AP: belastingdienst verwerkt BSN in strijd met de wet

  • By Anton Roozenbeek
  • 14 Jul, 2018

Verwerkt jouw organisatie ook BSN?

De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat de Belastingdienst geen wettelijke basis heeft om het burgerservicenummer (BSN) te gebruiken in het btw-identificatienummer van zelfstandigen met een eenmanszaak. Uit een uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat de Belastingdienst de  overtredingen zo snel mogelijk beëindigen. Gebeurt dat niet, dan kan de AP maatregelen treffen.

Over het BSN

Het BSN is een wettelijk identificatienummer om de communicatie tussen overheid en burgers te vergemakkelijken. Burgers kunnen met hun BSN bij elk loket van de overheid terecht. Het voordeel van een BSN is dat burgers hun persoonsgegevens niet bij elke overheidsorganisatie steeds opnieuw hoeven aan te leveren.

Dit maakt het tegelijk kwetsbaar: als het BSN in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken.

Zelfstandigen met een eenmanszaak kunnen hun BSN niet beschermen. Zij zijn verplicht hun BSN kenbaar te maken omdat het BSN een onderdeel vormt van hun btw-identificatienummer.


lees meer

AVG rondom externe inhuur; hoe ga je er mee om?

By Anton Roozenbeek January 18, 2019

AVG

Rond de inhuur van externen, zoals uitzendkrachten, detacheringskrachten en ZZP’ers, worden veel persoonsgegevens verzameld en gedeeld – binnen en buiten de eigen organisatie. Deels worden deze gegevens verzameld vanuit het wervingsproces, maar ook vanuit interne regelgeving en wettelijke verplichtingen. Om die reden is het belangrijk om goed op de hoogte te zijn van de wet- en regelgeving op het gebied van privacy en te voldoen aan de eisen die de Algemene verordening persoonsgegevens (AVG) stelt. Met de komst van de AVG zijn er namelijk veel zaken die moeten worden geregeld en vastgelegd rondom de verwerking en de beveiliging van persoonsgegevens.

BOETES

De toezichthouder controleert sinds 25 mei gericht en steekproefsgewijs de naleving van de wet en kan forse boetes opleggen. Opdrachtgevers stellen steeds strengere eisen aan hun interne en externe leveranciers op het gebied van de bescherming van privacy. Geen aantoonbaar en actief privacy beleid? Dan doen we ook geen zaken. Daarnaast is het privacy bewustzijn bij klanten, kandidaten en burgers enorm toegenomen. Het geeft je een voorsprong als je medewerkers, kandidaten, directie, aandeelhouders, opdrachtgevers en partners er vertrouwen in hebben dat er zorgvuldig wordt omgegaan met persoonsgegevens die aan de organisatie zijn toevertrouwd.

BIJ WIE LIGT DE VERANTWOORDELIJKHEID?

In onze praktijk zien wij helaas nog weinig specifieke aandacht voor de AVG en externe inhuur. Vaak wordt dit vergeten doordat er geen duidelijke eigenaar van externe inhuur is. De organisatie denkt dat de leveranciers van de externe inhuurkrachten dit moeten regelen en verantwoordelijk zijn of er is simpelweg niet aan gedacht. Het is belangrijk om de processen voor AVG en externe inhuur goed in te richten en voldoende maatregelen te treffen, er worden namelijk over het algemeen veel gegevens vrij gemakkelijk met elkaar gedeeld. Dus ook hier is het heel belangrijk om de privacy huishouding goed op orde te hebben.

BELANGRIJKE VRAGEN

Maar hoe begin je daarmee? Vragen die een organisatie zich zou moeten stellen zijn: Is het register van gegevensverwerkingen helemaal up-to-date, wat moet er bijgehouden worden in zo’n register? Zijn de bewaartermijnen vastgesteld en worden deze ook nageleefd? Wordt er bij nieuwe projecten al vanaf de start rekening gehouden met de regels rond gegevensbescherming? Worden er niet meer gegevens verzameld dan strikt noodzakelijk? Is de toestemming van kandidaten nu echt goed geregeld? Is er inzicht en grip op verzoeken om inzage van bewaarde gegevens en verzoeken om vergeten te worden? Wat te doen als een kandidaat een klacht heeft over de wijze waarop zijn persoonsgegevens worden verwerkt?

 

Kortom; ook bij externe inhuur komt er veel kijken met betrekking tot de AVG voor een organisatie. Een aantal organisaties zijn met dit punt aan de slag gegaan, maar de meesten hebben nog niet alles rondom de AVG en externe inhuur volledig geregeld. Mocht dit het geval zijn voor jouw organisatie dan kunnen WVN Consultancy  in samenwerking met Expert in Privacy  hierin adviseren. Middels een scan wordt er een plan opgesteld om de inhuur van extern personeel ook bij jouw organisatie compliant te krijgen met de AVG.

 

Voor meer informatie; neem contact op met Anton Roozenbeek of Wim van Nieuwenhuizen 06 - 539 89 556

Privacy klachten? Neem ze serieus!

By Anton Roozenbeek October 4, 2018

Van privacy hype naar scepsis rond de invoering van de nieuwe privacywetgeving, de AVG. Je zou bijna vergeten dat het een wet is om echt serieus rekening mee te houden.

 

De toezichthouder heeft op 1 oktober nieuwe beleidsregels gepubliceerd waarin wordt aangegeven hoe er om wordt gegaan met de klachten die zij ontvangen. De Autoriteit Persoonsgegevens (AP) heeft namelijk de wettelijke verplichting de inhoud van een klacht te onderzoeken en de klager op de hoogte te houden van de voortang en het resultaat.

 

Gezien het aantal klachten dat de AP heeft ontvangen sinds de invoering van de AVG is een prioritering ervan geen overbodige luxe. Op de website van de AP staat ook vermeld hoe zij een binnenkomende klacht afhandelen. Eén van de zaken die zij nagaan is of een klacht ook al bij de organisatie zelf is ingediend.

 

Als je dat al niet deed een reden te meer om privacy klachten dus zeer serieus te nemen. Het biedt de mogelijkheid om het vertrouwen van je klant of medewerker te behouden of te herstellen. Bovendien kan je zo voorkomen dat de klacht bij de AP terecht komt, wat je een onderzoek van deze toezichthouder kan besparen.

 

Let er wel op dat niet ieder verzoek rond persoonsgegevens ook automatisch moet worden ingewilligd. Recht op inzage en het recht om gegevens te verwijderen zijn bijvoorbeeld geen absolute rechten.

 

Kortom: zorg dat je de boel op orde hebt en weet wat je te doen staat als iemand een klacht of verzoek indient.

 

Hulp nodig? Neem snel contactop, ik help je graag!

 

info@expertinprivacy.nl

Wel of geen functionaris gegevensbescherming? De toezichthouder controleert actief!

By Anton Roozenbeek August 21, 2018

De Autoriteit Persoonsgegevens (AP) controleert steekproefsgewijs de naleving van de privacywetgeving. Per 25 mei heb je als organisatie te maken met de Algemene verordening gegevensbescherming (AVG, in het Engels GDPR).

Zo maakt de AP vandaag bekend dat zij 91 ziekenhuizen en 33 zorgverzekeraars heeft gecontroleerd op de verplichting om een Functionaris Gegevensbescherming (FG) aan te stellen. Het is dus belangrijk om ook voor jouw organisatie te bepalen of een FG moet worden aangesteld of aan te bevelen is.

Kijk dus goed naar de criteria en de richtlijnen van de Europese toezichthouders om te beoordelen of er binnen jouw organisatie een FG nodig is. Voor sommige organisaties zal het al snel duidelijk worden of de aanstelling wel of niet verplicht is. In sommige situaties zal het minder duidelijk zijn. Het is daarom aan te bevelen om de keuzes die worden gemaakt goed te beargumenteren maar ook vast te leggen. In het geval van een controle door de AP kan je aantonen dat je een zorgvuldige afweging hebt gemaakt en met alle relevante factoren rekening hebt gehouden.

Als je nieuwe activiteiten gaat uitvoeren of nieuwe diensten aanbieden dan kan het nodig zijn om het besluit om een FG aan te stellen  te heroverwegen.

Als het niet verplicht is om een FG aan te stellen dan is het vaak wel zinvol zijn om iemand in dienste te nemen of in te huren die helpt bij het naleven van de verplichtingen die volgen uit de AVG.

Heb je hulp nodig om te bepalen of de aanstelling van een FG voor jouw organisatie nodig is? Wil je weten hoe een FG intern toezicht kan houden op de naleving van de privacywetgeving? Neem snel contact op, ik help je graag!

info@expertinprivacy.nl


Heb jij al een overzicht van je verwerkingen?

By Anton Roozenbeek July 17, 2018
Onder de AVG geldt de verantwoordingsplicht: je moet op ieder moment kunnen aantonen dat je aan de privacywetgeving voldoet. Dit maakt het voor de toezichthouder eenvoudig om naleving van de wet te controleren. Dit doen ze nu door bij een willekeurig aantal organisaties het register van verwerkingen op te vragen.

Het bijhouden van zo'n register is voor iedere organisatie, groot en klein, een verplichte actie. Uitzondering hierop is  als de verwerkingen incidenteel zijn. 

In een register leg je onder meer vast waarom je de gegevens verzamelt, welke gegevens je verzamelt, met wie je ze deelt, hoe lang je ze bewaart en hoe je ze beveiligt. Raadzaam is om ook vast te leggen op basis van welke rechtsgrond je de gegevens verzamelt en alvast een indicatie te geven over de risico's die er zijn, mocht er iets misgaan met de persoonsgegevens.

Een register aanleggen en bijhouden is een redelijke eenvoudige handeling. Uiteraard is het afhankelijk van de grootte van je organisatie en de complexiteit van je activiteiten.  Het is een belangrijke stap om te voldoen aan de privacywetgeving omdat door het invullen van het overzicht je bewust wordt wat er nog geregeld moet worden (of wat je allemaal al geregeld hebt!).

Daarnaast is het ook gewoon een verplichte actie. Je moet zo'n register hebben en de toezichthouder kan het relatief eenvoudig controleren door 'm bij je op te vragen.

Nog geen register? Neem snel contact op, ik help je graag!

info@expertinprivacy.nl

lees meer


Het grote privacy misverstand

By Anton Roozenbeek July 14, 2018
Rond de invoering van de wet zijn er veel mythes en misverstanden. Ingeven door bangmakerij, onwetendheid en het idee dat iedere organisatie hetzelfde is. Expert in Privacy is Eerlijk over Privacy en geeft advies die past bij jouw bedrijfsvoering.

1. Ik mag alleen nog maar persoonsgegevens verwerken als ik daar toestemming voor heb.

Toestemming is één manier te voldoen aan de AVG, maar zeker niet de enige! Vóórdat je met persoonsgegevens aan de slag gaat moet je identificeren op basis van welk rechtsgrond je dit doet. Naast toestemming geeft de AVG je nog 5 opties. Expert in Privacy helpt je om de juiste rechtsgrond te bepalen.

2. Ik heb toestemming van mijn klanten of medewerkers! Ik voldoe aan de AVG!

In veel gevallen heb je inderdaad toestemming nodig van degene van wie je persoonsgegevens verwerkt. Naast een rechtsgrond moet je ook aan allerlei ander verplichten voldoen. Zou moet je in staat zijn om aan de privacy rechten van klanten en medewerkers te voldoen. De persoonsgegevens moeten goed beveiligd worden en ook weer een keer worden verwijderd. Expert in Privacy helpt je op een praktische manier om aan al je privacy verplichtingen te voldoen.


3. De AVG? Die is voor mij niet van toepassing!

Of je nu persoonsgegevens verwerkt omdat je medewerkers in dienst hebt, je (online) dienstverlening aanbiedt, of de contactgegevens vastlegt van je B2B klanten de AVG is voor bijna iedere organisatie, groot en klein, een wet om rekening mee te houden. Expert in Privacy helpt je om inzicht te krijgen welke persoonsgegevens je verwerkt, met wie je ze deelt en hoe je ze het beste kunt beveiligen.

4. Iedere overtreding levert mij enorme boetes op!

Het belangrijkste doel van de AVG is om de rechten van jouw klanten en medewerkers te beschermen, niet om jouw boetes op te leggen. Natuurlijk zorgt de dreiging van boetes voor goede krantenkoppen, maar dat is niet het doel. Er zullen ongetwijfeld boetes worden uitgedeeld die het nieuws gaan halen. Misschien zelfs in de branche waar je werkzaam bent.

Expert in Privacy gelooft erin dat de spelregels rond privacy je helpen om het vertrouwen van klanten en medewerkers te winnen.


5. Het is veel te duur om aan de wet te voldoen

De wet is voor iedereen hetzelfde maar de impact ervan is voor iedere organisatie anders. Een tech-reus uit de US of een mkb-er uit de regio, de 99 artikelen van de AVG zijn voor iedereen hetzelfde maar de invulling heel anders. Voor een kleine organisatie kan een standaardpakket voldoende zijn, voor grotere en complexere organisaties is het vaak maatwerk. Expert in Privacy heeft voor jouw organisatie altijd een passende oplossing.
 
6. Help! Direct Marketing mag alleen nog maar met toestemming!

Een groot misverstand. Je mag in de meeste gevallen je bestaande klanten benaderen met aanbiedingen of commerciële voorstellen. Ook prospects mag je onder bepaalde voorwaarden nog prima benaderen. Expert in Privacy helpt je met een gestructureerde aanpak en zorgt ervoor dat je geen commerciële kansen laat liggen.

7. AVG? Die is niet van toepassing op kleine organisaties, goede doelen en sportverenigingen!

De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken. Groot of klein, commercieel of in de vorm van een stichting, goede doelen, vereniging van eigenaren, een voetbalclub of tennisvereniging? De AVG is van toepassing. Geen paniek! Met de juist aanpak is de klus zo geklaard. Expert in Privacy helpt je met een passende oplossing.

8. De AVG? Een hype, net als de millenniumbug!

Voor de invoering van de AVG is er ontzettend veel aandacht geweest in de nieuwsmedia over deze wet. Soms wordt de vergelijking gemaakt met de problemen die werden verwacht rond de millenniumwisseling. Een eenmalig project waarvan de impact behoorlijk werd overschat.

De vergelijking gaat niet op. Voldoen aan de wetgeving rond de omgang met persoonsgegevens vergt continue aandacht en kan niet worden geadresseerd met een eenmalig project. Expert in Privacy houdt de ontwikkelingen op het gebied van privacy goed in gaten en heeft altijd actuele kennis om je met raad en daad bij te staan.


9. Persoonsgegevens heb ik prima beveiligd, ik heb zelfs een ISO 27001/ 27002 certificaat!

Het is een misverstand om te denken dat de AVG alleen maar gaat over het beveiligen van persoonsgegevens. Het is zeker een belangrijk onderdeel maar de wet gaat over veel meer dan alleen dit. Daarnaast is een ISO-certificaat ook niet voor alle organisaties het juiste middel. Een tennisclub kan prima zonder een ISO-certificaat. Voor een webbouwer die hosting services aanbiedt aan grote partijen kan het een prima overweging zijn. Expert in Privacy helpt jou om de juiste keuzes te maken op het gebied van beveiliging.