Bedrijven en organisaties schakelen vaak op basis van een verwerkersovereenkomst, een vorm van een overeenkomst, een externe organisatie in om persoonsgegevens voor hun te verwerken (bijvoorbeeld boekhouding). Het bedrijf dat de opdracht hiertoe geeft wordt als de verweringsverantwoordelijke aangeduid. De verwerkingsverantwoordelijke moet een verwerkersovereenkomst sluiten met de partijen die de persoonsgegevens namens het bedrijf verwerken (de verwerkers). Het kan dus voorkomen dat een verwerkingsverantwoordelijke een aparte verwerkersovereenkomst moet sluiten met meerdere verwerkers.
Indien een verwerkersovereenkomst niet gesloten is, terwijl de AVG wel verplicht dat een verwerkersovereenkomst gesloten moet zijn in een bepaalde situatie, dan zijn zowel de verwerkingsverantwoordelijke als de verwerker in overtreding. Het is erg belangrijk om de AVG in je bedrijf te implementeren, aangezien het goed fout kan gaan. De advocaatkosten kunnen fors oplopen dan.
Het sluiten van een verwerkersovereenkomst is een verplichting afkomst uit de Algemene Verordening Gegevensbescherming (AVG). Deze verordening brengt strenge privacy waarborgende regels en verplichtingen met zich mee op het moment dat een bedrijf persoonsgegevens verwerkt. Deze nieuwe regels waren hard nodig, om de enorme data verzamelende bedrijven weer in het gareel te brengen.
“Het merendeel van bedrijven had geen goed beeld van wat voor informatie ze precies verwerkten.”
-Bram van Tiel, PWC
Een andere verplichting afkomstig uit de AVG is het uitvoeren van een data protection impact assessment, oftewel de DPIA. Een DPIA is een instrument om in bepaalde situaties van tevoren de privacy risico’s vast te leggen. Op basis van deze DPIA kunnen dan vervolgens maatregelen genomen worden. Een DPIA is altijd handig om uit te voeren, maar in sommige situaties verplicht. Zo is een DPIA verplicht wanneer een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. Indien dit het geval is, mag de gegevensverwerking niet plaatsvinden voordat de DPIA uitgevoerd is.
Bekijk de DPIA productenNaast het uitvoeren van een DPIA zijn veel organisaties zijn ook verplicht een privacy statement te hebben, ook wel een privacy verklaring genoemd. Een privacy verklaring vervult de informatieplicht uit de AVG. Betrokkenen hebben een recht om in een privacy verklaring geïnformeerd te worden over de verwerking van hun persoonsgegevens. Een privacy verklaring stelt een betrokkene (doorgaans een websitebezoeker) in staat om een geïnformeerde keuze te maken over het gebruik van een dienst of product en de daarbij verwerking van persoonsgegevens.
In een privacy verklaring moet o.a. staan wat de doeleinden zijn van de verwerking maar ook of het überhaupt verplicht is voor een betrokkene om persoonsgegevens af te staan. Een privacy verklaring informeert ook over de rechten van de betrokkenen en in hoeverre de persoonsgegevens beveiligd zullen zijn. Er zijn veel eisen die worden gesteld aan een privacy verklaring en er hangen fikse boetes boven het hoofd indien deze niet worden vervuld. Op blended.law hebben wij meerdere specialisten die jou hierbij kunnen helpen!
Naast een privacy verklaring is een cookiestatement verplicht wanneer jij gebruikmaakt van cookies op jouw website. In een cookiestatement worden websitebezoekers over de cookies geïnformeerd voordat ze worden geplaatst. Nadat ze zijn geïnformeerd moeten websitebezoekers voor analytische en tracking cookies toestemming geven. In een cookiestatement moet o.a. staan welke persoonsgegevens met de cookies worden verzameld en voor welke doeleinden. Bovendien moet een cookiestatement vermelden hoelang de gegevens worden bewaard. Het is belangrijk om een cookiestatement te hebben die alle vereiste informatie vermeld. Laat daarom je cookiestatement opstellen door een ervarens specialist op blended.law.
Wil je weten of jouw onderneming überhaupt voldoet aan de AVG eisen? Met het Privacy Proof product op blended.law weet je binnen no-time hoe jouw onderneming ervoor staat.
Stel vrijblijvend een vraag!
Stel je vraag