Ik heb een webshop. Kan ik de toestemming van een betrokkene niet eenvoudig krijgen door deze te verwerken in het bestelformulier?

Als de formulering juist is, kan dat. De toestemming moet specifiek, in duidelijke bewoordingen en gericht op deze toestemming worden gegeven. Ze mag niet verstopt worden of samengevoegd worden met een andere vraag of toestemming.

Ik ben nu bezig met het bouwen van een nieuwe database. Voor mijn vorige systeem heb ik een risico-inventarisatie gedaan. Moet ik dat nu opnieuw doen?

Ja, als er sprake is van nieuwe technologie, is een nieuwe risico-inventarisatie nodig. De oude inventarisatie is ook gedaan onder de Wbp en zal ongetwijfeld afgesloten zijn met te verrichten aanbevelingen. Dat volstaat sowieso niet meer. Een nieuwe risico-inventarisatie moet simpelweg de conclusie bevatten dat de uit de inventarisatie opgekomen verbeterpunten moeten zijn doorgevoerd.

Ik heb vanwege mijn bijzondere werkzaamheden een functionaris gegevensbescherming (FG) nodig. Mag ik dat zelf niet zijn?

Nee, dat mag niet. De FG moet zich, vanwege zijn bijzondere rol, onafhankelijk kunnen opstellen van de onderneming. Dat houdt in dat als hij of zij in dienstverband staat er ook een bijzondere ontslagbescherming voor die specifieke rol geldt. Extern iemand inlenen mag natuurlijk ook.

Ik hoor vooral dat ik gegevens niet te lang mag bewaren. Ik heb in mijn contracten opgenomen dat ik, in verband met mijn garantiebepalingen, orders tien jaar bewaar. Strikt genomen is dat langer dan de wet voorschrijft. Mag dat?

De AVG gaat uit van twee begrippen: ‘doelbinding’  en ‘dataminimalisatie’. Als duidelijk is dat je gegevens bewaart met een specifiek omschreven duidelijke reden is dat toegestaan. Wel is van belang dat na verloop van de afgesproken termijn de gegevens ook worden verwijderd.

Ik ben gewend om loongegevens per e-mail te verzenden naar mijn externe administrateur. Verandert de AVG iets voor mij in dat kader?

Jazeker. Zolang loongegevens niet gepseudonimiseerd worden verzonden, maar bijvoorbeeld een pdf van een loonstrookje, is de kans op een datalek, bijvoorbeeld door het intoetsen van een onjuist e-mailadres, vrij groot. Er is in dat geval zeker geen sprake van passende maatregelen. Overigens is dit wel een gezamenlijke verantwoordelijkheid van u en de administrateur. Het creëren van een eenvoudige, beveiligde portal is tegenwoordig relatief eenvoudig geregeld.

Meer informatie

Wilt u meer informatie over AVG? Neem contact op met Niels Ista, jurist ICT- en privacyrecht, via telefoonnummer 0165-531330 of stuur Niels een e-mail. Ook informeren de collega's van ABAB Legal u graag over de wet- en regelgeving rondom de Algemene Verordening Gegevensbescherming (AVG).