Evert | 15 februari 2018
In april 2017 hebben we al een artikel geplaatst over de komst van de nieuwe wetgeving rondom de verwerking van persoonsgegevens: de GDPR (General Data Protection Regulation), of AVG (Algemene Verordering Gegevensbescherming) in het Nederlands. Inmiddels is het 2018 en zijn we nog maar een paar maanden verwijderd van de nieuwe wetgeving die van kracht wordt op 25 mei. Ter voorbereiding op de komst van de AVG hebben wij de afgelopen periode flink onze kennis bijgespijkerd over dit onderwerp om onze klanten goed te kunnen helpen om met ons aan de wet te kunnen voldoen. Wat moet er dan precies gebeuren?
Dataminimalisatie
De AVG is in het leven geroepen om de rechten van personen op het gebied van privacy te verbeteren en organisaties bewuster om te laten gaan met het opslaan en verwerken van persoonsgegevens. Het is dus belangrijk om binnen de organisatie na te gaan welke informatie er van personen opgeslagen wordt. Daarbij moet steeds de vraag gesteld worden of de gegevens nodig zijn om de bedrijfsvoering mogelijk te maken. Een manier om hiermee om te gaan is dataminimalisatie: verzamel zo min mogelijk data, in ieder geval niet meer dan nodig is om te verzamelen. Specifieker gezegd: zo min mogelijk gegevens die een identificeerbaar natuurlijk persoon betreffen.
Technologische beveiliging
Als er sprake is van gegevensverwerking, moet er goed worden nagedacht over de technologische bescherming van deze gegevens. Dit is onderdeel van het concept Privacy by Design. Dit houdt in dat bij de ontwikkeling van nieuwe producten of diensten ten eerste aandacht besteed wordt aan privacyverhogende maatregelen. Hier wordt de hulp van ByYourSite geregeld voor ingeschakeld, omdat er vaak privacygevoelige informatie gedeeld moet worden via online kanalen.
Informeren en toestemming verkrijgen
Zodra er persoonsgegevens van iemand worden verzameld, moet de betrokkene daar goed over geïnformeerd worden. De betrokken persoon waar gegevens van worden opgeslagen moet weten wat het doel van de gegevensverwerking is en op de hoogte gebracht worden van de rechten die hij heeft:
Ook moet er expliciet toestemming worden gegeven door de betrokkene om gegevens te verzamelen, in combinatie met het doel van het verzamelen van deze gegevens. Zo kunnen winkels prima gegevens over hun klanten verzamelen, maar mogen die gegevens niet gebruikt worden om bijvoorbeeld aan verzekeraars door te verkopen zolang daar geen toestemming voor gegeven is.
Functionaris voor de Gegevensbescherming
Het als organisatie voldoen aan de AVG klinkt spannender dan het is. De wet bescherming persoonsgegevens bestaat immers al, inclusief een meldplicht van datalekken. De Autoriteit Persoonsgegevens gaat met de komst van de AVG wel beter toezicht houden en er kan sneller een boete volgen als er niet op de juiste wijze met persoonsgegevens wordt omgegaan.
Een manier om hier zelf toezicht op te houden is het instellen van een Functionaris voor de Gegevensbescherming (FG). De FG ziet er binnen de organisatie op toe dat de AVG wordt nageleefd. Er wordt geïnventariseerd welke persoonsgegevens worden bijgehouden, waarom ze bijgehouden worden, voor hoe lang, wat de beveiligingsmaatregelen zijn en potentiële risico’s. Documentatie hierover moet te alle tijde actueel inzicht geven. Daarnaast behandeld de FG vragen of klachten hierover. Tevens is de FG verantwoordelijk voor het melden van datalekken. Het hebben van een FG en het bijhouden van het register is niet voor alle organisaties verplicht, maar de autoriteit persoonsgegevens is iets terughoudender met controles tegenover organisaties met een FG.
Tot slot
Het klinkt dus misschien moeilijk zo’n nieuwe wet met hoge boetes. Maar zodra personen waar gegevens over worden verzameld goed geïnformeerd worden, deze toestemming geven voor de gegevensverwerking én als de betrokken organisatie bijhoudt wat het doel is van de gegevensverwerking, dan zijn we al een heel eind. Wil je meer informatie over technologische mogelijkheden en de beveiliging van online systemen? Neem dan contact met ons op!
050 588 54 50 | info@byyoursite.nl