De zon schijnt, vogeltjes fluiten, de voorjaarsschoonmaak is in volle gang en de tuin ziet er picobello uit. Thuis is alles onder controle. Maar geldt dit ook voor op het werk? Zijn alle privacyzaken op orde? Het is nu een goed moment om dat in kaart te brengen en hier werk van te maken! In deze blog help ik u op weg.
Privacy- en cookieverklaring
De website van een organisatie is vaak het uithangbord. Ziet een website er goed uit, dan gaan we er eigenlijk vanuit dat alles wel goed geregeld is. Een makkelijke manier om aan de buitenwereld te laten zien dat uw organisatie goed heeft nagedacht over privacy, is te zorgen voor een nette privacy- en cookieverklaring.
In de AVG staat opgesomd welke informatie in een privacyverklaring moet worden opgenomen. Grofweg komt het erop neer dat organisaties betrokkenen (bijvoorbeeld klanten of websitebezoekers, maar ook medewerkers) moeten informeren over welke persoonsgegevens er worden verwerkt, op basis van welke grondslag en voor welke doeleinden dit gebeurt en hoe lang de gegevens worden bewaard. Daarnaast moeten organisaties transparant zijn over partijen die zij inschakelen om de dienstverlening te kunnen leveren, zoals een IT-leverancier of betalingsdienstverlener.
Vergeet niet om alle cookies die op de website worden gebruikt, op te nemen in een cookietabel. Zorg ook voor een goede cookiebanner. Let op: een cookiewall is niet toegestaan.
Beveiliging
De AVG schrijft voor dat organisaties passende technische en organisatorische maatregelen moeten treffen. Helemaal nu we zoveel thuiswerken, is het van belang om beveiligingsrisico’s in kaart te brengen en daarop te anticiperen. Zorg voor een degelijk beveiligingsbeleid, zodat medewerkers weten hoe zij behoren om te gaan met wachtwoorden, apparatuur en software.
Datalekprocedure- en register
Gaat er ondanks alle beveiligingsmaatregelen toch iets mis met persoonsgegevens, dan kan dat resulteren in een datalek. Waar mensen werken, worden immers fouten gemaakt. Het is belangrijk dat een organisatie weet wat er moet gebeuren als sprake is van een datalek.
Maak daarom een datalekprocedure, waarin is vastgelegd hoe te handelen in geval van een datalek. Bij wie moet het datalek intern worden gemeld? Binnen wat voor termijn moet de melding worden gedaan? Is het duidelijk wat de verdere opvolging is, bijvoorbeeld melding aan de Autoriteit Persoonsgegevens en/of betrokkenen? Daarnaast is het van belang dat in een datalekregister wordt bijgehouden welke datalekken zich hebben voorgedaan en hoe deze zijn afgehandeld. Maak hiervoor gebruik van een online tool, of een Excel-bestand.
Verwerkingsregister
Een ander ‘moetje’ op grond van de AVG, is het hebben en bijhouden van een verwerkingsregister. Organisaties hikken hier vaak tegenaan, maar neem hier even de tijd voor en u zult merken dat het juist fijn is om een compleet beeld te hebben van wat zich binnen een organisatie afspeelt. Het verwerkingsregister is in feite een overzicht van alle verwerkingsactiviteiten die zich binnen de organisatie voordoen.
Bijvoorbeeld: voor de sollicitatieprocedure verwerkt een organisatie de naam, adres- en contactgegevens, het cv en de sollicitatiebrief van sollicitanten. In het register staat wat de bewaartermijn is van die gegevens. In geval van sollicitaties geldt meestal een bewaartermijn van 6 weken nadat een functie is vervuld, of 1 jaar met toestemming van de sollicitatie. Verder moet in het verwerkingsregister vermeld zijn welke partijen de persoonsgegevens ontvangen, of de persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte en welke beveiligingsmaatregelen getroffen zijn.
Verwerkersovereenkomst
Bij het verwerken van persoonsgegevens zijn vaak meerdere organisaties betrokken. Denk aan het uitbesteden van de personeelsadministratie of het gebruiken van een bepaald softwareprogramma. Tussen die organisaties moeten afspraken worden gemaakt over de verwerking van persoonsgegevens, en die afspraken legt u vast in een verwerkersovereenkomst. Check of met alle partijen een verwerkersovereenkomst is gesloten. Is het niet duidelijk welke bepalingen belangrijk zijn in een verwerkersovereenkomst, wij geven u tips om minder te hoeven onderhandelen bij het sluiten van een verwerkersovereenkomst.
Intern privacybeleid
Last but not least, het intern privacybeleid. Dit wordt vaak vergeten door organisaties. Het intern privacybeleid is bedoeld om medewerkers te informeren over hoe er binnen de organisatie wordt omgegaan met persoonsgegevens van bijvoorbeeld leveranciers, klanten en websitebezoekers. Maar in het intern privacybeleid staat ook hoe de organisatie in de rol van werkgever omgaat met de persoonsgegevens van alle medewerkers.
