1. Munisense Klantenservice
  2. FAQ
  3. Veelgestelde Vragen

Munisense en de Algemene Verordening Gegevensbescherming (AVG) (GDPR)

Support -

Samenvatting

Dit document beschrijft de verantwoordelijkheden van klanten van Munisense bij het gebruik van meetoplossingen die persoonsgegevens kunnen verwerken. U bent als klant de verwerkingsverantwoordelijke en dient te zorgen voor naleving van de AVG, het informeren van betrokkenen en het implementeren van passende beveiligingsmaatregelen. Een belangrijke vereiste is dat u een geldige grondslag heeft voor het verwerken van persoonsgegevens.

Munisense treedt op als verwerker en verwerkt gegevens uitsluitend in opdracht van klanten. Onze taken omvatten de beveiliging van gegevens, het naleven van de verwerkersovereenkomst en ondersteuning bij AVG-verplichtingen. We verwerken geen bijzondere persoonsgegevens en vragen klanten om ervoor te zorgen dat dergelijke gegevens niet worden aangeboden via ons platform.

Het document behandelt ook de verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren wanneer een verwerking een hoog privacyrisico met zich meebrengt. Daarnaast wordt uitgelegd hoe te handelen bij datalekken en welke stappen ondernomen moeten worden bij een incident.

Tot slot wordt de verwerkersovereenkomst besproken, waarin de verantwoordelijkheden en verplichtingen tussen u als klant en Munisense worden vastgelegd. Heeft u vragen over privacy en gegevensbescherming, dan kunt u terecht bij uw accountmanager, de helpdesk of de privacy- en security officer van Munisense.

Inleiding

Munisense biedt geavanceerde meetoplossingen voor geluids- en watermetingen in de openbare ruimte. Deze oplossingen kunnen privacygevoelige gegevens verwerken, zoals audio-opnamen en geluidsdrukmetingen die informatie over individuen kunnen bevatten. Ook worden er aanmeld gegevens van gebruikers en locatiegegevens van installaties in ons platform opgeslagen: ook deze gegevens bevatten mogelijk persoonlijke informatie.

Het is essentieel dat u als klant op de hoogte bent van uw verantwoordelijkheden onder de Algemene Verordening Gegevensbescherming (AVG) en hoe Munisense hierin ondersteunt.​

Uw verantwoordelijkheid als verwerkingsverantwoordelijke

Volgens de AVG bent u als klant de verwerkingsverantwoordelijke voor de gegevens die met onze meetoplossingen worden verzameld. Dit betekent dat u verantwoordelijk bent voor:

  • Het naleven van de AVG bij het verwerken van persoonsgegevens;

  • Het hebben van een geldige grondslag voor de verwerking van persoonsgegevens;

  • Het correct informeren van betrokkenen over de gegevensverwerking;

  • Het implementeren van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen;

  • Het uitvoeren van een Data Protection Impact Assessment (DPIA) indien dit vereist is.

Wat is een grondslag?

Een grondslag is de juridische basis waarop een organisatie persoonsgegevens mag verwerken. De AVG erkent zes grondslagen:

  1. Toestemming – De betrokkene heeft expliciet toestemming gegeven voor de verwerking.

  2. Overeenkomst – De verwerking is noodzakelijk voor de uitvoering van een contract.

  3. Wettelijke verplichting – De verwerking is nodig om te voldoen aan een wettelijke verplichting.

  4. Vitaal belang – De verwerking is noodzakelijk om iemands leven of gezondheid te beschermen.

  5. Algemeen belang of openbaar gezag – De verwerking is nodig voor een taak van algemeen belang of uitoefening van openbaar gezag.

  6. Gerechtvaardigd belang – De verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen, mits de privacy van betrokkenen niet zwaarder weegt.

Als klant moet u bepalen op welke grondslag u zich baseert bij de verwerking van gegevens via onze meetoplossingen. Zonder een geldige grondslag is verwerking niet toegestaan onder de AVG.

Gerechtvaardigd Belang

Een van de grondslagen voor het verwerken van persoonsgegevens is gerechtvaardigd belang. Dit betekent dat een organisatie een legitiem belang heeft bij de verwerking van persoonsgegevens, mits dit belang zwaarder weegt dan de rechten en vrijheden van de betrokkenen. Dit is een veelgebruikte grondslag wanneer er geen expliciete toestemming van de betrokkene is, en de verwerking niet direct voortvloeit uit een contract of wettelijke verplichting.

De drie voorwaarden voor gerechtvaardigd belang

Volgens de AVG moet een organisatie aan drie voorwaarden voldoen om zich te kunnen beroepen op gerechtvaardigd belang:

  1. Doelstelling (gerechtvaardigd belang aantonen)

    • De organisatie moet een daadwerkelijk en legitiem belang hebben bij de verwerking. Dit belang kan bijvoorbeeld economisch, administratief of veiligheidsgerelateerd zijn.

    • Voorbeelden hiervan zijn fraudepreventie, netwerkbeveiliging, direct marketing of het verbeteren van producten en diensten.

  2. Noodzakelijkheid

    • De verwerking moet noodzakelijk zijn om het gerechtvaardigd belang te dienen. Dit betekent dat het doel niet op een minder ingrijpende manier kan worden bereikt.

    • Er moet worden gekeken naar alternatieven die mogelijk minder impact hebben op de privacy van betrokkenen.

  3. Belangenafweging (proportionaliteit en subsidiariteit)

    • De belangen van de organisatie moeten worden afgewogen tegen de rechten en vrijheden van de betrokkenen.

    • Hierbij spelen factoren zoals de aard van de gegevens, de mate van impact en de redelijke verwachtingen van de betrokkenen een rol.

    • De organisatie moet kunnen onderbouwen waarom haar belang zwaarder weegt dan de privacy van de betrokkenen.

Onderbouwing en documentatieplicht

Het gebruik van gerechtvaardigd belang als grondslag vereist een zorgvuldig opgestelde belangenafweging. Dit wordt vaak vastgelegd in een Legitimate Interest Assessment (LIA), waarin wordt beschreven:

  • Wat het gerechtvaardigd belang is en waarom het noodzakelijk is.

  • Waarom minder ingrijpende alternatieven niet volstaan.

  • Hoe de rechten van betrokkenen worden beschermd en gewaarborgd.

Deze documentatie kan nodig zijn om aan te tonen dat de verwerking in overeenstemming is met de AVG, bijvoorbeeld bij controles door de Autoriteit Persoonsgegevens.

Informatieverstrekking aan betrokkenen

Als een organisatie persoonsgegevens verwerkt op basis van gerechtvaardigd belang, moeten de betrokkenen hierover worden geïnformeerd. Dit gebeurt meestal via een privacyverklaring waarin wordt uitgelegd:

  • Wat het gerechtvaardigd belang is.

  • Welke gegevens worden verwerkt.

  • Hoe betrokkenen bezwaar kunnen maken tegen de verwerking.

Let op: Als een betrokkene bezwaar maakt tegen de verwerking op basis van gerechtvaardigd belang, moet de organisatie dit bezwaar serieus beoordelen en, tenzij er dwingende legitieme gronden zijn, stoppen met de verwerking.

De rol van Munisense als verwerker

Munisense fungeert als verwerker van de gegevens die via onze meetoplossingen worden verzameld. Onze verantwoordelijkheden omvatten:​

  • Gegevensbeveiliging: Zorg dragen voor de beveiliging van de verwerkte gegevens.​

  • Naleving verwerkersovereenkomst: Handelen conform de afspraken in de verwerkersovereenkomst.​

  • Het implementeren van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen.

  • Ondersteuning bij AVG-verplichtingen: Assisteren van klanten bij het voldoen aan hun verplichtingen onder de AVG.​

Privacy- en Security Officer bij Munisense

Naast uw accountmanager en onze helpdesk, beschikt Munisense over een privacy- en security officer die u kan ondersteunen bij complexe vragen rondom gegevensbescherming en informatieveiligheid. Deze functionaris heeft diepgaande kennis van de AVG en helpt klanten bij:

  • Het interpreteren van de AVG en hoe deze van toepassing is op uw specifieke situatie.

  • Advies over verwerkersovereenkomsten en hoe u uw verantwoordelijkheden als verwerkingsverantwoordelijke kunt invullen.

  • Ondersteuning bij DPIA’s, inclusief de beoordeling of een DPIA noodzakelijk is en hoe deze opgesteld moet worden.

  • Security-gerelateerde vragen, zoals gegevensbeveiliging en risicoanalyses binnen de meetoplossingen van Munisense.

Onze privacy- en security officer werkt nauw samen met uw organisatie en eventuele privacy- en securitymedewerkers binnen uw bedrijf. Heeft u specifieke vragen? Neem dan contact met ons op, zodat we u gericht kunnen ondersteunen.

Bijzondere persoonsgegevens

Munisense wil geen bijzondere persoonsgegevens verwerken. Dit betekent dat gegevens zoals ras, etniciteit, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, genetische en biometrische gegevens, gezondheidsgegevens of gegevens over iemands seksuele geaardheid niet mogen worden verwerkt via ons platform. Klanten dienen ervoor te zorgen dat zij geen dergelijke gegevens aanbieden in onze meetoplossingen, conform de AVG-regelgeving.

Datalekken

Een datalek ontstaat wanneer persoonsgegevens onbedoeld verloren gaan, ongeautoriseerd worden ingezien of openbaar worden gemaakt. Dit kan bijvoorbeeld gebeuren door een cyberaanval, een verkeerd geadresseerde e-mail of een menselijke fout.

Datalekken kunnen zowel bij de verwerkingsverantwoordelijke (de klant) als bij de verwerker (Munisense) ontstaan. Het is daarom essentieel dat beide partijen passende maatregelen nemen om de kans op een datalek te minimaliseren en adequaat te reageren wanneer een datalek zich voordoet.

Indien er sprake is van een datalek, is het belangrijk om:

  1. Het incident direct te melden bij Munisense en uw interne verantwoordelijke voor gegevensbescherming.

  2. De aard en impact van het lek te analyseren om te bepalen welke gegevens zijn getroffen.

  3. Maatregelen te nemen om verdere schade te beperken, zoals het intrekken van toegang of het informeren van betrokkenen.

  4. Te bepalen of er een meldplicht geldt bij de Autoriteit Persoonsgegevens en de betrokkenen, indien er een hoog risico bestaat voor de privacy van individuen.

Munisense werkt actief mee aan het analyseren en beperken van de gevolgen van een datalek en ondersteunt u bij de benodigde stappen om aan de AVG-verplichtingen te voldoen

Verwerkersovereenkomst

Een verwerkersovereenkomst is een juridisch document waarin de verantwoordelijkheden en verplichtingen van zowel de verwerkingsverantwoordelijke (de klant) als de verwerker (Munisense) worden vastgelegd. Dit document is verplicht volgens de AVG wanneer een organisatie een andere partij inschakelt om persoonsgegevens te verwerken. Hieronder staan de belangrijkste onderdelen die in een verwerkersovereenkomst kunnen worden opgenomen:

Onze algemene voorwaarden bevatten standaard een verwerkersovereenkomst. Indien gewenst, kunnen we een alternatieve verwerkersovereenkomst opstellen die beter aansluit bij uw specifieke situatie.​ Mogelijk heeft uw organisatie een standaard verwerkingsovereenkomst of een overeenkomst die is goedgekeurd door de overheid of uw vakorganisatie. Wij beoordelen uw overeenkomst en teken deze als er geen uitzonderlijke bepalingen bevat.

Inhoud van een verwerkersovereenkomst

  1. Partijen

    • De namen en contactgegevens van de verwerkingsverantwoordelijke en de verwerker.

    • Eventueel de betrokken subverwerkers indien van toepassing.

  2. Doel en aard van de verwerking

    • Een duidelijke omschrijving van de soorten persoonsgegevens die verwerkt worden.

    • Het doel van de gegevensverwerking en hoe de verwerker de gegevens verwerkt.

    • De categorieën betrokkenen (bijv. klanten, medewerkers, burgers).

  3. Duur van de verwerking

    • De periode waarin de persoonsgegevens worden verwerkt.

    • Regels omtrent beëindiging en verwijdering van gegevens.

  4. Verplichtingen van de verwerker (Munisense)

    • Gegevens alleen verwerken op instructie van de verwerkingsverantwoordelijke.

    • Naleving van de technische en organisatorische beveiligingsmaatregelen.

    • Geheimhoudingsplicht voor medewerkers die toegang hebben tot de gegevens.

  5. Beveiligingsmaatregelen

    • Specificatie van maatregelen zoals encryptie, toegangsbeheer en back-ups.

    • Procedures voor het melden en afhandelen van datalekken.

  6. Rechten van betrokkenen

    • De verplichting om te helpen bij verzoeken van betrokkenen (inzage, correctie, verwijdering).

  7. Meldplicht bij datalekken

    • De verplichting voor de verwerker om datalekken direct te melden bij de verwerkingsverantwoordelijke.

    • De procedure voor het vastleggen en onderzoeken van een datalek.

  8. Subverwerkers

    • De voorwaarden waaronder subverwerkers mogen worden ingeschakeld.

    • De verplichting dat subverwerkers aan dezelfde beveiligingsvoorwaarden moeten voldoen.

  9. Audits en controle

    • De mogelijkheid voor de verwerkingsverantwoordelijke om audits uit te voeren.

    • Hoe vaak en onder welke voorwaarden een audit plaatsvindt.

  10. Aansprakelijkheid en schadevergoeding

    • Afspraken over aansprakelijkheid bij overtredingen of datalekken.

    • Financiële gevolgen en mogelijke boetes.

  11. Beëindiging van de overeenkomst

    • Regels over verwijdering of teruglevering van de gegevens bij beëindiging.

  12. Toepasselijk recht en geschillenbeslechting

    • Jurisdictie en rechtskeuze bij conflicten.

Aanvullende bepalingen

  • Verwijzing naar de algemene voorwaarden, indien de verwerkingsovereenkomst hierin is opgenomen.

  • Eventuele specifieke afspraken per klant of project, zoals extra beveiligingseisen of maatwerk in verwerking.

Een goed opgestelde verwerkersovereenkomst zorgt ervoor dat beide partijen voldoen aan de AVG en duidelijkheid hebben over hun verantwoordelijkheden.

Data Protection Impact Assessment (DPIA)

Een DPIA is een beoordeling van de privacyrisico's van een gegevensverwerking en helpt bij het nemen van passende maatregelen om deze risico’s te beperken. Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Dit kan bijvoorbeeld het geval zijn bij grootschalige monitoring in de openbare ruimte.

Een DPIA omvat:

  1. Een beschrijving van de gegevensverwerking en het doel ervan;

  2. Een beoordeling van de noodzaak en proportionaliteit van de verwerking;

  3. Een analyse van de privacyrisico’s voor betrokkenen;

  4. Maatregelen om deze risico’s te minimaliseren.

Wanneer voert u een DPIA uit?

Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Dit is bijvoorbeeld het geval bij:​

  • Grote schaal verwerking van bijzondere persoonsgegevens.

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking, inclusief profilering.​

  • Systematische en grootschalige monitoring van openbaar toegankelijke ruimtes.​

Waarom voert u een DPIA uit?

Het uitvoeren van een DPIA zorgt ervoor dat u:​

  • Risico's identificeert: Inzicht krijgt in potentiële privacyrisico's voor betrokkenen.​

  • Maatregelen treft: Passende maatregelen kunt nemen om deze risico's te mitigeren.​

  • Compliance aantoont: Kunt aantonen dat uw organisatie voldoet aan de AVG.​

Voor wie is een DPIA bedoeld?

Een DPIA is bedoeld voor organisaties die persoonsgegevens verwerken met een hoog risico voor de privacy van betrokkenen. Het is een intern document dat u helpt bij het waarborgen van privacy en hoeft niet te worden goedgekeurd door een privacytoezichthouder. Echter, als er na de DPIA nog steeds hoge risico's bestaan die niet kunnen worden gemitigeerd, dient u de Autoriteit Persoonsgegevens te raadplegen voordat u met de verwerking start.

Praktische vorm van een DPIA-document

Een DPIA bestaat uit de volgende hoofdstukken:

  1. Inleiding en doel

    • Korte beschrijving van waarom de DPIA wordt uitgevoerd.

    • Welke gegevensverwerkingen worden geanalyseerd.

  2. Beschrijving van de gegevensverwerking

    • Soort persoonsgegevens die worden verwerkt.

    • Doel en grondslag van de verwerking.

    • Hoe en door wie de gegevens worden verwerkt.

  3. Beoordeling van de noodzaak en proportionaliteit

    • Waarom de verwerking noodzakelijk is.

    • Alternatieven die mogelijk minder impact hebben op de privacy.

  4. Identificatie en beoordeling van privacyrisico’s

    • Welke risico’s kunnen er ontstaan voor betrokkenen?

    • Wat zijn de mogelijke gevolgen voor de privacy?

  5. Beveiligingsmaatregelen en risicobeperking

    • Welke technische en organisatorische maatregelen worden genomen om risico’s te beperken?

    • Eventuele versleuteling, pseudonimisering of toegangsbeperkingen.

  6. Conclusie en aanbevelingen

    • Samenvatting van de belangrijkste bevindingen.

    • Eventuele aanvullende acties om risico’s verder te beperken.

  7. Goedkeuring en follow-up

    • Wie de DPIA heeft uitgevoerd en goedgekeurd.

    • Wanneer en hoe de DPIA wordt geëvalueerd en bijgewerkt.

Een DPIA is een intern document en hoeft niet te worden goedgekeurd door een privacyautoriteit. Alleen als er rest-risico’s blijven bestaan die niet kunnen worden weggenomen, moet de Autoriteit Persoonsgegevens worden geraadpleegd voordat de verwerking start

Munisense is bereid om samen met u te kijken naar de noodzaak en opzet van een DPIA en kan ondersteuning bieden bij de uitvoering ervan.

Ondersteuning en Vragen

Wij begrijpen dat niet elke organisatie uitgebreide kennis heeft van de AVG en privacywetgeving. Binnen uw organisatie is mogelijk een privacy- of security officer aangesteld die u verder kan helpen met privacyvraagstukken. Daarnaast denken wij graag met u mee over de juiste voorwaarden voor privacybewust meten in de buitenruimte.​

Heeft u vragen of wenst u ondersteuning bij het inrichten van uw privacybeleid met betrekking tot onze meetoplossingen? Neem dan gerust contact met ons op.​

Hebt u meer vragen? Een aanvraag indienen

0 Opmerkingen

Artikel is gesloten voor opmerkingen.