Vanaf heden is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat je als fitnessondernemer moeten kunnen aantonen dat je de beginselen van de privacyregelgeving naleeft. Maar wat houdt dit precies in? De vorige keer gingen we in op dataminimalisatie en de registerplicht. In dit item: privacyverklaring, het maken van afspraken en het opstellen van een beveiligingsbeleid.

Privacyverklaring

De privacyregelgeving verplicht organisaties om de personen – van wie zij persoonsgegevens verwerken – te informeren over hoe daarmee wordt omgegaan. Dit betekent onder meer dat sporters moeten weten wat jouw onderneming met hun gegevens doet. Dat kan bijvoorbeeld via een privacyverklaring op de website. Op het inschrijfformulier – of andere communicatie uitingen – zou de link kunnen worden opgenomen waar de privacyverklaring is te vinden, want deze informatie moet makkelijk toegankelijk zijn.

In de privacyverklaring moet staan welke persoonsgegevens door jouw onderneming worden verwerkt, voor welke doeleinden en op welke grondslag. Daarnaast moeten de categorieën van externe ontvangers worden genoemd, zoals bijvoorbeeld de IT leverancier van de klantenadministratie, of externe fitnessinstructeurs. Ook zal de klant moeten weten welke privacyrechten hij heeft, zoals recht op inzage in zijn persoonsgegevens. Let op! Neem alleen informatie op in je privacyverklaring die klopt. Als je bijvoorbeeld aangeeft dat er geen persoonsgegevens aan derden worden verstrekt en je doet dit wel, kun je hier op worden aangesproken. Terwijl het waarschijnlijk wel zou mogen.

Afspraken

Als persoonsgegevens worden uitgewisseld met derden, of een partij heeft toegang tot die gegevens, moet je afspraken maken daarover. Er zijn twee rollen in de privacyregelgeving:

  • De verwerkingsverantwoordelijke  bepaalt het doel en de middelen waarvoor de persoonsgegevens worden verwerkt. Zoals de fitnessclub over de gegevens in zijn klantenbestand en de werkgever met betrekking tot de personeelsgegevens.
  • Een verwerker heeft geen eigen doel voor de verwerking van de persoonsgegevens, maar verwerkt deze ten behoeve van de verwerkingsverantwoordelijke. Denk bijvoorbeeld aan de IT leverancier van de klantenadministratie, de externe salarisverwerker of de leverancier van software op de toestellen waar gegevens op worden opgeslagen.

De verwerkingsverantwoordelijke moet zich houden aan alle verplichtingen uit de AVG, voor de verwerker zijn dit er veel minder. Een fitnessclub zal met alle verwerkers een zogenaamde verwerkersovereenkomst moeten sluiten. Worden persoonsgegevens uitgewisseld met een andere partij die de persoonsgegevens gebruikt voor eigen doelen dan is dat geen verwerker, maar ook een verwerkingsverantwoordelijke. Ook dan zullen afspraken gemaakt moeten worden, maar die zijn beperkter.

Beveiliging en meldplicht datalekken

Een belangrijk vereiste van de privacywetgeving is de beveiliging van persoonsgegevens. Iedere organisatie is verplicht om passende technische & organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Passend betekent dat de beveiliging zal moeten zijn afgestemd op de risico’s voor de betrokkenen (de personen op wie de gegevens betrekking hebben). Het is daarom nodig een risicoanalyse te maken en daar de maatregelen op aan te passen.

Risicovolle beveiligingsincidenten – waarbij persoonsgegevens op straat zijn komen te liggen of verloren zijn gegaan – moeten binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens. Dat heet de meldplicht datalekken. Het kan gaan om een verloren USB stick of smartphone met het hele klantenbestand of een e-mail met een salarisstrook naar een verkeerde ontvanger. Ook zullen de desbetreffende personen moeten worden geïnformeerd als zij een hoog risico lopen door het datalek.

Aan de slag

Zoals in het vorige item aangegeven, is het goed om eerst in kaart te brengen welke gegevens worden verwerkt en waarvoor. Dat kan dan in een register worden gezet (voorbeeldregister) en ook gebruikt worden om de privacyverklaring te maken. Dat zijn goede eerste stappen voor de implementatie van de AVG.

Wil je meer weten over dit specifieke onderwerp? Neem dan vrijblijvend contact op met Hekkelman Advocaten. Zij helpen je graag verder.

Met dank aan Monique Hennekens – Advocaat Intellectuele Eigendom, IT & Privacy.