De AVG – wat staat er in en wat moet ik doen?

  1. 29 jun 2017
  2. 0 reacties
Foto (2)

De Algemene Verordening Gegevensbescherming, de AVG, of op zijn Engels de GDPR: er zijn al internetpagina’s vol over geschreven. De datum 25 mei 2018 staat in ons geheugen gegrift (toch?). Ik vraag mij dus af wat ik hier dan aan toe kan voegen, genoeg experts zou je zo denken? Nou na het volgen van de Training tot Data Protection Officer denk ik daar anders over. Want naast nuttige zaken wordt er ook enige onzin over geschreven en is er veel bangmakerij. We hebben tenslotte al de huidige verordening voor gegevensbescherming en de meldplicht datalekken, u zou dus al redelijk op de rit moeten zitten. De kans dat AVG sterker nageleefd gaat worden is groter dan dat dit nu is, dus belangrijker dat u aan de wetgeving voldoet. En ik durf te zeggen: ik acht de kans vrij klein dat u dat op dit moment doet….

Wil ik u dan toch ook bang gaan maken? Nee hoor geen zorgen, bang worden is nergens voor nodig maar bewust worden wel. En tja u zult tenslotte ook actie moeten gaan ondernemen.

In deze blog wil ik graag beginnen met een aantal feiten, een paar begrippen uit de AVG die van belang zijn en de verplichtingen en rechten van de diverse partijen. Deze informatie is verder uitgewerkt in een whitepaper die u hier kunt downloaden.

Wat is wat

Laten we eerst bij de basis beginnen en even een paar begrippen toelichten. Ik zal u hierbij de officiële AVG tekst besparen en het in leesbaardere taal proberen uitleggen. Benieuwd naar de officiële AVG tekst? Bekijk hem dan hier.

Persoonsgegevens: elk gegeven van een levend persoon die op welke manier (direct of indirect) terug herleid kan worden tot deze persoon. Dit kan door unieke kenmerken (bijv NAW) maar ook door single out, dus als je iemand uniek uit een groep kan halen. Denk hierbij ook aan een IP adres of een cookie. Let hierbij op dat pseudonieme gegevens volgens de wet nog steeds gezien worden als persoonsgegevens, pseudonimisering is alleen een beveiligingsmaatregel.

Bijzondere persoonsgegevens: Gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Verwerken Persoonsgegevens. Onder het verwerken van persoonsgegevens wordt verstaan: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, afschermen, wissen of vernietigen van persoonsgegevens.

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    De AVG ziet een aantal rollen, het is handig om deze te kennen zodat u weet of uw organisatie een verantwoordelijke of verwerker is. Beide kan natuurlijk ook.

    • Verwerkingsverantwoordelijke (voorheen de verwerker genoemd): De persoon of organisatie die het doel en de middelen van de gegevensverwerking vaststelt.
    • Verwerker (voorheen de bewerker genoemd): De persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
    • Betrokkene: De persoon van wie de persoonsgegevens verwerkt worden.

    Wanneer mag ik persoonsgegevens verwerken?

    “Mag ik dan helemaal niets meer op slaan?” is een vraag die ik vaak hoor. Geen zorgen, met de juiste grondslag is verwerking van persoonsgegevens rechtmatig. Een grondslag kan bijvoorbeeld zijn dat er toestemming van de betrokkene is, dat het nodig is om de wetgeving na te leven, of dat verwerking noodzakelijk is voor de uitvoering, zoals een webwinkel die NAW gegevens nodig heeft voor het versturen van het pakket.

    Betrokkene informeren

    En als u dan de persoonsgegevens van de betrokkene verzameld dient u deze bepaalde informatie te verstrekken zoals de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, de ontvangers van de persoonsgegevens, de periode dat de persoonsgegevens opgeslagen worden en recht op inzage.

    Verplichtingen van de verwerkingsverantwoordelijke

    Er zijn een aantal zaken waaraan de verwerkingsverantwoordelijke moet voldoen:

    • Gegevensbeschermingsbeleid opstellen
    • Passende technische en organisatorische maatregelen nemen
    • Register van verwerkingsactiviteiten maken
    • Gegegevensbeschermingseffectbeoordeling
    • Functionaris Gegevensbescherming opstellen
    • Melding van eventuele inbreuk melden

    Deze verplichtingen zijn niet altijd van toepassing. In de whitepaper heb ik ze verder uitgewerkt zodat u iets meer inzicht hierin krijgt. Eentje licht ik wel kort toe omdat daar veel vragen over zijn: het aanstellen van een Functionaris Gegevensbescherming. Dit is in elk geval nodig bij:

    • Overheidsinstanties en publieke organisaties.
    • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
    • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.
  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    Verplichtingen van de verwerker

    Als er een verwerker wordt ingeschakeld dient deze ook de juiste technische en organisatorische maatregelen te nemen. En de verwerking wordt geregeld in een overeenkomst of andere rechtsbehandeling. Ook de verwerker heeft een aantal verplichtingen waar hij aan moet doen, die deels overeenkomen met die van de verwerkingsverantwoordelijke.

    Aan de slag

    Na het lezen van de hoofdpunten uit de nieuwe privacy wetgeving heeft u wellicht gemerkt dat er in uw bedrijf nog aardig wat stappen te nemen heeft zoals documenteren en informeren. Nu we de ‘droge stof’ gehad hebben ga ik in mijn volgende blog verder in op de praktische zaken en het beveiligen van uw data. Want dat is, vanuit mijn rol binnen een bedrijf dat zich bezig houdt met informatieveiligheid, mijn doel. Veilige data zodat alle betrokken partijen zich met een gerust hart kunnen storten op het werk waar het echt om gaat.

    Karin van der Meer is information security analyst bij IonIT

    Meer over
    Lees ook
    AVG demonstreert privacybril die gezichtsherkenning moet voorkomen

    AVG demonstreert privacybril die gezichtsherkenning moet voorkomen

    Met behulp van gezichtsherkenning is het mogelijk mensen nauwkeurig te identificeren. De technologie is tegenwoordig beschikbaar op allerlei mobiele apparaten zoals smartphones, waardoor gebruikers overal het risico lopen met behulp van gezichtsherkenning herkend te worden. Voor wie dit niet wil is er nu een oplossing: de privacybril. AVG heeft op1

    AVG neemt Location Labs over

    AVG neemt Location Labs over

    Het beveiligingsbedrijf AVG neemt Location Labs over, een leverancier van mobile device management (MDM)-oplossingen en mobiele beveiligingstechnologie. De producten van Location Labs worden naar verwachting opgenomen in de bestaande portfolio van AVG. Met de overname wil AVG zijn positie op de markt voor mobiele security versterken. Deze markt mo1