Vanaf 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese vervanger van de Wet bescherming persoonsgegevens (Wbp) zorgt onder andere voor versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties. De wet geldt voor alle bedrijven in de EU, waaronder ook vissersmaatschappen.
Kort gezegd moet een persoon weten waar zijn persoonsgegevens geregistreerd staan, weten waarvoor deze gegevens gebruikt worden en makkelijk de persoonsgegevens kunnen laten verwijderen. Denk bij persoonsgegevens aan namen, telefoonnummers, mailadressen, bankgegevens, geboortedata of (beveiligings- en) camerabeelden. Bedrijfsgegevens zoals bedrijfsadressen of vangstregistratie vallen hier niet onder.
De AVG gaat voornamelijk over het bewust worden van de wijze waarop u als bedrijf omgaat met persoonsgegevens. In onderstaand artikel vertelt de Nederlandse Vissersbond uitgebreid waar u rekening mee moet houden. Voor het overzicht bij deze de belangrijkste AVG-punten op een rij:
• Verzamel alleen persoonsgegevens die u echt nodig heeft en die een wettelijke grondslag hebben.
• Maak een ‘Register van verwerkingsactiviteiten’ aan.
• Sluit verwerkersovereenkomsten af met derden die voor u persoonsgegevens verwerken.
• Neem maatregelen om een datalek te voorkomen.
Verwerken van persoonlijke gegevens
Onder de AVG mag u persoonsgegevens verwerken als ze een wettelijke grondslag hebben. De AVG ziet de volgende punten als wettelijke grondslag:
- Als u persoonsgegevens verwerkt, bijvoorbeeld telefoonnummers of mailadressen van deelloonvissers, dan moet de persoon daar nadrukkelijk toestemming voor geven. Deze toestemming kan die persoon ook weer intrekken, waarna u verplicht bent om alle gegevens te verwijderen uit uw systeem (en eventueel de persoonsgegevens die u aan derden hebt verstrekt ook te laten verwijderen).
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, bijvoorbeeld uw lidmaatschap bij de Nederlandse Vissersbond.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting, bijvoorbeeld het opslaan van gegevens van werknemers voor de loonadministratie, dit is immers nodig voor de belastingdienst.
- De gegevensverwerking is noodzakelijk ter bescherming van vitale belangen, oftewel: het is een zaak van leven en dood.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. Dit is vooral van toepassing op overheden.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen, bijvoorbeeld het waarborgen van de veiligheid.
U mag persoonsgegevens alleen gebruiken voor hetgeen waarvoor u toestemming hebt verkregen en niet zonder toestemming doorsturen aan derden.
Welke persoonsgegevens verwerkt u?
Inventariseer eerst over welke persoonsgegevens u beschikt. Denk hierbij aan maatschapsadministratie, maar ook aan mailboxen of gearchiveerde brieven. Vraag u vervolgens af: heb ik deze gegevens echt nodig? Is het antwoord nee, gooi het dan weg. Elk bedrijf moet een goede reden hebben om de gegevens op te slaan. Telefoonnummers of mailadressen bewaren omdat ze ooit van pas kunnen komen, is geen goed idee.
Wees bewust van het zetten van persoonsgegevens op losse datadragers, zoals een USB-stick, omdat deze gemakkelijk kwijtraken. Plaats mailadressen bij mails die naar meer dan één persoon verstuurd worden altijd in de BCC en zorg dat alle persoonsgegevens beveiligd zijn opgeslagen. Dit betekent sloten op archiefkasten en goede beveiliging op computer(s).
Register van verwerkingsactiviteiten
Wilt u bepaalde persoonsgegevens, zoals persoonlijke gegevens van deelloonvissers, toch bewaren. Noteer dit dan in een zogeheten ‘Register van verwerkingsactiviteiten’, een voorbeeld daarvan kunt u hier downloaden. Noteer hierin welke gegevens u bewaart, waarvoor de gegevens ingezet worden en hoelang u de persoonsgegevens bewaart na beëindiging van het gegevensdoel.
Verwerkersovereenkomsten
Met partijen die voor u (persoons)gegevens verwerken, zoals een accountant, moet u een verwerkersovereenkomst afsluiten. In deze overeenkomst staat wat de verwerker met de persoonsgegevens mag doen en dat hij de privacy van die persoon moet beschermen.
Datalek
Zijn de persoonsgegevens die u beheert toegankelijk geworden voor onbevoegde personen, bijvoorbeeld doordat de computer of mobiele telefoon waar alle persoonsgegevens op staan gehackt of gestolen is? Dan ziet de AVG dat als een datalek. Als het datalek een risico is voor de rechten en vrijheden van natuurlijke personen, bijvoorbeeld het lekken van deellonen, prestatiebeschrijvingen of betalingsgegevens, dan moet de datalek binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens en bij de betrokken personen.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens controleert of bedrijven voldoen aan de AVG en kan behoorlijke boetes opleggen. Van groot belang is dus om serieus om te gaan met deze nieuwe wetgeving.
Meer informatie
Derk Jan Berends
Kijk voor meer informatie op www.autoriteitpersoonsgegevens.nl, of neem contact op met Derk Jan Berends via 0527-698151 of secretariaat@vissersbond.nl.
