Jump to content
Mathias@evelo

Zijn jullie bezig met de AVG / GDPR regelgeving?

Recommended Posts

Hoe 'ver' zijn jullie al met de GDPR- wetgeving? Hoor van meer en meer organisaties dat men niet GDPR compliant is op 25 mei. Met name de wat grotere organisaties hebben er moeite mee.

 

Indien je al een eind gevorderd bent; wat heb je allemaal al gedaan? :)


B2B Data & Leads - https://klue.nl

Share this post


Link to post
Share on other sites

Indien je al een eind gevorderd bent; wat heb je allemaal al gedaan? :)

 

Wil ik best vertellen:

 

- Privacyverklaring gemaakt en gepubliceerd.

- Register gemaakt (omdat mijn bedrijf nogal regelmatig persoonsgegevens verwerkt).

- Gecheckt dat wij een verwerkersovereenkomst hebben met een bepaalde partij (voor 'de cloud').

- Alles vastgelegd, als iemand er ooit naar zal vragen.

- Een brief/mail voorbereid die straks naar alle zakenrelaties gaat met de consequenties, waar ons privacy-beleid te vinden is en een paar veranderingen die ik noodzakelijk vind om door te voeren.

 

Verder weinig... :)


"What, me worry?"

Share this post


Link to post
Share on other sites

Bedankt voor de reacties. Gek genoeg heb ik er dus helemaal niet aan gedacht om bij de phpBB-fora te kijken. Brainfreeze :-)

Ik heb daar inmiddels veel nuttige informatie kunnen vinden en de paniek van de eerste instantie is gelukkig gezakt :-D

Share this post


Link to post
Share on other sites

Wellicht ben ik hier aan het verkeerde adres (in dat geval hoor ik graag waar ik deze vraag het beste kan stellen), maar ik heb wat vragen over de AVG / GDPR als zelfstandige ondernemer.

 

Situatie 1:

Ik ben bezig met een administratiesysteem voor verenigingen waar door verenigingen zelf informatie wordt ingevoerd. Omdat sommige verenigingen overlappende contacten hebben, en die contacten misschien al in het systeem te vinden zijn, is het voor een individu ook mogelijk een account aan te maken en de eigen gegevens te beheren. Op het moment dat een contact een eigen account heeft, en deze koppelt aan een vereniging, kan de vereniging de data wel inzien, maar niet zelf aanpassen. Nu is het voor mij duidelijk dat ik als dienstverlener verantwoordelijk ben voor de veilige opslag (data opgeslagen in versleutelde databases / hardeschijven, gebruik van SSL), maar ben ik ook verantwoordelijk voor de informatie die een klant van mij (de vereniging) invoert in het systeem? Of kunnen de verplichtingen van de GDPR contractueel worden overgedragen aan de klant? Het gaat om vooral persoonsgegevens als NAW, geboortedatum, telefoonnummers en bijvoorbeeld behaalde diploma's. Het is voor mij niet mogelijk om alle informatie die de klant invoert te controleren op expliciete toestemming.

 

In het geval dat de klant zelf zijn contacten in het systeem in voert, wie is er dan verplicht om het recht van vergeten te handhaven? Kan iedere willekeurige persoon ons mailen, met het verzoek of wij gegevens hebben, en die indien te verwijderen? Of moet dit via het secretariaat van een vereniging? En in het geval dat ik iemand wel moet verwijderen, dan moet ik rommelen in de adminstratie van een ander, die dan mogelijk niet meer klopt.

 

Als een contact ook een account in het systeem heeft, is het duidelijk dat ik als dienstverlener informatie moet verwijderen, maar als deze data gedeeld wordt (met toestemming) aan een vereniging binnen ons systeem, moet ik dan alle informatie verwijderen, dus ook hier, de administratie van de vereniging incompleet maken, of alleen de informatie die niet voor de vereniging van belang is?

 

Situatie 2:

Ik ben met een chatbot bezig, die het mogelijk maakt om je via een chatroom je in te schrijven voor een wachtrij, met een gebruikersnaam voor een spel. De chatroom is publiek toegankelijk, zonder login o.i.d., en de gebruikersnaam voor het spel zijn uniek, publiek (te zien door andere spelers waarmee willekeurig gematcht wordt) maar hebben mogelijkheid een identiteit aan de kant van de ontwikkelaar van het spel. De chatroom is publiek, maar beheerd door een enkele persoon. Om de wachtlijst extra functionaliteit te geven (het hele nut van de dienst), moet ik beide gebruikersnamen opslaan. De eigenaar van de chatroom kiest er zelf voor kf deze mijn dienst wil gebruiken. Ook in deze situatie, ben ik verantwoordelijk om de expliciete toezegging van de gebrukkers op te slaan? Het zijn gebruikersnamen dke nagenoeg niet aan natuurlijke personen te verbinden zijn, publiek te vinden zijn op internet, en nodig zijn voor de dienst. Is toestemming nodig, zo ja, alleen van de eigenaar van de chatroom, of van iedere gebruiker (die de informatie zelf invoert door een bericht te typen)?

Share this post


Link to post
Share on other sites

Het lijkt mij dat je situatie 1 als twee afzonderlijke dingen moet behandelen:

 

Voor de vereniging ben je verwerker en met de vereniging sluit je dus een verwerkersovereenkomst. De vereniging is verder verantwoordelijk voor de inhoud van de administratie en ook aanspreekpunt voor informatie-aanvragen en verzoeken voor wijziging/verwijdering.

 

Voor de mensen die een account aanmaken en hun gegevens koppelen aan één of meer verenigingen, ben jij eigenaar van een database met persoonsgegevens. Daarvoor moet je dus de juiste maatregelen nemen, zowel intern (vastleggen wat je opslaat, hoe je daarmee omgaat, met wie je dat deelt en op basis van welke toestemming, etc.) als extern (voorwaarden, privacy statement, etc.). De gebruiker beheert zelf zijn account en hoeft dus niet te vragen om informatie of wijziging of verwijdering, want dat kan hij zelf doen. Als hij zijn account verwijdert, verwijdert hij meteen alle koppelingen met verenigingen.

 

Maar ik hoor graag andere visies, want de problematiek is best ingewikkeld ...

 

Share this post


Link to post
Share on other sites

Hoi,

 

Wanneer iemand via e-mail een vraag, aanvraag of bestelling communiceert, hoe dien ik dan om te gaan met de informatie uit de handtekening?

 

Mag ik het telefoonnummer gebruiken om vragen te stellen ondanks dat iemand daarvoor geen toestemming geeft?

 

Of mag ik dit beschouwen noodzakelijk voor de behartiging van het gerechtvaardigd belang?

 

Als ik daarna acquisitie zou willen plegen op dit telefoonnummer moet ik dan voor dit doel apart toestemming vragen?

 

 

Benieuwd naar jullie zienswijze!

 

Dank!

Share this post


Link to post
Share on other sites

Ik heb (ongeveer) die vraag gesteld aan de Autoriteit Persoonsgegevens. Het antwoord (waar ik overigens geen rechten aan mag ontlenen :() is dat zo'n mailtje beschouwd zou kunnen worden als een intentie om te komen tot een overeenkomst en dat daarom de persoonsgegevens die in die mail staan gebruikt mogen worden om tot die overeenkomst te komen. Vervolgens moet de persoon in kwestie bij het totstandkomen van de overeenkomst nog wel toestemming geven voor het vastleggen van die gegevens (bijvoorbeeld door acceptatie van de algemene voorwaarden).

 

Daarbij werd verwezen naar de wettekst, artikel 1, lid b:

 

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen

 

Het lijkt me daarbij vanzelfsprekend dat de acquisitie waar je het over hebt alleen in het kader van de inhoud van het mailtje mag plaatsvinden.

Share this post


Link to post
Share on other sites

Betekent deze wet (bijvoorbeeld) ook dat de KvK niet langer gegevens over eenmanszaken door mag verkopen aan marketingbedrijven, maar daar nu eerst officieel toestemming voor moet gaan vragen? En dan dus ook niet de gegevens met een non-mailing indicator door mag geven met de melding dat de koper die gegevens niet mag gebruiken (wat ik altijd al vreemd heb gevonden)?

 

In het nieuws:

 

Privacywaakhond in actie tegen datadelen Kamer van Koophandel

 

Datadeling Kamer van Koophandel mogelijk onwettig

Share this post


Link to post
Share on other sites

 

Reactie van KvK: "Dat doen we al 100 jaar zo"

 

(Volgens nu.nl is KvK voor 40 tot 50% van haar inkomsten afhankelijk van de verkoop van data)

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Geen handige reactie idd. Heel benieuwd wat hier gaat gebeuren. Kan een pijnlijke klap opleveren voor alleen bedrijven die hun bedrijfsmodel hebben gebaseerd op deze data...

Share this post


Link to post
Share on other sites

Reactie van KvK: "Dat doen we al 100 jaar zo"

 

::)

Aldus de woordvoerder die gedurende het interview even naar de stal moest om zijn paard van wat vers hooi en water te voorzien omdat hij morgen een lange reis voor de boeg heeft..

 

Share this post


Link to post
Share on other sites

Hmmm.... domme vraag misschien, maar waaruit blijkt dat gegevens van ondernemingen die worden uitgevoerd vanuit natuurlijke personen gezien moeten worden als persoonsgegevens?

 

Het feit dat ze worden uitgevoerd vanuit natuurlijke personen maakt het toch geen natuurlijke personen?

 

 

 

Share this post


Link to post
Share on other sites

Hmmm.... domme vraag misschien, maar waaruit blijkt dat gegevens van ondernemingen die worden uitgevoerd vanuit natuurlijke personen gezien moeten worden als persoonsgegevens?

 

Het feit dat ze worden uitgevoerd vanuit natuurlijke personen maakt het toch geen natuurlijke personen?

 

Geen domme vraag. De voornaamste reden is als volgt: bij personenvennootschappen is het privé adres van de eigenaar openbaar (omdat hij/zij hoofdelijk aansprakelijk is voor de onderneming). Bij rechtspersonen is dat niet geval.

 

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

waaruit blijkt dat gegevens van ondernemingen die worden uitgevoerd vanuit natuurlijke personen gezien moeten worden als persoonsgegevens?

Ik denk dat de tekst onder punt (14) uit de verordening dit definieert:

 

(14) De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

 

Share this post


Link to post
Share on other sites

Hmmm.... domme vraag misschien, maar waaruit blijkt dat gegevens van ondernemingen die worden uitgevoerd vanuit natuurlijke personen gezien moeten worden als persoonsgegevens?

 

Het feit dat ze worden uitgevoerd vanuit natuurlijke personen maakt het toch geen natuurlijke personen?

 

Geen domme vraag. De voornaamste reden is als volgt: bij personenvennootschappen is het privé adres van de eigenaar openbaar (omdat hij/zij hoofdelijk aansprakelijk is voor de onderneming). Bij rechtspersonen is dat niet geval.

 

 

 

Volgens de KvK (en daarmee de Handelsregisterwet) wordt er een onderscheid gemaakt tussen privé adres en vestigingsadres. Voor het register geldt alleen het concept vestigingsadres, ook al mocht dit het privé adres zijn. https://www.kvk.nl/inschrijven-en-wijzigen/inschrijven-bij-de-kamer-van-koophandel/uw-gegevens-in-het-handelsregister/prive-adres-in-het-handelsregister/

 

Artikel 5 van de Handelsregisterwet zegt: In het handelsregister worden de volgende ondernemingen ingeschreven: (...) (b)

een onderneming die in Nederland gevestigd is en die toebehoort aan een natuurlijke persoon; (...)

 

Er lijkt dus niet gesproken te worden over natuurlijke personen, maar juist over ondernemingen, vestigingsadressen, etc. Aangezien de AVG gaat over natuurlijke personen...

 

Share this post


Link to post
Share on other sites

waaruit blijkt dat gegevens van ondernemingen die worden uitgevoerd vanuit natuurlijke personen gezien moeten worden als persoonsgegevens?

Ik denk dat de tekst onder punt (14) uit de verordening dit definieert:

 

(14) De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

 

 

Die zag ik staan inderdaad! Alleen op natuurlijke personen, niet op rechtspersonen. Over ondernemingen gevoerd door natuurlijke personen zoals beschreven in de Handelsregisterwet wordt echter niet gesproken!

Share this post


Link to post
Share on other sites

Er lijkt dus niet gesproken te worden over natuurlijke personen, maar juist over ondernemingen, vestigingsadressen, etc. Aangezien de AVG gaat over natuurlijke personen...

 

Lees nou eerst eens goed wat ik schreef:

 

In het handelsregister worden niet alleen de vestigingsadressen van bedrijven geregistreerd maar ook de privé adressen van de eigenaren (=natuurlijke personen) van personenvennootschappen.

 

Van de KvK zelf:

 

Openbare privéadressen

Bij eenmanszaken, vof's, cv’s en maatschappen zijn de privéadressen van de eigenaar, vennoten en maten openbaar. De reden hiervoor is dat zij hoofdelijk aansprakelijk zijn voor de onderneming. Deze privéadressen staan vermeld op het uittreksel dat iedereen kan opvragen of kan raadplegen via onze website. De privéadressen worden niet verstrekt in adresbestanden. In uitzonderlijke gevallen is het mogelijk om het privéadres af te schermen in het Handelsregister.

 

En aangezien een privé adres een tot een persoon te herleiden gegeven is, is het een persoonsgegeven..

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Hoi Norbert,

 

Ik heb gelezen wat je schreef, mijn reactie deed echter anders vermoeden, excuses daarvoor.

 

Voor privé adressen, helemaal eens. Hetzelfde geldt geloof ik ook voor privé adressen van functionarissen van rechtspersonen.

 

Wat ik eigenlijk probeer te stellen is dat de data die wordt gedistribueerd in de adresbestanden van de KvK niet onder de AVG vallen. Het betreft data geregistreerd volgens de Handelsregisterwet en volgens deze wet wordt alleen data van ondernemingen geregistreerd.

 

Ik kan geen wetstekst vinden waaruit blijkt dat eenmanszaken, etc. als natuurlijke persoon beschouwd zouden moeten worden.

 

Share this post


Link to post
Share on other sites

Hetzelfde geldt geloof ik ook voor privé adressen van functionarissen van rechtspersonen.

Nee, want die zijn niet openbaar.

 

(Ook als de bestuurder zijn of haar holding geregistreerd heeft staan op het privé adres is dat adres in het handelsregister het vestigingsadres van de Holding, en niet het privé adres van de bestuurder: ze ""hoeven""" immers niet overeen te komen)

 

Wat ik eigenlijk probeer te stellen is dat de data die wordt gedistribueerd in de adresbestanden van de KvK niet onder de AVG vallen.

 

En daarin heb je helemaal gelijk.

 

Want de privé adressen worden niet verstrekt in die bestanden. Alleen is dat veel te subtiel voor alle journalisten, boze ZZP-ers, belangenbehartigers en Kamerleden. De AVG wordt als stok gebruikt om het verstrekken van die adressen aan de kaak te stellen, terwijl dat inderdaad ""formeel""" helemaal niets met persoonsgegevens en AVG te maken heeft.

 

Je snapt het dus heel goed!


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Ik kan geen wetstekst vinden waaruit blijkt dat eenmanszaken, etc. als natuurlijke persoon beschouwd zouden moeten worden.

In de door mij eerder aangehaalde tekst uit de verordening wordt voor "als rechtspersonen gevestigde ondernemingen" expliciet benoemd dat de AVG hierop niet van toepassing is. Als de verordening ook niet van toepassing zou zijn op eenmanszaken, VoFs en maatschappen, dan zou het in mijn optiek logisch geweest zijn om dat in dit tekstgedeelte ook expliciet te benoemen. Of er had alleen "gevestigde ondernemingen" hoeven staan, want dan was dat "als rechtspersonen" overbodig geweest.

 

Share this post


Link to post
Share on other sites
In de door mij eerder aangehaalde tekst uit de verordening wordt voor "als rechtspersonen gevestigde ondernemingen" expliciet benoemd dat de AVG hierop niet van toepassing is. Als de verordening ook niet van toepassing zou zijn op eenmanszaken, VoFs en maatschappen, dan zou het in mijn optiek logisch geweest zijn om dat in dit tekstgedeelte ook expliciet te benoemen. Of er had alleen "gevestigde ondernemingen" hoeven staan, want dan was dat "als rechtspersonen" overbodig geweest.

Andersom geredeneerd: Een personenvennootschap is geen natuurlijke persoon én geen rechtspersoon. Had de verordening ook specifiek van toepassing moeten zijn op personenvennootschappen, dan had het logisch(er) geweest om dat in dit tekstgedeelte ook expliciet te benoemen ("natuurlijke personen en personenvennootschappen")


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Andersom andersom geredeneerd: de AVG geldt niet voor overheidsorganen die persoonsgegevens verwerken op grond van een wettelijke verplichting. Voor de KvK staat die verplichting in het Handelsregisterbesluit.

 

Verwerken is alleen wel iets anders dan verkopen natuurlijk.

Share this post


Link to post
Share on other sites

Andersom andersom geredeneerd: de AVG geldt niet voor overheidsorganen die persoonsgegevens verwerken op grond van een wettelijke verplichting. Voor de KvK staat die verplichting in het Handelsregisterbesluit.

 

Verwerken is alleen wel iets anders dan verkopen natuurlijk.

 

Alleen volgens het Handelsregisterbesluit verkoopt de KvK informatie van ondernemingen en niet van natuurlijke personen.

 

Artikel 4.1. In het handelsregister worden indien een onderneming toebehoort aan een natuurlijk persoon de handtekening en de geslachtsaanduiding van deze persoon opgenomen.

Share this post


Link to post
Share on other sites

Ik vind het allemaal maar een moeilijk verhaal.

Het doel is me wel duidelijk meer grip op je gegevens en duidelijkheid hoe je als bedrijf er mee om gaat.

 

Maar hoe ga je hier als ondernemer nou mee om. Hieronder wat linkjes om iedereen te helpen. Ik heb met geen van de bedrijven een relatie en weet ook niet of ze 100% kloppen. Maar het is wellicht een kleine houvast. Ik heb vooral gezocht naar leesbare teksten met zo min mogelijk dure woorden.

 

Privacy statement:

Verplicht op je website als je gegevens verwerkt (dus ook een invulformulier of webshop), bovendien moet het ook makkelijk vindbaar zijn.

https://ictrecht.nl/diensten/privacyverklaring/

https://www.hosting2go.nl/blog/privacy-verklaring-voorbeeld (tevens een voorbeeld)

Je moet wel je gegevens achterlaten en men zegt niet wat ze er mee doen en je wordt lid van hun nieuwsbrief wat niet optioneel is (dus niett wettelijk is toegestaan)

https://veiliginternetten.nl/privacyverklaring-generator-start/ )generator die niet helemaal zonder fouten werkt.

 

 

---

 

Meer aanvulling nodig

 

 

Share this post


Link to post
Share on other sites

Hoi,

 

Wanneer een term in de wetstekst van de AVG niet expliciet wordt gedefinieerd of beschreven, waarop moet dan worden teruggevallen als het gaat om de definitie/beschrijving ervan?

 

Bijvoorbeeld de term "natuurlijke persoon" wordt veelvuldig gebruikt, maar niet gedefinieerd of beschreven (of tenminste ik zie het niet).

 

Dank voor de reactie!

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • On this forum all subjects are discussed related to entrepreneurship.

    Growing together with other entrepreneurs

    ✓     Ask your entrepreneur questions

    ✓     Share your answers

    ✓     Low profile

    ✓     Transparant

    ✓     At your convenience

    ✓     Always based on relevance, substance and expertise

    Bring your business plan to a higher level!

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept