Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) gaan handhaven. Graag informeren wij u over hoe Ixly omgaat met het invoeren van de AVG. We leggen u in dit bericht uit welke wijzigingen reeds zijn doorgevoerd, wat wij de komende tijd zullen wijzigen en wat dit voor u betekent.
Het is niet eenvoudig de nieuwe wet in een paar zinnen samen te vatten. Dit zijn de belangrijkste veranderingen:
Er verandert veel, met name de manier waarop gegevens worden verkregen, hoe het gebruik van gegevens wordt geregistreerd en hoe gegevens worden beveiligd, zijn belangrijk.
In de praktijk houdt het in dat u als organisatie volgens de AVG ‘verantwoordelijke’ bent. Ixly is volgens de AVG ‘Verwerker’, omdat wij namens u gegevens in onze systemen verwerken. Met onze maatregelen willen wij u zoveel mogelijk ontzorgen en onze systemen zo inrichten dat u AVG compliant kunt zijn.
We zullen puntsgewijs aangeven wat dit voor u betekent en hoe Ixly daarmee omgaat.
• De reden waarom een organisatie gegevens vastlegt moet helder zijn.
• Betrokkenen moeten actief en ondubbelzinnig toestemming geven voor de vastlegging
Medio april zal er bij het inloggen van kandidaten een stap toegevoegd worden, waarbij zij actief gevraagd worden om toestemming voor het bewaren van hun gegevens, met een verwijzing naar het privacy statement. U kunt binnenkort ook uw eigen privacy statement beheren. De acceptatie van de kandidaat wordt gelogd in het systeem.
• Betrokkenen hebben meer rechten, o.a. inzage, wijzigen, overdragen en verwijderen.
Wij zullen de systemen binnenkort zo inrichten dat organisatiebeheerders de inzage, wijziging, overdracht en het verwijderen van gegevens eenvoudig kunnen realiseren, zodat u binnen de gestelde termijnen aan deze verzoeken kunt voldoen. Hierover volgt begin mei nadere informatie. Op dit moment is het verwijderen van gegevens al mogelijk en houden wij al bij welke gegevens wanneer verwijderd zijn.
• Alles wat een organisatie doet met persoonsgegevens moet aantoonbaar vastgelegd zijn
U dient te verantwoorden welke gegevens u vastlegt. In het privacy statement van Ixly staat daarover het volgende:
“Het gaat om informatie die u aan ons verstrekt, waaronder persoonsgegevens, zoals naam, leeftijd, opleiding of opleidingsniveau, email, woonplaats, geboortedatum, correspondentie, uw acties in onze applicaties, zoals traffic en locatie data. Tests en vragenlijsten bevatten verschillende soorten informatie, onder meer over uw competenties en persoonlijkheid. Per vragenlijst wordt het doel toegelicht. Bij bijzondere vragenlijsten kunnen gegevens gevraagd worden die betrekking hebben op uw vitaliteit en gezondheid. In de vragenlijsten waarop dit van toepassing is wordt dit vooraf duidelijk gemaakt en wordt separaat om uw toestemming gevraagd. De verantwoordelijke organisatie kan in onze applicaties ook op maat gemaakte vragen opnemen en dient u daarover te informeren.”
Hier vindt u het volledige statement.
• Organisaties mogen alleen gegevens vastleggen en bewaren die te verantwoorden zijn
In het privacy statement vindt u de gegevens die wij verwerken. Wanneer u binnen uw organisatie ook in andere systemen gegevens bewaart dient u dit zelf te beschrijven en vast te leggen.
• De informatiebeveiliging moet up-to-date zijn én blijven
Alle systemen van Ixly vallen onder het ISO 27001 certificaat voor dataprotectie. Dit certificaat stelt specifieke eisen voor het procesmatig inrichten van gegevensbeveiliging en het up-to-date zijn en blijven van de beveiliging, conform de eisen van de AVG .
• Wanneer externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent moet dat worden vastgelegd in een overeenkomst
Ixly is voor u een externe partij die persoonsgegevens verwerkt. Wij hebben daarom een nieuwe standaard verwerkersovereenkomst opgesteld die vanaf heden van toepassing is, en voldoet aan de vereisten die de AVG stelt. Deze overeenkomst vervangt de huidige bewerkersovereenkomst.
U kunt de verwerkersovereenkomst hier inzien.
Met deze informatie en maatregelen hopen wij u zoveel als mogelijk te ontzien en de AVG voor u eenvoudig te maken.