AVG, geen probleem toch?

Constantine Karbaliotis schreef, jaren geleden al, een brief. Om de gevolgen van de AVG te verzachten heeft recruitmentmatters deze brief vertaald in het Nederlands. Vanaf 25 mei kan elke recruiter deze brief toegestuurd krijgen. Gelukkig hebben de meesten van hen hun zaakjes goed op orde. De rest kan zich vast met met dit schrijven voorbereiden. AVG, geen probleem, toch?

Beste recruiter,

Ik schrijf u in uw hoedanigheid als gegevensbeschermingsfunctionaris voor uw bedrijf. 

Ik ben een klant van u en in het licht van recente gebeurtenissen, doe ik dit verzoek om toegang tot persoonlijke gegevens overeenkomstig artikel 15 van de algemene verordening gegevensbescherming. Ik ben bang dat de informatiepraktijken van uw bedrijf mogelijk leiden tot het blootstellen van mijn persoonlijke gegevens aan een buitensporig risico om te worden blootgesteld of dat het in feite zijn verplichting om mijn persoonlijke gegevens te beschermen op grond van [laatste vervelende cyberbeveiligingsevenement of iets in het nieuws] heeft geschonden.

Ik voeg een kopie van de documentatie bij die nodig is om mijn identiteit te verifiëren. Als u meer informatie wenst, kunt u contact met mij opnemen op bovenstaand adres.

Ik zou graag willen dat u van meet af aan weet dat ik binnen een maand antwoord verwacht op mijn verzoek, zoals vereist krachtens artikel 12, bij gebreke waarvan ik mijn verzoek zal doorzenden met een klachtbrief aan de bevoegde autoriteiten.

Gelieve het volgende te adviseren:

1. Bevestig mij of mijn persoonlijke gegevens worden verwerkt. Als dit het geval is, geef me dan de categorieën persoonlijke gegevens die u over mij hebt in uw bestanden en databases.

a. Vertel me in het bijzonder wat u over mij weet in uw informatiesystemen, al dan niet in databases, inclusief e-mail, documenten op uw netwerken of spraak of andere media die u opslaat.

b. Deel me alstublieft mee in welke landen mijn persoonlijke gegevens worden opgeslagen of toegankelijk zijn. Als u gebruik maakt van cloudservices om mijn gegevens op te slaan of te verwerken, moet u de landen vermelden waar de servers zich bevinden waar mijn gegevens zich bevinden of (in de afgelopen 12 maanden) zijn opgeslagen.

c. Geef me een kopie van of toegang tot mijn persoonlijke gegevens die u hebt of verwerkt.

2. Geef me een gedetailleerde boekhouding van het specifieke gebruik dat u hebt gemaakt, maakt of zal maken van mijn persoonlijke gegevens.

3. Geef een lijst met alle derde partijen met wie u mijn persoonlijke gegevens deelt (of hebt gedeeld).

a. Als u niet met zekerheid kunt vaststellen aan welke specifieke derde partijen u mijn persoonlijke gegevens hebt verstrekt, geef dan een lijst met derde partijen aan wie u mogelijk mijn persoonlijke gegevens hebt bekendgemaakt.

b. Benoem de jurisdicties betreffende de in 1b genoemde landen waarin derden met wie u mijn persoonlijke gegevens deelt of mogelijk hebt gedeeld, waarin derden mijn gegevens hebben opgeslagen of zich mogelijk toegang tot mijn persoonlijke gegevens kunnen of konden verschaffen. Geef ook inzicht in de juridische grondslag voor het overzetten van mijn persoonlijke gegevens naar deze rechtsgebieden. Wanneer u dit hebt gedaan of doet, op basis van passende voorzorgsmaatregelen, geef daarvan dan een afschrift.

c. Daarnaast zou ik graag willen weten welke waarborgen zijn ingesteld met betrekking tot deze derden die u hebt geïdentificeerd met betrekking tot de overdracht van mijn persoonlijke gegevens.

4. Geef aan hoe lang u mijn persoonlijke gegevens bewaart en of retentie is gebaseerd op de categorie persoonlijke gegevens, geef aan hoe lang elke categorie wordt bewaard.

5. Als u bovendien persoonlijke gegevens over mij verzamelt uit een andere bron dan mijzelf, geef me dan alle informatie over deze bron, zoals bedoeld in artikel 14 van de AVG.

6. Als u geautomatiseerde beslissingen over mij neemt, inclusief profilering, al dan niet op basis van artikel 22 van de AVG, geef mij dan informatie over de basis voor de logica bij het nemen van dergelijke geautomatiseerde beslissingen, en de betekenis en de gevolgen van dergelijke verwerking.

7. Ik zou graag willen weten of mijn persoonlijke gegevens in het verleden onopzettelijk door uw bedrijf zijn bekendgemaakt of als gevolg van een inbreuk op de beveiliging of privacy.

a. Zo ja, geef dan de volgende informatie over elke en elke dergelijke schending:

ik. een algemene beschrijving van wat er gebeurde;

ii. de datum en het tijdstip van de inbreuk (of de best mogelijke schatting);

iii. de datum en tijd waarop de inbreuk werd ontdekt;

iv. de bron van de inbreuk (uw eigen organisatie of een derde aan wie u mijn persoonlijke gegevens hebt overgedragen);

v. details van mijn persoonlijke gegevens die zijn vrijgegeven;

vi. de inschatting door uw bedrijf van het risico van schade aan mijzelf als gevolg van de schending;

vii. een beschrijving van de genomen of genomen maatregelen om verdere ongeautoriseerde toegang tot mijn persoonlijke gegevens te voorkomen;

viii. contactinformatie zodat ik meer informatie en hulp kan krijgen met betrekking tot een dergelijke overtreding, en

ix. informatie en advies over wat ik kan doen om mezelf te beschermen tegen eventuele schade, waaronder identiteitsdiefstal en fraude.

b. Als u niet met zekerheid kunt zeggen of een dergelijke blootstelling heeft plaatsgevonden, moet u, door het gebruik van geschikte technologieën, aangeven welke mitigerende maatregelen u heeft genomen, zoals

ik. Versleuteling van mijn persoonlijke gegevens;

ii. Strategieën voor gegevensminimalisatie; of,

iii. Anonimisering of pseudonimisering;

iv. Elk ander middel

8. Ik zou graag willen weten wat uw informatiebeleid en normen zijn die u volgt met betrekking tot het beschermen van mijn persoonlijke gegevens, zoals of u zich houdt aan ISO27001 voor informatiebeveiliging, en meer in het bijzonder, uw praktijken met betrekking tot het volgende:

a. Laat me weten of u een back-up hebt gemaakt van mijn persoonlijke gegevens op tape, schijf of andere media en waar deze zijn opgeslagen en hoe deze zijn beveiligd, inclusief welke stappen u hebt ondernomen om mijn persoonlijke gegevens tegen verlies of diefstal te beschermen en of dit ook inhoudt encryptie.

b. Geef ook aan of u beschikt over technologie waarmee u met redelijke zekerheid weet of mijn persoonlijke gegevens zijn vrijgegeven, inclusief maar niet beperkt tot het volgende:

ik. Inbraakdetectiesystemen;

ii. Firewall-technologieën;

iii. Toegangs- en identiteitsbeheertechnologieën;

iv. Database-audit en / of beveiligingshulpmiddelen; of,

v. tools voor gedragsanalyse, analyseprogramma’s voor logboeken of audithulpmiddelen;

9. Gelieve ons met betrekking tot werknemers en aannemers te adviseren over het volgende:

a. Welke technologieën of bedrijfsprocedures hebt u om ervoor te zorgen dat personen binnen uw organisatie worden gemonitord om er zeker van te zijn dat zij niet opzettelijk of per ongeluk persoonlijke gegevens openbaar maken buiten uw bedrijf, via e-mail, webmail of instant messaging, of anderszins?

b. Hebt u omstandigheden gehad waarin werknemers of aannemers zijn ontslagen en / of strafrechtelijk zijn vervolgd voor het ongeoorloofd toegang krijgen tot mijn persoonlijke gegevens, of als u dit in de afgelopen twaalf maanden niet heeft kunnen vaststellen, van welke klant dan ook?

c. Gelieve aan te geven welke opleidings- en bewustmakingsmaatregelen u heeft genomen om ervoor te zorgen dat werknemers en contractanten toegang hebben tot mijn persoonsgegevens en deze verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming.

Alvast bedankt,

Petra R. de Vries

Geef een reactie