GDPR & AVG

GENERAL DATA PROTECTION REGULATION (GDPR) | ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)
Een korte toelichting gegeven m.b.t. GDPR/AVG.

U en EMCI Register
U bent certificaathouder. Via uw online aanmelding bent u akkoord gegaan met onze algemene voorwaarden, waarin opgenomen onze privacy verklaring en registratie- en certificeringsvoorwaarden. De online aanmelding geldt als dienstverleningsovereenkomst m.b.t. uw registratie en certificering. Op basis hiervan is iedere certificaathouder verplicht te voldoen aan onze registratie- en certificeringsvereisten, waaronder: instroom- en periodiek kwalificatie, gedragsregels en procedure vereisten. We registreren geen data van uw cliënten. 

Uw privacy beleid/verklaring
GPDR/AVG verplicht u feitelijk tot het hebben van een eigen privacy beleid/verklaring. Deze verplichting is opgenomen in artikel 11 van de procedurevereisten voor alle certificaathouders. In uw persoonlijke dashboard kunt u een model/voorbeeld privacy verklaring downloaden. U kunt deze verklaring 1-op-1 overnemen of aanpassen naar uw eigen situatie. 

Uw GDPR/AVG plichten
Voor iedere cliënt die is gevestigd in de EU of actief is onder EU wet- & regelgeving, dient u te voldoen aan de GDPR en de eventuele lokale nationale uitwerking, zoals de AVG in Nederland. Cliënt data kan worden gedefinieerd als elke informatie die, zelfstandig, kan worden gebruikt om een EU burger te identificeren. Dan kan informatie zijn zoals, namen, adressen, IP adressen. 

Kort samengevat bent u verplicht aan uw cliënten te melden: 
- WELKE data wordt beheerd, 
- HOE en WAAR deze data wordt beheerd, 
- HOE de cliënt inzage in zijn/haar data kan krijgen,
- HOE en WAAR data op verzoek wordt verwijderd. 
Verder bent u verplicht de cliënt te faciliteren m.b.t. zijn/haar rechten zoals vastgelegd in de GPDR/AVG. 

BELANGRIJK
- GDPR is niet alleen van toepassing op online data. Uw papieren notitie blokje, met daarop data op basis waarvan een cliënt kan worden geïndentificeerd, valt ook onder de werking van GDPR. 
- GDPR/AVG sluiten feitelijk geen data uit. U bepaalt dus zelf welke data u nodig heeft t.b.v. uw bedrijfsvoering. De cliënt kan hiermee akkoord gaan of afzien van samenwerking; of beide partijen maken maatwerk afspraken. 
- Uitzondering: GDPR sluit het zelf verzamelen van data m.b.t. criminele historie uit. Deze data mag uitsluitend worden verzameld door een orgaan/organisatie onder toezicht van een overheid. 

Voorbeeld:
- ‘verklaring omtrent gedrag’. Justitie doet het onderzoek en levert de uitkomst in de vorm van een ja/nee besluit (wel of geen afgifte van de VOG). U heeft/krijgt geen inzage in de onderliggende feiten m.b.t. het besluit. De VOG zelf kunt u toevoegen aan het dossier. 

U en uw cliënt

Cliënten kunnen om inzage, portatie en verwijdering van data verzoeken. U bent verplicht aan een verzoek mee te werken. Meewerken aan een verzoek is NIET automatisch toestaan van het verzoek. 

Onder condities is toegestaan voor de behandeling van een verzoek kosten in rekening te brengen, ondermeer indien een verzoek geen redelijk/aannemelijk belang dient of indien verzoeken veelvuldig door dezelfde cliënt worden ingediend. Gronden om een verzoek aan te houden of af te wijzen kunnen zijn: 
- Openstaande facturen: u kunt de cliënt houden aan zijn/haar betalingsverplichting voordat u het verzoek in behandeling neemt.
- Verzoeken zonder redelijk/aannemelijk belang en repeterende verzoeken van 1 cliënt. 
- Andere wettelijke verplichtingen: andere wet- en regelgeving kan u verplichten data aan te houden, zodat verwijdering niet is toegestaan, of data te verzamelen die inbreekt op de privacy. 

Voorbeeld:
(1) Voor boekhouding gelden wettelijke bewaartermijnen. U mag dus niet zomaar alle boekhoud-gegevens verwijderen.
(2) Wet- en regelgeving m.b.t. bestrijding van witwassen en financiering van terrorisme dwingen u tot het verzamelen, beheren en melden aan de overheid van bepaalde data. 
(3) Wanneer verwijderen een inbreuk vormt op het algemeen belang.

U en uw dienstverleners
 
U werkt samen met dienstverleners die direct of indirect toegang hebben tot uw data en daarmee tot de gegevens van uw cliënten. Deze dienstverleners zijn verplicht met u een verwerkersovereenkomst te sluiten. In deze overeenkomst worden afspraken gemaakt m.b.t. het data beheer conform GDPR/AVG. Ga na of met uw dienstverleners een verwerkersovereenkomst heeft. Indien niet: doe dit alsnog! Het is gebruikelijk dat de dienstverlener de (ontwerp) overeenkomst levert. 

Hierna een opsomming van dienstverleners waarmee het sluiten van een verwerkersovereenkomst gewenst/verplicht is: 
- Accountant/ boekhouder 
- ICT leveranciers (clouds, software, servers, website, zoals Google’s g-suite, Microsoft Office 365)
- Juridische dienstverleners (advocaat, deurwaardes, incasso bedrijf, notaris) 
- Media (marketing kanalen, social media) 

Wie is bij u verantwoordelijk?

U moet vaststellen en aangeven WIE binnen uw bedrijf verantwoordelijk is m.b.t. GDPR/AVG. Dit wordt vastgelegd in de privacy verklaring. 

In de praktijk

- Maak uw privacy verklaring onderdeel van uw algemene voorwaarden en publiceer beiden op uw website. 
- Borg dat cliënten akkoord gaan met uw algemene voorwaarden. 
- Indien een cliënt een verzoek tot inzage, portering of verwijdering indient: (1) Reageer op het verzoek (2) Beschrijf hoe en binnen welke termijn het verzoek wordt behandeld  (3) Archiveer het verzoek en de afhandeling ervan. 
- Het is handig om een beschrijving te maken van uw data processen. Doe dit door in een document vast te leggen welke data u beheerd, waar u deze beheerd en welke functionaris/dienstverlener hierbij is betrokken. 
- Audits en controle: Overheden kunnen auditten en controleren. Ook hebben overheden een boete bevoegdheid. Bij een audit/controle dient u aan te tonen HOE u voldoet aan GDPR/AVG. 
- Bij een periodieke registratie/(her)certificeringsaudit wordt u gevraagd hoe u voldoet aan de procedurevereisten. Uw GDPR/AVG compliance is onderdeel hiervan. 

Conclusie

- Het is uw eigen verantwoordelijkheid om te voldoen aan de GDPR/AVG. 
- Wij regelen dat NIET voor u. En, natuurlijk bieden wij u enkele tips en de voorbeeld privacy verklaring.