• Nieuws
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
  • STAP-budget
  • Over ons
  • Adverteren
  • Contact
  • Vrienden
  • Nieuwsbrief
  • STAP-budget
  • Twitter
  • LinkedIn
  • Mail
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Over ons
  • Adverteren
  • Contact
  • Vrienden
  • Nieuwsbrief
  • STAP-budget
Salaris Vanmorgen

  • Nieuws
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
  • STAP-budget
Home » Drie jaar AVG – check of organisatie aan privacy-eisen voldoet

Drie jaar AVG – check of organisatie aan privacy-eisen voldoet

Nieuws

Drie jaar geleden, 25 mei 2018, werd de Algemene verordening gegevensbescherming (AVG) van kracht. Voldoet jouw organisatie aan de AVG?

25 mei 2021 door Salaris Vanmorgen

Check de tien stappen in de regelhulp Algemene Verordening Gegevensbescherming (AVG) van de Autoriteit Persoonsgegevens. Deze Regelhulp is bedoeld voor alle verwerkingsverantwoordelijken. Dus voor elke organisatie – groot of klein – die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt.

Stap 1: gegevensverwerkingen

Als organisatie verwerk je vrijwel altijd persoonsgegevens.

De AVG onderscheidt drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens.

De AVG maakt dit onderscheid omdat het ene persoonsgegeven gevoeliger is dan het andere. Hoe gevoeliger de persoonsgegevens, hoe meer impact het heeft op iemands leven als het misgaat.

Privacybescherming is een continu proces en draagt bij aan het vertrouwen van mensen in de organisatie. Veel organisaties ontwikkelen en veranderen. Controleer daarom regelmatig of de  organisatie nog aan de AVG voldoet. Gebruik de checklist ‘Houd grip op persoonsgegevens‘.

Stap 2: AVG-grondslagen

Het uitgangspunt is dat je niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is. Daarom moet je voor alle verwerkingen een goede reden hebben. Zo’n goede reden heb je als je je op een van de zes ‘AVG-grondslagen’ kunt baseren:

  1. toestemming;
  2. noodzakelijk voor de uitvoering van een overeenkomst;
  3. noodzakelijk voor het nakomen van een wettelijke verplichting;
  4. noodzakelijk ter bescherming van vitale belangen;
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je je kunt  beroepen op een concrete wettelijke uitzondering én op een van de AVG-grondslagen.

Voor mkb’ers zijn alleen deze vier AVG-grondslagen relevant: toestemming, overeenkomst, wettelijke verplichting en gerechtvaardigd belang.

Als je recht hebt om ‘gewone’ persoonsgegevens te verwerken, moet je dat wel zorgvuldig doen.

Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking op deze grondslag(en) mag baseren.

Zorg ervoor dat je de doelgroep goed informeert over wat je met hun persoonsgegevens doet.

Mag je persoonsgegevens verwerken?

Stap 3: functionaris gegevensbescherming (FG)

Onder de AVG kun je verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen: iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG.

Ondernemers in het mkb hoeven in de meeste gevallen geen FG aan te stellen. Omdat zij vaak niet op grote schaal persoonsgegevens verwerken.

Wanneer moet ik een FG aanstellen?

Ook al ben je het niet verplicht, het kan heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

Stap 4: data protection impact assessment (DPIA)

Als organisatie kun je verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Een goed uitgevoerde DPIA geeft je vooraf inzicht in de risico’s die het verwerken van persoonsgegevens oplevert voor de betrokken personen, zodat je kunt bepalen wat er nodig is om die risico’s te verkleinen.

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie je persoonsgegevens verwerkt.

Je moet doorgaans een DPIA uitvoeren als je verwerking aan twee of meer van de onderstaande nege ncriteria voldoet.

  1. Beoordeel je mensen op basis van persoonskenmerken?
  2. Neem je geautomatiseerde beslissingen met rechtsgevolgen?
  3. Doe je aan stelselmatige en grootschalige monitoring?
  4. Verwerk je gevoelige gegevens of gegevens van zeer persoonlijke aard?
  5. Verwerk je op grote schaal persoonsgegevens?
  6. Gebruik je gekoppelde databases?
  7. Verwerk je gegevens over kwetsbare personen?
  8. Gebruik je nieuwe technologieën?
  9. Verwerk je persoonsgegevens om een recht, dienst of contract te blokkeren?

Voor mkb’ers is een DPIA niet zo snel van toepassing.

Ook als je geen of maar een van de criteria hebt aangevinkt, kan het tóch zijn dat sprake is van een hoog privacyrisico. De genoemde criteria zijn slechts een hulpmiddel. Je moet zelf een inschatting maken van de risico’s van de gegevensverwerking voor de betrokken personen.

Meer informatie en veelgestelde vragen over DPIA’s 

Stap 5: privacy by design en privacy by default?

Werk je volgens de AVG-uitgangspunten van privacy by design en privacy by default?

  • Zijn de producten, diensten en systemen standaard privacyvriendelijk ontworpen?
  • Heb je bepaald hoe lang je de persoonsgegevens gaat bewaren en/of heb je de criteria daarvoor bepaald?
  • Staan de instellingen van jouw producten of diensten op privacyvriendelijk?

Aan de hand van deze vragen toets je of je aan een aantal belangrijke AVG-uitgangspunten van privacy by design en privacy by default voldoet.

De gedachte hierachter is dat je al bij het ontwerpen van de producten, diensten en/of systemen over privacy nadenkt. Al was het alleen al omdat het doorvoeren van verbeteringen achteraf vaak meer tijd en geld kost. Maar ook omdat steeds meer mensen kritisch zijn op hoe organisaties met hun  persoonsgegevens omgaan.

Kijk nog eens kritisch naar de persoonsgegevens die je verwerkt. Zijn die gegevens echt noodzakelijk voor het doel van de verwerking? Onthoud: ‘handig’ is geen grondslag. Dus verwijder de ‘nice to haves’.

Leg voorstellen voor nieuwe systemen, apparaten of verwerkingen in een vroeg stadium voor aan een expert, bijvoorbeeld aan de FG, privacy officer of externe privacyjurist.

Bekijk de eigen producten, diensten en interne systemen vanuit het perspectief van een buitenstaander: is alles daadwerkelijk privacyvriendelijk ingericht?

Controleer steekproefsgewijs de oudst aanwezige gegevens in de eigen bestanden en back-ups. Op die manier kun je checken of de door je ingevoerde bewaartermijnen ook daadwerkelijk worden nageleefd.

Meer over privacy by design en privacy by default

Stap 6: register van verwerkingsactiviteiten

Het verwerkingsregister geeft informatie over de persoonsgegevens die de organisatie verwerkt. Het is bijna altijd verplicht om er een te hebben.

Deze verplichting geldt meestal ook voor kleine ondernemers. Maar het voordeel is wel: hoe minder persoonsgegevens je verwerkt, hoe minder tijd het kost om zo’n register te maken.

Wat moet er in het verwerkingsregister staan?

Stap 7: beveiliging

Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens.

Daarom staat in de AVG dat je persoonsgegevens goed moet beveiligen. Wat een goede beveiliging is, hangt helemaal af van de situatie. Een ‘one size fits all – oplossing’ bestaat helaas niet. Je moet zelf bepalen welke technische en organisatorische maatregelen in uw situatie nodig zijn.

Daarnaast geldt: beveiligen is een continu proces (plan, do, check, act). Je moet continu monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn.

Zorg ervoor dat je de medewerkers duidelijk informeert over de AVG-beveiligingseisen en -plichten. Niet alleen eenmalig bij indiensttreding, maar door hierover regelmatig en zichtbaar te communiceren.

Stap 8: verwerkersovereenkomsten

Als organisatie schakel je vaak andere organisaties in om persoonsgegevens voor je te verwerken, bijvoorbeeld voor het uitbesteden van de boekhouding of door gebruik te maken van een clouddienst die persoonsgegevens opslaat.

Weet dat je óók dan verantwoordelijk blijft voor de persoonsgegevens die in jouw opdracht worden verwerkt. Mensen hebben hun persoonsgegevens immers met jou gedeeld en niet met de ‘verwerkers’.

Daarom moet je in zo’n geval een verwerkersovereenkomst met de verwerker afsluiten. Hiermee sluit je bijvoorbeeld uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

Bij grote ‘verwerkers’ is een verwerkersovereenkomst vaak al standaard onderdeel van de opdrachtverlening. Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen, zodat de privacy van mensen goed worden beschermd.

Welke verantwoordelijkheden heb ik ten opzichte van mijn verwerker?

Stap 9: informatieplicht

Het idee achter de AVG is dat mensen de baas blijven over hun eigen persoonsgegevens. Daarom hebben zij recht op heldere informatie over wat de organisatie met hun persoonsgegevens gaat doen en waarom. Zij kunnen dan zelf beslissen of zij hun gegevens aan de organisatie toevertrouwen.

Je voldoet aan de informatieplicht als je een document hebt opgesteld waarin je betrokken personen informeert over de verwerking van privacygegevens, bijvoorbeeld in de vorm van een privacyverklaring. Het document moet ook voldoen aan de AVG, voldoende informatie geven, op een toegankelijke plek worden aangeboden en in begrijpelijke taal geschreven. De doelgroep weet precies wat er met hun gegevens gebeurt.

Stap 10: privacyrechten

De AVG geeft mensen een aantal privacyrechten. Dit zijn:

  • Het recht om persoonsgegevens in te zien.
  • Het recht om persoonsgegevens te wijzigen en aan te vullen.
  • Het recht om vergeten te worden.
  • Het recht om persoonsgegevens over te dragen.
  • Het recht op het beperken van een verwerking van persoonsgegevens.
  • Het recht op een menselijke blik bij besluiten.
  • Het recht om bezwaar te maken.

Je moet de systemen, procedures en interne organisatie op deze rechten inrichten.

Regelhulp Algemene Verordening Gegevensbescherming

Categorie: Nieuws Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, persoonsgegevens, privacy

Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, persoonsgegevens, privacy

Gerelateerde artikelen

8 februari 2023

Regres: wettelijke basis informatie geven tussen (ex-)werkgevers en UWV

17 januari 2023

AVG en verplichtingen voor de werkgever: hoe zit het precies?

16 december 2022

Zakelijke inbox delen met onderzoekers is geen schending van AVG

28 november 2022

Dossier AVG in werksituaties – praktische en verdiepende informatie

Hoofdsponsor

Werkgevers betalen meer loonkosten per minimumloner
Ben jij een junior of senior salarisadministrateur?
Regres: wettelijke basis informatie geven tussen (ex-)werkgevers en UWV
Vier salarissoftware trends voor 2023
Masterclass Arbeidsrecht en sociale zekerheid
Werknemers met financiële zorgen helpen: drie tips
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Bezwaar en beroep instellen tegen NOW kan lonen
Doorstuderen na VPS: wat kun je doen?

Partners

Werkgevers betalen meer loonkosten per minimumloner
Ben jij een junior of senior salarisadministrateur?
Regres: wettelijke basis informatie geven tussen (ex-)werkgevers en UWV
Vier salarissoftware trends voor 2023
Masterclass Arbeidsrecht en sociale zekerheid
Werknemers met financiële zorgen helpen: drie tips
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Bezwaar en beroep instellen tegen NOW kan lonen
Doorstuderen na VPS: wat kun je doen?

Meest gelezen berichten

  • Loonbelastingtabellen 2023 beschikbaar – witte en groene tabellen
  • Vereenvoudiging bewijslast bij fiets van de zaak en reiskostenvergoeding
  • Iedere werknemer minimaal 85 euro netto meer per maand in 2023
  • Uitkeringen als WIA, WW, Ziektewet en AOW stijgen per 1 januari 2023
  • Loonbelastingtabellen 2022 – witte en groene tabellen

NIRPA

Opleidingen

09
feb
Online cursus Update loonheffingen en hybride werken
MOCuitgevers
10
feb
IB-geen Winst en Loonbelasting
Markus Verbeek Praehep
14
feb
Inkomstenbelasting voor de Salarisadministrateur (NIRPA PE)
Markus Verbeek Praehep
16
feb
Online cursus Wet bedrag ineens, RVU en verlofsparen
MOCuitgevers
17
feb
Loonbeslag, Beslagvrije Voet en Preferentie (NIRPA PE)
Markus Verbeek Praehep
20
feb
Manager Payroll Services & Benefits
Markus Verbeek Praehep
23
feb
Arbeidsrecht – Disfunctioneren (NIRPA PE)
Markus Verbeek Praehep
27
feb
Pensioenen (NIRPA PE)
Markus Verbeek Praehep
01
mrt
Post Bachelor Arbeidsrecht en Sociale Zekerheid
Markus Verbeek Praehep
03
mrt
Praktijkdiploma Loonadministratie (PDL®)
Markus Verbeek Praehep
06
mrt
Online Excel training voor de salarisadministrateur (verdieping)
MOCuitgevers
06
mrt
Tweedaagse online Excel training voor de salarisadministrateur (verdieping en specialisatie)
MOCuitgevers
07
mrt
Strategische Arbeidsvoorwaarden en Belonen
Markus Verbeek Praehep
09
mrt
Cursus Inkomstenbelasting voor de salarisadministrateur
MOCuitgevers
10
mrt
Training DGA voor Salarisadministrateurs en Beloningsadviseurs (NIRPA PE)
Markus Verbeek Praehep
13
mrt
Training HR voor Salarisadministrateurs (NIRPA PE)
Markus Verbeek Praehep
13
mrt
Cursus Internationaal / grensoverschrijdend werken
MOCuitgevers
16
mrt
Cursus Van salarisadministrateur naar beloningsadviseur (basis)
MOCuitgevers
16
mrt
Training Inkomstenbelasting, de Essentie
Markus Verbeek Praehep
20
mrt
Training Loonbelasting voor Financials, de Essentie
Markus Verbeek Praehep
21
mrt
Cursus Samenwerken financiële- en salarisadministratie
MOCuitgevers
22
mrt
Training Omzetbelasting, de Essentie
Markus Verbeek Praehep
27
mrt
Online Excel training voor salarisadministrateurs (specialisatie)
MOCuitgevers
30
mrt
Online training Power Query voor HR en salarisadministrateurs
MOCuitgevers
18
apr
Cursus Werkkostenregeling
MOCuitgevers
20
apr
Cursus DGA verlonen
MOCuitgevers
16
mei
Cursus Ontslag van A tot Z
MOCuitgevers
16
mei
Cursus Van salarisadministrateur naar beloningsadviseur (verdieping)
MOCuitgevers
06
jun
Cursus Werkkostenregeling bij gemeenten (introductie)
MOCuitgevers
06
jun
Online cursus Personeel en AVG/privacy
MOCuitgevers
15
jun
Online cursus Werkkostenregeling
MOCuitgevers
20
jun
Cursus Samenwerken tussen de HR-afdeling en salarisadministratie
MOCuitgevers
26
sep
Online Excel training voor de salarisadministrateur (basis)
MOCuitgevers

Vacatures

Traineeship HR Payroll Consultant | Randstad – Randstad
a/s Works
Traineeship Loonadministratie & Advies
Scab
Senior Salarisspecialist
Infacto
Senior Salarisadministrateur
Flynth
Salarisadministrateur – ISS Utrecht
Strictly People
Senior salarisadministrateur Bussum
Moore MTH
(Sr.) Loonadministrateur
Scab
Senior Salarisadministrateur
Flynth
Salarisadministrateur Den Haag
Verbond van Verzekeraars
Professional salarisadministrateur
Bentecera
Specialist arbeidsrecht
Fiscount
Salarisadministrateur – UMC Utrecht
Strictly People
Salarisprofessional
HLB Witlox Van den Boomen
Fiscount zoekt een specialist sociale zekerheid
Fiscount
Ervaren medewerker administratieve dienstverlening Nieuwegein, 32-40 uur
van helder
Payroll Professional
CROP
Junior Functioneel Beheerder (AFAS) – Arnhem
Strictly People
(senior) Loonadministrateur
Scab
Junior salarisadministrateur
Moore MTH
Professional – Loonadministrateur
Van Oers Accountancy & Advies
Salarisadministrateur – Intergamma Leusden
Strictly People
Teamleider Salarisadvies
HLB Witlox Van den Boomen
Payroll Specialist – B&S Dordrecht
Strictly People
Salarisadministrateur (m/v/x) 16 tot 40 uur mogelijk. Remote, hybride of in Den Haag
Duits-Nederlandse Handelskamer
Payroll consultant Zoetermeer
a/s Works
Intern salarisadministrateur / payroll specialist
HLB Witlox Van den Boomen
Vacature Salarisadministrateur
WEA Deltaland
Assistent Salarisadministrateur Heerlen
RSM Netherlands Loonadviesgroep B.V.
Medior salarisadministrateur
Moore MTH
Payroll consulent (32-40 uur)
BROADSTREET
Assistent Salarisadministrateur Alkmaar
RSM Netherlands Loonadviesgroep B.V.
(senior) Loonadviseur
Scab
Salarisadministrateur / AFAS Payroll Barendrecht e.o.
Visser & Visser
Vacature Salarisadministrateur Regio Rotterdam Rijnmond en Breda
a/s WORKS
Salarisadministrateur
Flynth
Ervaren salarisadministrateur
HLB Witlox Van den Boomen
Senior Payroll Specialist
Randstad Groep Nederland
(Ervaren) Salarisadministrateur parttime/fulltime
Payroll Totaal
Salaris/HR adviseur
Bentecera
Salarisadministrateur
RSM Netherlands Loonadviesgroep B.V.
Salarisadviseur (Hoogeveen)
de Jong & Laan
Salarisadministrateur
Flynth
Senior Salarisadministrateur Eindhoven
KSS (onderdeel van Wij zijn Jong)
Professional – Loonadministrateur Onderwijs
Van Oers Accountancy & Advies
Salarisadministrateur 24-40 uur per week in Ridderkerk (€2.600-€ 3.800)
Lansigt accountants en belastingadviseurs
Consultant HRM (AFAS)
a/s WORKS
Adviseur Digital HRM
HLB Witlox Van den Boomen
Traineeship HR-payroll consultant | Regio Apeldoorn
a/s WORKS
Salarisadministrateur
Ruigrok
Medior Salarisspecialist
Infacto
Professional – Loonadministrateur
Van Oers
Parttime/Fulltime Salarisadministrateur- Denekamp
De Kok
HR adviseur (extern)
Scab
Salarisadviseur (Harderwijk)
De Jong & Laan
Specialist loonheffingen (Hoogeveen/Groningen)
De Jong & Laan
Senior salarisadviseur (Raalte)
De Jong & Laan

Vriend van Salaris Vanmorgen

abonneer nieuwsbrief FV

Salaris Vanmorgen (SV) is het platform voor salarisadministrateurs met nieuws en verdieping op het gebied van salarisadministratie.

Salaris Vanmorgen is een uitgave van MOCuitgevers.

 

Cedeo erkend

Categorie

  • Nieuws
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
  • STAP-budget

Info

  • Over ons
  • Adverteren
  • Contact
  • Algemene voorwaarden MOCuitgevers Vanmorgen
  • Annuleringsvoorwaarden
  • Privacybeleid
  • Twitter
  • LinkedIn
  • Mail
logo FV