Menu

Q&A over de AVG: veelgestelde vragen over de nieuwe privacywet [2/3]

26-4-2018

Eind maart organiseerde PrivacyBlox, in samenwerking met zusterbedrijf ICTRecht, een webinar over de Algemene Verordening Gegevensbescherming (AVG). Tijdens deze webinar konden kijkers vragen stellen over wat de nieuwe privacywet gaat betekenen voor hun organisatie. De meest voorkomende vragen hebben we verzameld, samengevoegd en beantwoorden we in deze blogserie.

In dit tweede deel van deze ‘Q&A over de AVG’ behandelen we onder andere vragen over het inkopen van leads onder de AVG, bewaartermijnen voor back-ups en het veilig versturen van bestanden met persoonsgegevens. Klik hier voor deel 1 van de serie over de inhoud van privacyverklaringen en verwerkersovereenkomsten met grote bedrijven.

Q: Wie is aan te merken als verwerkingsverantwoordelijke voor ingekochte leads? 

A: Degene die het doel en de middelen van de verwerking van persoonsgegevens bepaalt, is de verwerkingsverantwoordelijke. Wanneer uw organisatie leads inkoopt om klanten te werven, en u de gekochte gegevens dus voor eigen doeleinden gaat inzetten, bent u verwerkingsverantwoordelijke. Daarnaast is ook de partij die de leads aan u heeft verkocht zelfstandig verwerkingsverantwoordelijke. Zij hebben deze gegevens verzameld bij betrokkenen en zetten deze in voor hun eigen doeleinden, namelijk de verkoop aan u.

Q: Voldoet het versturen van Excel-bestanden per e-mail aan de beveiligingseisen uit de AVG? 

A: Onder de AVG moeten de verwerker en de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Om te bekijken wat passend is, wordt gekeken naar de aard van de gegevens (zijn het bijzondere persoonsgegevens?), de hoeveelheid gegevens (hoe groot is de database?), de stand van de techniek en de kosten. Dit alles moet met elkaar in verhouding staan. Praktisch houdt dat bijvoorbeeld in dat relatief grote bestanden met persoonsgegevens beter kunnen worden verzonden via een beveiligde SFTP server dan als Excel-bestand per e-mail. Wilt u toch een Excel-bestand gebruiken? Dan raadt de Autoriteit Persoonsgegevens aan om deze goed te versleutelen wanneer deze wordt verstuurd.

Q: Wanneer moet een PIA worden uitgevoerd?

A: Voor het antwoord op deze vraag, lees de factsheet van ICTRecht over het Privacy Impact Assessment.

Q: Vallen back-ups ook onder de Algemene Verordening Gegevensbescherming (AVG)?

A: Ja, alle vormen van verwerking van persoonsgegevens vallen onder de AVG en dus ook back-ups met hierop persoonsgegevens. Dit betekent, dat dus ook voor back-ups door de verwerkingsverantwoordelijke bewaartermijnen moeten worden vastgesteld en gegevens aan het einde hiervan, of bij een verzoek tot wissing van betrokkenen, dienen te worden gewist.

Q: Vallen zakelijke contactgegevens ook onder de AVG? 

A: Ja, ook zakelijke contactgegevens zijn persoonsgegevens en vallen onder de AVG. Immers zijn ook deze gegevens direct/indirect herleidbaar tot een natuurlijk persoon, namelijk de werknemer. Bedrijfsgegevens (zoals ICTRecht B.V. en het bijbehorende adres) of algemene contactgegevens van een bedrijf (denk bijvoorbeeld aan [email protected] of het algemene telefoonnummer) zijn daarentegen niet aan te merken als persoonsgegevens.

Q: Wat is de verhouding tussen de Archiefwet en de Algemene Verordening Gegevensbescherming (AVG)? 

A: Op basis van de Uitvoeringswet AVG - de Nederlandse wet die de ruimte die expliciet in de AVG is gelaten om verder in te vullen op nationaal niveau verder inkleurt en die op dit moment ter beoordeling bij de Eerste Kamer ligt - zijn bepaalde onderdelen uit de AVG niet van toepassing op archieven die vallen onder de Archiefwet. Zo is bijvoorbeeld het recht op gegevenswissing buiten toepassing verklaard, en zijn het recht op inzage, rectificatie en dataportabiliteit niet van toepassing wanneer gegevens naar het Nationaal Archief of een andere archiefbewaarplaats zijn overgebracht. Op basis van Art. 43 van de Uitvoeringswet AVG heeft de betrokkene wel het recht tot inzage van specifieke persoonsgegevens en het recht om zijn of haar eigen lezing te geven aan zijn of haar onjuiste persoonsgegevens in dergelijke archieven.

PrivacyBlox ondersteunt u met tooling en kennis om te voldoen aan de administratieve verplichtingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). Daarnaast genereert u met PrivacyBlox diverse privacydocumenten en adviezen op maat. Lees hier meer over onze oplossingen.