Nieuwe privacywet: welke documenten heb je nodig?

De nieuwe Europese privacywet, ook wel bekend als de AVG, stelt eisen aan iedere onderneming of organisatie als zij persoonsgegevens verwerken. Je moet bijvoorbeeld iedereen van wie je persoonsgegevens verwerkt vooraf informeren over de verwerking van zijn of haar gegevens. Dit doe je met een privacy statement. Daarnaast moet je een verwerkersovereenkomst opstellen als je anderen laat werken met persoonsgegevens van bijvoorbeeld klanten of je personeel.

Privacy Statement

Ik kan mij voorstellen dat je je afvraagt wat je dan in een privacy statement moet opnemen. Ik zet het voor je op een rij. Een privacy statement moet onder meer de volgende informatie bevatten:

  • identiteit en contactinformatie van je organisatie;
  • de bewaartermijn, of de criteria waarmee de bewaartermijn bepaald wordt; als je bijvoorbeeld persoonsgegevens verwerkt voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden, mag je persoonsgegevens onder bepaalde voorwaarden soms langer bewaren dan noodzakelijk;
  • de rechten die de betrokkene heeft;
  • het recht om toestemming voor de verwerking in te trekken;
  • het recht om een klacht in te dienen bij de toezichthouder;
  • eventuele ontvangers van de persoonsgegevens: dus anderen die de gegevens voor jou verwerken;

 

Wat er verder nog in je privacy statement moet staan is afhankelijk van de gegevens die je verwerkt en wat je daarmee doet. Ik adviseer je in ieder geval dat de personen van wie je persoonsgegevens verwerkt vooraf over de verwerking te informeren. Kortom: zorg voor een goed privacy statement, deel dat tijdig met de betrokkenen en plaats het ook op je website.

Verwerkersovereenkomst

Laat je een ander werken met persoonsgegevens van bijvoorbeeld je klanten of personeel? Dan moet je een verwerkersovereenkomst opstellen. En dat is al snel het geval. Denk bijvoorbeeld aan een online boekhoudpakket waarmee je werkt, het uitbesteden van incasso, nieuwsbrieven die je laat versturen, administratie die je uitbesteedt of simpelweg gegevens die je in de cloud opslaat. Maar ook als je software laat installeren waarmee persoonsgegevens zullen worden verwerkt en die software extern wordt beheerd in plaats van binnen je eigen ICT-omgeving.  In al deze gevallen is een verwerkingsovereenkomst een wettelijke verplichte overeenkomst.

In de verwerkersovereenkomst leg je onder andere het volgende vast:

  • waar de persoonsgegevens voor mogen worden verwerkt;
  • welke veiligheidsmaatregelen getroffen moeten worden;
  • waar de persoonsgegevens worden opgeslagen;
  • de mogelijkheden om een audit uit te voeren;
  • of de verwerker subverwerkers mag inschakelen voor de verwerking.

Zowel het privacy statement als de verwerkersovereenkomst zijn dus twee belangrijke documenten die je op orde moet hebben.

Carolien Lasonder, Adviesdeskcoördinator – senior Jurist bij DAS

Meer weten over zorgvuldig omgaan met persoonlijke gegevens van je klanten? Op onze site vind je onder andere veelgestelde vragen.