Terug naar homepagina Terug naar nieuwsoverzicht

De algemene verordening gegevensbescherming AVG

15 februari 2018

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. De wet is bedoeld voor de beveiliging van persoonsgegevens en datgene wat te herleiden is naar een individuele persoon. Dus registratie van info@vizier-accountants.nl in uw systemen is toegestaan, maar peter@vizier-accountants.nl in uw systemen dient een doel te hebben. In onderstaande wordt puntsgewijs beschreven wat persoonsgegevens zijn en wat je hiervan mag vastleggen en hoe je dit dient te beveiligen. Het geheel dient overigens vastgelegd te worden in een register van verwerkingen van persoonsgegevens. Wij als accountantskantoor hebben ook een register opgesteld en daarbij een verwerkersovereenkomst met de klant opgesteld.

Voor de eerste praktische systeemtest, visueel overzicht van de wet en register zie de volgende sites:

Persoonsgegevens

De wet bescherming persoonsgegevens is ingesteld om de privacy van individuele personen te beschermen. De wet heeft dan ook betrekking op feitelijke persoonsgegevens (risicovolle verwerkingen) en waarderende persoonsgegevens (bijzondere persoonsgegevens verwerken).

 

Feitelijke gegevens bestaan uit zaken die vast staan. Dit zijn onder andere:

  • Naam, Adres, Woonplaats
  • Geboortedatum, Burgerlijke staat en Nationaliteit
  • Foto van de individu

Waarderende gegevens zijn gegevens waarbij is geoordeeld over de persoon in kwestie. Dit kunnen onder andere zijn:

  • Intelligentie
  • De opvattingen die iemand eropna houdt
  • Ras

Wat mag je vastleggen

Bedrijven en instanties mogen alleen rechtmatig persoonsgegevens vastleggen als aan ten minste een van de onderstaande voorwaarden is voldaan:

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
  • De verwerking is noodzakelijk voor de uitvoering of het afsluiten van een overeenkomst waarbij de betrokkene partij is.
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, die op de verwerkingsverantwoordelijke rust.
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag.
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

Informatieplicht

De mensen van wie informatie wordt verwerkt moeten worden geïnformeerd over de manier waarop men met de gegevens zal omgaan en voor welke doeleinden deze zullen worden gebruikt. Worden de gegevens verwerkt vanuit de verplichting van de wet dan hoeven de personen niet geïnformeerd te worden.

 

Het recht van verzet

Het gebeurt geregeld dat bedrijven informatie van het individu bezitten, waarvan het individu het niet wist. Het individu heeft het recht om hiertoe in verzet te komen en het bedrijf moet dan ook direct zijn direct-marketing stopzetten met de individuele gegevens.

 

Beveiligingsverplichting

Iedere organisatie is verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Als persoonsgegevens worden verwerkt door personen van binnen of buiten de organisatie die daartoe niet bevoegd zijn, bijvoorbeeld door onbevoegde inzage of verspreiding van persoonsgegevens wordt gesproken van onrechtmatige verwerking.

 

Technische maatregelen

Technische beveiligingsmaatregelen zijn technische voorzieningen, die erop zijn gericht om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen of beperken. Hierbij kan je denken aan:

  • Twee factor authenticatie
  • Firewalls
  • Virusscanners
  • Software tegen malware-aanvallen
  • Het maken van periodieke back-ups

 

Organisatorische beveiligingsmaatregelen

De verantwoordelijke dient ervoor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die gegevens nodig hebben voor de uitvoering van hun taken. Daarbij kan onder meer worden gedacht aan:

  • Het beperken van de kring van functionarissen die toegang hebben tot bepaalde persoonsgegevens.
  • Het verlenen van toegang aan deze personen tot enkel persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden.
  • Het overeenkomen van een geheimhoudingsbeding met boeteclausule (in arbeidscontract).
  • Het bewaren van persoonsgegevens op servers in een afgesloten ruimte.
  • Het creëren van informatieveiligheidsbewustzijn onder medewerkers.
  • Het houden van adequaat toezicht op de naleving van protocollen en wet- en regelgeving.