Privacybeleid Swaans Registeraccountants
– Gegevensbescherming, Cybercriminaliteit, Meldplicht Datalekken –
Inhoudsopgave:
- Bewustwording
- Data Protection Impact Assessment
- Functionaris voor de gegevensbescherming
- Leidende toezichthouder
- Privacy by design & privacy by default
- Verwerkingsregister
- Risico inventarisatie (organisatorisch en technisch)
- Toestemming en (sub)verwerkersovereenkomsten
- Meldplicht datalekken
- Bijlage: definities
Bewustwording (A)
Tijdens de uitvoering van onze werkzaamheden communiceren wij elektronisch met onze cliënten en relaties. Hierin is tevens begrepen de onderlinge uitwisseling van persoonsgegevens, welke als data worden opgeslagen op onze computersystemen. Zoals mede benoemd in onze opdrachtbevestigingen zullen wij al hetgeen redelijkerwijs van ieder van ons verwacht mag worden, doen of nalaten ter voorkoming van het optreden van risico’s voortvloeiende uit elektronische communicatie, het verwerken van persoonsgegevens en het voorkomen van datalekken.
Ons kantoor is niet verplicht om een privacybeleid op te stellen. Daar wij van mening zijn dat het verplicht opstellen van een privacybeleid (ook wel gegevensbeschermingsbeleid) niet in verhouding staat tot de door ons verrichte verwerkingsactiviteiten. Mede ingegeven door de beperkte omvang van onze verwerking van persoonsgegevens in relatie tot onze overige werkzaamheden zowel ten aanzien van onze tijdsbesteding als ook de omzet gemoeid met de verwerking van persoonsgegevens in relatie tot de omzet van het totale kantoor. Waarbij tevens opgemerkt wordt dat deze bewerking vaak plaats vindt onder eindverantwoordelijkheid van onze opdrachtgever. In veel gevallen is hiervan geen sprake, dan is ons kantoor de verwerkingsverantwoordelijke.
Wij zijn als kantoor wel van mening dat het nuttig is om een privacybeleid op te stellen. Hiermee trachten wij privacy risico’s van verwerkingen van persoonsgegevens binnen ons kantoor inzichtelijk te maken, met vervolgens als doel het vermijden of verminderen van privacy risico’s. Tevens laten wij hiermee, aan onze beroepsgroep en de Autoriteit Persoonsgegevens, zien dat wij invulling willen geven en willen voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
In deze notitie privacybeleid zal aandacht besteed worden aan ‘the internet of things’ binnen ons kantoor, de voor ons kantoor van toepassing zijnde soft- en hardware en onze leveranciers van onze cloud oplossingen.
Met deze notitie voldoen wij tevens aan onze verantwoordingsplicht (accountability) en trachten wij een belangrijke bijdrage te leveren aan de bescherming van het grondrecht van mensen op privacy. Hiermee laten wij zien dat wij de juiste technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen. En dat een verwerking voldoet aan rechtmatigheid, transparantie, doelbinding en juistheid.
De persoonsgegevens die door ons worden verkregen, opgeslagen en indien nodig worden bewerkt, vloeien voornamelijk voort uit onze accountancy- en/of fiscale werkzaamheden die wij beroepsmatig verrichten. Aan onze dienstverlening ligt een opdrachtbevestiging met onze cliënt ten grondslag.
Wij zijn ons bewust van het feit dat cliënten waarvoor wij persoonsgegevens verwerken, het recht hebben op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
In deze notitie privacybeleid en het verwerkingsregister zal, waar van toepassing een omschrijving gegeven worden van de categorieën persoonsgegevens die wij verwerken. Hierbij is onze verplichting om niet meer persoonsgegevens te verwerken dan noodzakelijk wordt geacht om ons beroep te kunnen uitvoeren en onze diensten te kunnen verrichten. Persoonsgegevens worden daarnaast niet langer dan noodzakelijk voor onze beroepsgroep bewaard.
Door ons worden geen gegevens gedeeld met een land of kantoor buiten de Europese Unie. Wij gebruiken de gegevens alleen voor de afgesproken doelen, zullen de gegevens niet zonder toestemming met anderen delen en zorgvuldig beveiligen.
Onze medewerkers:
- Zijn op de hoogte gebracht van de nieuwe privacyregels;
- Zijn zich bewust van de huidige dreigingen op het terrein van informatiebeveiliging (cybercrime) en de belangrijkste oorzaken van datalekken;
- Weten wat wij van hen in het kader van informatiebeveiliging en privacybescherming verwachten qua houding en gedrag en
- Zijn op de hoogte van de belangrijkste items van de Algemene Verordening Gegevensbescherming (AVG) en zullen uit dien hoofde een (mogelijk) datalek onverwijld melden.
Bij het opstellen van deze notitie is mede als leidraad gebruikt het 10 stappenplan van de Autoriteit persoonsgegevens. Literatuur is geraadpleegd en er zijn trainingen gevolgd:
Geraadpleegde literatuur
- NBA, Datalekken in de MKB praktijk
- NBA, model (sub-)verwerkersovereenkomst
- NBA NEMACC, brochure privacybescherming
- Autoriteit persoonsgegevens, website
- Autoriteit persoonsgegevens, 10 stappenplan
- Beleidsregels voor toepassing van artikel 34a van de Wbp (melding datalekken)
- Ministerie van Veiligheid en Justitie, 10 vuistregels veilig internetten
- Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals.
Gevolgde trainingen
- Auxilium Adviesgroep, updates accountancy waaronder updates inzake Wwft.
- Auxilium Adviesgroep, cursus Wwft in de praktijk d.d. 20 augustus 2020 (aangemeld).
Data Protection Impact Assessment, PIA (B)
Wij zijn van mening dat wij niet verplicht zijn een zogenaamd Data Protection Impact Assessment uit te voeren, daar onze beoogde gegevensverwerking waarschijnlijk geen hoog privacyrisico met zich meebrengt. Daar wij als kantoor niet:
- systematisch en uitvoerig persoonlijke aspecten evalueren;
- op grote schaal bijzondere persoonsgegevens verwerken;
- op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied.
Gezien de omvang van ons kantoor volstaan wij met het opstellen van een notitie privacybeleid (waarin begrepen een risico inventarisatie onder paragraaf F) alsook het opstellen van een verwerkingsregister.
Functionaris voor de gegevensbescherming (C)
Wij zijn van mening dat wij geen functionaris voor de gegevensbescherming behoeven aan te stellen, daar wij niet kwalificeren als een kantoor zoals benoemd onder paragraaf B. Deze functionaris behoudt binnen het eigen kantoor toezicht op de toepassing en naleving van de AVG. Gezien onze geringe omvang behoeven wij deze functionaris niet te benoemen. Wij zijn ons als kantoor uiteraard bewust van een gedegen databescherming en wij realiseren ons dat data bescherming en het up to date houden hiervan, alsmede voldoen aan de AVG een continue proces is.
Leidende toezichthouder (D)
Er is geen sprake van een leidende toezichthouder. Daar ons kantoor maar één vestiging kent en tevens niet is aangesloten bij een internationaal, opererend kantoor en/of netwerk. Onze gegevensverwerking heeft ook geen impact op meerdere lidstaten binnen de Europese Unie. Door ons worden geen gegevens gedeeld met een land of internationaal kantoor buiten de Europese Unie.
Privacy by design & privacy by default (E)
Als kantoor voeren wij onze dienstverlening uit, in lijn met de uitgangspunten privacy by design en privacy by default.
De definities van privacy by design en privacy by default zijn ontleend aan de website Autoriteit Persoonsgegevens: Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat niet meer gegevens verzameld worden dan noodzakelijk voor het doel van de verwerking. En dat de gegevens niet langer bewaard worden dan nodig.
Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat wij alléén persoonsgegevens verwerken die noodzakelijk zijn voor het specifieke doel dat wij willen bereiken.
In onze omgang met privacy gevoelige informatie, het bewaren en verwerken van (persoons)gegevens en elektronische communicatie betrachten wij een professioneel kritische en alerte houding aan te nemen. Dit uit zich onder meer in het feit dat wij het risico op een datalek trachten te voorkomen door het risico op onder meer malware te verkleinen door:
- tijdige software updates installeren waar nodig met de expertise van onze automatiseerder/ software leverancier;
- wij geen verouderde protocollen gebruiken;
- computernetwerken en systemen hebben gescheiden, het netwerk blijft ten alle tijden op kantoor, laptops worden indien op locatie gebruikt enkel tijdelijk buiten de kantooromgeving gehouden;
- wij periodiek back-ups maken via een beveiligde cloudapplicatie.
Binnen ons kantoor zijn de 10 vuistregels van veilig internetten opgemaakt door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie bekend en wordt invulling gegeven hieraan. Dit impliceert dat:
- Antivirus programma’s zijn geïnstalleerd
- Software updates worden uitgevoerd wanneer deze beschikbaar komen
- Er worden ‘sterke’ wachtwoorden gehanteerd
- Er is alleen verbinding met vertrouwde wifi netwerken
- Er worden geen email berichten en onbekende bestanden geopend die wij niet vertrouwen en/of waarvan wij de afzender niet kennen
- Er worden alleen apps en programma’s van bekende, officiële partijen gebruikt
- Webadressen (URL’s) worden altijd gecontroleerd om vast te stellen of er sprake is van een nagemaakte of onveilige website
- Pop-ups worden in de browser niet geopend en waar nodig afgesloten met Alt+F4
- Wij denken goed na over te delen informatie op het internet (waaronder in ieder geval wordt verstaan onze website en sociale netwerksites)
- Wij gebruiken ons gezond verstand, iets wat te mooi lijkt om waar te zijn, is dat meestal ook
Verwerkingsregister (F)
Data opslag (waar staan data, welke data, bij wie staan ze, wie kan erbij, contracten)
Binnen ons kantoor is een verwerkingsregister opgesteld daar ons kantoor minder dan 250 medewerkers heeft en wij beschikken over persoonsgegevens:
– die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
– waarvan de verwerking niet incidenteel is en/of;
– die vallen onder de categorie bijzondere persoonsgegevens.
In ons verwerkingsregister zijn alle verwerkingen opgenomen waarbij wij optreden als verwerkingsverantwoordelijke en alle verwerkingen waarbij wij optreden als verwerker. Als leidraad bij het bepalen van deze status hanteren wij de “Richtsnoeren AVG voor accountants, belastingadviseurs en salarisprofessionals” d.d. 1 oktober 2019.
In het verwerkingsregister van ons kantoor is de volgende informatie opgenomen:
- de naam en contactgegevens van ons kantoor en de vertegenwoordiger;
- het doel waarvoor wij de persoonsgegevens verwerken;
- een beschrijving van de categorieën van verwerkingen die wij in opdracht van iedere verantwoordelijke uitvoeren (klanten, medewerkers van klanten);
- een beschrijving van de categorieën van persoonsgegevens (BSN, NAW-gegevens, geboortedatum, emailadressen, telefoonnummers).
Een algemene beschrijving van de technische en organisatorische maatregelen die wij hebben genomen om persoonsgegevens te beveiligen is in deze notitie opgenomen.
Risico inventarisatie (G)
Bij onze risico inventarisatie hebben wij een onderscheid gemaakt naar: organisatorische maatregelen en technische maatregelen.
Organisatorische maatregelen
Ten aanzien van de organisatorische maatregelen is door ons kantoor deze notitie opgesteld, is een privacy- en cookiebeleid opgemaakt welke beschikbaar gesteld is op onze website en werken wij met (sub)verwerkersovereenkomsten. Ten aanzien van het gebruik van cloudoplossingen, aanschaf van hard- en software producten het volgende: als kantoor streven wij naar kwaliteit en het samen willen werken met in de praktijk bekende en bewezen producten van betrouwbare partijen. Voorafgaand aan deze keuze verdiepen wij ons in de aangeboden producten van de betreffende leverancier en waar mogelijk diens concurrenten, testen en analyseren wij de producten bij voorkeur in een demo (test)omgeving indien die mogelijk en van toepassing is. Tevens informeren wij binnen ons netwerk (collega accountants en/of cliënten en relaties) of zij ervaringen hebben met betreffende partijen en diens producten. Deze testwerkzaamheden worden vroegtijdig en normaliter buiten ons ‘business season’ uitgevoerd, waarmee wij de prioriteit hiermee willen aangeven die gemoeid is met de keuzes die wij hierin als kantoor maken.
In onze opdrachtbevestiging benoemen wij onder hoofdstuk elektronische communicatie de risico’s die hiermee mogelijk gepaard kunnen gaan. Indien cliënt elektronisch communicatie niet op prijs stelt dan dient opdrachtgever dit te melden, waarna wij gepaste maatregelen zullen nemen. In die situatie worden privacy gevoelige gegevens per post verzonden aan opdrachtgever.
Ons kantoor is gevestigd in een eigen pand. De fysieke beveiliging wordt door ons als goed beschouwd. Het pand is afgesloten door een juweliershekwerk. Het kantoor wordt afgesloten en is beveiligd met een alarminstallatie. Schoonmaak vindt plaats tijdens kantooruren, waarbij oogtoezicht wordt gehouden. De server bevind zich in een afzonderlijk afgesloten ruimte.
Technische maatregelen
- Beveiling ICT:
- Netwerk
Het netwerk van Swaans-RA bestaat uit een server (server 2012) die de domeincontroller is van alle PC’s in het netwerk van Swaans-RA. Op deze server worden de rechten van alle gebruikers ingesteld en bijgehouden.
- Externe toegang:
Het netwerk kan van buitenaf benaderd worden door Ingrid van de Maat, Pascal Oomen, overig personeel en Linked Services (extern systeembeheer). De directie Ingrid en Pascal kunnen extern inloggen via een versleutelde VPN verbinding. Overig personeel en Linked Services kunnen ieder alleen inloggen vanaf hun eigen (thuis-)ipadres op alleen vooraf bepaalde computers. Toegang tot het netwerk is op andere manieren niet mogelijk. Alle inloginformatie wordt gelogd op de server. Evenals eventuele ongeoorloofde pogingen tot inloggen.
- Firewall:
Swaans-RA heeft als extra netwerk beveiliging een geavanceerde firewall applicatie (smoothwall). Met deze applicatie is het mogelijk om in en uitgaand internetverkeer te regelen en te beperken.
- Versleuteling mail:
Communicatie met Office365 Cloud oplossing is versleuteld. - Onderhoud:
Swaans-RA heeft geen serveronderhoudscontract. De server wordt jaarlijks gecontroleerd op fouten, beveiliging, storingen, en backup systemen worden getest, daarnaast wordt bij iedere (kleine) storing direct contact gezocht met de systeembeheerder.
- Backup methode:
Swaans-RA heeft een online oplossing voor de data op de server, en er wordt twee keer per dag een shadow copy gedraaid. De online backup methode wordt gefaciliteerd door Keep It Safe. Aangezien de backupdata eerst lokaal wordt versleuteld en dan pas extern wordt opgeslagen, is er geen verwerkersovereenkomst nodig met deze partij. Keep It Safe kan niets met de versleutelde data.
Externe partijen
Als systeembeheerder treedt op Linked Services te Tilburg. Met Linked Services is een geheimhoudingsovereenkomst afgesloten. Werkzaamheden door de systeembeheerder vinden uitsluitend plaats op ons verzoek.
Mobiele telefoons
Uitsluitend de vennoten beschikken over een zakelijke mobiele telefoon.
Op de mobiele telefoons komt geen zakelijke email binnen. De mobiele telefoons zijn beveiligd met een pincode/touch id.
De vennoten zijn zich bewust van de telefoonnummers en namen van cliënten en relaties die zich op de mobiele telefoons bevinden. Zij gaan als een goed huisvader overweg met de mobiele telefoons.
In geval van diefstal of verlies dan kunnen de mobiele telefoons op afstand gevolgd, leeggemaakt worden en/of versleuteld worden via ‘vind mijn iPhone’ en android.com/find.
Data uitwisseling
Er zijn geen onbeveiligde usb sticks, er wordt niet gewerkt met een Drop Box alsook niet met Wetransfer waarmee wij data naar onze cliënten verzenden. Indien cliënten grote bestanden sturen gebruiken zij wel eens Wetransfer.
De mail loopt via Office365 Cloud.
Emailberichten worden enkel vanuit het zakelijke emailaccount in Outlook verzonden. Er wordt voorafgaand aan de verzending scherp gelet op het selecteren van de juiste ontvanger. Mocht er onverhoopt een email verzonden zijn aan een verkeerde ontvanger dan is het verzoek om ons dit onmiddellijk te melden en het bericht te vernietigen. Onderstaande tekst moet onder elk uitgaande kantooremail opgenomen zijn:
Dit e-mail bericht is slechts bestemd voor degene(n) aan wie het gericht is en kan informatie bevatten die persoonlijk of vertrouwelijk van aard is. Die informatie mag krachtens wet en/of overeenkomst niet openbaar gemaakt worden. Als de ontvanger van dit e-mail bericht niet de bedoelde persoon is, is verdere verspreiding, openbaarmaking of vermenigvuldiging van dit e-mail bericht strikt verboden. Als u dit e-mail bericht per vergissing heeft ontvangen, verzoeken wij u ons onmiddellijk op de hoogte te stellen en het bericht te wissen.
SWAANS Registeraccountants sluit elke aansprakelijkheid uit in verband met het niet juist, onvolledig of niet tijdig overkomen van de informatie in deze e-mail.
Wifi netwerk
Er is een eigen wifi beschikbaar. Het wifi netwerk is beveiligd met een zeer sterk wachtwoord en kan door personeelsleden en gasten gebruikt worden om in te loggen op het internet. Het wachtwoord wordt – enkel op verzoek – aan bekende cliënten en/of relaties op kantoor gedeeld.
Website
De domeinnaam swaans-ra.nl is geregistreerd bij VSERVS B.V. De website is onder beheer van Eyeworx Tilburg en opgemaakt in WordPress en bevindt zich in de omgeving van VSERVS B.V . De domeinnaam is beveiligd met een SSL certificaat welke jaarlijks wordt verlengd na authenticatie door Sectigo.
Cookies, of vergelijkbare technieken, zijn kleine stukjes (tekst)informatie die bij het bezoek van een website worden meegestuurd aan onze browser en vervolgens op uw harde schijf of in het geheugen van uw computer, tablet of mobiele telefoon worden opgeslagen. Er worden geen gegevens verzameld op swaans-ra.nl. Er wordt alleen gebruik gemaakt van noodzakelijke cookies. Overige cookies in de vorm van marketing of tracking cookies worden niet opgeslagen. Een overzicht van alle noodzakelijke cookies op swaans-ra.nl is terug te vinden op onze website onder cookieverklaring.
De website van swaans-ra.nl verzamelt geen privacy gevoelige informatie.
Updates van WordPress en in de website gebruikte plugins worden automatisch verwerkt op het moment dat deze beschikbaar zijn. Voor beveiliging van de WordPress omgeving wordt gebruik gemaakt van een security plugin Wordfence.
Cloudoplossingen
Door ons kantoor wordt gebruik gemaakt van de volgende cloudoplossingen:
- Accountview GO, online boekhouden
- Basecone, scan en herkenfaciliteit
- Nextens, fiscale aangiften
De genoemde cloudoplossingen hebben veiligheidstoepassingen, uitleg en omschrijvingen vermeld op hun website, zie website van de betreffende partij. Wij zijn van mening dat alle genoemde partijen afdoende maatregelen hebben genomen om de data van onze cliënten te waarborgen.
Toestemming en (sub)verwerkersovereenkomsten (H)
De AVG eist dat wij moeten kunnen aantonen dat wij geldige toestemming van betrokkenen hebben gekregen om persoonsgegevens te verwerken. De twee eisen die gesteld worden aan een geldige toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen.
Indien sprake is van de verwerking van persoonsgegevens waarbij wij optreden als verwerker en de klant als verantwoordelijke dan leggen wij de afspraken vast in een verwerkersovereenkomst. Hiertoe maken wij gebruik van de model overeenkomsten zoals deze beschikbaar gesteld worden door de NBA.
Meldplicht datalekken (I)
Bij de beslissing of wij een gebeurtenis die zich heeft voorgedaan moeten melden aan de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene, moeten wij een aantal afwegingen maken. Het onderstaande schema, ontleend aan de beleidsregels voor toepassing van artikel 34a van de wet Wbp geeft onze afwegingen weer:
Beveiligingslek -> Heeft zich een beveiligingsincident voorgedaan?
Datalek -> Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?
Melden aan de Autoriteit Persoonsgegevens -> Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
Melden aan de betrokkene -> Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?
Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
Indien een melding gedaan moet worden, dan wordt het meldformulier van het meldloket datalekken gehanteerd.
BIJLAGE (J)
Definities
Wet bescherming persoonsgegevens (Wbp)
De wet bescherming persoonsgegevens is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. De Wbp is sinds 1 september 2001 van kracht.
Algemene Verordening Gegevensbescherming (AVG)
Op 4 mei 2016 is de AVG gepubliceerd door de Europese Unie. De verordening wordt echter met ingang van 25 mei 2018 gehandhaafd. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie, waarmee de wet Wbp niet meer geldt. De AVG kent meer verplichtingen dan de wet Wbp.
Wat zijn persoonsgegevens?
De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Persoonsgegevens van gevoelige aard
Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
- Bijzondere persoonsgegevens;
- Gegevens over de financiële of economische situatie van de Betrokkene;
- (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene;
- Gebruikersnamen, wachtwoorden en andere inloggegevens;
- Gegevens die kunnen worden misbruikt voor (identiteits)fraude.
Wat zijn bijzondere persoonsgegevens?
Een kantoor mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. Bijzondere persoonsgegevens zijn gegevens vanuit:
- godsdienst of levensovertuiging;
- ras;
- politieke voorkeur;
- gezondheid;
- seksuele leven;
- lidmaatschap van een vakbond;
- strafrechtelijk verleden;
- Burgerservicenummer (BSN).
Wat houdt verwerken van persoonsgegevens in?
Verwerken is alle handelingen die een kantoor kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Vanuit de website van de NBA geciteerd: “Verwerking van persoonsgegevens” omvat alle denkbare handelingen met persoonsgegevens. Maar let op: ook meer passieve handelingen zoals de enkele aanwezigheid van de gegevens op uw servers valt onder het begrip “verwerken”. Bij “persoonsgegevens” denkt u ongetwijfeld aan gegevens als NAW, BSN en herkenbare afbeeldingen zoals pasfoto’s. Maar ook gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat zijn: bijvoorbeeld IP-adressen en binnen een bepaalde context ook (mobiele) telefoonnummers en nummerborden. Volgens de Wbp is de verantwoordelijke degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en hoe en is de verwerker degene die dienaangaande instructies van de verantwoordelijke dient op te volgen. Dit laatste brengt met zich mee dat indien u een verwerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt.
Wie is verwerker?
Een verwerker is een persoon of kantoor aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de verwerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.
Wie is subverwerker?
Uit de verantwoordelijkheid van de opdrachtgever – die in de zin van de wet geldt als verantwoordelijke voor de gegevensverwerking – vloeit voort dat hij uitdrukkelijk heeft ingestemd met het subverwerkersschap. Indien de opdrachtgever daarvoor in zijn overeenkomst met de verwerker uitdrukkelijk ruimte heeft gegeven, kan de verwerker – met behoud van zijn volle aansprakelijkheid voor de naleving van zijn contract met de verantwoordelijke – delen van de verwerking uitbesteden aan sub-verwerkers.
De verwerker dient dan wel contractueel verzekerd te hebben dat de sub- verwerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. De verantwoordelijke dient hiervan wel op de hoogte te worden gesteld opdat deze in staat is toe te zien op de naleving van zijn afspraken met de verwerker.
Dienstverlening door verwerker
Het verwerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.
Datalek
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Meldplicht datalekken
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Rechten van betrokkenen
Betrokkenen hebben recht op inzage. Dat houdt in dat zij een kantoor mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Mensen hebben dus geen recht op informatie over anderen.
Vraagt iemand om inzage, dan moet de kantoor diegene op een duidelijke en begrijpelijke manier laten weten óf de kantoor zijn persoonsgegevens gebruikt, en zo ja:
– om welke gegevens het gaat;
– wat het doel is van het gebruik;
– aan wie de kantoor de gegevens eventueel heeft verstrekt;
– wat de herkomst is van de gegevens, als deze bekend is.
Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een kantoor mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Iemand kan om correctie vragen als zijn persoonsgegevens:
– feitelijk onjuist zijn;
– onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
– op een andere manier in strijd met een wet worden gebruikt.
Onder de AVG krijgen betrokkenen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Dit houdt in dat zij het recht hebben om de persoonsgegevens te ontvangen die een kantoor van hen heeft.
Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Dit nieuwe recht lijkt op het huidige recht op correctie en verwijdering, maar is breder.
In de AVG staan tevens de voorwaarden voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. De twee eisen die gesteld worden aan een geldige toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.