F.A.Q.

Veelgestelde vragen over AVG en de AVGdesk

Is er ook een AVGdesk free edition voor Non-Profit organisaties?

Helaas... wij hebben geen free editie, wij willen niemand onthouden van een eenvoudig systeem om te kunnen voldoen aan de GDPR - AVG regelgeving, maar wij hebben wel een speciale korting voor Non-Profit organisaties. Om in aanmerking te komen voor het gebruik van deze korting kan je contact opnemen met info@avgdesk.nl en motiveer waarom jullie organisatie juist in aanmerking moet komen voor deze behandeling.

Wat is het verschil tussen een beveiligingslek, beveiligingsincident en een datalek? En hou registreer ik dat in AVGdesk?

Bij twijfel over de prioriteit van het incident check je even het AVG incident formulier 

Incidenten en datalekken registreer je in het Data Security Breach Register, deze SharePoint lijst kan je terugvinden via Site Inhoud of de pagina Datalekken in AVGdesk.

Wat is AVGdesk eigenlijk?

AVGdesk is een combinatie van een slimme Office 365 met SharePoint Online AVG template met een inrichting van een eigen Privacy Management Systeem welke onderhouden wordt samen met AVGdesk en waarbij wij ook op locatie komen helpen om jouw organisatie AVG ready te krijgen en houden en met remote checks het Plan - Do - Check - Act bewaken.

AVG-vragen algemeen

Ik twijfel of ik iets moet doen om te voldoen aan de AVG wetgeving, kan de overheid mij daar bij helpen?

De AVG regelhulp van de digitale overheid is bedoeld voor verwerkingsverantwoordelijken. Oftewel: voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Dus onder meer voor bedrijven, overheidsinstanties, stichtingen en kleine zelfstandigen.

Wat kunt u niet met de AVG-regelhulp? De informatie in deze regelhulp is beknopt en bedoeld voor eigen gebruik. De uitkomsten kunt u niet gebruiken om aan te tonen dat u aan de AVG voldoet. De AP houdt altijd het recht om onderzoek te doen binnen uw organisatie en handhavend op te treden als dat nodig is.

Regelhulp AVGdesk

Kan een cyberverzekering mij helpen tegen de gevolgen van een datalek?

Uiteraard is voorkomen altijd beter dan genezen. Maar als er toch iets gebeurt, is het zeer goed om een cyberverzekering af te hebben gesloten. Deze biedt namelijk onder andere     dekking voor:

  • aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie;
  • crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, - kredietbewaking, IT-diensten, cyberincident responsediensten;
  • boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes;
  • digitale media, Schadevergoeding en kosten van verweer in verband met aanspraken van derden tegen u die voortvloeien uit uw multimedia-activiteiten. Bijvoorbeeld smaad en laster of plagiaat;
  • cyber- / privacyafpersing, waaronder ransomware;
  • hacking telefooncentrale, vergoeding van de belkosten;
  • netwerkonderbreking, gederfde netto winst in verband met netwerkonderbreking.

Tip: Neem contact op met onze partner PH Verheul om de laatste risico's te beschermen

Wat gaat er veranderen ten opzichte van de huidige situatie?

Als de Europese Privacy Verordening van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Er komt daarom onder andere een documentatieplicht. Dit houdt in dat uw organisatie met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de Europese privacywetgeving te voldoen. Wij adviseren u om hiervoor gebruik te maken van een Privacy Managenent Systeem zoals bijvoorbeeld AVGdesk.

Moet ik onder de AVG betrokkenen nog steeds laten weten wie toegang heeft gehad tot hun gegevens?

Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft op dit moment het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens

Moet ik onder de AVG nog steeds registreren (loggen) wie toegang heeft gehad tot gegevens?

Ja. Zodra de Algemene verordening gegevensbescherming (AVG) geldt, bent u nog steeds verplicht om te loggen wie toegang heeft gehad tot de persoonsgegevens die uw organisatie verwerkt.

Is het BSN een bijzonder persoonsgegeven onder de AVG?

Nee. Zodra de Algemene verordening gegevensbescherming (AVG) van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.

Is het een maximale bewaartijd van data volgens de AVG?

Hoewel de AVG geen concrete bewaartermijnen benoemd worden er wel richtlijnen afgegeven die verschillen tussen kandidaat en medewerker. De bewaartermijnen dienen in de privacy verklaring te worden opgenomen. De bewaartermijn voor een kandidaat is:

  • 4 weken na afronding van een sollicitatieproces (aangenomen/afgewezen) of
  • 12 maanden na afronding van een sollicitatieproces (aangenomen/afgewezen)

U kunt er voor kiezen om na 12 maanden de kandidaten die u zou opschonen te benaderen en te vragen of u deze gegevens voor een termijn van 12 maanden mag blijven bewaren.

Voor aangenomen kandidaten (medewerkers) gelden andere bewaartermijnen omdat zij ook vallen onder de belastingwet. Daarin wordt aangegeven dat je deze gegevens 5 jaar dient te bewaren.

Moet er een dataregister bijgehouden worden wanneer een organisatie minder dan 250 medewerkers heeft?

Nee-Ja-Vaak wel, maar.... het is wel te adviseren om dit altijd te gebruiken, vervolgens kan je dit register als basis gebruiken voor de verplichte risicoanalyse.

Een organisatie met minder dan 250 personen in dienst hoeft alleen een register bij te houden bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens), wanneer structureel persoonsgegevens verwerkt worden (heeft u een computer?), of bij het verwerken van gevoelige gegevens.

Moet er een dataregister bijgehouden worden wanneer een organisatie >250 medewerkers heeft?

Ja, een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Kies voor AVGdesk Basis, Intensief of Optimaal!

Geldt de nieuwe Europese privacywetgeving ook voor kleine mkb'ers en zzp'ers?

Ja, de nieuwe Europese privacywet geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het     bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.

Wat levert de AVG mij als organisatie op?

Als de Algemene verordening gegevensbescherming (AVG) van toepassing is, geldt er nog maar één privacywet in de hele Europese Unie (EU) in plaats van 28 verschillende nationale wetten. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Waarom is er nieuwe Europese privacywetgeving?

In de EU heeft nu nog elke     lidstaat een eigen privacywet. Deze nationale wetten zijn wel allemaal     gebaseerd op de Europese privacyrichtlijn uit 1995. In Nederland is dit de nationale uitvoering van deze richtlijn de Wet bescherming     persoonsgegevens (Wbp)

Hoeveel tijd/resources gaat de AVG ons kosten?

Dat hangt helemaal van het type organisatie af, in welke sector je actief bent en of je complexe data stromen in de organisatie hebt. Een kleine organisatie <15 medewerkers die (bijna) geen persoonsgegevens verwerkt kan met behulp van AVGdesk dit onder controle houden in ongeveer 4 uur per maand. Een organisatie met meerder dochterondernemingen of locaties en verschillende systemen heeft ongeveer 12 uur per maand nodig. Bij grotere organisaties kan de hoeveelheid tijd voor een FG of DPO oplopen tot een fulltime baan.

Wij verwerken geen persoonsgegevens, dus ik hoef niets te doen?

Zodra je personeel in dienst hebt, verwerk je persoonsgegevens en dien je een Privacy Management Systeem te hebben. (al is een AVGdesk Light versie vaak al genoeg).

Wanneer moeten we beginnen om te voldoen aan de AVG wetgeving

Daar had je al volop mee bezig moeten zijn, vanaf 28 mei 2018 wordt er gestart met de handhaving hiervan.

Mag ik onder de AVG persoonsgegevens van kinderen verwerken?

Ja, u mag nog steeds gegevens van kinderen verwerken zodra de Algemene verordening gegevensbescherming (AVG) geldt. In sommige gevallen heeft u wel toestemming van de ouders nodig.  Toestemming bij onlineverwerking: Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.