Reglement Algemene Verordening Gegevensbescherming (AVG)

Data Privacy Strategie

Hoewel het hebben van een data privacy strategie geen wettelijke verplichting is zorgt dat er wel voor dat de aanpak om privacy te borgen in lijn is met bestaande bedrijfsdoelstellingen.

Samengevat wordt de strategie vorm gegeven door:

  • het opnemen van de strategie in de bedrijfsdoelstellingen;
  • het bijhouden van een verwerkingenregister;
  • beveiliging van de systemen die persoonsgegevens bevatten d.m.v. wachtwoorden;
  • benoeming van n persoon voor de aanbrenging van mutaties in persoonsbestanden;
  • Procedure m.b.t. de bewaring van persoonsgegevens.

Policies en Procedures

Opname van Data Privacy Strategie in de bedrijfsdoelstellingen bevordert de communicatie hierover omdat alle betrokkenen worden geïnformeerd over de consequentie van de AVG. Dit wordt bereikt door aanpassing van het Businessplan, Procedures en Instructies met dit aspect.

 

Personal Data Life Cycle Management

Persoonsgegevens worden binnen de Stichting verwerkt volgens het principe van doelbinding.

Dat gebeurt in de vorm van het bijhouden van een verwerkingenregister. Dit register zorgt voor inzicht in de verwerkingsactiviteiten in de Stichting.

 

Training and Awareness

De Stichting is een kleine organisatie waarbij de consequenties van de AVG-regeling beperkt zijn.  

Daarom zijn de procedures en instructies voor de verwerking van persoonsgegevens zodanig beschreven dat de mutaties door één persoon worden verricht. Deze werknemer en het bestuurslid die de rol van DGO (Data Protection Officer) verricht werden bij de implementatie van de AVG ondersteund door een externe accountant.  Zij hebben daarbij voldoende kennis opgedaan om de Stichting te laten voldoen aan de wettelijke eisen van de AVG.

 

Individual’s Rights

Een eerste vereiste is dat de Stichting weet hoe persoonsgegevens door de organisatie stromen en dat persoonsgegevens goed geïndexeerd zijn. Het verwerkingenregister geeft hierover inzicht.

Door publicatie van de Data Privacy Strategie op de website worden belangstellenden geïnformeerd hoe de Stichting invulling geeft aan de wettelijke taak betreffende de AVG. Verzoeken van inzage van mensen van hun persoonsgegevens in de onze systemen kunnen daardoor adequaat worden verstrekt d.m.v. het verstrekken van een uittreksel uit de digitale bestanden.

Het gaat hierbij om:

  • klantgegevens (debiteurenadministratie)
  • personeelsgegevens (personeels- / salarissysteem en planningsysteem).

 

Data Privacy Risk Management

Bij het classificeren van een verwerkingseenheid is het in sommige gevallen, zoals het continue monitoren van medewerkers, noodzakelijk een  “gegevensbeschermingseffectbeoordeling” uit te voeren. Doordat er maar één medewerker bevoegd is om persoonsmutaties uit te voeren blijft dit risico beperkt. Bij het opstellen van het verwerkingenregister heeft er voor de bestaande processen een gegevensbeschermingseffectbeoordeling plaatsgevonden. Het risico van het niet opnemen van dit aspect bij invoering van een nieuwproces is gering omdat hierbij altijd de medewerker belast met de persoonsbeveiliging betrokken is.

 

Data Transfers Management

Belangrijke aandachtpunten zijn de persoonsgegevens uit het personeels- / salarissysteem en de opslag van persoonsgegevens in de Cloud.  Om zekerheid te verkrijgen omtrent de beveiliging van deze data is door het extern Salarisbureau en de Provider een verklaring afgegeven dat zij voldoen aan de wettelijke AVG-norm. 

 

Security For Privacy

De Stichting verwerkt persoonsgegevens uitsluitend in de volgende systemen:

  • Personeels- en salarissysteem;
  • Planningsysteem;
  • Financiële administratiesysteem.

Deze systemen zijn uitsluitend via wachtwoorden toegankelijk door daartoe geautoriseerde  personen. Deze autorisatie zijn opgenomen in een bevoegdheidstabel die wordt beheerd door de bedrijfsmanager.

 

Communications

Invoering van bovenstaande maatregelen bevordert het inzicht in de persoonsgegevensstromen.

Aan de toezichthoudende autoriteit kan worden aangetoond dat voldaan wordt aan de wettelijke norm van persoonsgegevensbeveiliging. Ook medewerkers die met persoonsgegevens werken zijn bewust geworden zorgvuldig daarmee om te gaan.

 

Compliance Monitoring

De juiste uitvoering van de AVG regelgeving wordt regelmatig gemonitord.

Dit wordt bereikt door het aspect van de persoonsgegevensbeveiliging:

  • opname in instructies, procedures van de geautomatiseerde systemen
  • opname als controle-opdracht voor het controlerend orgaan.

  

Datum:  1 mei 2019

Contact

Zalencentrum de Brug
Kon. Julianaweg 61
's-Gravenzande

Onderdeel van

Stel een Vraag