Belangrijke begrippen
Per 25 mei 2018 is de General Data Protection Regulation (GDPR) / Algemene verordening gegevensbescherming (AVG) van toepassing. Binnen de de GDPR/AVG draait het onder andere om persoonsgegevens, personen, betrokkene, verwerker en verwerkingsverantwoordelijke, maar wat betekenen deze begrippen precies? Hier onder zullen de belangrijkste begrippen uit de GDPR/AVG wetgeving worden behandeld.
Persoonsgegevens zijn onder andere de naam, adres, e-mailadres, foto’s, etc. Oftewel alles waarmee een persoon/burger geïdentificeerd kan worden.
Wat is het verschil tussen reguliere persoonsgegevens en bijzondere persoonsgegevens?
Reguliere persoonsgegevens: De volgende gegevens kunnen persoonsgegevens zijn, wanneer ze (op zichzelf of in combinatie met andere gegevens) tot een persoon te herleiden zijn: NAW gegevens, leeftijd, klantnummer, telefoonnummer, e-mail adres, IP adres, bank gegevens en videobeelden.
Bijzondere persoonsgegevens: In beginsel is het verwerken van bijzondere persoonsgegevens niet toegestaan. Denk aan: etnische afkomst, godsdienst of geloofsovertuiging, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond, biometrische gegevens, genetische gegevens, BSN*
(* het is nog onduidelijk hoe onder de AVG aan dit gegeven invulling wordt gegeven)
Personen/burgers zijn binnen humanwave bijvoorbeeld de gebruiker, een medewerker, een gedetacheerde, een relatie, een betrokkene, etc.
Betrokkene is de geïdentificeerde of identificeerbare natuurlijke persoon, waarop de gegevens betrekking hebben.
Verwerker is de partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. humanwave is een verwerker.
Verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. U bent als klant van humanwave B.V. de verwerkingsverantwoordelijke.
Rechten van personen/burgers Met de GDPR/AVG krijgen betrokkenen meer zeggenschap over hun persoonsgegevens. Binnen humanwave kunt u een aantal rechten reeds uitoefenen. Zo kunt u de betrokkenen inzage geven in het dossier en documenten kunnen worden verwijdert wanneer dit van toepassing is. Doordat betrokkenen inzicht hebben in het dossier, kan rectificatie en aanvulling door betrokkenen aangegeven worden, zodat u tot verwerking hiervan kunt overgaan.
Belangrijke verplichtingen Iedere organisatie dient in ieder geval aan de volgende drie GDPR/AVG verplichtingen te voldoen:
1. Organisaties moeten op een begrijpelijke manier communiceren over hoe data verzameld en verwerkt wordt.
2. Organisaties moeten persoonsgegevens kunnen verwijderen (Recht om vergeten te worden) als de persoon dit vraagt, maar alleen als er geen geldig tegenargument gegeven kan worden.
3. Organisaties zijn verplicht een datalek (Meldplicht bij datalekken) te melden binnen 72 uur, tenzij u kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
In de maand mei heeft onze collega Joan iedere dag een post op LinkedIn geplaatst omtrent de GDPR/AVG. We hebben de posts hier onder gebundeld.
1 mei
De bescherming van je persoonsgegevens is een grondrecht. Dit recht wordt met de GDPR/AVG wetgeving per 25 mei 2018 versterkt. Waarom deze nieuwe wetgeving? Omdat de Europese privacy richtlijnen uit 1995 verouderd zijn.
2 mei
Iedere organisatie moet zorgvuldig omgaan met persoonsgegevens. Dat weten we inmiddels. Maar wist je dat die gegevens niet primair van de organisatie zijn die ze heeft verzameld maar van de persoon over wie de gegevens gaan.
3 mei
Een van de doelen van de GDPR/AVG is om de betrokkenen meer rechten te geven over hun eigen persoonsgegevens. Mensen moeten in vrijheid kunnen beschikken over hun gegevens en beslissen wat ze, wanneer, hoe en met wie willen delen. Oftewel in de GDPR/AVG draait het primair om persoonsgegevens en de verwerking hiervan.
4 mei
Als het primair gaat over de verwerking van de persoonsgegevens met welke beginselen heb je dan te maken? De GDPR/AVG spreekt over 7 basisbeginselen: transparantie, doelbinding, dataminimalisatie, juistheid, bewaar beperking, integriteit & vertrouwelijkheid en verantwoording. Ik zal in de komende posts iedere dag een basisbeginsel aan de orde laten komen.
5 mei
Basisbeginsel Transparantie: de persoon, ook wel betrokkene genoemd, van wie er gegevens verwerkt worden, is op de hoogte en kent zijn of haar rechten. Met andere woorden, het is jouw taak om klanten of anderen (ook medewerkers) van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met verzamelde gegevens gegevens gebeurt.
6 mei
Basisbeginsel Doelbinding: de persoonsgegevens worden voor een bepaald doel verwerkt en deze mogen niet opeens voor een heel ander doel verwerkt worden. Wanneer iemand je om persoonsgegevens vraagt, moet je weten met welk concreet en specifiek doel hij of zij dat vraagt, omgekeerd is dit natuurlijk ook het geval.
7 mei
Basisbeginsel Dataminimalisatie: alleen de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld. De GDPR/AVG gebruikt de woorden ‘toereikend’, ‘terzake dienend’ en ‘beperkt tot wat noodzakelijk is voor het doel waarvoor ze worden verwerkt’. Zullen we daar aan moeten wennen?
8 mei
Basisbeginsel Juistheid: de persoonsgegevens moeten correct zijn en kloppend blijven. Het in eerste instantie verzamelen van persoonsgegevens is één maar het update (actueel) houden vergt meer inspanningen. Wist je dit en heb je hier al een procedure voor in stelling gebracht?
9 mei
Basisbeginsel Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel. Om problemen te voorkomen is het belangrijk om te weten dat je de privacyrechten van betrokkenen niet zonder meer kunt uitoefenen omdat je moet voldoen aan de belastingwetgeving. Wanneer een werknemer aangeeft dat hij of zij geanonimiseerd wil worden terwijl hij of zij bij je in dienst is, moet je dit verzoek weigeren. Immers voor het voeren van een juiste salarisadministratie is dit een vereiste.
10 mei
Basisbeginsel Integriteit & Vertrouwelijkheid: de persoonsgegevens moeten worden beschermd tegen inzage door onbevoegden, verlies of vernietiging. Kort gezegd houdt dit in dat de verwerking van de persoonsgegevens voldoende beveiligd moet zijn.
11 mei
Basisbeginsel Verantwoording: de verantwoordelijke moet kunnen aantonen dat wordt voldaan aan de bepalingen van de GDPR/AVG. De GDPR/AVG legt meer verantwoordelijkheid bij je als organisatie om aan te tonen dat je aan de privacy regels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht. Zie hiervoor ook mijn post #1.
12 mei
Als organisatie mag je persoonsgegevens verwerken wanneer je moet voldoet aan: het doen van loonaangiften, het nodig is voor de uitvoering van de arbeidsovereenkomst of leaseovereenkomst, je een gerechtvaardigd belang dient (het voeren van de personeels- & salarisadministratie), het noodzakelijk is voor de bescherming van vitale belangen ( denk aan het doorgeven van een naam van een medewerker aan politie/brandweer/ziekenhuispersoneel in geval van een ongeval). En het nodig is voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
13 mei
Leg gegevensverwerking vast. Wat voor persoonsgegevens zijn het, met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard? Breng in kaart hoe er in je organisatie met persoonsgegevens wordt omgegaan en op welke grondslag de gegevens worden verzameld (en of die grondslag nog wel voldoet). Met de GDPR/AVG heb je als organisatie immers een register- en documentatieplicht.
14 mei
Er zijn 7(!) privacyrechten die uitgevoerd kunnen worden. Zonder geldig tegenargument moet je hier aan kunnen voldoen.
1. Recht op vergetelheid: je hebt het recht om online ‘vergeten’ te worden. 2. Recht op dataportabiliteit: je hebt het recht om je persoonsgegevens over te dragen. 3. Recht op inzage: dit is het recht om de persoonsgegevens die organisaties van je verwerken in te zien. 4. Recht op rectificatie: dit is het recht om de persoonsgegevens die organisaties van je verwerken te laten aanpassen of aanvullen. 5. Recht op beperking van de verwerking: je hebt het recht om organisaties te vragen om het gebruik van je persoonsgegevens te beperken. 6. Recht bij geautomatiseerde besluitvorming en profilering: dit betekent dat je het recht hebt op een menselijke blik bij besluiten die over jou gaan. 7. Recht op bezwaar: je hebt het recht om bezwaar te maken tegen de gegevensverwerking. Ga er maar vanuit dat mensen zullen vragen naar de uitoefening van deze rechten. Maar denk eerst goed na voordat je overgaat tot actie.
15 mei
Dit heb je vast al gedaan of toch niet? Maak intern duidelijk wat de nieuwe privacyregels inhouden en welke invloed die hebben op de huidige processen, diensten en goederen die je als organisatie levert. Medewerkers moeten weten dat klanten waarvan persoonsgegevens worden verwerkt, meer en verbeterde privacy rechten krijgen.
16 mei
Heb je aan je klanten je aangepaste privacy beleid al bekend gemaakt? Praktisch elke organisatie moet zijn privacyverklaring herzien. Deze moet niet alleen meer gedetailleerde informatie bevatten, maar ook in begrijpelijke taal zijn geschreven. De tekst moet toegankelijk en eenvoudig geschreven zijn als deze bijvoorbeeld op kinderen gericht is. En zijn je Algemene Voorwaarden nog up to date genoeg?
17 mei
Vandaag moet ik toch een uitzondering maken. Dit is een lange post omdat deze relevant is en ik merk dat niet iedereen hier goed van op de hoogte is: de Meldplicht Datalekken.
Voordat ik deze ga behandelen wil ik je eerst drie voorbeelden geven van inbreuken rondom persoonsgegevens die een datalek kunnen inhouden: 1.Verlies/diefstal van een laptop, tablet of smartphone. 2. Het versturen van een e-mail naar een verkeerd e-mailadres (persoon) 3. Een ransomware-aanval waardoor de data niet meer benaderbaar is op een device.
Wat kun je nu het beste doen wanneer er sprake is van een van 3 bovengenoemde voorbeelden? Stel een procedure op voor het verwerken en rapporteren van datalekken. Je hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet je een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Je moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. Zie ook de beleidsregels op de website van de Autoriteit Persoonsgegevens.
18 mei
Wat is de zwakste schakel als het gaat om de GDPR/AVG wetgeving? De zwakste schakel zijn de medewerkers zelf. Ja, dit is echt waar! Van ondernemers wordt verwacht dat zij hun personeel bewust maken over de veiligheid van informatie. Een ondernemer is verplicht zijn medewerkers te voorzien van de juiste middelen om tijdens het uitvoeren van de werkzaamheden de informatieveiligheid in stand te houden. Wat je kunt doen is instructies geven als het gaat om wachtwoord management, het vergrendelen van computers/laptops, het tegen gaan van meelezen van persoonlijke data, het werken in open ruimtes, documenten op bureau’s en wachtwoordmanagers.
19 mei
Je moet je voornemens nu toch bijna gaan omzetten naar gewoontes. Niet alleen jij maar de gehele organisatie. Ben je / zijn jullie al zover? Wanneer je kunt aantonen dat je goed bezig bent bij een controle dan hoef je niet direct voor een boete te vrezen.
20 mei
Wist je dat er nog veel onduidelijkheid bestaat over de regels uit de AVG? Weet dat deze worden onderkent door de Autoriteit Persoonsgegevens en onze Overheid.
21 mei
De GDPR/AVG wetgeving concentreert zich met name op de privacy. Maar de technologie ontwikkelt zich veel sneller dan dat de wetgevers kunnen bijhouden. De GDPR/AVG levert in ieder geval een eerste goede stap op voor de Europese burgers. Een ding wat zeker is, er zullen er nog meer regels gaan volgen. We zijn nog niet klaar voordat we moeten beginnen…
22 mei
De GDPR/AVG is een Europese verordening. Toch was het nodig om een aantal zaken in de Nederlandse wet te regelen om de verordening eenduidig in werking te kunnen laten treden. Deze Uitvoeringswet AVG regelt zaken die specifiek voor Nederland van toepassing zijn.
Een voorbeeld is de positie van de Autoriteit Persoonsgegevens bij de handhaving van de wet. Verder geeft de wet een specifieke invulling aan de bepalingen in de algemene verordening over verwerking van bijzondere persoonsgegevens. Ten slotte is de uitvoeringswet nodig om de bestaande Wet bescherming persoonsgegevens (Wbp) in te trekken.
22 mei
Vanaf vrijdag zal de Overheid de regels uit de GDPR/AVG gaan handhaven.
De Autoriteit Persoonsgegevens is belast met de toezicht op de naleving en handhaving van de regels uit de AVG. Geen paniek, er zullen niet direct boetes volgen.
23 mei
Weet dat de consequenties van serieuze hacks vaak vele maten groter zijn dan het verkrijgen van een boete ook al wordt deze niet direct opgelegd. Heb je daar je maatregelen al op getroffen?
24 mei
De Autoriteit Persoonsgegevens zal zich de eerste jaren vooral inzetten op het geven van voorlichting en het bijsturen van organisaties. Dit zal anders zijn als onomstotelijk sprake is van ernstige misstanden bij een organisatie.
25 mei
Vanaf vandaag heb je niet langer meer te maken met de privacy eisen uit de Wet bescherming persoonsgegevens (WBP) maar met de Algemene Verordening Gegevensbescherming (AVG). Veel plezier met de uitoefening hiervan. Het gaat vast goed komen.