Privacy
Voor veel bedrijven is het lastig te begrijpen wat zij met de privacywetgeving moeten. Ondernemers willen zich vaak helemaal niet bezighouden met regels omtrent de persoonsgegevens van klanten, werknemers en bezoekers. LSH Legal neemt dit bedrijven uit handen door de documenten die nodig zijn om aan de nieuwe privacywetgeving te voldoen op te stellen. Dat kunnen verschillende documenten zijn, vaak is het al voldoende om een privacyverklaring te hebben en verwerkersovereenkomsten met bedrijven met wie persoonsgegevens gedeeld worden.
​
Privacyverklaring
​
Ieder bedrijf dat persoonsgegevens verwerkt - dat is vrijwel elk bedrijf - is verplicht een privacyverklaring te hebben op grond van de Algemene verordening gegevensbescherming (AVG).
Van het verwerken van persoonsgegevens is al heel snel sprake, want persoonsgegevens zijn ook gegevens die indirect naar personen te herleiden zijn. En bijna alle handelingen die een bedrijf daarmee uit kan voeren worden gezien als een verwerking in de zin van de AVG. Als je bijvoorbeeld op je website een contactformulier hebt waarin bezoekers wordt verzocht naam en e-mailadres in te vullen, geldt dat al als een verwerking van persoonsgegevens.
​
Wat moet er in een privacyverklaring staan?
De gegevens die in de privacyverklaring moeten staan zijn in ieder geval:​
​
- welke persoonsgegevens worden verwerkt;
- met wie de persoonsgegevens worden gedeeld en of gegevens worden verstrekt aan
ontvangers buiten de Europese Economische Ruimte (EER);
- wat voor cookies worden gebruikt en het doel daarvan;
- hoe lang de gegevens worden bewaard;
- welke wettelijke grondslag er is om persoonsgegevens te verwerken;
- wat voor soort beveiligingsmaatregelen er getroffen zijn om de persoonsgegevens te
beschermen;
- wat de rechten van de personen van wie persoonsgegevens verwerkt worden zijn, hoe dat soort verzoeken afgehandeld worden en hoe die betrokkenen een klacht in kunnen dienen;
- de naam en contactgegevens van het bedrijf dat verantwoordelijk is voor de verwerking.
​
Dit alles dient beknopt, transparant en begrijpelijk te worden uitgelegd in de privacyverklaring.
​
Privacyverklaring opstellen
Het is voor de meeste bedrijven lastig zelf een privacyverklaring op te stellen die aan deze vereisten voldoet. Het is namelijk niet zo makkelijk te begrijpen wat hier precies mee bedoeld wordt.
​
Zo moeten alle bedrijven waarmee persoonsgegevens gedeeld worden genoemd worden in de privacyverklaring. Als een van die bedrijven zich buiten de Europese Economische Ruimte (EER) bevindt, moet vermeld worden in welk land dat is en of dat land adequaat is verklaard door de Europese Commissie. Als dat land niet adequaat is verklaard moeten er voldoende passende waarborgen genomen zijn. Veel bedrijven zijn in Amerika gevestigd zijn of hebben servers hebben in Amerika. Sinds kort is het weer toegestaan persoonsgegevens te delen met dergelijke bedrijven zolang die zich hebben aangesloten bij het Data Privacy Framework.
Er gelden aanvullende regels als er naast de 'standaard' persoonsgegevens ook bijzondere en/of gevoelige persoonsgegevens verwerkt worden, dat zijn bijvoorbeeld persoonsgegevens over iemands ras, godsdienst of gezondheid. Ook gelden er extra regels als sprake is van bijzondere omstandigheden, zoals profilering van personen of geautomatiseerde besluitvorming en/of verwerking.
​
Verwerkersovereenkomst opstellen
Als de persoonsgegevens worden gedeeld met en ander bedrijf, zoals bijvoorbeeld een bedrijf dat de boekhouding verzorgt of een hosting bedrijf, dient daarmee een verwerkersovereenkomst te worden gesloten. Dit soort bedrijven regelen dat meestal zelf - vaak automatisch - wanneer zij hun dienstverlening starten. Maar dat is niet altijd zo. Als er geen verwerkersovereenkomst is, ben je als bedrijf dat de persoonsgegevens deelt met het andere bedrijf zelf verantwoordelijk voor het voldoen aan de privacywetgeving. Met andere woorden: je bent verplicht met dat bedrijf een verwerkingsovereenkomst sluiten. Hierover schreef Lisa deze blog.
​
Breder privacybeleid
​​
In sommige gevallen is het verplicht een breder privacybeleid te hebben. Dat kan bijvoorbeeld het geval zijn als er structureel of grootschalig persoonsgegevens verwerkt worden, zeker als dat risicovolle persoonsgegevens zijn. Als de verwerking van persoonsgegevens een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, dient daarvoor een Data Protection Impact Assessment (DPIA) gemaakt te worden. Ook gelden aanvullende vereisten als je meer dan 250 werknemers hebt of werkzaam bent in de overheid, zorg, onderwijs, of de technische sector. Het kan dan bijvoorbeeld noodzakelijk zijn een verwerkingsregister te hebben en bij te houden.
​
Als je niet voldoet aan de privacywetgeving, loop je het risico hiervoor een boete te krijgen. ​​Wij van LSH Legal zijn zeer ervaren in het adviseren van bedrijven hoe te voldoen aan de privacywetgeving en het opstellen van de daarvoor benodigde documenten. Dat hoeft helemaal niet duur te zijn. ​Wil je meer weten? Stuur ons een berichtje en krijg vandaag nog een reactie!
​
​
​
"Uitstekende ervaring. De communicatie was geweldig tijdens de hele klus. Lisa gaf haar expertise en advies over wat er precies nodig was voor onze app en website. De privacyverklaring is zeer uitgebreid en duidelijk. Heel erg bedankt, geweldige service!"
​
"Geweldig gedaan, het opstellen van onze algemene voorwaarden en privacyverklaring!"​
​
"Uitstekend, ik stel haar geduld en uitmuntende werk zeer op prijs."
​
"Dit was de tweede keer dat we Lisa vroegen om ons te helpen, en wederom heeft ze geweldig werk geleverd. Ze weet waarover ze praat en levert werk van een hoge kwaliteit."
​
"Lisa was erg professioneel en besteedt veel aandacht aan detail. Geweldig werk!"
​
Bovenstaande reviews zijn een selectie van verkregen recensies op verschillende beoordelingssites. De reviews op de desbetreffende sites lezen? Neem dan contact op.
​​
​​​