Deze pagina gaat over het gebruik van SWOffice en hoe daar mee omgegaan wordt betreft de Algemene Verordening Gegevensbescherming (ook wel AVG genoemd).
De officele wetgeving is hier terug te vinden: http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Indien u een dienst bij ons afneemt hebben wij een verwerkersovereenkomst beschikbaar gesteld, deze is onderaan deze pagina te vinden (na het 10 stappen-plan).
Wat moet u regelenvoor u stichting / bedrijf?
De website van de overheid: https://www.hulpbijprivacy.nl/ geeft veel informatie.
Verder is het aan te raden om de regelhulp door te nemen: https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom
Nog een tip is om het 10 stappen plan te volgen;
Centa heeft de stappen doorlopen vanuit oogpunt van de klanten en daarop ingespeeld:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg
Stap 1: Bewustwording:
Wat houdt AVG in? Dit is goed na te lezen op de website van autoriteitenpsoonsgegevens.
Stap 2: Rechten van betrokkenen
Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid en er gelden 2 nieuwe rechten. Bent u klaar voor verzoeken van personen die hun rechten willen uitoefenen?
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen
Het kan natuurlijk zo zijn dat een persoon binnen SWOffice verlangt dat zijn gegevens per direct verwijderd worden.
Hier is een handleiding voor beschikbaar: Hoe verwijder ik een persoon direct?
Stap 3: Overzicht verwerkingen
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#ben-ik-verplicht-om-een-register-van-verwerkingsactiviteiten-op-te-stellen-6101
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Centa verwerkt geen gegevens in SWOffice, wij bieden een mogelijkheid aan om de gegevens te verwerken en daarbij de nodige instellingen om de privacy te waarborgen.
Wel is er door Centa een template beschikbaar gesteld zodat er kan worden verwerkt waarom er welke gegevens verwerkt worden.
Het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak een verplichte maatregel. In het register staat informatie over de persoonsgegevens die u verwerkt. Of u zo'n register moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.
Binnen SWOffice kan er een hoop worden bijgehouden, waarom worden deze gegevens bijgehouden is de vraag die u zich als stichting / bedrijf zal moeten afvragen en moeten uitwerken.
Enkele voorbeelden; N.A.W. gegevens: worden bijgehouden t.b.v. versturen post. IBAN gegevens: worden bijgehouden om te kunnen factureren / incaseren. Leeftijd; wordt bijgehouden zodat wij aan de gemeente kunnen rapporteren welke gemiddelde leeftijd onze clienten hebben. Gebruikt u alle velden of kunnen er een aantal weggelaten worden uit SWOffice?
Velden kunnen aangepast worden binnen SWOffice (bijvoorbeeld Etniciteit / Kerkelijke gezindte weghalen):
Hier is een handleiding voor beschikbaar: Velden weergeven / namen aanpassen
Daarnaast is er een voorbeeld-Overzicht verwerkingen beschikbaar:
https://www.centa.nl/files/Voorbeeld-Overzicht-Verwerkingen.xls
Stap 4: Data protection impact assessment (DPIA)
Wordt er gevoelige informatie bijgehouden? Dan volgt een DPIA; Dit lijkt ons niet van toepassing maar toch nuttig om door te lezen.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879
Stap 5: Privacy by design & privacy by default
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
Binnen SWOffice kan het aantal maanden dat gegevens bewaard worden ingesteld worden (wanneer gaat een persoon naar het archief? Wanneer wordt een persoon definitief uit het archief verwijderd?
Hier is een handleiding voor beschikbaar: Bewaar-termijnen instellen
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Dit lijkt ons niet van toepassing binnen SWOffice, daar er geen overbodige gegevens verzameld worden of misbruik wordt gemaakt van deze gegevens.
Mocht dit wel het geval zijn dan is het verstandig dit op te nemen in Overzicht Verwerking (stap 8)
Stap 6: Functionaris voor de gegevensbescherming
Dit zal u als klant zelf moeten uitzoeken, indien er gevoelige erg informatie word verzameld / gebruikt een functionaris aanstellen
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/functionaris-voor-de-gegevensbescherming-fg
Stap 7: Meldplicht datalekken
Dit zal u als klant zelf moeten uitzoeken, indien er gevoelige erg informatie word verzameld / gebruikt een functionaris aanstellen
Is er een lek? Dan moet dat gemeld worden (algemene wetgeving); Deze wet bestaat al langer meer informatie:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
Stap 8: Verwerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn.
En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Meer uitleg hierover is hier te vinden: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst-staan-6344|
Denk hier goed over na, word er iets uitbesteed wat persoonsgegevens betreft? Salarisadministratie / maaltijdleveranciers die persoonsgegevens hebben / etc.
Centa voert geen werkzaamheden uit waarbij persoonsgegevens verzameld worden. Onze klanten besteden geen werk aan ons uit, enkel ondersteunende werkzaamheden.
Centa biedt de mogelijkheid om dit in te voeren in het programma SWOffice.
Wel hebben wij een sjabloon ter beschikking gesteld wat gemakkelijk kan worden ingevuld en kan worden gebruikt voor Verwerkersovereenkomsten;
http://www.centa.nl/files/Verwerkersovereenkomst-Voorbeeldsjabloon.doc
Stap 9: Leidende toezichthouder
Meerdere vestigingen binnen de EU-lidstaten, indien van toepassing zal daar door de klant zelf naar gekeken moeten worden.
Meer informatie is hier te vinden: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/leidende-toezichthouder
Stap 10: Toestemming
Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#wanneer-mag-u-zich-baseren-op-de-grondslag-toestemming-6331
Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#hoe-kan-ik-aantonen-dat-ik-toestemming-heb-ontvangen-6160
Het is verstandig documenten aan personen te koppelen, maak bijvoorbeeld een toestemmingsformulier, laat deze ondertekenen, scan ze in en koppel ze bij de persoon.
Hier is een handleiding voor beschikbaar: Documenten aan persoon toevoegen
Verwerkersovereenkomst (van toepassing indien er een dienst bij Centa wordt afgenomen).
Indien er een dienst van ons word afgenomen is er een verwerkersovereenkomst beschikbaar:
Diensten zijn: Servers, Email, SWOffice gehost op een server in ons beheer, Office365, Telefonie;
Klik HIER voor de verwerkersovereenkomst
Mochten er vragen zijn neem dan gerust contact met ons op:
0252-422810