ZwembadBranche #63

Page 34

Wat betekent de AVG voor de zwembranche? De huidige Nederlandse privacywet, de Wet bescherming persoonsgegevens, vervalt per 25 mei 2018. Daarvoor komt in de plaats de Algemene Verordening Gegevensbescherming (verder afgekort AVG). Wat betekent dit voor de zwembranche? Wat regelt de AVG, welke verplichtingen volgen uit de AVG en welke aanpassingen moeten er worden verricht? In de AVG draait het om persoonsgegevens. Persoonsgegevens zijn gegevens die iets zeggen of kunnen zeggen over een natuurlijk persoon. Voorbeelden van persoonsgegevens zijn namen, geboortedata, klantenprofielen, e-mailadressen, rekeningnummers, telefoonnummers, ip-adressen en zelfs kentekens. Eigenlijk allemaal gegevens die een organisatie vaak standaard over klanten en werknemers verzamelt. In de AVG wordt ook een speciale categorie persoonsgegevens, te weten de bijzondere persoonsgegevens, genoemd. Dit zijn persoonsgegevens over bijvoorbeeld iemands gezondheid, ras, politieke voorkeur en strafrechtelijk verleden. De AVG ziet toe op de verwerking (verzamelen, opslaan en bewerken) van persoonsgegevens.

AVG: rechten en plichten In de AVG staan de rechten en verplichtingen van verschillende partijen, de drie belangrijke zijn: de betrokkene, de verwerkingsverantwoordelijke en de verwerker. De persoon van wie de gegevens zijn en van wie de gegevens worden verwerkt is de betrokkene. De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. De verwerker verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Het is van belang om vast te stellen of een organisatie verwerkingsverantwoordelijk of verwerker is, omdat voor de verschillende partijen verschillende rechten en plichten gelden. Zo is de verwerkingsverantwoordelijke en niet de verwerker verplicht om een privacyverklaring op te stellen voor de betrokkene. Het is van groot belang om na te gaan welke persoonsgegevens bij een zwembad worden verwerkt. Je moet dus bijvoorbeeld goed nagaan of de salarisadministratie wordt uitbesteed aan een derde of dat dit in eigen

34

ZWEMBADBRANCHE

beheer is. Wanneer een derde als verwerker wordt ingeschakeld, moeten er goede afspraken worden gemaakt over de rechten en verplichtingen die voortvloeien uit de AVG.

AVG: wat moet je weten? • Beveiliging Er moeten in een organisatie passende technische en organisatorische beveiligingsmaatregelen worden genomen. Welke maatregelen dit zijn, hangt af van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de doelen van de verwerking en de privacy-risico’s. Vaststaat wel dat de beveiliging van de verwerking een blijvend punt van aandacht moet zijn, omdat de stand van de techniek kan wijzigen. • Rechten van de betrokkenen Een organisatie moet rekening houden met de rechten van betrokkenen. Het is van belang dat op een eerste verzoek van een betrokkene de organisatie de betrokkene kan informeren over de verwerking van gegevens, om welke gegevens het gaat en op welke wijze dit gebeurt. Onder het recht op informatie valt ook het vermelden van de juridische grondslag van de verwerking en het doel ervan. Het is van belang dat een privacyverklaring wordt opgesteld, waarin de betrokkene op de rechten wordt gewezen. Die verklaring geldt niet alleen voor klanten en/ of leveranciers, maar ook voor het personeel. De betrokkene heeft nog meer rechten, zoals het recht op inzage, rectificatie van onjuiste gegevens en vergetelheid. Dit laatste recht houdt in dat de persoonsgegevens gewist moeten worden mocht er bijvoorbeeld geen rechtsgrond meer zijn om de gegevens te verwerken. Daarnaast heeft de betrokkenen het recht op beperking van de verwerking van de persoonsgegevens en de mogelijkheid tot het recht op overdraagbaarheid van de gegevens die op hem zelf van toepassing zijn. • Register voor verwerkingsactiviteiten Tevens moet er bij meer dan 250 mensen in dienst een register van verwerkingsactiviteiten worden bijgehouden. Bij minder dan 250 mensen, is dit slechts verplicht bij risicovolle verwerkingen. Dat is het geval wanneer structureel persoonsgegevens worden verwerkt, de