Inventarisatie
De organisatie dient een inventarisatie uit te voeren van de gegevens die worden verwerkt om daarna vast te stellen welke gegevens persoonsgegevens zijn. Van de persoonsgegevens wordt vastgesteld of het ‘normale’ persoonsgegevens zijn zoals iemands naam, adres, woonplaats, telefoonnummer, postcodes met huisnummers, emailadres, IP-adres, cookies, foto’s, geluidsopnames, videobeelden e.d. Of dat het bijzondere persoonsgegevens betreft zoals ras, geloof, gezondheid en politieke overtuiging. Het verwerken van strafrechtelijke persoonsgegevens is overigens voorbehouden aan de overheid en mogen in beginsel dus niet worden verwerkt.
Vastgelegd dient te worden
- Welke gegevens het betreft
- Waar de gegevens vandaan komen (bron)
- Waarom die gegevens worden verwerkt (doel)
- Wie toegang tot deze gegevens heeft en waarom
- Hoe die gegevens worden opgeslagen
- Welke bewerkingen worden uitgevoerd
- Welke beveiligingsmaatregelen worden toegepast
- Hoe lang deze gegevens worden bewaard
Overbodige gegevens
Tijdens de inventarisatie kan blijken dat persoonsgegevens worden verwerkt die niet nodig zijn voor de normale bedrijfsvoering. Er is dan geen legitieme basis voor de verwerking – deze gegevens dienen te worden verwijderd en niet meer verzameld.
Documenteren
De persoonsgegevens die resteren dienen formeel te worden gedocumenteerd. Later zal de documentatie bovendien worden aangevuld met de wijze waarop de toestemming is verkregen en hoe deze toestemming kan worden ingetrokken.
Verwerking door derden
Vindt verwerking door of bij derden plaats, dan dient een verwerkingsovereenkomst te worden opgesteld. Hierin is opgenomen welke persoonsgegevens het betreft, welke verwerking plaats vindt en hoe, wie toegang heeft tot de persoonsgegevens en hoe deze worden getransporteerd en opgeslagen. In deze overeenkomst is ook expliciet vastgelegd dat de derde de overeengekomen verwerking verricht binnen de voor de opdrachtgevende organisatie geldende regels. Dat betekent ondermeer dat de derde de gegevens niet voor andere doeleinden mag gebruiken. Verder geldt dat de opdrachtgever verantwoordelijk blijft.
Privacy verklaring
Organisaties zijn op basis van de privacywet verplicht om personen van wie zij persoonsgegevens verwerken te informeren over dat gebruik. Dat wordt gedaan met behulp van de Privacyverklaring die op de website wordt gepubliceerd. Het is een zelfstandig document en het maakt géén deel uit van de algemene voorwaarden.
Met de invoering van de AVG zijn de regels voor Privacy verklaringen aanmerkelijk uitgebreid. Ze dient nu tenminste de volgende punten te bevatten:
- De naam van de onderneming
- Contactgegevens
- Welke persoonsgegevens worden vermeld
- Het doel waarom de gegevens worden verzameld
- Aan wie worden de gegevens beschikbaar gesteld
- Hoelang worden de gegevens bewaard c.q. welke criteria gelden voor het bepalen van de termijn
- Dat personen het recht hebben
- op inzage, correct en verwijdering van hun gegevens
- bezwaar te maken tegen de verwerking van de gegevens
- verstrekte toestemming tot verwerken van de gegevens in te trekken
- te klagen bij de Autoriteit Persoonsgegevens.
- Of het verstrekken van de persoonsgegevens
- een wettelijke verplichting is
- een contractuele verplichting is
- een voorwaarde/vereiste is voor de uitvoering van een contract
- en wat de gevolgen voor betrokkene zijn van het niet verstrekken van die gegevens
- Waar de gegevens worden opgeslagen en hoe ze eventueel worden getransporteerd.
- Indien sprake is van geautomatiseerde besluitvorming of profilering, dan moet dit worden vermeld samen met het belang daarvan en de gevolgen.
Begrijpelijke taal
De privacyverklaring dient in begrijpelijke taal te worden opgesteld en zo beknopt mogelijk. Indien kinderen tot de doelgroep behoren, dient de privacyverklaring ook voor hen goed leesbaar te zijn (taalniveau B1). Daarbij wordt opgemerkt dat een privacyverklaring ook in de vorm van een filmpje mag worden aangeboden; vermits ondertiteld zodat ook doven en slechthorenden ze kunnen volgen.