De beginselen bij het verwerken van persoonsgegevens: verschil tussen versies
Geen bewerkingssamenvatting |
Geen bewerkingssamenvatting |
||
| Regel 1: | Regel 1: | ||
Beste team, | Beste team, | ||
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen. | In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze '''<u>gegevensverwerkingen</u>''' moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we '''<u>persoonsgegevens</u>''' behandelen. | ||
=== '''Rechtmatigheid en transparantie''' === | === '''Rechtmatigheid en transparantie''' === | ||
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke '''grondslag''' kunnen aanwijzen, zoals '''toestemming''', de '''de uitvoering van een overeenkomst''' of een '''wettelijke plicht'''. | De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke '''<u>grondslag</u>''' kunnen aanwijzen, zoals '''<u>toestemming</u>''', de '''<u>de uitvoering van een overeenkomst</u>''' of een '''<u>wettelijke plicht</u>'''. | ||
De uitwerking hiervan in de wet vind je in artikelen '''<u>13 en 14 AVG</u>'''. | |||
'''Wat betekent dit voor jou als medewerker?''' | '''Wat betekent dit voor jou als medewerker?''' | ||
| Regel 13: | Regel 15: | ||
=== '''Welbepaaldheid en Duidelijkheid''' === | === '''Welbepaaldheid en Duidelijkheid''' === | ||
De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”). | De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft (in ons geval veelal klanten, maar natuurlijk ook collega's). Dit vertaalt zich met name naar de '''<u>privacyverklaring</u>''': in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”). | ||
'''Wat betekent dit voor jou als medewerker?''' | '''Wat betekent dit voor jou als medewerker?''' | ||
* Zet een register op waarin je iedere verwerking documenteert. | * Zet een '''<u>register</u>''' op waarin je iedere verwerking documenteert. (Deel dit register met onze privacyaanspreekpunten. Zij nemen het op in het register van Het Handje.) | ||
* Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen. | * Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen. | ||
* Benoem ook afgeleide doelen. | * Benoem ook afgeleide doelen. (Bij 'versturen van nieuwsbrief' kan horen 'doen van marktonderzoek op basis van e-mailadressen in database'.) | ||
* Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring. | * Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring. | ||
* Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring. | * Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring. | ||
=== '''Dataminimalisatie''' === | === '''Dataminimalisatie''' === | ||
Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? | Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om ''need to have'', niet om ''nice to have!"''. | ||
'''Wat betekent dit voor jou als medewerker?''' | '''Wat betekent dit voor jou als medewerker?''' | ||
* Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking. | * Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking. | ||
* Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd. | * Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd. | ||
'''Let op''': je beoordeelt de noodzakelijkheid van de verwerking van persoonsgegevens altijd voorafgaand aan de verwerking. Je moet dus vooraf weten of er überhaupt een '''<u>doel</u>''' is voor de verwerking van die specifieke persoonsgegevens. En zo ja, of dan al die persoonsgegevens nodig zijn voor dat doel. Het verzamelen van gegevens omdat je hier mogelijk ooit een doel aan kunt koppelen is dus een echte ''no go'' binnen Het Handje! | |||
=== '''Juistheid''' === | === '''Juistheid''' === | ||
| Regel 34: | Regel 37: | ||
'''Wat betekent dit voor jou als medewerker?''' | '''Wat betekent dit voor jou als medewerker?''' | ||
* Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen. | * Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen. | ||
* Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. | * Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. (Dit doen wij bijvoorbeeld door de laatste 4 cijfers van iemands IBAN te delen in de betalingsherinnering wanneer een incasso binnen ons Membershipprogramma is mislukt. Op die manier laten we de ontvanger van de betalingsherinnering controleren of er misschien verouderde gegevens gehanteerd worden door ons.) | ||
* Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen. | * Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen. | ||
* Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd. (Personeelsgegevens, maar ook studentengegevens worden jaarlijks gecontroleerd binnen Het Handje.) | |||
* Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd. | |||
=== '''Bewaartermijnen''' === | === '''Bewaartermijnen''' === | ||
| Regel 45: | Regel 47: | ||
* Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit. | * Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit. | ||
* Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn. | * Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn. | ||
'''Let op:''' niet alle bewaartermijnen worden door onszelf bepaald. Sommige bewaartermijnen liggen besloten in een bepaalde wet (denk aan een bewaartermijn die voorkomt uit een bewaarplicht voor de Belastingdienst bij facturatiegegevens). | |||
=== '''Integriteit en Veiligheid''' === | === '''Integriteit en Veiligheid''' === | ||
Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker? | Als laatste eisen de beginselen van integriteit en veiligheid dat gegevens '''<u>adequaat beveiligd</u>''' moeten zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Samenhangend hiermee zijn de eisen van '''<u>privacy by design</u>''' en '''<u>privacy by default</u>'''. Dit gaat niet alleen over beveiliging tegen hacken, maar ook over borgen van geautoriseerd gebruik, kunnen zien wat er gebeurt en voorkomen dat gegevens worden aangetast of gewist terwijl dat niet de bedoeling is. | ||
'''Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker?''' | |||
* Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen. | * Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen. | ||
* Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik. | * Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik. | ||
* Verlang van jouw leveranciers documentatie over privacy by design in hun systemen. | * Verlang van jouw leveranciers documentatie over privacy by design in hun systemen. | ||
* Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn. | * Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn. | ||
Versie van 25 jan 2024 10:57
Beste team,
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen.
Rechtmatigheid en transparantie
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke grondslag kunnen aanwijzen, zoals toestemming, de de uitvoering van een overeenkomst of een wettelijke plicht.
De uitwerking hiervan in de wet vind je in artikelen 13 en 14 AVG.
Wat betekent dit voor jou als medewerker?
- Wees transparant en volledig in je communicatie.
- Onderbouw waarom je mag doen wat je doet.
- Zorg voor een heldere privacyverklaring.
- Zorg dat Customer Enjoyment-medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. (uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.)
Welbepaaldheid en Duidelijkheid
De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft (in ons geval veelal klanten, maar natuurlijk ook collega's). Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”).
Wat betekent dit voor jou als medewerker?
- Zet een register op waarin je iedere verwerking documenteert. (Deel dit register met onze privacyaanspreekpunten. Zij nemen het op in het register van Het Handje.)
- Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen.
- Benoem ook afgeleide doelen. (Bij 'versturen van nieuwsbrief' kan horen 'doen van marktonderzoek op basis van e-mailadressen in database'.)
- Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring.
- Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring.
Dataminimalisatie
Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om need to have, niet om nice to have!".
Wat betekent dit voor jou als medewerker?
- Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking.
- Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd.
Let op: je beoordeelt de noodzakelijkheid van de verwerking van persoonsgegevens altijd voorafgaand aan de verwerking. Je moet dus vooraf weten of er überhaupt een doel is voor de verwerking van die specifieke persoonsgegevens. En zo ja, of dan al die persoonsgegevens nodig zijn voor dat doel. Het verzamelen van gegevens omdat je hier mogelijk ooit een doel aan kunt koppelen is dus een echte no go binnen Het Handje!
Juistheid
De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart.
Wat betekent dit voor jou als medewerker?
- Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen.
- Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. (Dit doen wij bijvoorbeeld door de laatste 4 cijfers van iemands IBAN te delen in de betalingsherinnering wanneer een incasso binnen ons Membershipprogramma is mislukt. Op die manier laten we de ontvanger van de betalingsherinnering controleren of er misschien verouderde gegevens gehanteerd worden door ons.)
- Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen.
- Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd. (Personeelsgegevens, maar ook studentengegevens worden jaarlijks gecontroleerd binnen Het Handje.)
Bewaartermijnen
Volgens de eis van het toepassen van bewaartermijnen mogen gegevens niet langer dan nodig worden bewaard, en moeten daarna worden gewist. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna wijzigt. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.
Wat betekent dit voor jou als medewerker?
- Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit.
- Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn.
Let op: niet alle bewaartermijnen worden door onszelf bepaald. Sommige bewaartermijnen liggen besloten in een bepaalde wet (denk aan een bewaartermijn die voorkomt uit een bewaarplicht voor de Belastingdienst bij facturatiegegevens).
Integriteit en Veiligheid
Als laatste eisen de beginselen van integriteit en veiligheid dat gegevens adequaat beveiligd moeten zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Samenhangend hiermee zijn de eisen van privacy by design en privacy by default. Dit gaat niet alleen over beveiliging tegen hacken, maar ook over borgen van geautoriseerd gebruik, kunnen zien wat er gebeurt en voorkomen dat gegevens worden aangetast of gewist terwijl dat niet de bedoeling is.
Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker?
- Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen.
- Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik.
- Verlang van jouw leveranciers documentatie over privacy by design in hun systemen.
- Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn.