Voldoet Spinam aan de AVG?

De waarde van data neemt toe. De zorg voor privacy neemt af. Het misbruik van persoonsgegevens neemt toe. De mogelijkheden om jezelf te beschermen was matig. En toen kwam de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). De AVG / GDPR wetgeving vraagt vóór 25 mei 2018 actie. De Autoriteit Persoonsgegevens kan vanaf 25 mei 2018 handhaven en boetes opleggen. Deze wet geldt uiteraard ook voor Spinam.

Maar voordat Spinam verklaart hoe Spinam met de AVG omgaat het volgende.
De wet regelt prima dat iedereen expliciet toestemming moet geven en verbiedt het ongebreideld koppelen en verhandelen van persoonsgegevens. Een klacht bij de Autoriteit Persoonsgegevens kan er voor zorgen dat oneigenlijk gebruik gestraft kan gaan worden. De AVG is een prima wet, maar heeft één belangrijke valkuil die Spinam (en anderen) met u wilt delen.

Wat als u wel toestemming hebt gegeven, maar de impact vooraf niet goed in kan schatten? Wat als de privacy statement te vaag is om dit goed te kunnen bepalen? Hoe gaat de wet uitpakken in een online wereld waarin u betaalt met uw privacy voor het gebruik van een website of spelletje? Wat als iemand uw informatie deelt via een vriendenlijst? Hoe komt u daar achter? Hoe pakt de nieuwe wet uit voor zoekmachines die er van uit gaan dat alles wat u online zet ook meteen openbaar is?

Het antwoord op de eerste vraag zal toch vaak zijn dat niemand dat volledig kan inschatten wat de impact is van elke toestemming tot in den eeuwigheid. Dit gaat in eerste instantie een feestje voor de juristen worden.Totdat er voldoende jurisprudentie is. De geest van de wet is dat bij een dwaling het gebruik van uw persoonsgegevens nietig verklaard zal worden. De nu technische benadering van deze wet zal via de rechter een menselijke kant moeten krijgen.

In ieder geval verklaart Spinam het volgende:
De nieuwe wet heeft gelukkig een beperkte impact op de werk- en handelswijze binnen Spinam. En Spinam zal de menselijke kant van privacy op de voorgrond blijven houden.

DEEL 1: Persoonsgegevens
Spinam heeft een inventarisatie gemaakt van de nu bekende persoonsgegevens die verwerkt worden door Spinam – met als uitgangspunt dat Spinam alleen de noodzakelijke informatie vastlegt. Gegevens worden niet gekoppeld en niet gedeeld met derden, tenzij er een verwerkingsgrondslag is. Spinam verwerkt nooit ongevraagd persoonsgegevens.

Indien Spinam persoonsgegevens vraagt, dan is het meteen duidelijk waarvoor dat is: we vragen waar de bestelling geleverd kan worden. Of we vragen naar persoonsgegevens bij het aannemen van personeel, maar het moge duidelijk zijn dat we die gegevens nodig hebben voor onze loonadministratie en loonbetaling.

Spinam houdt geen klikgegevens bij van medewerkers of bezoekers aan één van onze websites. Noch wordt klikgedrag in enige vorm opgeslagen, gekoppeld of verhandeld.

DEEL 2: Privacy Impact Analyse (PIA)
Spinam is zelf verantwoordelijk (accountable) voor het voldoen aan deze wetgeving en heeft een PIA uitgevoerd en gedocumenteerd. Een onderdeel hiervan is het aanstellen van een functionaris voor gegevensbescherming. Dit is voor Spinam niet verplicht, maar we hebben het wel gedaan.

Spinam vindt het wel wenselijk en noodzakelijk om een eenduidige, verantwoordelijke functionaris voor gegevensbescherming aan te stellen. Dit omdat deze functionaris een regiefunctie kan uitoefenen in het duurzaam voldoen aan de wet AVG. Om te zorgen voor een goede belangenafweging worden de vraagstukken rondom gegevensbescherming gezamenlijk opgepakt door:

  • D.J. Doorn, eigenaar Spinam en CISO;
  • P. Doorn – Bosch, accountable interne bedrijfsvoering, inclusief functionaris Privacy Officer / functionaris gegevensverwerking;
  • J.C. Flierman – Klop, accountable HRM beleid en uitvoering.

Spinam heeft al eerder passende technische en organisatorische maatregelen genomen voor de bescherming van privacy:

  1. Goede beveiliging van de IT-omgeving (Standaard is de communicatie versleuteld via SSL en certificaten);
  2. Beschikbaar beleid en beschikbare procedures (opgenomen bij de continuïteitseisen en het huishoudelijk reglement);
  3. Beleid en procedures opvolgen (er wordt actief voorlichting gegeven aan medewerkers, sleutelmedewerkers worden op training en/of vakdagen gestuurd).

Nogmaals – we kunnen het niet vaak genoeg zeggen: Spinam deelt in basis geen gegevens met andere partijen, behoudens dat dit noodzakelijk is voor een ordelijke contractuitvoering.

DEEL 3: Verwerkers
Spinam maakt in beperkte mate gebruik van externe producten waarin persoonsgegevens verwerkt worden. Bij deze verwerkers is onderzoek gedaan in hoeverre ze AVG compliant zijn. De informatie uit de (online) informatie is doorgenomen en (voor nu) akkoord bevonden.

Tevens is Spinam in alle gevallen in staat om verzoeken voor een overzicht of een verzoek tot verwijdering uit te voeren. Ook is Spinam in alle gevallen op de hoogte welke informatie er gebruikt wordt.

DEEL 4: Grondslag
Spinam verwerkt zo min mogelijk persoonsgegevens, wat ons uitgangspunt is. Spinam verwerkt alleen gegevens in overleg en daardoor met overeenstemming van personen. Spinam zal niet actief gegevens uit het ene systeem zonder berichtgeving doorzetten naar het andere systeem. De persoon zelf zet altijd de eerste stap en geeft ondubbelzinnig toestemming indien dat nodig is. Bijvoorbeeld zal elke website die beheert wordt een privacy statement bevatten waar u kunt inzien wat u kunt doen en welke gegevens deze website verwerkt worden.

DEEL 5: Verwerkingsdoel
Spinam verwerkt alleen gegevens overeenkomstig met het doel waarmee ze verzameld of ingezonden zijn. Vrijwilligheid is hierbij een eenduidige grondslag.

DEEL 6: Rechten
Via ons privacy statement worden personen gewezen op de mogelijkheid om:

  • de eigen persoonsgegevens in te zien of op te vragen;
  • correcties aan te (laten) brengen;
  • toestemming voor verwerking in te trekken;
  • gegevens te (laten) verwijderen;
  • de eigen persoonsgegevens over te dragen (‘data export’).

Tot slot willen we er op wijzen dat dit statement een samenvatting is. Indien u een gedetailleerd verslag in wilt zien, kunt u contact met ons opnemen.

Share

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *