Duo Payroll,

Uw partner in payroll services!


 15 maart 2018

Privacy (Algemene Verordening Gegevensbescherming)

Op 4 mei 2016 is de Algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie, op 25 mei 2016 in werking getreden.
De AVG is echter 2 jaar na deze datum, op 25 mei 2018, pas van toepassing. Deze periode van 2 jaar is nodig voor organisaties om zich goed te laten voorbereiden op de gevolgen en verplichtingen van deze verordening.
 
Om u voor te bereiden op deze wet heeft de Autoriteit Persoonsgegevens (AP) enige hulpmiddelen beschikbaar gesteld.
 
Algemene informatie
Stap 1: Bewustwording
Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige
processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
 
Stap 2: Rechten van betrokkenen
Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde
privacyrechten.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie
en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op
dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk
kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
 
Stap 3: Overzicht verwerkingen
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en
met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen
dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van
verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
 
Stap 4: Data Protection Impact Assessment
Onder de AVG kunt u verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA)
uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking
in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
 
Stap 5: Privacy by design & Privacy by default
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor
zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer
gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens
niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om
ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn
voor het specifieke doel dat u wilt bereiken.
 
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming
(FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt.
Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie
ook vrijwillig een FG aanstellen.
 
Stap 7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als onder de oude wetgeving (De Wet bescherming persoonsgegevens). De AVG stelt wel strengere
eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.
Stap 8: Verwerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de
overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds
toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten
stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
 
Stap 9: Leidende toezichthouder
Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen
in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met
één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd.
 
Stap 10: Toestemming
Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG
stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming
vraagt, krijgt en registreert.
 
Opvallendheden
  • De AVG biedt op sommige punten ruimte voor landen om bepaalde regels zelf in te vullen. In Nederland is hier de Uitvoeringswet AVG voor.
  • Bewaartermijnen: onder de AVG blijven deze hetzelfde als onder de oude wet.
  • De AVG geldt ook voor de kleine MKB-ers en ZZP-ers. (denk bijvoorbeeld aan de verwerking van telefoonnummers, adressen van klanten enz.)
  • Registerplicht: bij een onderneming met meer dan 250 personen in dienst is het verplicht een register bij te houden van de verwerkingsactiviteiten, tenzij: 1. De verwerking een risico inhoudt voor de rechten van betrokkenen. 2. De verwerking niet incidenteel is. 3. De verwerking betrekking heeft op bijzondere persoonsgegevens. Punt 2 in achting nemende betekent dit voor bijna iedere organisatie een registerplicht van toepassing is.
  • Toestemming: als de organisatie niet kan aantonen dat het verwerken van persoonsgegevens strikt noodzakelijk is, zult u hiervoor expliciet om toestemming moeten vragen aan uw werknemers.
  • Datalek: net als bij de WBP (Wet Bescherming Persoonsgegevens) kent de AVG een meldingsplicht bij datalekken.
  • Biometrische gegevens: deze gegevens (zoals pasfoto op een paspoort) vallen in deze verordening onder de bijzondere categorieën van persoonsgegevens.
  • Boetebedragen: een geldboete die op kan lopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet als dat bedrag hoger is.
  • Privacy policy: het is aan te bevelen om uw privacy policy op tijd ‘AVG’-proof te maken.
  • Verwerkersovereenkomst: voor de zgn. verwerkers is een verwerkersovereenkomst verplicht. Bij verwerkers kunt u bijvoorbeeld denken aan een externe salarisadministrateur of arbodienst
  • Een verwerkersovereenkomst is niet nodig wanneer een verwerker bij de wet verplicht is om deze uit te voeren. Denk hierbij aan bijvoorbeeld een pensioenfonds met verplichtstelling. (art. 28.3 van de verordening)
Informatiehulp:
Er zijn diverse hulpmiddelen beschikbaar om u op weg te helpen, zie hieronder enige opties:

Mocht u naar aanleiding van dit artikel nog aanvullende of specifieke vragen hebben dan kunt u contact opnemen door het invullen van het contactformulier. Uiteraard kunt u ons ook bellen op het telefoonnummer vermeldt bij Contact.

Contact

Duo Payroll
Westgat 21n
8321ED   Urk
+31(0)527-690903
ln.lloryapoud@ofni
@duopayroll
Duo Payroll

Diensten

Payroll

Duo Payroll verzorgt de administratieve taken, verplichtingen, loonadministratie/uitbetaling, contractbeheer en alles wat normaal gesproken bij de werkgever komt te liggen. 

Salarisadministratie

Natuurlijk heeft u ook de mogelijkheid om uw salarisadministratie uit te besteden aan Duo Payroll en de daarbij behorende werkzaamheden door ons te laten uitvoeren.

ZZP

Ook is het mogelijk om op ZZP basis te werken, in deze variant zorgen wij voor model contracten, verzorgen wij facturatie/debiteuren beheer en overige administratieve werkzaamheden.


Copyright © Duo Payroll 2019