Bij privacy en security denk je waarschijnlijk direct aan de algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking is getreden. De privacywet is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). In heel de Europese Unie geldt dezelfde privacywetgeving, waar ook organisaties buiten de EU zich aan moeten houden als zij actief zijn op de Europese markt.

 

Alles wat je moet weten over de privacywet

 

Afkortingen

Als je te maken hebt (of krijgt) met de privacywet kom je regelmatig afkortingen tegen. De meest voorkomende en de betekenis daarvan zijn:

  • AVG – Algemene Verordening Gegevensbescherming
  • DPA – Data Privacy Agreement -of- Data Protection Authority
  • DPIA – Data Protection Impact Assessment
  • DPO – Data Privacy Officer
  • EC – Europese Commissie
  • EEA – European Economic Area
  • EU – Europese Unie
  • FG – Functionaris Gegevensbescherming
  • GDPR – General Data Protection Regulation

Aandachtspunten voor organisaties

De privacywet legt nadruk op de verantwoordelijkheid van organisaties om aan te tonen dat zij zich aan de AVG houden. Deze verantwoordingsplicht vertaalt zich in:

Bewustwording

Zorg ervoor dat medewerkers binnen jouw organisatie op de hoogte zijn van de privacyregels. Zij moeten inschatten wat de impact van de AVG is op huidige processen, diensten en goederen en waar de risico’s liggen. Bedenk dat de privacywaakhond sancties kan opleggen van 20 miljoen euro of 4% van de wereldwijde omzet als de privacywetgeving overtreden wordt.

Privacy by design

Privacy by design houdt in dat al bij het ontwerpen van producten en diensten wordt gezorgd zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat niet meer gegevens worden verzameld dan noodzakelijk voor het doel van de verwerking en gegevens niet langer worden bewaard dan nodig.

Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Denk bijvoorbeeld aan:

  • De event app niet de locatie van gebruikers registreert als dat niet nodig is
  • In het registratieformulier het veld ‘Ja, ik wil nieuwsbrieven ontvangen’ niet vooraf is aangevinkt
  • Niet meer gegevens te vragen in het registratieformulier dan noodzakelijk voor de organisatie van het event
Toestemming

Voor sommige gegevensverwerkingen is toestemming nodig van de consument. De AVG stelt strenge eisen aan die toestemming. Zo moet bijvoorbeeld kunnen worden aangetoond dat geldige (en actieve) toestemming is verkregen om iemands persoonsgegevens te verwerken. En dat het voor consumenten net zo makkelijk moet zijn om eerder gegeven toestemming in te trekken als om die te geven.

Rechten van consumenten

Consumenten hebben veel privacyrechten, dus zorg ervoor dat zij deze goed kunnen uitoefenen. Denk daarbij aan het recht op inzage, correctie en verwijdering. Maar houd ook rekening met het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat consumenten hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie.

Overzicht verwerkingen

Als organisatie heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de privacywet handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Je kan het register ook nodig hebben als consumenten hun privacyrechten uitoefenen. Documenteer welke gegevens je verwerkt, met welk doel je dit doet, wat de oorsprong is van deze gegevens en met wie ze worden gedeeld.

Verwerkersovereenkomst

Wanneer de gegevensverwerking wordt uitbesteedt aan een verwerker moeten de contracten hiervoor toereikend en conform de AVG zijn. Contracten worden veelal aangevuld met een Verwerkersovereenkomst, ook bekend onder de Engelse naam: Data Processing Agreement.

Functionaris Gegevensbescherming

Organisaties kunnen verplicht zijn een functionaris gegevensbescherming aan te stellen, ook bekend onder de Engelse naam: Data Privacy Officer. Vrijwillig een functionaris voor de gegevensverwerking aanstellen mag natuurlijk altijd.

Data Protection Impact Assessment

Jouw organisatie kan verplicht zijn een zogeheten Data Protection Impact Assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen die risico’s te verkleinen. Je moet een DPIA uitvoeren als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt.

Komt uit een DPIA naar voren dat de beoogde verwerking een hoog risico oplevert en lukt het niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de toezichthoudende autoriteit overleggen voordat met de verwerking wordt gestart.

Meldplicht datalekken

De AVG stelt strenge eisen aan de registratie van datalekken die zich bij een organisatie hebben voorgedaan. Alle datalekken moeten worden gedocumenteerd, zodat de toezichthouder kan controleren of organisaties aan de meldplicht hebben voldaan.

Heb je vragen, opmerkingen of suggesties over de maatregelen die wij nemen op het vlak privacy en security? Neem contact op via privacy@halito.com.

 

 

Vind je dit onderwerp interessant?

Dan word je zeker enthousiast van de volgende tips: