De AVG – wat staat er in en wat moet ik doen?

Karin van der Meer is information security analyst bij IonIT

De Algemene Verordening Gegevensbescherming, de AVG, of op zijn Engels de GDPR: er zijn al internetpagina’s vol over geschreven. De datum 25 mei 2018 staat in ons geheugen gegrift (toch?). Ik vraag mij dus af wat ik hier dan aan toe kan voegen, genoeg experts zou je zo denken? Nou na het volgen van de Training tot Data Protection Officer denk ik daar anders over. Want naast nuttige zaken wordt er ook enige onzin over geschreven en is er veel bangmakerij. We hebben tenslotte al de huidige verordening voor gegevensbescherming en de meldplicht datalekken, u zou dus al redelijk op de rit moeten zitten. De kans dat AVG sterker nageleefd gaat worden is groter dan dat dit nu is, dus belangrijker dat u aan de wetgeving voldoet. En ik durf te zeggen: ik acht de kans vrij klein dat u dat op dit moment doet….

Wil ik u dan toch ook bang gaan maken? Nee hoor geen zorgen, bang worden is nergens voor nodig maar bewust worden wel. En tja u zult tenslotte ook actie moeten gaan ondernemen.

In deze blog wil ik graag beginnen met een aantal feiten, een paar begrippen uit de AVG die van belang zijn en de verplichtingen en rechten van de diverse partijen. Deze informatie is verder uitgewerkt in een whitepaper die u hier kunt downloaden.

Wat is wat

Laten we eerst bij de basis beginnen en even een paar begrippen toelichten. Ik zal u hierbij de officiële AVG tekst besparen en het in leesbaardere taal proberen uitleggen. Benieuwd naar de officiële AVG tekst? Bekijk hem dan hier.

Persoonsgegevens: elk gegeven van een levend persoon die op welke manier (direct of indirect) terug herleid kan worden tot deze persoon. Dit kan door unieke kenmerken (bijv NAW) maar ook door single out, dus als je iemand uniek uit een groep kan halen. Denk hierbij ook aan een IP adres of een cookie. Let hierbij op dat pseudonieme gegevens volgens de wet nog steeds gezien worden als persoonsgegevens, pseudonimisering is alleen een beveiligingsmaatregel.

Bijzondere persoonsgegevens: Gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Verwerken Persoonsgegevens. Onder het verwerken van persoonsgegevens wordt verstaan: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, afschermen, wissen of vernietigen van persoonsgegevens.

De AVG ziet een aantal rollen, het is handig om deze te kennen zodat u weet of uw organisatie een verantwoordelijke of verwerker is. Beide kan natuurlijk ook.

  • Verwerkingsverantwoordelijke (voorheen de verwerker genoemd): De persoon of organisatie die het doel en de middelen van de gegevensverwerking vaststelt.
  • Verwerker (voorheen de bewerker genoemd): De persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  • Betrokkene: De persoon van wie de persoonsgegevens verwerkt worden.

Wanneer mag ik persoonsgegevens verwerken?

“Mag ik dan helemaal niets meer op slaan?” is een vraag die ik vaak hoor. Geen zorgen, met de juiste grondslag is verwerking van persoonsgegevens rechtmatig. Een grondslag kan bijvoorbeeld zijn dat er toestemming van de betrokkene is, dat het nodig is om de wetgeving na te leven, of dat verwerking noodzakelijk is voor de uitvoering, zoals een webwinkel die NAW gegevens nodig heeft voor het versturen van het pakket.

Betrokkene informeren

En als u dan de persoonsgegevens van de betrokkene verzameld dient u deze bepaalde informatie te verstrekken zoals de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, de ontvangers van de persoonsgegevens, de periode dat de persoonsgegevens opgeslagen worden en recht op inzage.

Verplichtingen van de verwerkingsverantwoordelijke

Er zijn een aantal zaken waaraan de verwerkingsverantwoordelijke moet voldoen:

  • Gegevensbeschermingsbeleid opstellen
  • Passende technische en organisatorische maatregelen nemen
  • Register van verwerkingsactiviteiten maken
  • Gegegevensbeschermingseffectbeoordeling
  • Functionaris Gegevensbescherming opstellen
  • Melding van eventuele inbreuk melden

Deze verplichtingen zijn niet altijd van toepassing. In de whitepaper heb ik ze verder uitgewerkt zodat u iets meer inzicht hierin krijgt. Eentje licht ik wel kort toe omdat daar veel vragen over zijn: het aanstellen van een Functionaris Gegevensbescherming. Dit is in elk geval nodig bij:

  • Overheidsinstanties en publieke organisaties.
  • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.

Verplichtingen van de verwerker

Als er een verwerker wordt ingeschakeld dient deze ook de juiste technische en organisatorische maatregelen te nemen. En de verwerking wordt geregeld in een overeenkomst of andere rechtsbehandeling. Ook de verwerker heeft een aantal verplichtingen waar hij aan moet doen, die deels overeenkomen met die van de verwerkingsverantwoordelijke.

Aan de slag

Na het lezen van de hoofdpunten uit de nieuwe privacy wetgeving heeft u wellicht gemerkt dat er in uw bedrijf nog aardig wat stappen te nemen heeft zoals documenteren en informeren. Nu we de ‘droge stof’ gehad hebben ga ik in mijn volgende blog verder in op de praktische zaken en het beveiligen van uw data. Want dat is, vanuit mijn rol binnen een bedrijf dat zich bezig houdt met informatieveiligheid, mijn doel. Veilige data zodat alle betrokken partijen zich met een gerust hart kunnen storten op het werk waar het echt om gaat.

Karin van der Meer is information security analyst bij IonIT

2 Responses to De AVG – wat staat er in en wat moet ik doen?

  1. […] mijn vorige blog schreef ik over de feiten en verplichtingen van de AVG. U kunt deze hier teruglezen. In deze blog ga ik de praktische vertaling hiervan maken. Want waar moet u […]

  2. Richard Pruim schreef:

    Goed verwoord en prima whitepaper.

    Misschien interessant om te vermelden dat de aanstelling van een FG niet is gebonden aan bedrijfsgrootte zoals onterecht wel eens wordt opgemerkt. Het gaat echt om soort data en aard van verwerking. Zelfs een ZZP kan in bepaalde gevallen een beroep moeten doen op een FG, eventueel vanuit een branche organisatie. Maar het aanstellen van een FG is ook interessant in verband met aanwezige kennis en het gegeven dat de Autoriteit zich dan terughoudender opstelt.

    Andere opmerking. Met betrekking tot het verwerkingsregister wordt vaak aangedragen dat conform overweging 13 dit in principe alleen voor bedrijven vanaf 250 medewerkers is. Echter artikel 30 lid 5 bepaalt duidelijk dat er bewijsvoering/vastlegging moet zijn. De kans op een uitzonderingspositie is zeer klein. Dus ook in dit geval is een verwerkingsregister bijna altijd verplicht, ongeacht grootte. Zie dit niet als noodzakelijk kwaad maar als een middel die duidelijk inzicht verschaft in verwerking van persoonsgegevens. Van processen wordt elke organisatie beter.

    Ik mis trouwens nog erg vaak het verplichte privacy-statement op websites waar persoonsgegevens worden verwerkt, bijvoorbeeld door het verzamelen van contactinformatie. En die verplichting is niet nieuw…

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *