Heeft u alles op orde voor de nieuwe privacywet?

Per 25 mei 2018 moet u voldoen aan de nieuwe AVG-wetgeving (Algemene Verordening Gegevensbescherming). Elke organisatie die met persoonsgegevens werkt, moet voldoen aan de eisen van de AVG. Om u hierbij te ondersteunen biedt KHN twee verschillende tools: de Regelhulp van de Autoriteit Persoonsgegevens (AP) en het AVG-Programma van AVG Verenigingen.

In de nieuwe wet staan regels die betrekking hebben op gegevens van personen, zoals (potentiële) gasten, medewerkers, leveranciers enzovoorts. De wet stelt strenge eisen aan de omgang met persoonsinformatie. Wie niet voldoet aan de nieuwe regels, kan hoge boetes krijgen.

Voldoet u aan de wet?

U moet kunnen aantonen dat u er alles aan hebt gedaan om de privacy te waarborgen. In de praktijk betekent dat uw ICT-systemen op orde zijn, computers en telefoons goed beveiligd zijn, u juiste contracten afsluit met derden over uitwisseling van gegevens en vastleggen wie in de organisatie de persoonlijke gegevens mag inzien.

Gratis regelhulp van de Autoriteit Persoonsgegevens 

U kunt de momenten en manieren waarop u persoonsgegevens bewaart tegen het licht houden met behulp van een regelhulp. Door de vragen uit de regelhulp te beantwoorden, komen eventuele knelpunten vanzelf naar boven. Met deze Regelhulp van de Autoriteit Persoonsgegevens (AP) krijgt u in 10 stappen een beeld van waar u aan kunt werken om goed voorbereid te zijn op de Algemene verordening gegevensbescherming (AVG).Zo heeft u gelijk een actielijst met zaken die u moet veranderen. En betrek uw personeel: uw medewerkers moeten op de hoogte zijn van de nieuwe privacyregels. En zij kunnen goed meedenken over de huidige processen en de nodige aanpassingen.

Ondersteuning voor KHN-leden: AVG-Programma

KHN helpt u als KHN-lid om te voldoen aan de eisen van deze nieuwe privacywetgeving. Wij hebben een overeenkomst gesloten zodat u als KHN-lid gebruik kunt maken van een speciaal AVG-Programma. Dit programma bestaat uit een 15-stappenplan. U krijgt duidelijke instructies en uitleg over wat er moet gebeuren op het gebied van ICT, uw medewerkers, contracten en gastgegevens. U wordt stapsgewijs door het proces geleid. Aan het eind van het stappenplan is er een verklaring waarmee u kunt aantonen dat uw bedrijf alle noodzakelijke stappen heeft doorlopen. Vervolgens moet u de maatregelen ook implementeren in uw bedrijf.

KHN-leden krijgen korting op AVG-toolkit

KHN-leden krijgen vijftig procent korting op het AVG-Programma.

Prijzen

Geen medewerkers: €125* (niet-leden betalen € 250)
1-10 medewerkers € 250* (niet-leden betalen € 500)
11 – 50 medewerkers: € 500* (niet-leden betalen € 1000)
51 – 250 medewerkers: € 1000* (niet-leden € 2000)

*Exclusief 21% btw

Aanmelden voor de AVG-toolkit

  • Stap 1: Ga naar avg-programma.nl/khn
  • Stap 2: Klik op Aanmelden
  • Stap 3.: Vul uw gegevens in
  • Stap 4. Geef de kortingscode (KHNAVG50) in en ga akkoord met de algemene voorwaarden
  • Stap 5: U ontvangt een mail met uw gebruikersnaam en wachtwoord

Daarna kunt u inloggen op het AVG-Programma via de link in het mailbericht met als onderwerp ‘Uw AVG-programma account’.

Heeft u vragen over uw aanmelding?

Mail naar aanmelden@avg-programma.nl.

Terug
Vraag & antwoord

Wanneer mag u persoonsgegevens verzamelen?

U mag alleen persoonsgegevens verzamelen wanneer daar een geldige reden (in de AVG wordt dit ‘grondslag’ genoemd) voor is. Verder heeft u als verantwoordelijke een ‘verantwoordingsplicht’. Dit betekent dat de gekozen reden goed uitgelegd moet worden.

  • Er moet een ondubbelzinnige toestemming van de betrokkene zijn voor gegevensverwerking. Er moet een vrije keuze zijn (bijvoorbeeld een vinkje aanzetten bij sturen van een nieuwsbrief) Let op voor de toestemming van werknemers gelden extra waarborgen in verband met de gezagsverhouding tussen werknemer en werkgever.
  • De persoonsgegevens zijn noodzakelijk voor de uitvoering van een overeenkomst (bijvoorbeeld van een reservering of het aangaan van een arbeidsovereenkomst.
  • De persoonsgegevens zijn noodzakelijk voor het nakomen van een wettelijke verplichting (voeren van een administratie).
  • De verwerking van persoonsgegevens zijn noodzakelijk voor het vervullen van een publiekrechtelijke taak. Dit is van toepassing op overheidsorganisaties die een publieke taak uitoefenen voor het algemeen belang of openbaar gezag.
  • De verwerking van de persoonsgegevens zijn noodzakelijk voor de behartiging van een gerechtvaardigd belang van de betrokkene. Dit kan bijvoorbeeld gaan om een bedrijfsbelang of vanwege de veiligheid. Het belang moet duidelijk zijn en noodzakelijk. U moet wel nagaan of het doel van de verwerking in verhouding staat tot de inbreuk voor de betrokkene en of u het doel niet op een minder nadelige manier kunt bereiken.

 

Wat moet u doen om aan de AVG te voldoen?

U moet het proces beschrijven dat inzicht geeft in welke persoonsgegevens er opgeslagen en/of bewaard worden in uw bedrijf, waar deze vandaan komen en met wie ze worden gedeeld.

Aan de eigenaren van de persoonsgegevens moet u laten weten welk doel de persoonsgegevens dienen (bijvoorbeeld NAW-gegevens voor een reservering) en de manier waarop de gegevens worden verwerkt (dus alleen voor de reservering en niet voor een mailing).

De eigenaar van de persoonsgegevens heeft rechten die binnen het proces moeten worden gewaarborgd. U moet het volgende mogelijk op verzoek mogelijk maken:

  • Inzage in de gegevens
  • Informatie over de verwerking van de gegevens
  • Wijzigingen of verwijdering van de gegevens (mits wettelijke bewaartermijn niet van toepassing is)
  • Het maken van bezwaar tegen de verwerking van de gegevens.

Toestemming gebruik persoonsgegevens

U moet kunnen aantonen dat u toestemming heeft voor het gebruik van de persoonsgegevens en dat u op basis van die toestemming de gegevens verwerkt. Check in het proces of er toestemming wordt gevraagd, wordt verkregen en of dat wordt geregistreerd.

Het mag alleen nog maar gaan om noodzakelijke persoonsgegevens. Persoonsgegevens die het doel niet dienen, mag u niet bewaren. Tenzij er een wettelijke grondslag voor is.

Verwerkingsovereenkomst

Wanneer er sprake is van een situatie waarin u genoodzaakt bent om de gegevens over te dragen naar derden, bijvoorbeeld naar een accountant, dan moet u de afspraken daarover vastleggen in een verwerkingsovereenkomst (eventueel een link naar een voorbeeld). Hiervan maakt u een melding naar degene over wiens persoonsgegevens het gaat. Als laatste, informeer medewerkers die met persoonsgegevens werken over de nieuwe regels.

Wat zijn persoonsgegevens?

De autoriteit persoonsgegevens geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Welke persoonsgegevens?

Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Wat is een verwerkingsovereenkomst en wanneer moet u die sluiten?

Voor een aantal persoonsgegevens is het noodzakelijk om deze te delen met derden. Bijvoorbeeld de loongegevens met het administratiekantoor, of een verzuimdossier met een arbo-arts, een pensioenuitvoerder, etc. Om er zeker van te zijn dat dit bedrijf zich ook aan de AVG houdt, moet er een overeenkomst getekend worden tussen uw bedrijf en het bedrijf waarmee de gegevens worden uitgewisseld. Ook hier geldt: de gegevens die worden verstrekt mogen alleen worden gebruikt voor het doel waarvoor ze worden verstrekt.

Wat mag u wel en niet bewaren?

Vanuit de AVG wordt er meer druk gelegd op de noodzaak van het bewaren van de persoonsgegevens. Het doel moet duidelijk zijn en de gegevens mogen alleen voor dat doel bewaard worden. Een sollicitatiebrief bijvoorbeeld, mag niet langer dan de sollicitatieprocedure bewaard worden, tenzij een sollicitant toestemming geeft om ‘in file’ te blijven voor een volgende procedure.

Voor sommige gegevens bestaan wettelijke bewaartermijnen. Hier verandert de AVG niets aan. Loonbelastinggegevens kennen een wettelijke termijn van 7 jaar, en moeten dus 7 jaar bewaard worden.

Wat is een privacyverklaring en wat moet erin staan?

Een privacyverklaring is de beschrijving hoe de organisatie omgaat met persoonsgegevens. Dit moet goed vindbaar zijn voor de personen waar je gegevens van verzamelt. Voor gasten bijvoorbeeld op de website. Voor medewerkers in een handboek of huishoudelijk regelement.

Wat moet in een privacyverklaring staan?

  • Wie de persoonsgegevens verzamelt.

  • Welke persoonsgegevens worden verzameld.
  • Waarvoor de persoonsgegevens worden verzameld (wat is de grondslag voor verwerking).
    - Noodzakelijk voor de uitvoering van de overeenkomst (bijvoorbeeld betalen loon).
    - Noodzakelijk om te voldoen aan een wettelijke verplichting (bijvoorbeeld wet op de loonbelasting).
    - Uitvoering is noodzakelijk voor een gerechtvaardigd belang (het belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.).

  • Bewaartermijnen van de gegevens (U mag de gegevens niet langer bewaren dan nodig is voor het doel van de verwerking of op grond van wettelijke bewaartermijnen).

  • Welke gegevens worden er aan derden doorgegeven (bijvoorbeeld externe loonadministratie, arbodienst) dan ook aangeven wie dat is en waarom.

  • Hoe de beveiliging van gegevens geregeld is.

  • Rechten die medewerkers hebben aangaande persoonsgegevens:

    - Recht op inzage, aanpassen en verwijderen van gegevens.
    - Recht om toestemming voor de verwerking van persoonsgegevens te beperken en in te trekken.
    - Recht op dataportabiliteit -> gegevens moeten zo verwerkt worden dat ze op die manier ook bij andere organisaties aangedragen kunnen worden door de eigenaar van de gegevens.
    - Recht op indienen van klachten bij de Autoriteit Persoonsgegevens.
  •  

    Medewerkers hoeven niet in te stemmen met de privacyverklaring. U kunt dus volstaan met een mededeling door dit op te nemen in een personeelshandboek of huishoudelijk regelement.

Hoe moet u omgaan met uw personeelsdossiers?

Het is van belang dat u de documenten die u in het dossier bewaart, niet langer bewaard worden dan noodzakelijk. Deze documenten mogen geen ander doel hebben dan waarvoor ze bewaard worden. Ook moeten hier de wettelijke bewaartermijnen in acht genomen worden. Wanneer u de dossiers in de Cloud bewaart, moet er een verwerkingsovereenkomst zijn. Zie ook: Mag u personeelsdossiers digitaal bewaren?

 

Om welke gegevens mag u vragen bij een sollicitatiegesprek?

In het sollicitatiebeleid zullen een aantal dingen moeten worden vastgelegd. U moet vermelden hoe de screening en referentiecheck plaats vindt. Hoe u op internet research doet, want wanneer u bijvoorbeeld een facebookpagina wilt bezoeken vooraf, dan zult u dat in de vacaturetekst moeten verwerken. Ook moet u vermelden waarom het noodzakelijk is om dit allemaal te doen. Sollicitatiestukken mogen niet langer bewaard worden dan noodzakelijk. Zie ook: Stappenplan aannemen personeel.

In het huishoudelijk regelement staan medewerkers met naam en toenaam vermeld. Mag dat?

De medewerker om wie het gaat, moet daar toestemming voor geven. Daarnaast moet er een noodzaak zijn waarom die gegevens daar vermeld staan. Bijvoorbeeld omdat iemand vertrouwenspersoon is. Daarnaast moet degene die het betreft op de hoogte zijn dat de gegevens daar met dat doel staan. Duidelijk moet ook zijn wie deze gegevens verwerkt (medewerker P&O) en bij wie de gegevens terecht kunnen komen (personeel).

Mag u persoonsgegevens van een payrollbedrijf bewaren op uw computer?

Zolang er geen noodzaak is om de gegevens bij u te bewaren, is dat niet toegestaan. De vraag is wat de noodzaak ervan is dat bijvoorbeeld loongegevens bij u bewaard worden, terwijl het payroll-bedrijf de daadwerkelijke werkgever is. Hooguit geven zij de loongegevens door aan een salarisverwerkingsbedrijf.

Mag u persoonsgegevens bewaren in de Cloud/dropbox?

U mag gegevens bewaren in de cloud of in een dropbox, mits er een verwerkingsovereenkomst is met het betreffende bedrijf. Ook moet duidelijk worden vastgelegd wie er toegang heeft tot de gegevens en moeten alle rechten voor de eigenaar gewaarborgd blijven.

Wie is er verantwoordelijk voor de persoonsgegevens wanneer de reservering via een bookingssite wordt gemaakt?

U bent verantwoordelijk voor hoe er binnen uw bedrijf met de gegevens wordt omgegaan. Een bookingssite is verantwoordelijk voor de gegevens tot het moment dat ze aan u overgedragen worden. Hiervoor is dus ook een vewerkingovereenkomst nodig.

Hoe moet u omgaan met het nachtregister?

In de privacyverklaring heeft u het proces omschreven hoe u omgaat met de gegevens in het nachtregister. De gemeente kan u vragen om de gegevens uit het nachtregister aan te leveren. Bijvoorbeeld bij uw aangifte van de toeristenbelasting. In verband met eventuele controles op de toeristenbelasting van de belastingdienst, adviseren wij u uw gastenadministratie zeven jaar te bewaren. Wettelijk gezien is iedere ondernemer dit verplicht. Het is echter wel mogelijk om - vanuit het idee van administratieve lastenverlichting – bij de Gemeentelijke Belastingdienst afspraken te maken over kortere bewaartermijnen op individueel niveau.

Zie ook: Wat zijn uw administratieve verplichtingen bij het inchecken van hotelgasten?

Mag u mailadressen van gasten bewaren voor uw nieuwsbrieven?

Gasten moeten actief toestemming geven om mailingen en nieuwsbrieven te ontvangen. Dit kan bijvoorbeeld door middel van een hokje aan te vinken op uw website. Uw bestaande gastenbestand kunt u alsnog toestemming laten verlenen door een bevestiging te vragen die beantwoord moet worden met een vinkje. Mocht u duidelijk aantoonbaar toestemming hebben van de gasten, dan volstaat dat.

Geldt de AVG met terugwerkende kracht?

De AVG heeft betrekking op de persoonsgegevens die u momenteel in uw bedrijf verwerkt. Door de privacy verklaring uit te voeren brengt u in kaart of u voldoet aan de nieuwe regels. 

Een gastenbestand bijvoorbeeld moet per 25/5 voldoen aan de nieuwe regels dat er toestemming moet zijn, duidelijkheid moet zijn waar de gegevens voor worden gebruikt, wie er toegang toe heeft en of de gegevens niet langer bewaard worden dan noodzakelijk en het doel dienen waarvoor ze gebruikt worden. U maakt door de privacyverklaring eigenlijk al een opschoonactie wat betreft oude gegevens die niet mee gebruikt hoeven te worden.  

Kortom: De AVG geldt vanaf 25/5/2018. Dan moet er voldaan worden aan de nieuwe regels.