Van harte welkom op ons ondernemersforum

Vraag & antwoord, ervaringen & discussie, voor en door ondernemers.

Zijn jullie bezig met de AVG / GDPR regelgeving?

  Higherlevel.nl
  Financiering, juridische en fiscale zaken
  Administratie en verzekeringen
  Zijn jullie bezig met de AVG / GDPR regelgeving?
Pagina's: 1 2 3 [4] 5
Auteur  Onderwerp: Zijn jullie bezig met de AVG / GDPR regelgeving? (9342 keer gelezen)
Norbert Bakker
Risicoach & adviseur verzekeringen
Moderator

Karma: 1098

Berichten: 10357



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Norbert Bakker Antwoord #45 Gepost op: 1 december 2017, 09:32 »

Quote:
Die afweging hoef jij niet te maken
 
lets agree to disagree.

Wat mij betreft is de essentie van de AVG juist dat je juist wel  eerst afweegt of je die data wel nodig hebt of wel moet bewaren, en pas daarna besluit welk veiligheidsniveau daarbij pas en welke maatregelen (procedureel, technisch, bouwkundig) daarin het best passend zijn.

Wederom de analogie: stap niet direct naar de medicijnkast, stel eerst de diagnose en kies pas dan de best passende medicijnen.

De AVG gaat niet alleen om het nemen van technische maatregelen, maar juist ook om het kweken van bewustwording en het treffen van organisatorische maatregelen. Zonder bewustwording geen werkende organisatorische maatregelen, en zonder werkende organisatorische maatregelen ook geen privacy by default en privacy by design.

Best aannemelijk dat de uitkomst van die diagnose is dat die mobiele nummers inderdaad tot personen te herleiden data is; maar evengoed mogelijk dat bescherming van die zelfde data door een goede phone-lock en beveiligde backup een toereikende/passende beveiliging is: in dat geval klopt jouw opmerking " dit is iets wat tot op heden niet gebeurd." niet, want dat gebeurt al wel.

Los daarvan: het stellen van een diagnose is het beste instrument om bewustwording te kweken én om ontwijkend gedrag te vermijden. Zou je bijvoorbeeld de mobiele nummers in een werktelefoon helemaal technisch gaan beveiligen (bijv in een gecrypte container /app plaatsen die je afzonderlijk moet unlocken) zonder de gebruiker eerst "mee te nemen" in het hoe en waarom dan zul je merken dat die gebruiker bewust of onbewust alternatieven gaat gebruiken, zoals het ouderwets noteren van nummers in een notitieboekje, of ergens in een minder beveiligde notitie of werkblad op de device.

Arbeidsongeschiktheid www.aovspecialist.nl  |  Aansprakelijkheid www.bavspecialist.nl  | Risicomanagement en verzekeren: risicoach
soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #46 Gepost op: 26 januari 2018, 10:26 »

Hoi,

Wij doen voornamelijk zaken met bedrijven. Zoals ik het begrijp moet ik de gegevens die gekoppeld aan de contactpersonen van deze bedrijven als persoonsgegevens beschouwen.

Maar hoe zit het met bedrijven waarvan de rechtsvorm toebehoort aan natuurlijke personen (eenmanszaak, vof, maatschap, cv). Zijn daar de bedrijfsnaam, telefoonnummer, url, etc. ook persoonsgegevens?

Hetzelfde ook voor rechtsvormen die toebehoren aan rechtspersonen. Wanneer iemand de eigen naam verwerkt in de bedrijfsnaam (bijv. Henk Jansen B.V.) is het dan een persoonsgegeven?

Ik ben benieuwd naar jullie zienswijze.

Mvg,

Peter
MrHTTP
Senior

Karma: 0

Berichten: 56

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« MrHTTP Antwoord #47 Gepost op: 26 januari 2018, 11:47 »

Quote : soep op 26 januari 2018, 10:26
Hoi,

Wij doen voornamelijk zaken met bedrijven. Zoals ik het begrijp moet ik de gegevens die gekoppeld aan de contactpersonen van deze bedrijven als persoonsgegevens beschouwen.

Maar hoe zit het met bedrijven waarvan de rechtsvorm toebehoort aan natuurlijke personen (eenmanszaak, vof, maatschap, cv). Zijn daar de bedrijfsnaam, telefoonnummer, url, etc. ook persoonsgegevens?

Hetzelfde ook voor rechtsvormen die toebehoren aan rechtspersonen. Wanneer iemand de eigen naam verwerkt in de bedrijfsnaam (bijv. Henk Jansen B.V.) is het dan een persoonsgegeven?

Ik ben benieuwd naar jullie zienswijze.

Mvg,

Peter

 



De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

De AVG slaat eveneens op persoonsgegevens. Handelsnamen en statutaire namen zie ik niet als gebonden aan een natuurlijk persoon dus geen persoonsgegevens. Sowieso zijn handelsnamen en statutaire namen al publiekelijk via het Handelsregister.

Henk Jansen B.V. is te herleiden naar Henk Jansen, maar dit zegt niets. De stichting Jantje Beton, gaat toch ook niet over Jantje Beton...
Wat jij aangeeft is niet te controleren mocht het al gezien worden als persoonsgegevens. Ik heb de wet nooit zo interpreteert.
Het is direct gelinkt aan een organisatie (de naam van een organisatie), iedereen weet dat het publiekelijk is en wat je naam wordt is een keuze.
Jouw manier van denken vind ik een beetje hetzelfde als wanneer je ouders bij het kiezen van je naam bedenken hoeveel de naam zegt over jouw persoonsgegevens (dat is ook heel onlogisch).

Als ik advocaat van de duivel speel zie ik ook wel het probleem wat jij ziet. Hetzelfde probleem heb ik als ZZP'er. Mijn BTW-nummer is feitelijk mijn
BSN/Sofi-nummer. Bij rechtspersonen krijg je een unieke RSIN toegewezen. een BSN is een bijzonder persoonsgegeven wat alleen speciale type organisaties mogen verwerken. Maar een BSN van een ZZP'er in een BTW-nummer verwerkt zegt iets over mijn identiteit maar ik ben wettelijk verplicht elke klant
mijn BTW-nummer te communiceren. Het is gerelateerd maar wel een andere discussie (overheid VS burger).

- UPDATE -

Wat de andere gegevens betreft:

Je hebt personen en organisaties.
Alles gelinkt aan een persoon is dus persoonsgegevens. De rest niet.
Dus een lijst weergeven van al jouw zakelijke klanten met de naam van de organisatie = geen persoonsgegevens, ookal is het een eenmanszaak.
Heb je een B2C bedrijf en maak je een lijst van al jouw consumenten klanten met de voor en achternaam van de personen = wel persoonsgegevens.
Je moet je gewoon telkens afvragen in je database; is dit setje informatie gelinkt aan een natuurlijk persoon of aan een organisatie.
Je beschermd personen, geen organisaties. ZZP'er zijn dan wel natuurlijke personen maar ze treden bewust naar buiten om te handelen onder een naam (basisprincipe van ondernemen). In jouw database zijn het gewoon organisaties, ze hebben immers een KvK-nummer. De persoon/ZZP'er zelf zit ook in je database als persoon gekoppeld aan de organisatie. In jouw database zie je die ook echt als een persoon. Dus persoonsgegevens. In een database is die relatie eenvoudig te maken en veel abstracter. Heel de logica dat het een ZZP'er is doet er niet toe.
soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #48 Gepost op: 26 januari 2018, 14:07 »

Duidelijke zienswijze.

Ik zoek met name ook deze extremen op, maar zie het op dezelfde manier als jij.

Dank!
Norbert Bakker
Risicoach & adviseur verzekeringen
Moderator

Karma: 1098

Berichten: 10357



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Norbert Bakker Antwoord #49 Gepost op: 26 januari 2018, 15:37 »

Quote:
Je moet je gewoon telkens afvragen in je database; is dit setje informatie gelinkt aan een natuurlijk persoon of aan een organisatie.
 
en (niet volledig/uitputtend, alleen als voorbeeld:)
- hoe kom ik aan deze data?
- heeft de belanghebbende toestemming gegeven voor het verzamelen van deze data?
- heb ik deze data wel nodig?
- hoe lang heb ik deze data nodig?
- wie mag deze data lezen, schrijven, bijwerken of verwijderen?
- hoe is de beveiliging en compliance van deze data geregeld?

Arbeidsongeschiktheid www.aovspecialist.nl  |  Aansprakelijkheid www.bavspecialist.nl  | Risicomanagement en verzekeren: risicoach
Ward
ceo@storecore
Moderator

Karma: 184

Berichten: 1369



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Ward Antwoord #50 Gepost op: 29 januari 2018, 08:47 »

Themasite van de Autoriteit Persoonsgegevens: hulpbijprivacy.nl

soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #51 Gepost op: 29 januari 2018, 09:18 »

Handleiding AVG door Rijksoverheid:

https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-vero...
Edo van Santen
De Elevator Pitch Trainer Coach Spreker
Expert Member
Legend

Karma: 133

Berichten: 2384



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Edo van Santen Antwoord #52 Gepost op: 5 februari 2018, 14:31 »

Met behulp van de vragenlijst/generator op https://veiliginternetten.nl, heb ik mijn privacy-verklaring kunnen maken. Wellicht handig voor ZP-ers die geen complexe systemen draaien voor klantcontact.

Ter inspiratie bijgevoegd mijn Privacy Verklaring: [mod edit: geen links naar eigen sites in topics aub, hoe ongetwijfeld goed bedoeld dan ook ]
Feel free to copy and paste :-)
« Laatste verandering: 5 februari 2018, 15:37 door Norbert Bakker »

De Elevator Pitch Trainer-Coach-Spreker
Elevator Pitch en Sprekers Coach
The Million Dollar Pitch Coach
UwJurist
UwJurist.nl
Legend

Karma: 28

Berichten: 308



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« UwJurist Antwoord #53 Gepost op: 10 februari 2018, 10:13 »

Zie ook de digitale 'regelhulp' Regelhulp Algemene verordening gegevensbescherming van de Autoriteit Persoonsgegevens.

Beantwoord de meerkeuze vragen en je weet wat je (nog) moet doen, of je een functionaris gegevensbescherming nodig hebt, enz. en.

soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #54 Gepost op: 14 februari 2018, 08:31 »

Ik ben bezig met het opstellen van een verwerkingsregister. Nu is mijn vraag hoe gedetailleerd moet dit worden? Als ik kijk op de website van Coolblue (https://www.coolblue.nl/klantenservice/23/informatie-over/bescherming-persoonsgegevens...) hebben zij een privacy statement waar in grote lijnen beschreven hoe zij persoonsgegevens gebruiken. Is dit verfijnd genoeg? Zij beschrijven bijvoorbeeld "verbetering" als doel waarvoor zij de gegevens gebruiken. Het lijkt me ook vreemd dat zij tot in het kleinste detail moeten vrijgeven hoe zij hun bedrijf voeren?!

Hoe kijken jullie hiernaar?
Norbert Bakker
Risicoach & adviseur verzekeringen
Moderator

Karma: 1098

Berichten: 10357



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Norbert Bakker Antwoord #55 Gepost op: 14 februari 2018, 09:53 »

Quote : soep op 14 februari 2018, 08:31
Ik ben bezig met het opstellen van een verwerkingsregister. Nu is mijn vraag hoe gedetailleerd moet dit worden? Als ik kijk op de website van Coolbluehebben zij een privacy statement waar in grote lijnen beschreven hoe zij persoonsgegevens gebruiken. Is dit verfijnd genoeg? Zij beschrijven bijvoorbeeld "verbetering" als doel waarvoor zij de gegevens gebruiken. Het lijkt me ook vreemd dat zij tot in het kleinste detail moeten vrijgeven hoe zij hun bedrijf voeren?!

Hoe kijken jullie hiernaar?
 

Je haalt nu 2 dingen door elkaar: het privacystatement en het verwerkingregister zijn 2 verschillende documenten met verschillende doelen.

het privacy statement is een document bedoeld voor extern gebruik, en hoef alleen grote lijnen te bevatten.

Het verwerkingsregister is een intern document, en bevat alle informatie die het moet bevatten , tot op het kleinste detail indien en waar nodig.
Dit document en daarmee je bedrijfsvoering hoef je niet vrij te geven aan derden: alleen bevoegde personen van het bedrijf zelf en de Autoriteit Persoonsgegevens hebben er toegang toe.

Quote:
Is dit verfijnd genoeg?
 
Nee, maar dit is ook geen verwerkingsregister.
Dit is alleen informatie over het soort data en het gebruik. Het verwerkingsregister is veel verfijnder en uitgebreider en omvat o.a. info over wie is bevoegd tot inzage en muteren, hoe is de beveiliging geregeld, hoe lang wordt de informatie bewaard etc etc.
ICTR-factsheet-Het-register-van-verwerkingen-van-persoonsgegevens.pdf

Arbeidsongeschiktheid www.aovspecialist.nl  |  Aansprakelijkheid www.bavspecialist.nl  | Risicomanagement en verzekeren: risicoach
soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #56 Gepost op: 14 februari 2018, 10:47 »

Hoi Norbert,

Dank voor de informatie. Je geeft aan dat het verwerkingsregister een intern document betreft, echter volgens mij hoort de betrokkene daar ook bij als ik pagina 76 van de Handleiding AVG mag geloven. Op deze pagina staat:

Quote:
Het overzicht dat u biedt aan de betrokkene moet tenminste de volgende informatie bevatten:
• de doelen waarvoor u de gegevens verwerkt;
• de categorieën persoonsgegevens die u van de betrokkene verwerkt;
• de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of worden doorgegeven,
met name ontvangers in derde landen of internationale organisaties;
• indien mogelijk hoe lang u de gegevens bewaart, of indien dat niet mogelijk is, de criteria om de
bewaartermijn te bepalen;
• het op recht op wijziging, verwijdering, beperking of bezwaar;
• het recht om een klacht in te dienen bij de toezichthouder;
• wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over
de bron van die gegevens; en
• het bestaan van geautomatiseerde besluitvorming waaronder profilering, en indien dit het geval is,
nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die
verwerking voor de betrokkene.
 

Dit leest voor mij alsof dit een dump is uit het verwerkingsregister   

Norbert Bakker
Risicoach & adviseur verzekeringen
Moderator

Karma: 1098

Berichten: 10357



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« Norbert Bakker Antwoord #57 Gepost op: 14 februari 2018, 11:16 »

Quote:
Je geeft aan dat het verwerkingsregister een intern document betreft, echter volgens mij hoort de betrokkene daar ook bij als ik pagina 76 van de Handleiding AVG mag geloven
 
Nee, het verwerkingsregister is niet bestemd of bedoeld voor de klant. Lees anders eens de toelichting van ICT recht (die zowel als bijlage als als link is toegevoegd aan mijn vorige reactie)

Quote:
Dit leest voor mij alsof dit een dump is uit het verwerkingsregister
 
Dat is het niet: ik zie info die niet in een verwerkingsregister thuishoort, en ontbrekende info die daar wel in thuishoort. Laat je niet op het verkeerde been zetten doordat beide documenten een zelfde kern hebben: namelijk het beschrijven van welke gegevens worden verwerkt of opgeslagen, voor welk doel en hoe lang.

Arbeidsongeschiktheid www.aovspecialist.nl  |  Aansprakelijkheid www.bavspecialist.nl  | Risicomanagement en verzekeren: risicoach
soep
Junior

Karma: 0

Berichten: 11

Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« soep Antwoord #58 Gepost op: 14 februari 2018, 12:02 »

Feitelijk zijn er dus drie lagen van algemeen naar gedetailleerd: privacy statement, recht van inzage en verwerkingsregister.

Toch nog maar weer eens opnieuw lezen.

Dank zover Norbert!
John B
Legend

Karma: 247

Berichten: 2546



Re: Zijn jullie bezig met de AVG / GDPR regelgeving?
« John B Antwoord #59 Gepost op: 21 februari 2018, 08:50 »

Gisteren een boeiende discussie gehad.

Je wordt inmiddels van alle kanten bestookt met stappenplannen (de consultancy business draait op volle toeren) en in zo'n plan las ik dat het versturen van persoonsgegevens via een beveiligde e-mailverbinding niet voldoet. Dat zou altijd via encrypted e-mail moeten gebeuren.

Als dat klopt, dan zou ik, wanneer ik bijvoorbeeld een bestelling via e-mail binnenkrijg (met o.a. naam en adresgegevens), niet eenvoudigweg die e-mail mogen beantwoorden als bevestiging van de bestelling. Dat zou alleen mogen wanneer zowel ik als de klant gebruik maken van encrypted e-mail en dan moet ik - telefonisch? - de hiervoor benodigde code(s) aan de klant doorgeven. Of ik moet de bestelbevestiging in een beveiligde pdf mailen, maar ook hiervoor moet dan een code gecommuniceerd worden waarmee de klant die pdf kan openen.

Dit lijkt mij onwerkbaar en kan m.i. niet de bedoeling zijn van de wetgeving. Maar ondertussen staat het er wel en worden organisaties uitgenodigd om advies over en ondersteuning bij de hiervoor benodigde secure e-mail implementatie te ontvangen.

Persoonsgegevens alleen mailen via encrypted e-mail, feit of fabel?
Pagina's: 1 2 3 [4] 5  


Partners

HL wordt gefinancierd door

Volg ons