| De Algemene Verordening Gegevensbescherming (AVG) |
Al eerder is aan jullie bekend gemaakt dat per 28 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) de huidige privacywet (Wbp) gaat vervangen. Vanaf die datum moeten alle organisaties (dus ook de LVSC), maar ook kleine MBK-bedrijven en ZZP’ers (dus zelfstandige supervisoren en coaches) die persoonsgegevens verwerken aan de AVG voldoen. De AVG versterkt de positie van de betrokkenen (d.w.z. de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. De nadruk ligt meer dan nu het geval is, op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan deze nieuwe Europese wet houden (verantwoordingsplicht). Klik hier voor meer informatie.
Algemeen
Mensen van wie persoonsgegevens verwerkt worden krijgen meer en verbeterde privacyrechten onder de AVG. Het recht op inzage (=vragen of persoonsgegevens van hen zijn vastgelegd en zo ja, welke) en het recht op correctie en verwijdering (=vragen om hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen) blijft onveranderd. Nieuw is dat zij ook het recht op dataportabiliteit (= gemakkelijk hun gegevens kunnen krijgen en kunnen doorgeven aan een andere organisatie) verkrijgen.
Wat te doen als supervisor en/of coach?
Breng in kaart welke persoonsgegevens verwerkt worden. Het bijhouden van afspraken met klanten of telefoonnummers zijn voorbeelden van het verwerken van persoonsgegevens.
Documenteer welke persoonsgegevens verwerkt worden en met welk doel, waar deze gegevens vandaan komen en met wie je die deelt. Onder de AVG hebben namelijk organisaties, maar ook MKB-bedrijven en ZZP’ers een verantwoordingsplicht, wat inhoudt dat in overeenstemming met de wet gehandeld wordt. Het bijhouden van een verwerkingsregister is onderdeel van de verantwoordingsplicht.
Onder privacy by design verstaat de AVG dat er bij het ontwerpen van producten en diensten voor zorg gedragen wordt dat persoonsgegevens goed beschermd worden. Bijvoorbeeld technische systemen (b.v. voor de administratie) moeten privacy-vriendelijk zijn door de juiste bescherming te bieden, zo min mogelijk personen er toegang tot hebben en gegevens zo kort mogelijk bewaard worden. Privacy by default betekent dat er technische en organisatorische maatregelen genomen zijn om er voor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor dat specifieke doel. Bijvoorbeeld als iemand zich op een nieuwsbrief abonneert, niet meer gegevens vragen dan nodig is.
Maak je als supervisor of coach gebruik van de diensten van een verwerker (die ten behoeve van hem persoonsgegevens verwerkt), zoals bijvoorbeeld een drukker, administratiekantoor of een ICT-partner, dan ben je verplicht een verwerkersovereenkomst op te stellen. Daarin moet het onderwerp, de aard en het doel van de bewerking, het soort persoonsgegevens etc. in opgenomen zijn. Voor personen in dienst of werkzaam voor de verwerker, geldt een geheimhoudingsplicht.
Onder de AVG blijft de meldplicht voor datalekken hetzelfde, wel worden er strengere eisen gesteld aan het registreren/documenteren van datalekken. Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of ongeoorloofde verstrekking van gegevens.
Een aantal bepalingen uit de AVG zijn niet direct van toepassing op ZZP’ers als coaches of supervisoren, t.w. het aanstellen van een functionaris voor de gegevensbescherming of een Data protection impact assessment, DPIA (=instrument om vooraf de gegevensverwerking met een hoog privacyrisico’s in kaart).
Op de site www.autoriteitpersoonsgegevens.nl is bovenstaande informatie nogmaals (uitgebreider) na te lezen en staat een 10-stappen plan beschreven om je op de AVG voor te bereiden. |
|
|
|
| |
|
|
| |
|
