AVG Algemene Verordening Gegevensbescherming

 

   ap_logo (2).pngPDF bestand AVG Protocol Leden HSBN versie 2018004.1

Druk of klik HIER om het AVG standaard protocol voor de haarwerkbedrijven te bekijken. Wil je de open 'Word' versie (alleen voor leden), stuur dan een email naar info@hsbn.nl .

Aandachtspunten  Algemene Verordening Gegevensbescherming (AVG)

(25 mei 2018)

Punt 1: Bewustwording.

  •  Zorg dat uw medewerkers op de hoogte zijn van de privacy regels. Doe dit door:

          o    Interne informatie ronde

          o    Externe informatie door de Branche

  • Maakt een inschatting wat de AVG betekent voor uw huidige bedrijfsprocessen, diensten en goederen.
  • Welke aanpassingen zijn er eventueel nodig om aan de AVG te gaan en blijven voldoen.

Punt 2: Rechten van uw klanten en medewerkers (betrokkenen) op het gebied van privacy.

  • Recht op inzage:

De betrokkenen mogen hun eigen digitale en/of papieren dossier ter plekke en per direct binnen uw organisatie/bedrijf inzien.

  • Recht op correctie en verwijdering

De betrokkenen mogen eisen dat uw organisatie/bedrijf in hun eigen digitale en/of papieren dossier waar nodig bepaalde gegevens en/of registraties corrigeert en/of verwijdert. Binnen 4 weken moeten de betrokkenen een schriftelijke bevestiging van uw bedrijf /organisatie toegestuurd krijgen dat de correctie en/of verwijdering naar hun eisen  is uitgevoerd. De betrokkenen hebben het recht om dit ter plekke en per direct te controleren in hun eigen digitale en/of papieren dossier.

  • Recht op dataoverdracht (dataportabiliteit).

De betrokkenen moeten hun eigen digitale en/of papieren dossier op aanvraag binnen 4 weken toegestuurd krijgen om dit  vervolgens naar hun eigen inzicht door te kunnen geven aan een andere organisatie/bedrijf. Dit is exclusief bedrijfsspecifieke registraties, behandelmethodes en producten, zoals:

        o    Ontwerpformulier

        o    Interne Orderformulier

        o    Originele verwijsbrieven

        o    Interne Reparatie formulier

        o    Interne Toegepaste handelingen en producten voor onderhoud en reparatie.

  • De betrokkenen informeren over het bestaan van Autoriteit Persoonsgegevens (AP) en aangeven dat ze daar met vragen en/of klachten terecht kunnen over de manier waarop uw organisatie/bedrijf met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Punt 3: Overzicht gegevens verwerkingen

  • Registratie persoonsgegevens van medewerkers:

Ø  Welke persoonsgegevens:

a.      NAW:   Naam, adres, woonplaats

b.     Contact:Telefoon, Mobiel, Whatsapp, e-mail, post

c.     Opleiding en ervaring

d.     Leeftijd

e.     Geslacht

f.      Burgerlijke Staat

g.     Gezinssamenstelling

h.     Eventuele aandoening / beperking

i.      IBAN nummer

Ø  Doel:

a.     Vaststellen woon, bezoek en postadres, opstellen Arbeidscontract, voor berekening van de reiskosten, rekening houdend met inzetbaarheid werk gerelateerd en controle ARBO diensten bij ziekmeldingen.

b.     Contact op te kunnen nemen voor vragen en/of informatie werk gerelateerd.

c.     Inzichtelijkheid van de behaalde of nog te behalen competenties voor een correcte invulling van de functie.

d.     Voor een juiste inschaling van loon en goede balans van de personeelsbezetting

e.     Noodzakelijke achtergrondinformatie en goede balans van de personeelsbezetting

f.      Noodzakelijke achtergrondinformatie

g.     Noodzakelijke achtergrondinformatie

h.     Om de voorwaarden voor het vervullen van de functie optimaal t e

i.      Voor het over kunnen maken van het loon

Ø  Bron:

a.     Medewerker

b.     Medewerker

c.     Medewerker, Intern overzicht bij- en nascholingen, DUO controle registratie geldigheid diploma/certificaat

d.     Medewerker

e.     Medewerker

f.      Medewerker

g.     Medewerker

h.     Medewerker

i.      Medewerker

Ø  Delende instantie/organisatie/bedrijf

a.     UWV, Certificerende instantie SEMH en/of ANKO (alleen naam), Loonverwerkingsbedrijf

b.     ARBO diensten

c.     Certificerende instantie SEMH en/of ANKO

d.     UWV, ARBO diensten, Loonverwerkingsbedrijf

e.     UWV, ARBO diensten, Loonverwerkingsbedrijf

f.      UWV, Loonverwerkingsbedrijf

g.     /

h.     UWV, ARBO diensten

i.      UWV, Loonverwerkingsbedrijf

·         Registratie persoonsgegevens van klanten:

Ø  Welke persoonsgegevens:

a.      NAW: Naam, adres, woonplaats

b.     Contact: Telefoon, Mobiel, Whatsapp, e-mail, post

c.     Leeftijd / Geboortedatum

d.     Geslacht

e.     Eventuele aandoening / beperking

f.      Zorgverzekering

Ø  Doel:

a.     Vaststellen woon, bezoek en postadres, het kunnen opstellen van een Overeenkomst/ Leveringsbron en het declareren van de zorgvergoeding,

b.     Contact op te kunnen nemen voor vragen en/of  (aanvullende) informatie

c.     Inzichtelijkheid van de juiste keuze en toepassing van het product en/of dienst en het declareren van de zorgvergoeding.

d.     Inzichtelijkheid van de juiste keuze en toepassing van het product en/of dienst en het declareren van de zorgvergoeding.

e.     Inzichtelijkheid van de juiste keuze en toepassing van het product en/of dienst en het declareren van de zorgvergoeding.

f.      Declareren van de zorgverzekering

Ø  Bron

a.     Klant

b.     Klant

c.     Klant

d.     Klant

e.     Klant

f.      Klant

Ø  Delende instantie/organisatie/bedrijf

Optioneel:

a.     Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

b.     Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

c.     Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

d.     Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

e.     Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

f.      Externe organisatie/bedrijf voor marketing, declaratie, outputmeting en administratie (debiteurenbeheer)

Punt 4: Beoordelingsprogramma Data protection impact assessment (DPIA)

Uw organisatie/bedrijf  heeft met de beoogde gegevensverwerking  geen hoog privacyrisico, daarom is er geen noodzaak of verplichting om een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren.

Punt 5: Privacy bij het ontwerp (Privacy by design) 

Privacy by design houdt in dat uw organisatie/bedrijf al bij het ontwerpen van producten en diensten voor het volgende zorgt:

  • dat de persoonsgegevens goed worden beschermd.
  • dat er niet meer gegevens verzamelt wordt dan noodzakelijk voor het doel van de verwerking.
  • dat de gegevens niet langer bewaart  worden dan strikt noodzakelijk.

Punt 6: Privacy bij standaardwaarden (Privacy by default)

Privacy by default houdt in dat uw organisatie/bedrijf technische en organisatorische maatregelen neemt om ervoor te zorgen dat standaard veelal middels software alleen persoonsgegevens gevraagd en verwerkt worden die noodzakelijk zijn om een bepaald specifiek doel te bereiken. Zoals:

        o    een app die uw organisatie/bedrijf aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is.

        o    op de website eventuele keuzevakjes niet zelf al vooraf aan te vinken .

        o    als iemand zich op de nieuwsbrief wil abonneren niet meer gegevens  (verplicht of niet verplicht) te vragen dan nodig is.

Punt 7: Functionaris voor de gegevensbescherming (FG)

Uw organisatie/bedrijf hoeft geen FG aan te stellen en dus ook niet aan te melden bij AP, omdat het

  • Geen (semi)overheidsinstelling is
  • Observeert vanuit kernactiviteiten niet op grote schaal individuen, middels cameratoezicht en/of wearables.
  • Verwerkt vanuit kernactiviteiten niet op grote schaal bijzondere persoonsgegevens, zoals ras, geloof en/of politieke voorkeur

Punt 8: Registratie datalekken

Wanneer er zich bij uw organisatie/bedrijf een datalek heeft voor gedaan, dan moet dit altijd geregistreerd worden. Met deze registratie kan de AP, wanneer van toepassing, controleren of er voldaan is aan de meldplicht.

Punt 9: Meldplicht datalekken

Dit zal nagenoeg niet van toepassing zijn op uw organisatie/bedrijf.Wel of niet melden is afhankelijk van de mogelijke impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Bij een ernstige datalek moet er direct melding gedaan worden aan de AP en soms ook aan de betrokkenen.

Punt 10: Verwerkersovereenkomsten

Dit zal veelal voor uw organisatie/bedrijf niet nodig zijn.Echter mogelijk wel wanneer er sprake is van dat een externe organisatie/bedrijf het volgende doet:

  • Marketing
  • Declaratie
  • Outputmeting
  • Administratie (Debiteurenbeheer)

Vaak hoeft er geen aparte verwerkersovereenkomst gemaakt worden, mits dit geregeld is in de overeenkomst en/of leveringsvoorwaarden.

Punt 11: Leidende toezichthouder

Dit is alleen van toepassing wanneer uw organisatie/bedrijf vestigingen heeft in meerdere EU-lidstaten en/of de gegevensverwerkingen heeft in meerdere EU-lidstaten impact. Dan moet er zaken gedaan worden met een leidend toezichthouder. De privacy toezichthouder van de EU-lidstaat waar de hoofdvestiging van uw organisatie/bedrijf is gevestigd, tevens de leidende toezichthouder is.

Punt 12: Toestemming

Alles wat uw organisatie/bedrijf doet in het kader van gegevensverwerking van betrokkenen moet vastgelegd worden (zie voorafgaande punten). In bepaalde gevallen heeft u daar vooraf  een geldig te controleren toestemming voor nodig, zoals met gebruik met publicatie van:

       o   Beeltenis

       o   Persoonlijke verhalen

       o   Bijzonder Persoonlijke gegevens

Deze toestemming moet ook door betrokkenen makkelijk weer ingetrokken kunnen worden. Het is belangrijk de manier waarop de toestemming wordt gevraagd, verkregen en geregistreerd.