Privacy Compliance

wat heb je nodig?

De GDPR bepaalt dat ondernemingen passende technische en organisatorische maatregelen moeten treffen om te waarborgen en te kunnen aantonen dat een verwerking van persoonsgegevens in overeenstemming met de GDPR wordt uitgevoerd. Dit betekent onder meer dat ondernemingen, afhankelijk van het soort verwerkingsactiviteiten, bepaalde documenten in orde moeten hebben.

Op basis van de door ons (of door een derde partij) verrichte audit, kan deJuristen de nodige documenten opmaken (of aanpassen) en beleidslijnen uitwerken (of verfijnen). Dit zal je organisatie toelaten om aan te tonen dat je aan het principe van verantwoording voldoet.

In onderling overleg bespreken we welke documenten minimaal vereist zijn voor je onderneming, wat hieraan nog kan toegevoegd worden, en wat het traject is om zo efficiënt mogelijk tot een resultaat te komen.

Privacy beleid (of gegevensbeschermingsbeleid)

Dit is een intern document over op welke wijze de organisatie met persoonsgegevens omgaat. De volgende onderwerpen worden uitgebreid uitgewerkt: een omschrijving van de categorieën van persoonsgegevens, beschrijving van de doeleinden van de verwerkingen, op welke rechtsgrondslag de organisatie zich baseert, welke rechten de betrokkenen hebben (en hoe de betrokkenen deze kunnen uitoefenen), of er ontvangers zijn van de persoonsgegevens.

Samen met jou zullen wij bespreken en bepalen welke informatie in de privacy beleid zou moeten worden opgenomen.

Verwerkingsregister

Een verwerkingsregister is een overzicht van alle datastromen, verwerkingsprocessen en de beveiliging van de persoonsgegevens.

Het register geeft een beeld over de volgende aspecten:

  • De verwerkte persoonsgegevens;
  • de verwerkingsprocessen binnen je onderneming;
  • een overzicht over de gegevensbeveiliging;
  • de doorgifte van persoonsgegevens;
  • de gehanteerde bewaartermijnen van de persoonsgegevens.

Dit register zal je organisatie het bewijs leveren dat je de regels inzake privacy respecteert.

Verwerkersovereenkomst 

Op het moment dat je organisatie persoonsgegevens laat verwerken door een andere partij (of je organisatie verwerkt ten behoeve van een andere partij persoonsgegevens), moet er een verwerkersovereenkomst worden afgesloten. In een verwerkersovereenkomsten worden zaken uitgewerkt, zoals het onderwerp, de duur van de verwerking, de aard en het doel, het soort persoonsgegevens en de categorieën van betrokkenen, de rechten en verplichtingen van partijen (met betrekking tot de aansprakelijkheid, het recht op audit en het melden van een datalek).

Doorgifte overeenkomst tussen twee zelfstandige verwerkingsverantwoordelijken

Met behulp van een doorgifte overeenkomst kan een verwerkingsverantwoordelijke persoonsgegevens voor bepaalde overeengekomen doeleinden delen met andere verwerkingsverantwoordelijke. Deze overeenkomst legt een aantal beperkingen op aan het gebruik van de gedeelde persoonsgegevens, samen met een reeks verplichtingen om ervoor te zorgen dat beide partijen voldoen aan hun verplichtingen van de GDPR.

Data retentiebeleid

Dit beleid omvat de richtlijnen binnen je organisatie voor het bewaren en vernietigen van gegevens in overeenstemming met de wettelijke vereisten.

Het doel van dit beleid is om duidelijke richtlijnen te geven over hoe je organisatie en medewerkers gegevens dienen te bewaren die zijn gegenereerd of ontvangen in het kader van hun activiteiten. Tevens stelt dit beleid de normen vast voor een passende bescherming van de opgeslagen gegevens en voor de vernietiging van de gegevens op het moment dat de bewaartermijn is verstreken.

Toestemmingformulier

Dit document zorgt ervoor dat je organisatie, voor zover je organisatie op toestemming als rechtsgrond zou beroepen, op de juiste wijze toestemming wordt verkregen. De betrokkene wordt geïnformeerd over de doeleinden van de verwerking, de aard van de verwerking, de bewaartermijnen van de verwerking, en dat de betrokkenen te allen tijde zijn of haar toestemming kan intrekken.

Privacy verklaring (Privacy Statement)

Op het moment dat je organisatie via de website persoonsgegevens verwerkt, is het belangrijk dat de betrokkenen op de hoogte worden gehouden van welke persoonsgegevens je organisatie gebruikt, waarvoor en waarom. Het is ook van belang dat de betrokkenen worden ingelicht over hun wettelijke rechten met betrekking tot het verwerken van persoonsgegevens en hoe ze deze rechten kunnen uitoefenen.

Deze onderwerpen worden in een Privacy verklaring uiteengezet en op de website van je organisatie geplaatst, zodat je organisatie naar derde toe laat zien hoe je omgaat met persoonsgegevens.

Cookie verklaring (Cookie Statement)

Een cookie verklaring verstrekt duidelijke en gedetailleerde informatie over het gebruik van cookies en gerelateerde technologieën.

Het voornaamste doel van een cookie verklaring is de gebruikers informeren over de soorten cookies die op je website staan en de persoonsgegevens die de cookies opslaan.

Daarnaast zorgt een cookie verklaring ervoor – in combinatie met een popup of banner – dat de betrokkene een expliciete toestemming kan geven met betrekking tot het plaatsen van bepaalde cookies.

Procedure melden datalekken (actieplan datalek)

Een datalek kan schadelijk zijn voor zowel je organisatie als voor de betrokkenen. Derhalve is het belangrijk om een duidelijke procedure te hebben voor het omgaan met datalekken, ervoor te zorgen dat een datalek snel wordt verholpen, goed wordt onderzocht, dat de toezichthoudende autoriteit en de betrokkenen worden ingelicht en passende maatregelen worden genomen om te voorkomen dat een dergelijke datalek zicht herhaalt.

Een procedure datalek beschrijft de stappen die je organisatie zou moeten nemen vanaf de eerste interne rapportage tot de uiteindelijke implementatie van preventieve maatregelen. Daarnaast is het document voorzien van een datalek register, waarin alle details van het datalek worden vastgelegd.

Een procedure datalek zorgt ervoor dat indien een datalek zich voordoet, je organisatie niet hoeft te denken wat er nu precies allemaal moet worden ondernomen. Immers zou je organisatie de energie moeten steken in het oplossen en melden van het datalek. Het hebben van een actieplan melden datalek is zinvol zodat je op het moment dat een datalek zich voordoet organisatorisch alles in orde hebt. Een actieplan datalek bevat onder andere de volgende onderwerpen:

  • De noodzakelijke personen om te betrekken;
  • informatie die verzameld moet worden;
  • de beoordeling of het datalek ernstige gevolgen heeft voor de betrokkene;
  • of er een melding moet worden gedaan bij de Toezichthoudende Autoriteit en/of betrokkene en/of andere instanties.

Beleid recht van betrokkenen 

De GDPR bevat een aantal rechten die van toepassing zijn op betrokkenen, waaronder het recht op informatie, toegang, rectificatie, het zogenoemde recht om te worden vergeten, het recht om te beperken en bezwaar tegen de verwerking van de persoonsgegevens, het recht op gegevensportabiliteit en verdere rechten met betrekking tot geautomatiseerde besluitvorming en profilering.

Organisaties moeten over het algemeen snel reageren op verzoeken van betrokkenen om deze essentiële rechten uit te oefenen, meestal binnen een maand, en moeten dit kosteloos doen (met beperkte uitzonderingen). Het is belangrijk dat betrokken bewust zijn van hun rechten en deze begrijpen.

In een privacyverklaring of privacy beleid worden de rechten gewoonlijk samengevat, maar het kan wenselijk zijn om in detail informatie te geven over de rechten en hoe je organisatie ze kunnen uitoefenen.

Geïnteresseerd in onze documenten? Contacteer ons