe lang mag je je scherm van je desktop / mobiel niet vergrendeld laten, terwijl je niet bij je device bent?
Dit hangt af van de soort gegevens die je verwerkt. Belangrijk is dat het te verantwoorden is aan de personen waarvan je de gegevens verwerkt en de Autoriteit Persoonsgegevens. Aan te raden is om als je wegloopt van je scherm, het scherm te vergrendelen.
Mogen ingehuurde medewerkers (freelancers, ZZP-ers, etc.) die niet uit de EU komen wel aangesloten blijven bij mijn organisatie?
Ja, dit mag. Belangrijk is om eerst medewerkers uit de EU en Zwitserland te zoeken. Let er op dat ook externe medewerkers moeten voldoen aan de AVG, en leg dit ook vast. Tevens is het verstandig de toegang tot bijvoorbeeld productie-omgevingen van je website of platform te ontzeggen, zodat zij niet bij actuele data kunnen.
Kun je voorkomen dat je computer of laptop gekraakt / gehackt wordt?
Dit is niet 100% te voorkomen. Er blijft een risico op een lek of hack. Er zijn wel genoeg passende maatregelen te nemen, zoals:
- Een wachtwoordkluis aanschaffen, met voor ieder account een andere inlog.
- De tijd dat je computer of laptop in slaapstand valt verkleinen.
- Harde schijven beveiligen met versleuteling.
Voorbeelden van een aantal wachtwoordkluizen?
- 1Password (2,99 dollar per maand)
- Keepass (gratis)
- LastPass (gratis of betaald)
- Dashlane (gratis of betaald)
We hebben pensioenregelaars, verzekeraars en dergelijke voor onze organisatie. Zij stellen dat ze niet verplicht zijn tot het nemen van maatregelen. Hoe zit dat?
Dit is niet correct. Als verwerker (met veel gegevens), ben je verplicht tot het nemen van goede en veilige maatregelen. Een verzekeraar of pensioenregelaar is dit. De pensioenregelaar of verzekeraar moet zijn zaken omtrent AVG dus ook goed regelen en is verantwoordelijk tot het nemen van goede en veilige maatregelen. Je mag hen vragen naar welke maatregelen zij genomen hebben. Dit moet een partij kunnen aantonen. Indien zij dit niet willen, kun je dit tippen aan de Autoriteit Persoonsgegevens.
Is het correct onder de AVG om via bijvoorbeeld messagebird een sms te sturen naar personen die in een databestand staan van mijn organisatie? Deze personen hebben niet gereageerd op een e-mail over hun voorkeuren of wij hun gegevens mogen bewaren of niet. Wij willen deze groep graag bereiken door een sms te sturen waarin staat dat we hen een e-mail hebben gestuurd. Het gaat hier om personen die al eerder hun gegevens zoals e-mail en telefoonnummer aan ons hebben gegeven. Ze hebben deze gegevens opgegeven op het moment dat ze zich bij ons aanmeldden.
Als je niet kunt aantonen dat mensen middels een opt-in (ondubbelzinnig) toestemming hebben gegeven, zul je hen opnieuw moeten benaderen voor toestemming / opgave van voorkeuren. Als je over hun telefoonnummer beschikt, kun je het op die manier doen. In principe is het zo dat als men niet reageert zij dus geen toestemming hebben gegeven en je die gegevens uit de database moet verwijderen (hard delete).
Hoe zit het met de toezichthouder en vestigingen in het buitenland?
In principe is het zo dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van jou als verantwoordelijke gevestigd is, als leidende toezichthouder aangemerkt wordt. Met hoofdvestiging wordt de vestiging bedoeld waar de centrale administratie van jouw organisatie plaatsvindt.
Hiervan wordt echter afgeweken als beslissingen over de doelen en middelen van de persoonsgegevensverwerking in een andere vestiging worden genomen. In dat geval is de toezichthouder van de EU-lidstaat waar die vestiging staat de leidende toezichthouder.
Op onze basisschool hangt een tv-scherm als informatieborg voor ouders en bezoekers. Hierop worden de namen vermeldt van de jarige kinderen. In hoeverre mag dit nog onder de AVG regelgeving?
In principe zegt de AVG dat betrokkenen toestemming moeten geven op vermelding van hun persoonsgegevens, mits dit niet onder een andere grondslag te scharen is. Aan ouders moet dan toestemming gevraagd worden om de namen van jarige kinderen te vermelden op het tv-scherm / op narrowcasting schermen. Dit moet dan uiteraard rechtsgeldig zijn.
Hoe oefen ik mijn privacyrechten zoals een verzoek tot inzage, vergetelheid of rectificatie uit?
Je kunt de organisatie waarvan je je afvraagt welke gegevens zij van jou hebben een verzoek sturen om je gegevens in te zien. Tevens mag je organisaties benaderen voor rectificatie, vergetelheid, dataportabiliteit en dergelijke. Je hebt diverse privacyrechten vanuit de AVG. De Autoriteit Persoonsgegevens heeft alle rechten voor je opgesomd. Je vindt ze op hun website.
Vraag je je af hoe je een organisatie kunt benaderen? De Autoriteit Persoonsgegevens heeft diverse voorbeeldbrieven opgesteld. Deze vind je eveneens op hun website.
*Aan deze blog kunnen geen rechten ontleend worden.