De AVG – wat staat er in en wat moet ik doen?

  1. 29 jun 2017
  2. 0 reacties
Foto (2)

De Algemene Verordening Gegevensbescherming, de AVG, of op zijn Engels de GDPR: er zijn al internetpagina’s vol over geschreven. De datum 25 mei 2018 staat in ons geheugen gegrift (toch?). Ik vraag mij dus af wat ik hier dan aan toe kan voegen, genoeg experts zou je zo denken? Nou na het volgen van de Training tot Data Protection Officer denk ik daar anders over. Want naast nuttige zaken wordt er ook enige onzin over geschreven en is er veel bangmakerij. We hebben tenslotte al de huidige verordening voor gegevensbescherming en de meldplicht datalekken, u zou dus al redelijk op de rit moeten zitten. De kans dat AVG sterker nageleefd gaat worden is groter dan dat dit nu is, dus belangrijker dat u aan de wetgeving voldoet. En ik durf te zeggen: ik acht de kans vrij klein dat u dat op dit moment doet….

Wil ik u dan toch ook bang gaan maken? Nee hoor geen zorgen, bang worden is nergens voor nodig maar bewust worden wel. En tja u zult tenslotte ook actie moeten gaan ondernemen.

In deze blog wil ik graag beginnen met een aantal feiten, een paar begrippen uit de AVG die van belang zijn en de verplichtingen en rechten van de diverse partijen. Deze informatie is verder uitgewerkt in een whitepaper die u hier kunt downloaden.

Wat is wat

Laten we eerst bij de basis beginnen en even een paar begrippen toelichten. Ik zal u hierbij de officiële AVG tekst besparen en het in leesbaardere taal proberen uitleggen. Benieuwd naar de officiële AVG tekst? Bekijk hem dan hier.

Persoonsgegevens: elk gegeven van een levend persoon die op welke manier (direct of indirect) terug herleid kan worden tot deze persoon. Dit kan door unieke kenmerken (bijv NAW) maar ook door single out, dus als je iemand uniek uit een groep kan halen. Denk hierbij ook aan een IP adres of een cookie. Let hierbij op dat pseudonieme gegevens volgens de wet nog steeds gezien worden als persoonsgegevens, pseudonimisering is alleen een beveiligingsmaatregel.

Bijzondere persoonsgegevens: Gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Verwerken Persoonsgegevens. Onder het verwerken van persoonsgegevens wordt verstaan: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, afschermen, wissen of vernietigen van persoonsgegevens.

  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    De AVG ziet een aantal rollen, het is handig om deze te kennen zodat u weet of uw organisatie een verantwoordelijke of verwerker is. Beide kan natuurlijk ook.

    • Verwerkingsverantwoordelijke (voorheen de verwerker genoemd): De persoon of organisatie die het doel en de middelen van de gegevensverwerking vaststelt.
    • Verwerker (voorheen de bewerker genoemd): De persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
    • Betrokkene: De persoon van wie de persoonsgegevens verwerkt worden.

    Wanneer mag ik persoonsgegevens verwerken?

    “Mag ik dan helemaal niets meer op slaan?” is een vraag die ik vaak hoor. Geen zorgen, met de juiste grondslag is verwerking van persoonsgegevens rechtmatig. Een grondslag kan bijvoorbeeld zijn dat er toestemming van de betrokkene is, dat het nodig is om de wetgeving na te leven, of dat verwerking noodzakelijk is voor de uitvoering, zoals een webwinkel die NAW gegevens nodig heeft voor het versturen van het pakket.

    Betrokkene informeren

    En als u dan de persoonsgegevens van de betrokkene verzameld dient u deze bepaalde informatie te verstrekken zoals de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, de ontvangers van de persoonsgegevens, de periode dat de persoonsgegevens opgeslagen worden en recht op inzage.

    Verplichtingen van de verwerkingsverantwoordelijke

    Er zijn een aantal zaken waaraan de verwerkingsverantwoordelijke moet voldoen:

    • Gegevensbeschermingsbeleid opstellen
    • Passende technische en organisatorische maatregelen nemen
    • Register van verwerkingsactiviteiten maken
    • Gegegevensbeschermingseffectbeoordeling
    • Functionaris Gegevensbescherming opstellen
    • Melding van eventuele inbreuk melden

    Deze verplichtingen zijn niet altijd van toepassing. In de whitepaper heb ik ze verder uitgewerkt zodat u iets meer inzicht hierin krijgt. Eentje licht ik wel kort toe omdat daar veel vragen over zijn: het aanstellen van een Functionaris Gegevensbescherming. Dit is in elk geval nodig bij:

    • Overheidsinstanties en publieke organisaties.
    • Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
    • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.
  • style="display:block; text-align:center;"
  • data-ad-layout="in-article"
  • data-ad-format="fluid"
  • data-ad-client="ca-pub-5864911685514813"

    • data-ad-slot="6770830282">

    Verplichtingen van de verwerker

    Als er een verwerker wordt ingeschakeld dient deze ook de juiste technische en organisatorische maatregelen te nemen. En de verwerking wordt geregeld in een overeenkomst of andere rechtsbehandeling. Ook de verwerker heeft een aantal verplichtingen waar hij aan moet doen, die deels overeenkomen met die van de verwerkingsverantwoordelijke.

    Aan de slag

    Na het lezen van de hoofdpunten uit de nieuwe privacy wetgeving heeft u wellicht gemerkt dat er in uw bedrijf nog aardig wat stappen te nemen heeft zoals documenteren en informeren. Nu we de ‘droge stof’ gehad hebben ga ik in mijn volgende blog verder in op de praktische zaken en het beveiligen van uw data. Want dat is, vanuit mijn rol binnen een bedrijf dat zich bezig houdt met informatieveiligheid, mijn doel. Veilige data zodat alle betrokken partijen zich met een gerust hart kunnen storten op het werk waar het echt om gaat.

    Karin van der Meer is information security analyst bij IonIT

    Meer over
    Lees ook
    Datalek door ransomware alleen melden omdat de verzekering het eist – dure grap

    Datalek door ransomware alleen melden omdat de verzekering het eist – dure grap

    Bedrijf B in Oostenrijk wordt op 6 maart 2023 platgelegd door ransomware. Alle data is versleuteld, het bedrijf doet hiervan melding bij de politie en de verzekering. Die twee stappen klinken logisch, maar het is onvoldoende.

    GDPR: precies op tijd of alweer achterhaald?

    GDPR: precies op tijd of alweer achterhaald?

    Jakub Lewandowski, legal director en global data governance officer bij Commvault, kijkt terug op wat de GDPR de EU heeft gebracht en blikt vooruit op de uitdagingen die er nog liggen.

    Woningcorporatie Plavei houdt klantgegevens veilig met Zivver

    Woningcorporatie Plavei houdt klantgegevens veilig met Zivver

    Zivver, leider op het gebied van veilige communicatie-oplossingen, maakt bekend dat woningcorporatie Plavei heeft gekozen voor Zivver, hierdoor kunnen 55 medewerkers op een veilige wijze vertrouwelijke informatie mailen naar huurders en externe partijen. Plavei is een vooruitstrevende woningcorporatie die veel waarde hecht aan het voldoen aan de A1