10 meest gestelde AVG vragen

Nieuws
geplaatst op 15-5-2018  

De aanstaande inwerkingtreding van de AVG leidt tot veel vragen. De basis beantwoorden we via berichtgeving in o.a. het Privacy Dossier. Als je met de AVG aan de slag bent gegaan ontstaan meer specifieke vragen. Leden weten ons ook daarvoor te vinden. De 10 meest gestelde vragen hebben we voor je bij elkaar gezet.

Is het gebruik van de Privacykaart voldoende om de klant te informeren? 
Nee, in de praktijk zal dat niet voldoende zijn en stel je tegelijk met de Privacykaart ook het Privacystatement beschikbaar aan de klant. Want om de Privacykaart te kunnen verstrekken heb je een (email)adres van de klant nodig (het zal zelden voorkomen dat je de Privacykaart geeft zonder de gegevens van de klant te noteren). Met andere woorden je verwerkt dan al persoonsgegevens. En vanaf het eerste moment van gegevensverwerking moet je ook het Privacystatement beschikbaar stellen aan de klant. Dit laatste kan ook door er in een email nadrukkelijk op te wijzen waar de klant het Privacystatement kan vinden op je website.  

Mag de informatie uit het Privacystatement opgenomen worden in de Dienstenwijzer? 
Ja, dat mag. Het Privacystatement is namelijk vormvrij; waar het om gaat is dat je de wettelijk voorgeschreven informatie met je klant deelt. En dat je dat op het juiste moment doet: dus zodra je de eerste gegevens verwerkt. De Dienstenwijzer mag je ook in een later stadium beschikbaar stellen, maar uiterlijk bij het afgeven van de offerte. Als je de informatie uit het Privacystatement opneemt in de Dienstenwijzer houdt dit in dat je dit gecombineerde document altijd op het allereerste moment van gegevensverwerking aan de klant beschikbaar stelt.   

Hoe stel ik de bijlage verwerkersovereenkomst op? 
De bijlage verwerkersovereenkomst vul je samen met de verwerker in. Als het goed is heeft de verwerker de gegevens die je nodig hebt voor de bijlage verwerkersovereenkomst al in zijn Register Verwerking Persoonsgegevens staan. Die gegevens kun je – voor zover ze relevant zijn voor de dienstverlening die je via de verwerker uitvoert – (grotendeels) daaruit overnemen. 

Naar welke overeenkomst wordt verwezen in art. 1 van de verwerkersovereenkomst? 
Hiermee wordt verwezen naar de onderliggende al bestaande overeenkomst tussen de verwerkersverantwoordelijke en de verwerker. Bijvoorbeeld: als adviseur heb je een systeemhuispakket. De overeenkomst van opdracht tussen jou als adviseur en de leverancier van het systeemhuispakket is de onderliggende overeenkomst van opdracht. 

Wat moet ik doen als een partij - met mij als verwerkersverantwoordelijke - geen verwerkersovereenkomst wil sluiten? 
De AVG schrijft voor dat tussen partijen een verwerkersovereenkomst wordt gesloten. Als een partij dat niet wil, is dat vaak niet uit onwil, maar uit onkunde of onwetendheid. Ga daarom het gesprek aan met de betreffende partij en probeer alsnog om samen tot een verwerkersovereenkomst te komen. Je kunt de verwerker er ook op wijzen dat hij zelf ook verplicht is om aan de eisen van de AVG te voldoen en alleen zaken met je mag doen als er een verwerkersovereenkomst is gesloten. De ultieme consequentie van het niet sluiten van een verwerkersovereenkomst is dat je afscheid moet nemen van deze verwerker.  

De verwerker stuurt zelf een verwerkersovereenkomst. Hoe moet ik hier mee omgaan? 
Lees de verwerkersovereenkomst kritisch door en teken deze als je ermee akkoord bent. Let bij het beoordelen van de verwerkersovereenkomst op de volgende aandachtspunten: 
 
1. Wat moet er minimaal in een verwerkersovereenkomst staan? 
Onderstaande rubrieken/bepalingen zijn verplicht: 
- onderwerp, duur, aard en doel van de verwerking 
- soort persoonsgegevens en de categorieën betrokkenen 
- rechten en plichten van de verwerkingsverantwoordelijke 
- gegevensverwerking uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke en geen gebruik van persoonsgegevens voor eigen doeleinden van de verwerker 
- afspraken over passende beveiligingsmaatregelen 
- afspraken over ondersteuning (voor zover mogelijk) om te voldoen aan verzoeken op grond van rechten van betrokkenen 
- afspraken over vertrouwelijke omgang met gegevens door gemachtigden 
- afspraken met betrekking tot sub-verwerkers (toestemming noodzakelijk) 
- afspraken over beëindiging van de overeenkomst (gegevens wissen of teruggeven) 
 
2. Wat is er afgesproken over aansprakelijkheid? 
Maak evenwichtige afspraken over aansprakelijkheid. Voorkom dat op voorhand alle aansprakelijkheid bij jou als verwerkingsverantwoordelijke wordt gelegd, met name waar het gaat om zaken waarvoor jij niet verantwoordelijk kan worden gesteld (bijvoorbeeld een datalek bij de verwerker). 
 
3. Wat is er afgesproken over het melden van datalekken? 
Zorg ervoor dat een verwerker een melding van een datalek die bij hem plaatsvindt zonder onredelijke vertraging bij jou meldt. Spreek af dat jij (indien nodig) de lead hebt bij het op de hoogte brengen van de AP en eventueel betrokkenen. 
 
4. Vindt de verwerking buiten de EU plaats? 
Verwerkt de verwerker persoonsgegevens buiten de EU? Controleer dan of de verwerker een vestiging binnen de EU heeft. Dit is van belang met het oog op de toepasbaarheid van de AVG op de gegevensverwerking. 

Hoe ga ik om met verwerkersovereenkomsten van verzekeraars, serviceproviders, volmachten?
-
Met verzekeraars hoef je geen verwerkersovereenkomsten te sluiten. Dit zijn wij zo overeengekomen met het Verbond op basis van de interpretatie van de regelgeving AVG.
- In welke gevallen je een verwerkersovereenkomst moet sluiten met serviceproviders is op dit moment nog niet helemaal duidelijk. Voeren ze enkel administratieve activiteiten voor je uit,
dan moet er in ieder geval wel een verwerkersovereenkomst gesloten worden. Zijn de werkzaamheden meer gericht op volmachtactiviteiten, dan hoef je geen verwerkersovereenkomst te sluiten. Want vanuit jou (de adviseur) gezien is de gevolmachtigde vergelijkbaar met de positie van een aanbieder en dus eveneens verwerkersverantwoordelijke. Je hoeft dan geen verwerkersovereenkomst te sluiten met de volmacht. Ben je zelf gevolmachtigde en vraag je je af of je een verwerkersovereenkomst moet sluiten met de verzekeraar? Volg dan de berichtgeving van de NVGA.     

Hoe ga ik om met verwerkersovereenkomsten van klanten?
Je hoeft geen verwerkersovereenkomst te sluiten met particuliere klanten of werkgevers. Deze partijen leveren je weliswaar persoonsgegevens die je verwerkt, maar uit de AVG blijkt dat dit feit je nog niet tot een verwerker maakt. Je bent in dit geval zelf verwerkingsverantwoordelijke omdat het verwerken van de persoonsgegevens niet je primaire opdracht is, maar een uitvloeisel van je eigen vorm van dienstverlening. 

Hoe moet ik omgaan met BTW-nummers waar BSN-nummers in staan? 
In het BTW-nummer voor ZZPers is standaard het BSN-nummer opgenomen. BSN is geen bijzonder persoonsgegeven, maar er gelden wel extra strenge privacyregels voor. De Tweede Kamer heeft verzocht te regelen dat de BTW-nummers niet langer het BSN-nummer bevatten. Het is immers niet toegestaan om deze nummers zonder wettelijke grondslag op te slaan en een adviseur/bemiddelaar heeft hiervoor geen wettelijke grondslag. Op dit moment doet de AP onderzoek naar dit probleem c.q. de stand van zaken. De staatssecretaris heeft aangegeven open te staan voor een andere vormgeving van het BTW-nummer. Informatie hierover wordt voor de zomer verwacht. Uiteraard houden we je hierover op de hoogte. 

Hoe moet ik omgaan met BSN-nummers van klanten?
BSN-nummers van klanten mag je niet meer opslaan. Je mag BSN-nummers volgens de AP uitsluitend doorgeven wanneer daar een wettelijke noodzaak toe is. We raden je aan je processen daarop aan te passen. Kijk ook wat je kunt wissen in bestaande dossiers.  

 

Categorien: Privacy