Autoriteit Persoonsgegevens (AP) voert AVG steekproef uit bij 30 grote bedrijven

De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek bij 30 grote bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De AP voert de steekproef uit bij industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.

Controle verwerkingsregister

De AP onderzoekt of deze bedrijven een verwerkingsregister bijhouden en of dit register de juiste informatie bevat.

De toezichthouder beschouwt een actueel verwerkingsregister als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben.

Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.

Verwerkingsregister grote bedrijven

Bedrijven zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers.

Kleinere organisaties

Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:

  • zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
  • zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
  • zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.

Meer actueel awareness nieuws

Hoe lang mag je volgens de AVG offertes bewaren? Dat hangt er vanaf…

De AVG bepaalt dat persoonsgegevens niet langer dan strikt noodzakelijk mogen worden opgeslagen. Hoe zit dat met offertes die helaas niet tot een opdracht hebben geleid?

Twee praktijkvoorbeelden die de afgelopen weken aan PrivacyZone werden voorgelegd.

Een bouwbedrijf brengt een offerte uit voor de nieuwbouw van een woning. Dat kost moeite, tijd en dus geld. De potentiele klant gaat niet op de offerte in.

Mag het bouwbedrijf de offerte volgens de AVG dan nog bewaren?

Een metaalbedrijf brengt op verzoek van een grote industriele producent een offerte uit voor een gecompliceerde alluminium constructie. De kosten vallen hoger uit dan de potentiele opdrachtgever had verwacht. Het project wordt eerst uitgesteld.

Mag het metaalbedrijf de offerte bewaren voor het geval dat de potentiele klant zich later bedenkt? Dat kan een paar jaar duren, leert de ervaring.

Ondernemers bewaren offertes doorgaans jarenlang.

Je weet nooit of ze nog van pas komen, kregen we te horen.

De ondernemers zijn geschokt dat ze volgens de AVG de offertes nu na het afketsen van de opdracht zouden moeten vernietigen.

Hoe zit het met het intellectuele eigendom van de offerte?

Eigenlijk is het heel eenvoudig.

De AVG gaat over de verwerking van persoonsgegevens.

Een offerte bevat altijd persoonsgegevens. Anders kan de offerte immers niet verzonden worden naar de potentiele klant.

Bij een bouwtekening worden waarschijnlijk ook adresgegevens van de bouwlocatie verwerkt.

Als alle persoonsgegevens uit de offerte worden gehaald, of geanonimiseerd, en de offerte ook indirect niet herleidbaar is naar de potentiele klant mag de offerte gewoon bewaard worden.

Daarnaast zou de ondernemers ook toestemming kunnen vragen om de offerte langer te mogen opslaan. Bij het metaalbedrijf heeft de potentiele klant te kennen gegeven dat de opdracht voorlopig wordt uitgesteld. Dan kan natuurlijk gevraagd worden of de offerte mag worden bewaard en er te zijner tijd opnieuw contact kan worden opgenomen. Als dat schriftelijk wordt bevestigd voldoet u aan de wet.

De aannemer kan leven met de oplossing om de offerte te anonimiseren. Hij heeft alleen een probleem. Het softwarepakket dat bij gebruikt om bouwtekeningen te maken biedt de mogelijkheid tot het verwijderen of anonimiseren van persoonsgegevens niet. Hij moet de producent van de software vragen om het pakket aan te passen. Het kostbare pakket is nog lang niet afgeschreven. Wat nu?

De AVG biedt een ontsnappingsclausule ingeval de continuiteit van een bedrijf in gevaar zou kunnen komen als niet direct aan de wet kan worden voldaan. Als de aannemer kan aantonen dat er voorlopig geen alternatieve oplossing voorhanden is kan hij voorlopig gebruik blijven maken van het pakket. Hij moet wel een plan maken om binnen afzienbare tijd een oplossing te realiseren. En hij moet dat opnemen in zijn verwerkingsregister.

Organisaties mogen persoonsgegevens alleen verwerken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft.

Als de offerte leidt tot een opdracht ligt de zaak anders. Dan geldt de bewaartermijn die de belastingdienst voorschrijft. Zeven jaar bewaren (art. 52 Wet Rijksbelastingen).

Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten.

Maar pas op. dit betekent niet dat klantprofielen zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn moet inclusief motivatie worden opgenomen in het verwerkingsregister. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.

Meer actueel awareness nieuws