Hiermee wordt gedoeld op de categorie bijzondere persoonsgegevens, artikel 9 AVG. Daar zou je eventueel nog lid 2, sub b bij kunnen betrekken nu het een arbeidsrelatie betreft. Overigens zal een betrokkene ook toestemming geven voor deze verwerking, nu hij graag zijn salaris zal willen ontvangen(sub a). De verwerking is in ieder geval legitiem.
Artikel 35 stelt voorwaarden over het al dan niet moeten uitvoeren van een DPIA. lid 3, sub b verwijst hier weer naar artikel 9, waar financiele gegevens niet in zijn opgenomen. Strikt gezien lijkt de AVG in dit geval niet te verplichten dat je een DPIA uitvoert, echter kan ik niet inzien welke gegevens je precies verwerkt.

Ik denk dat deze vraag cruciaal is in deze situatie. De betrokkenen (werknemers) zijn in dit geval kwetsbare personen gezien de machtsrelatie en de mate van afhankelijkheid van de werknemer t.o.v. de werkgever.

Ik raad je aan om aritkel 35 van de AVG eens goed door te lezen, al dan niet met commentaar. Mocht je advies op jouw concrete situatie willen hebben, raad ik aan een advocaat te raadplegen.

Indien inderdaad geconcludeerd kan worden dat een DPIA dient te worden uitgevoerd, hoeft dit geen aardverschuivende onderneming te zijn. Het klinkt een stuk spannender dan het daadwerkelijk is, maar dient wel goed te worden uitgevoerd.

Eigenlijk moet iedereen een DPIA uitvoeren. De invulling er van kan nogal variëren afhankelijk omvang en situatie.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia

vul bij het volgende in:
- noodzakelijk voor de uitvoering van een overeenkomst
- noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Dat goed onderbouwen lijkt me eenvoudig. De mensen willen betaald krijgen, zonder salarisverwerking gaat dat niet.
Met de wettelijke verplichtingen gaat alles natuurlijk door naar de overheid (belastingdienst) en heb je bewaartermijnen en inzagerecht beschreven. Ik lees nergens dat je een accountant moet inschakelen voor de dpia vastlegging je moet het controleurs kunnen laten zien en je dat je er zo goed invulling aan gegeven hebt.

Dat kan nog wel eens uit de hand lopen dan, want de Regelhulp stelt:
Deze Regelhulp is bedoeld voor verwerkingsverantwoordelijken. Oftewel: voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Dus onder meer voor bedrijven, overheidsinstanties, stichtingen en kleine zelfstandigen.

Dus elke vereniging, voetbalclub, lokale tennisvereniging - whatever, moet aan het werk. En ook al hoe je niet langs een notaris, uberhaupt documenteren wat je doet en waarom kan voor veel van dit soort clubs al meer werk zijn dan waar ze op zitten te wachten.

Wordt dat GDPR niet een monster waar iedereen straks met een grote boog omheen loopt?

Als je het als een monster wilt zien wordt het een monster.
Een bontvelletje van een beer om een aardige dame is een heel andere kijk op de situatie.

Wat stelt het nu eigenlijk voor om in een huishoudelijk reglement dat even in een paar zinnetjes op te schrijven.
Dat zou voor een vereniging voldoende kunnen zijn.

Als we er een probleem van gaan maken dat je niet mag weten wie de spelers en scheidsrechter zijn, welke taken de veldmeester heeft wat te doen bij foute bezoekers/supporters dan kan je elke sociale activiteit en beroepsuitoefening direct staken. Het gaat er met de GDPR om, om een beschreven situatie te krijgen die ook werkbaar is.

Als iemand lid wordt van een vereniging dan wil je meestal weten waar hij of zij woont. Dat is een persoonsgegeven, dus als vereniging zal je aan moeten geven waarom je dat wil weten. Woonadres is tegenwoordig irrelevant voor lidmaatschap - tenminsten, bij de verenigingen waar ik lid van ben gaat alles electronisch. Adressen zouden dan eigenlijk niet meer bijgehouden moeten worden...

Volgende situatie: sportclub waarbij de pupillen een coopertest moeten lopen. Resultaten worden bijgehouden. Mag dat? Mag dat zonder toestemming? En als Pietje nou een slechte dag had, mag z'n vader dan eisen dat die resultaten worden verwijderd? En hoe zorg je ervoor dat de secretaris ook alle backups van die ene spreadsheet weggooit, of uit allemaal Piet's resultaten weghaalt? En mogelijk heeft Piet last van z'n enkel waardoor hij minder hard kan lopen - zijn dat dan medische gegevens waarvoor nog meer eisen van toepassing zijn?

Als je als clubje van 50 man aan je vrijwilligers gaat vragen om te garanderen dat alles wat je over je pupillen of je teamleden documenteert voldoet aan GDPR, je van ze verlangt dat ze kunnen aantonen dat deze data adequaat beschermd is (want oh jee - het zal maar naar buiten komen dat Piet een zwakke enkel heeft) dan zou het wel eens een stuk minder leuk kunnen worden om coach van de F-jes te zijn, of penningmeester van de kaartclub...

Ook leden van een verenging hebben een verantwoordelijkheid en zijn aansprakelijk voor hun persoonlijk handelen. Een lid dat zaken naar buiten brengt die niet naar buiten horen te gaan ka en mag daarop aangesproken worden met alle gevolgen als rechtszaken. Het is een taak van een bestuur bij zoiets op tijd in te grijpen. Je hebt helaas overal slechterikken tussen zitten. Opvallend, je noemt leden en kinderen van een vereniging waar de strengste privacy regels voor zouden moeten gelden, dacht je dat bestuursleden geen recht op privacy hebben? De GDPR is niet bedoeld om alle sociale activiteiten om zeep te helpen.

Weet je hoe je een goed bedoelde opzetten onderuit haalt? Dat is door:
- Overdreven alles letterlijk tot in het absurde door te voeren (soldaat schwejk)
- Het afzetten in een methodiek door het onbegrijpelijk te maken a la kafka.
- Te komen met kosten verhaaltjes dat jij betaalt voor een ander en er niets voor terug krijgt , zeg maar de fud.
- met onzekerheid en ongenoegen spelen dat anderen het slecht met je voor hebben en hier de oplossing is, meer fud

Jaren geleden dachten ze in Frankrijk "last" te hebben van burka's en hoofddoekjes op school. Er is toen een wet ingevoerd die het dragen van godsdienst gerelateerde zaken verbood. Iedereen blij - hoofddoekjes weg. Tot het Kerstmis werd: geen kerstboom dus, en die leuke kettinkjes met een kruisje eraan ook ineens niet mochten. Een wet ingevoerd voor probleem A bleek ineens een veel grotere invloed te hebben dan initieel gedacht.

Zo ben ik bang dat de EU in haar drang de privacy van haar burgers te garanderen ook iets te hard voor de muziek uit is gaan rennen. Dat de implicaties van het beschermen van persoonsgegevens toch iets verder reiken dan de lange armen van Google en Facebook en er (onbedoeld?) ook flinke gevolgen zullen zijn voor de gewone burger en z'n kaartclub.

Ik ben bang dat als je de wet letterlijk interpreteert (en dat zou zo horen, toch?) ook de voetbalclub de veiligheid van alle gegevens die ze van haar leden bijhoudt moet waarborgen. Inclusief het recht van leden om al die data (!!) in te mogen zien en eventueel te laten verwijderen. Dat red je niet met in een huishoudelijk reglement dat even in een paar zinnetjes op te schrijven. Als die data wat gevoeliger wordt dan een naam/adres/woonplaats en ook fysieke prestaties kunnen zijn (afstand op coopertest, blessures of allergieën, etc), word je dan als vereniging niet gedwongen om daar een draak van een systeem omheen te gaan bouwen?

Bestuurders van stichtingen en verenigingen staan gewoon ingeschreven in de KvK, en die gegevens zijn (al dan niet tegen betaling) op te vragen.

https://schrijvenonline.org/nieuws/vier-vaak-verkeerd-gebruikte-literaire-termen

Nogal opzichtig die lange tenen door je gafa geloof.
De hamlappen na het robbertje zijn er niet minder om.

Niks met lange tenen en 'gafa geloof' (wat is dat eigenlijk?) te maken. Je etaleert je domheid met het verkeerd gebruiken van referenties aan o.a. Kafka. Daar trigger ik op.

Update: ach ik zie het al, GAFA staat zeker voor Google, Amazon, Facebook en Apple. Maar daarin ontbreekt Linux en met Facebook en Apple heb ik niets. En wat heeft dit met geloof te maken? De zoveelste blinde kanonskogel die je afschiet.

https://www.trouw.nl/samenleving/-wapen-u-tegen-de-almacht-van-google-amazon-facebook-en-apple-~add600ba/

Dat ging over kerststallen, niet over kerstbomen. In Frankrijk werd de scheiding tussen kerk en staat gebruikt om islamitische religieuze symbolen uit te bannen bij de overheid, en dan moet je niet raar staan te kijken dat iemand die prinicipieel seculier is naar de rechter stapt om erop te wijzen dat een kerststal ook een religieus symbool is. Roepen dat dat traditie is (wat is gebeurd) maakt het nog geen seculiere traditie. En een rechter die de wet letterlijk en prinicipieel interpreteert (en dat zou zo horen, toch? ;-) ) kan niet anders dan besluiten dat wat voor de een geldt ook voor de ander geldt. Dat bleek niet opeens, dat was volkomen voorspelbaar.

Dat komt omdat het perspectief van de wetgeving privacybescherming van burgers is. Maakt het voor de schade van een lek werkelijk zoveel uit wie het heeft gelekt? Nee? Dan moet die vereniging er ook aan geloven.

Ik denk dat die vereniging vooral gedwongen wordt te beseffen waar men mee bezig is. Ik denk dat het probleem eerder is dat men moet snappen welke eisen er aan de gegevensopslag en -verwerking gesteld worden en genoeg van informatietechnologie om dat waar te kunnen maken. Draken van systemen zullen vooral voortkomen uit gebrek aan kennis daarover. Bedenk dat recht op inzage en verwijderen van gegevens niet betekent dat dat allemaal via een online-interface geregeld moet kunnen worden, men kan met iets veel minder uitgebreids aan de eisen voldoen, en vermoedelijk nog makkelijker ook.

De pijn zal hem vooral zitten in het lekprikken van de illusie dat je zonder enige kennis van zaken ICT kan inzetten en dat het dan alleen maar voordelen oplevert. Sinds de jaren '90 zijn computers en software verkocht alsof je wel met de lusten maar niet met de lasten te maken krijgt, en dat lijkt me niet meer houdbaar nu de verantwoordelijkheden die je ermee aangaat steeds nadrukkelijker geregeld en gehandhaafd worden.

In de herhaling: Nogal opzichtig die lange tenen door je gafa geloof. De hamlappen na het robbertje zijn er niet minder om.
Nogal triest om je eigen onkunde zo te etaleren door af te geven op anderen. Zodra het op open source en Linux aan komt worden die eksterogen van je geraakt.

Zou best eens aardig zijn om de hele stack van hardware os de vele middleware inclusief dbms en netwerken tot applicatie dwh en big data inhoudelijk en met de interne politiek in grotere organisaties met je door te nemen. Ik geloof niets van dat je in dat scala er iets van op een rijtje hebt. Deze track gaat over de GDPR met een DPO ofwel FG niet iets wat bij gangbare nerds zo tussen de oren komt. BIA DPIA ISO27k het is een gangbare weerstand m dat in techniek vertaald te krijgen.

Leuk geprobeerd maar de aandacht afleiden van je domheid werkt niet.


Ik hecht geen enkele waarde aan de mening van een papieren tijger met een afkortingenfetisj.

Geen haar op mijn hoofd die eraan denkt om nog meer van mijn tijd te gaan verspillen aan het met jou doornemen van jouw vermeende kennis. (Zie hieronder voor een verslag van eerdere pogingen.)

Net zo'n monster als andere regels waar we ons aan dienen te houden. Loopt men er met een grote boog omheen, dan moet men rekening houden met het risico van behoorlijke boetes. Niet erg verstandig.

Met de voeten in de modder hecht ik geen waarde aan gelovige die zo nodig anderen moet overtuigen maar zelfs niets kan.
Ooit een quote van fons jansen "Mensen die alles zeker weten beliegen zichzelf." Met jouw zekerheden kun al zijn quotes afgaan op zoek naar de dominee die andere de les leest maar zelf de weg niet.volgt. Heb je ooit een wegzwijzer naar zijn bestemming zien gaan?

Dat je de praktijkervaring in de grotere omgevingen als papieren onzin wil afdoen toch wel sneu voor een zolderkamerhobbyist.

Goed... Ik ga even af op de klinkklare onzin die je hier herhaaldelijk hebt gepubliceerd. En waar je door diverse personen meermaals op bent gewezen. Dat suggereert zeker geen 'praktijkervaring in de grotere omgevingen'. Eerder domheid gecombineerd met een opgeblazen ego.