Algemene verordening gegevensbescherming
Algemene Verordening Gegevensbescherming 2023-2024
Inleiding Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden in Nederland. De AVG is Europese regelgeving die de lidstaten in hun eigen wetgeving moeten integreren. In Nederland vervangt deze regeling de Wet bescherming persoonsgegevens (Wbp).
Wat verandert er? Het doel van de AVG is het versterken van de positie van de natuurlijke personen van wie de gegevens verwerkt worden. Hun bestaande rechten worden sterker en zij krijgen, ten opzichte van de Wbp, nieuwe rechten. Dit betekent dat de onderneming die persoonsgegevens registreert meer verplichtingen krijgt. Op hun gaat een zwaardere verantwoordelijkheid rusten om aan te tonen dat zij zich aan de wet houden. Onder de AVG hebben de betrokkenen van wie persoonsgegevens worden geadministreerd, naast het huidige recht op inzage, correctie en verwijdering ook het recht op data-overdracht. Dit laatste recht moet er onder andere voor zorgen dat mensen hun gegeven makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als zij dit willen. Daarnaast kunnen betrokkenen een klacht indien bij de Autoriteit Persoonsgegevens (AP) over de wijze waarop met hun persoonsgegevens wordt omgegaan. Organisaties die persoonsgegevens verwerken moeten een register bijhouden, waarin is opgenomen met welk doel persoonsgegevens worden ingezameld, welke persoonsgegevens men verzamelt, aan wie men deze gegevens verstrekt en hoe lang de persoonsgegevens worden bewaard. Tenslotte moeten organisaties bij de inrichting van nieuwe processen die impact kunnen hebben op persoonsgegevens, bij de ontwikkeling van deze processen, rekening houden met de belangen van de betrokkenen (privacy by design) en geldt de verplichting om inbreuk op de privacy rechten (datalekken) te melden bij de Autoriteit Persoonsgegevens en eventueel bij betrokkenen.
Aanpak Arbo Consultancy ter Bekke Arbo Consultancy ter Bekke is een zakelijke dienstverlener en verwerkt bijzondere persoonsgegevens, n.l. gezondheidsgegevens van zieke werknemers en gezondheidsgegevens na uitvoering werkplekonderzoek (WPO), na uitvoering Preventief Medisch Onderzoek (PMO) en/of Welzijn gegevens na uitvoering van een Risico- inventarisatie & evaluatie (RI&E). Het spreekt voor zich dat wij de bescherming van deze gegevens hoog in het vaandel hebben staan. In dit statement geven wij aan welke positie wij innemen als verwerker van gegevens, hoe wij omgaan met de vertrouwelijke gegevens van uw werknemers en welke acties wij ondernemen om te voldoen aan de eisen die de AVG aan deze verwerking stelt. In onderstaand overzicht treft u de belangrijkste bepalingen uit de AVG aan en de acties die Arbo Consultancy ter Bekke onderneemt om aan deze eisen te voldoen.
Een organisatie die op grootschalige wijze persoonsgegevens Een organisatie die op grootschalige wijze persoonsgegevens verwerkt dient een verwerkingsregister op te stellen.
Arbo Consultancy ter Bekke stelt per onderneming een verwerkingsregister op. In dit verwerkingsregister worden de volgende onderdelen opgenomen:
- Het doel c.q. de doelen van verwerking van persoonsgegevens;
- De categorieën van persoonsgegevens die worden bijgehouden; De categorieën van betrokkenen waarvan persoonsgegevens worden bijgehouden;
- Of er sprake is van de registratie van bijzondere persoonsgegevens of strafrechtelijke gegevens;
- De (categorieën van) organisaties aan wie wij deze persoonsgegevens verstrekken;
- De bewaartermijn van de persoonsgegevens. Voor dit verwerkingsregister zullen wij een analyse uitvoeren naar de persoonsgegevens die wij hebben geadministreerd, van welke personen, wie toegang heeft tot deze persoonsgegevens of wie ze ontvangt. Een ontvanger is iemand die van de organisatie persoonsgegevens ontvangt voor de uitvoering van een overeenkomst. Denk hierbij aan bijvoorbeeld de aanvrager van een verzuimcontrole bij een verzuimende werknemer. Als er organisaties zijn die persoonsgegevens voor ons verwerken, denk daarbij aan Arbodiensten of verzuimbegeleiders, Preventief Medisch Onderzoeken (PMO), uitvoering van Risico-inventarisaties & Evaluaties (RI&E) en Werkplekonderzoeken (WPO), dan zullen wij zorgen dat in onze overeenkomsten met deze organisaties uw belangen voldoende zijn geborgd.
Om persoonsgegevens te mogen verwerken moet er sprake zijn van rechtmatigheid. Deze rechtmatigheid kan bestaan uit:
- Toestemming van de betrokkene
- Het uitvoeren van een overeenkomst
- Het voldoen aan een wettelijke plicht. Daarnaast werkt Arbo Consultancy ter Bekke met u samen uit hoofde van een opdracht tot dienstverlening. Deze opdracht komt, ook al zijn wij deze niet nadrukkelijk schriftelijk overeengekomen, automatisch tot stand op basis van het Burgerlijk Wetboek. Dit betekent dat de rechtmatigheid van onze gegevensverzameling is gebaseerd op het uitvoeren van een wettelijke plicht en op basis van het uitvoeren van een overeenkomst. Dit betekent echter niet dat wij zomaar allerlei gegevens van u mogen opvragen. Wij mogen slechts die gegevens opvragen die strikt noodzakelijk zijn voor het doel, waarvoor wij deze gegevens hebben opgevraagd. De gegevens die u aan ons verstrekt, verstrekt u dan ook uit hoofde van het voldoen aan de wettelijke plicht en het uitvoeren van de overeenkomst tot opdracht. Wij zijn geen verwerker in de zin van de AVG, maar verwerkingsverantwoordelijke. Het is dan ook niet nodig om verwerkersovereenkomst met u aan te gaan, voordat u vertrouwelijke informatie aan ons verstrekt.
Met medewerkers die persoonsgegevens verwerken moeten geheimhouding worden overeengekomen.
Omdat vertrouwelijkheid zo belangrijk is hebben wij een analyse gemaakt van welke medewerkers toegang hebben tot welke persoonsgegevens. Wij beoordelen hierbij of deze toegang noodzakelijk is voor de uitvoering van de werkzaamheden van deze medewerkers. Indien deze toegang niet nodig blijkt, dan zullen wij de rechten van deze medewerkers beperken.
Met alle medewerkers binnen onze onderneming is geheimhouding overeengekomen. Deze geheimhouding maakt deel uit van de arbeidsovereenkomst die wij met de medewerkers zijn aangegaan.
Een organisatie die persoonsgegevens verwerkt moet betrokkenen informeren over deze verwerking, betrokkenen wijzen op hun rechten informeren over deze verwerking, betrokkenen wijzen op hun rechten en de uitoefening van deze rechten faciliteren.
Wij passen de informatie over onze dienstverlening aan, zodat deze voldoet aan de informatieverplichting uit de AVG. Deze informatie verstrekken wij aan klanten voordat wij zaken met elkaar gaan doen of als er wijzigingen in deze informatie zijn doorgevoerd. Ook vermelden wij deze informatie op onze website in het hoofdstuk ‘Over ons’.
Daarnaast informeren wij betrokkenen over onze rol en positie, over de gegevens die wij van hen nodig hebben en wat wij daarmee doen.
Wij hebben interne procedures opgesteld om de betrokkenen te faciliteren bij de uitoefening van hun rechten. Hierbij is het voor ons wel belangrijk om vast te stellen of de persoon die rechten wil uitoefenen ook daadwerkelijk de persoon is waarvan wij persoonsgegevens van verwerken. Hiervoor kunnen wij om identificatie vragen of u vragen om op ons kantoor lang te komen om u te identificeren. Ook in een dergelijk geval is vertrouwelijkheid belangrijk.
Als een werknemer ons verzoekt om zijn of haar persoonsgegevens te verwijderen, dan zullen wij daar gehoor aan geven, tenzij wij deze gegevens nog nodig hebben. Bijvoorbeeld omdat de bewaartermijn nog loopt. Wil de betrokkene dan toch dat wij deze gegevens verwijderen, dan zullen wij u om een vrijwaring vragen voordat wij tot verwijdering van deze persoonsgegevens overgaan.
Wij werken ook mee aan overdracht van data in geautomatiseerde bestanden. Hiervoor moet het wel mogelijk zijn om deze gegevens gestructureerd en geautomatiseerd over te dragen.
Een organisatie die persoonsgegevens verwerkt moet, rekening houdend met de aard, omvang, de context en het doel van verwerking, houdend met de aard, omvang, de context en het doel van verwerking, maar ook met de waarschijnlijkheid en de ernst van de uiteenlopende risico’s, passende technische en organisatorische maatregelen treffen om zorgvuldige verwerking van persoonsgegevens te waarborgen.
Wij stellen een analyse op van de middelen waarop wij persoonsgegevens verwerken. Per verwerkingsmiddel maken wij een analyse van de volgende onderwerpen:
- Welke persoonsgegevens worden hierin/-op geadministreerd;
- Wie heeft toegang tot deze persoonsgegevens;
- Welke beveiligingsmaatregelen zijn getroffen om deze persoonsgegevens te beschermen. Op basis van deze analyse beoordelen wij of de getroffen maatregelen voldoende zijn of dat wij aanvullende maatregelen moeten treffen. Omdat de stand van de techniek zo snel veranderd, zullen wij deze beoordeling jaarlijks herhalen. Zo kunnen wij ervoor zorgen dat onze maatregelen passend blijven.
Datalekken die een risico opleveren voor de rechten en vrijheden van natuurlijke personen moeten zonder onredelijke (uiterlijk binnen 72 uur na ontdekking hiervan) worden gemeld aan de Autoriteit Persoonsgegevens.
Wij monitoren continue onze systemen op onrechtmatige toegang tot persoonsgegevens. Indien wij een datalek signaleren, dan zullen wij deze zo spoedig mogelijk repareren. Ook zullen wij nagaan of het risico aanwezig is dat de persoonsgegevens onrechtmatig worden verspreid. Wij beschikken over een interne procedure voor het melden van datalekken, indien een medewerker per ongeluk persoonsgegevens onrechtmatig verspreid. Een datalek wordt door ons altijd gemeld aan de Autoriteit Persoonsgegevens.
Bij het gebruik van nieuwe technologieën bij de verwerking van moet de organisatie bij de ontwikkeling rekening het borgen van de privacy rechten van de betrokkenen houden met het borgen van de privacy rechten van de betrokkenen (privacy by design).
Wij hebben procedures en instructies opgesteld die waarborgen dat bij de inrichting of het gebruik van nieuwe technologieën wordt getoetst of de rechten van betrokkenen voldoende geborgd zijn.
Indien persoonsgegevens buiten de Europese Unie worden opgeslagen, moet de verwerkingsverantwoordelijke waarborgen verkrijgen dat de belangen van de betrokkenen voldoende zijn geborgd (op hetzelfde niveau als binnen de EU). Dit geldt ook voor de samenwerking met internationale organisaties die buiten de EU samenwerking met internationale organisaties die buiten de EU werkzaam zijn.
Uit een door ons opgestelde analyse is gebleken dat wij niet met partijen samenwerken die persoonsgegevens buiten de EU opslaan.
In onze beoordeling van nieuwe samenwerkingsverbanden met ontvangers of verwerkers, wordt standaard beoordeeld of er sprake kan zijn van het opslaan van persoonsgegevens buiten de EU.
Het administreren van een persoonlijk identificatienummer (BSN) is uitsluitend toegestaan indien hiervoor een wettelijke verplichting geldt.
In veel gevallen zal er voor ons geen wettelijke verplichting bestaan om BSN-nummers van onze klanten of andere betrokkenen op te slaan in onze administratie. Hiervoor is binnen Arbo Consultancy ter Bekke geen noodzaak aanwezig en zal dit niet voorkomen.
Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het doel, waarvoor deze gegevens zijn ingewonnen.
Wij hebben per categorie persoonsgegevens vastgesteld welke bewaartermijn noodzakelijk is. Deze bewaartermijnen kunnen voorkomen uit wettelijke verplichtingen (Wet Verbetering Poortwachter, Burgerlijk Wetboek of Belastingwet) of overeenkomsten met verzekeraars. Op klantniveau leggen wij de vernietigingsdatum van de persoonsgegevens vast, nadat het contract of de relatie is beëindigd.
Neem contact met ons op
