Wat is de algemene verordening gegevensbescherming (AVG)?
Theory Based:
De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.
Hoe pas je de AVG toe?
Practice Based:
Ik stel mij zo transparant op en bespreek openlijk wat er met de gegevens gebeuren. Zorg dat ik rekening houd met mijn geheimhoudsverklaring en de juiste privacy regels.
Theory Based:
U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor aan minstens 1 van deze 6 voorwaarden voldoen:
Uw klanten hebben veel rechten op gebied van privacy. U moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Uw klanten mogen bijvoorbeeld:
Uw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
Maak een privacyverklaring in eenvoudige taal. Zet daarin wat u doet met persoonlijke gegevens. Waarvoor u de gegevens gebruikt. Waarom dat belangrijk is voor uw klanten. En hoelang u de gegevens bewaart. Zorg dat deze verklaring makkelijk te vinden is.
Leg in een register vast welke persoonsgegevens u verwerkt en waarom u dit doet. Maar ook waar deze gegevens vandaan komen, en met wie u ze deelt. Het register heeft u bijvoorbeeld nodig als klanten u vragen hun gegevens aan te passen of te verwijderen. U moet dit dan namelijk ook doorgeven aan de organisaties met wie u de gegevens heeft gedeeld.
Dit register valt onder de zogenoemde verantwoordingsplicht. U moet altijd kunnen verantwoorden hoe u met gegevens omgaat.
Wanneer u diensten uitbesteedt, en u deelt persoonsgegevens van uw klanten met een ander bedrijf, dan heeft u hiervoor toestemming nodig van uw klanten. Bijvoorbeeld als u een extern callcenter of administratiekantoor inhuurt. Leg in een overeenkomst met uw klanten vast dat u hun gegevens deelt, omdat dat relevant is voor de manier waarop u voor hen werkt.
Verwerkt u gegevens met een hoog privacyrisico, dan moet u een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kunt u maatregelen nemen om de privacyrisico’s te verkleinen.
Lukt het u niet om maatregelen te nemen om risico’s te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat u begint met het verwerken van persoonsgegevens. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. U ontvangt dan schriftelijk advies van de AP.
U loopt een hoog privacy risico als u:
Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.
Ontwerpt u nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:
Verwerkt u in uw onderneming heel veel persoonsgegevens? Controleer dan of u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie in de gaten houdt of u alles volgens de AVG doet. Uw organisatie mag ook vrijwillig een FG aanstellen.
Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:
U moet alle ernstige datalekken direct melden aan de AP. Daarnaast moet u alle datalekken documenteren. Ook interne lekken die u niet hoeft te melden. Bekijk in de guidelines welke datalekken u moet melden. Deze richtlijnen zijn nog niet definitief. U moet de betrokkenen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.
Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan moet u alle datalekken aan hen melden, zodat zij dit weer aan de AP kunnen melden.
Werkt u samen met bedrijven, die in opdracht van u en volgens uw instructies persoonsgegevens verwerken? Zorg dan dat u met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.
Heeft u al eerder een bewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan uw huidige overeenkomst en zorg ervoor dat u een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De regels onder de AVG zijn strenger.
Is uw organisatie in meerdere EU-landen actief? Of zijn uw gegevensverwerkingen van invloed op meerdere lidstaten van de EU? Dan hoeft u maar met één privacy-toezichthouder zaken te doen. Dat heet het een-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.
Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. Daarnaast moet u kunnen bewijzen dat u toestemming heeft gekregen. Bekijk daarom hoe u toestemming vraagt, krijgt en hoe u dit vastlegt.
Van welke systemen wordt er gebruikgemaakt binnen je stage?
Practice Based:
Geheimhoudsverklaring is het meest belangrijk, omdat wij niet een instelling zijn die begeleid, maar een organisatie is dat waar wij het meeste mee te maken krijgen.
Hoe registreer je gegevens?
Practice Based:
Door ze te noteren op het moment dat ik iemand help, daarnaast vraag ik altijd om toestemming van de jongeren zelf, omdat wij dus niet een begeleidende rol hebben, maar een ondersteunende rol.
Theory Based:
Algemeen antwoord: Persoonsgegevens in de BRP worden voor altijd bewaard. Als een organisatie persoonsgegevens uit de BRP krijgt, wordt de registratie van deze verstrekking 20 jaar bewaard.
Hoe leg je verslag?
Practice Based:
Door te notuleren in een klein verslagje of mondelings terug te koppelen naar mijn collega's of facilitators.
Theory Based:
Wat moet er allemaal in een verslag? Een verslag (bij bètavakken) bestaat uit de volgende onderdelen:
Verkort als het notulen van een gesprek.
Hoe verantwoord je verslaglegging naar je leidinggevende en andere betrokkenen?
Practice based:
Door mijn handelingen uit te leggen en mijn manier van denken uit te leggen bij de desbetreffende personen en daar feedback voor te vragen.
Theory Based:1. Iedere keer dat de sociaal werker informatie over de burger/cliënt met derden wil delen, vraagt hij toestemming aan de burger/cliënt en legt hij de toestemming vast in het dossier (indien van toepassing). Toestemming van de burger/cliënt betekent niet automatisch dat de sociaal werker ook altijd informatie met derden deelt. 2. De sociaal werker zal bij toestemming altijd moeten nagaan of die in vrijwilligheid is afgelegd en of de toestemming niet strijdig is met de belangen van derden. 3. Geen toestemming is nodig: a. bij een uitdrukkelijke wettelijke verplichting om informatie te delen, ook wanneer de burger/cliënt hiervoor geen toestemming verleent; b. als meerdere hulpverleners een functionele professionele relatie met dezelfde burger/cliënt hebben en de burger/cliënt daarvan op de hoogte is; c. als levensbelang(en) op het spel staan (zie artikel 10). Geen toestemming om informatie te delen, betekent overigens niet automatisch dat de professionele relatie moet worden beëindigd. Het is wel aanleiding om dit met de burger/cliënt te bespreken.