AVG-ontwikkelingen en -tips

Geplaatst op 30 maart 2018 door Niels van den Aker

Nu 25 mei steeds dichterbij komt, volgen ook de nieuwsberichten over de AVG elkaar in rap tempo op. Matchability vat de belangrijkste ontwikkelingen en tips voor u samen.

1. Aanstellen privacyverantwoordelijke
Woningcorporaties zijn op grond van artikel 37 van de AVG niet verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Sommige woningcorporaties kiezen voor een vrijwillige FG. De Autoriteit Persoonsgegevens (AP) heeft het inmiddels eenvoudiger gemaakt om een FG aan te melden. Alle FG’s moeten daarom opnieuw worden aangemeld bij de AP. Aanmelden is mogelijk vanaf dinsdag 3 april 2018 via een nieuw formulier op de website.

2. Opstellen verwerkingsregister
Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. Als de AP daar om vraagt, moet u het register direct kunnen laten zien. Een praktische aanpak daarbij is om per medewerker de processen door te nemen waar hij of zij een rol in speelt. Vragen die u daarbij kunt stellen zijn bijvoorbeeld:

– Welke persoonsgegevens worden vastgelegd?
– Met welk doel worden deze vastgelegd?
– In hoeverre worden de gegevens met anderen (derden) gedeeld?

3. Opstellen procedures rechten van betrokkenen
Onder de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid en er gelden twee nieuwe rechten:
– Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen (nieuw).
– Het recht op vergetelheid. Het recht om ‘vergeten’ te worden (nieuw).
– Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien.
– Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen.
– Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
– Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
– Het recht om bezwaar te maken tegen de gegevensverwerking.

Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet. Onder de AVG moet u aan een aantal specifieke eisen voldoen. Deze legt u vast in het verwerkingsregister en de privacyverklaring.

4. Opstellen privacyverklaring

Transparantie is een van de belangrijkste onderdelen van de AVG. Daarom zal elke woningcorporatie een nieuwe privacyverklaring moeten opstellen. Maar wat moet er in de nieuwe privacyverklaring staan? FrankWatching schreef daar een heldere blog over: https://www.frankwatching.com/archive/2018/01/12/zo-is-je-privacyverklaring-avg-gdpr-proof/.

5. Implementatie bewaartermijnen

De meeste vragen komen bij ons binnen over de bewaartermijn in relatie tot de nieuwe privacyregels. Hoe lang mag u gegevens bewaren? Dit ligt grotendeels vast in wet- en regelgeving, zoals de Algemene wet bestuursrecht (Awb), het Burgerlijk Wetboek (BW) Boek 2 en de Algemene wet inzake rijksbelastingen (Awr). Zodra de AVG van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking. Op https://www.tuxx.nl/bewaartermijnen/documenten/ vindt u een handig overzicht met betrekking tot deze bewaartermijnen.

6. Bewustzijnsprogramma
In de praktijk passen we vaak onderstaande tips en quick wins toe bij woningcorporaties:
– Meelopen met gasten tot de deur, zodat voorkomen wordt dat zij rondzwerven in het pand.
– Clean desk policy.
– Beeldscherm vergrendelen bij het verlaten van de werkplek.
– Afsluiten deuren, kasten en archief.
– Het ophangen van posters met daarop de AVG-aandachtspunten (aantrekkelijk) samengevat. Een tips is gebruikmaken van de posterset van Fokke & Sukke van Rendement.
– Gebruikmaken van mystery shoppers en mystery callers die proberen persoonsgegevens bij medewerkers op te vragen.
Phishing mails sturen en kijken wie erop klikt.
– Geen vertrouwelijke documenten bij de printer laten liggen of ‘open’ in de papierbak gooien.
– Een lijst van uitgegeven bedrijfsmiddelen opstellen en controleren of deze zijn ingeleverd bij einde dienstverband of opdracht.
– Overzicht van vaak gestelde vragen (FAQ’s) en do’s en don’t’s opstellen.
– Workshops of lezingen over privacy organiseren. Maria Genova is een aanrader, zo is de ervaring uit de corporatiesector.
– Gebruikmaken van de app Janna (gratis te downloaden uit de app-store). Deze app bevordert het privacybewustzijn van medewerkers door ze elke dag te trainen aan de hand van (eenvoudige) vragen.
– Gebruikmaken van LastPass als het om het beheer van uw wachtwoorden gaat.

Matchability ondersteunt diverse woningcorporaties bij het vertalen van de AVG naar de praktijk. Graag stellen we voor u een plan van aanpak op maat op. Heeft u interesse? Neem dan contact op met Pepijn van Peppen via p.vanpeppen@matchability.nl of 085 82 26 595.