Tip van de week: Data het nieuwe goud deel 3

Gepubliceerd op 10 maart 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

In ons tweede artikel van de serie "Data, het nieuwe goud" hebben we vastgesteld dat het van cruciaal belang is om gegevens goed te beveiligen in de digitale wereld. Om dit te bereiken moeten organisaties verschillende maatregelen nemen, zoals het beperken van de toegang tot gegevens en het opstellen van een noodplan voor het geval er iets misgaat. Bovendien is het van groot belang om te voldoen aan de AVG-wetgeving wanneer je persoonlijke gegevens van anderen beheert. Maar wat is de AVG en wat zegt deze wetgeving hierover?

Wat is de AVG?

De AVG (Algemene Verordening Gegevensbescherming) is een Europese privacywet die op 25 mei 2018 in werking is getreden. De wet regelt hoe organisaties persoonsgegevens moeten verzamelen, verwerken, opslaan en beschermen van EU-burgers. De AVG heeft als doel om de privacy van individuen te beschermen en hun rechten op het gebied van gegevensbescherming te versterken.

De AVG heeft betrekking op alle organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht waar deze organisaties gevestigd zijn. Dit betekent dat organisaties wereldwijd zich aan de AVG moeten houden als ze persoonsgegevens van EU-burgers verwerken.

Organisaties moeten onder andere transparant zijn over welke gegevens zij verzamelen, waarom zij deze gegevens verzamelen en hoe zij deze gegevens verwerken en beveiligen. Ook hebben individuen het recht om hun persoonsgegevens in te zien, te laten wijzigen of te laten verwijderen.

Organisaties die zich niet aan de AVG houden, kunnen hoge boetes opgelegd krijgen.

Wat zegt de AVG wetgeving over Gegevensbescherming?

De AVG-wetgeving stelt verschillende eisen aan de bescherming van persoonsgegevens, waaronder:

  1. Verwerking van persoonsgegevens: De verwerking van persoonsgegevens moet rechtmatig, eerlijk en transparant zijn. Dit betekent dat organisaties een legitieme reden moeten hebben om persoonsgegevens te verzamelen, en dat zij deze gegevens alleen mogen gebruiken voor het specifieke doel waarvoor ze zijn verzameld.

  2. Toestemming: Organisaties moeten toestemming vragen van de betrokkene (de persoon van wie de persoonsgegevens worden verwerkt) voordat zij persoonsgegevens mogen verwerken. De toestemming moet vrijwillig, specifiek en informeel zijn en kan op elk moment worden ingetrokken.

  3. Rechten van betrokkenen: De AVG geeft betrokkenen verschillende rechten met betrekking tot hun persoonsgegevens, zoals het recht op inzage, het recht op rectificatie, het recht om te worden vergeten, het recht op beperking van de verwerking, het recht op gegevensoverdracht en het recht om bezwaar te maken tegen de verwerking van hun gegevens.

  4. Beveiliging van persoonsgegevens: Organisaties moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies of vernietiging, en ongeautoriseerde toegang, wijziging of verspreiding.

  5. Meldplicht datalekken: Organisaties moeten een datalek binnen 72 uur melden bij de toezichthoudende autoriteit en de betrokkenen, als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.

  6. Verwerkersovereenkomsten: Als een organisatie persoonsgegevens laat verwerken door een derde partij, bijvoorbeeld een IT-bedrijf, dan moet er een verwerkersovereenkomst worden gesloten waarin de verantwoordelijkheden van de derde partij worden vastgelegd.

Organisaties moeten zich aan deze eisen houden om te voldoen aan de AVG-wetgeving.

Ik heb gegevens van derden, hoe pak ik het aan om te voldoen aan de AVG wetgeving?

Als je gegevens van derden verwerkt, moet je ervoor zorgen dat je voldoet aan de AVG-wetgeving. Hier zijn een aantal stappen die je kunt volgen om aan de AVG te voldoen:

  1. Inventariseer welke gegevens je verwerkt: Maak een overzicht van welke persoonsgegevens je verwerkt, waarom je deze gegevens verwerkt en met wie je deze gegevens deelt.

  2. Stel een register van verwerkingsactiviteiten op: Dit is een document waarin je de verwerkingen van persoonsgegevens beschrijft en bijhoudt.

  3. Zorg voor een juridische basis voor verwerking: Er zijn verschillende juridische grondslagen waarop je de verwerking van persoonsgegevens kunt baseren. Bijvoorbeeld toestemming van de betrokkenen, noodzakelijkheid voor de uitvoering van een overeenkomst, wettelijke verplichting of gerechtvaardigd belang.

  4. Informeer de betrokkenen: Informeer de betrokkenen over welke persoonsgegevens je verwerkt, waarom je deze gegevens verwerkt en met wie je deze gegevens deelt. Dit moet gebeuren via een privacyverklaring of via andere geschikte communicatiekanalen.

  5. Zorg voor passende technische en organisatorische maatregelen: Dit zijn maatregelen die je neemt om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, zoals het beveiligen van de IT-infrastructuur en het trainen van personeel.

  6. Maak afspraken met derden: Als je persoonsgegevens deelt met derden, maak dan afspraken over hoe zij met deze gegevens omgaan. Dit kan bijvoorbeeld in een verwerkersovereenkomst.

  7. Registreer datalekken: Als er een datalek plaatsvindt, registreer dan wat er is gebeurd en neem de nodige maatregelen om verdere schade te voorkomen.

Door deze stappen te volgen, kun je ervoor zorgen dat je voldoet aan de AVG-wetgeving bij het verwerken van persoonsgegevens van derden.

Waar moet ik nog opletten om te voldoen aan de AVG wetgeving?

Naast de stappen die ik eerder heb genoemd, zijn er nog enkele belangrijke zaken waar je op moet letten om te voldoen aan de AVG-wetgeving:

  1. Data minimization: Verzamel alleen de persoonsgegevens die noodzakelijk zijn voor het doel waarvoor je ze verwerkt. Verzamel dus niet meer gegevens dan nodig is.

  2. Data retention: Bewaar de persoonsgegevens niet langer dan nodig is voor het doel waarvoor je ze verwerkt. Zorg dat je een bewaartermijn vaststelt en de gegevens daarna veilig verwijdert.

  3. Privacy by design and default: Houd bij het ontwerpen van systemen en processen al rekening met de bescherming van persoonsgegevens. Stel standaard privacy-instellingen in en zorg dat gegevensbeveiliging een integraal onderdeel is van je ontwerpproces.

  4. Gegevensbeschermingseffectbeoordeling (DPIA): Als je persoonsgegevens verwerkt die een hoog risico vormen voor de privacy van betrokkenen, voer dan een DPIA uit. Dit is een proces waarin je de gegevensverwerking beoordeelt op mogelijke privacyrisico's en passende maatregelen neemt om deze risico's te beperken.

  5. Functionaris voor de gegevensbescherming (FG): Als je een overheidsinstantie bent of als je regelmatig en op grote schaal persoonsgegevens verwerkt, moet je een FG aanstellen. De FG is verantwoordelijk voor het toezicht houden op de gegevensbescherming binnen de organisatie.

  6. Internationale gegevensoverdracht: Als je persoonsgegevens buiten de Europese Economische Ruimte (EER) wilt overdragen, moet je ervoor zorgen dat er voldoende waarborgen zijn voor de bescherming van de gegevens. Dit kan bijvoorbeeld door gebruik te maken van goedgekeurde contractuele clausules of door te werken met organisaties die zich aan het EU-US Privacy Shield houden.

Het is belangrijk om regelmatig te evalueren of je nog steeds aan de AVG-wetgeving voldoet en om de nodige maatregelen te nemen als dat niet het geval is.

Wie zou me hiermee kunnen helpen?

Er zijn verschillende partijen die je kunnen helpen om te voldoen aan de AVG-wetgeving:

  1. Juridische adviseurs: Juridische adviseurs kunnen je helpen bij het opstellen van privacyverklaringen, verwerkersovereenkomsten en andere juridische documenten die nodig zijn voor de naleving van de AVG.

  2. IT-consultants: IT-consultants kunnen je helpen bij het beveiligen van je IT-infrastructuur en bij het implementeren van technische maatregelen om de bescherming van persoonsgegevens te waarborgen.

  3. Privacy consultants: Privacy consultants zijn gespecialiseerd in privacy en gegevensbescherming en kunnen je helpen bij het uitvoeren van een DPIA, het opstellen van privacybeleid en het implementeren van privacy-maatregelen.

  4. Data Protection Officer (DPO): Als je een DPO aanstelt, kan deze persoon je helpen bij het opstellen en implementeren van privacy-beleid, het uitvoeren van een DPIA en het monitoren van de naleving van de AVG binnen de organisatie.

Het is belangrijk om te kiezen voor een partij die past bij jouw organisatie en die ervaring heeft met de AVG-wetgeving. Bespreek daarom je behoeften en verwachtingen met de partijen waar je interesse in hebt en vraag om referenties of certificaten.

Wat moet nu concreet als eerste doen?

Als eerste stap zou ik je aanraden om een inventarisatie te maken van de persoonsgegevens die je verwerkt. Maak een overzicht van welke persoonsgegevens je verwerkt, waarom je deze gegevens verwerkt en met wie je deze gegevens deelt. Dit is een belangrijke eerste stap omdat het je helpt om een goed beeld te krijgen van de omvang van de persoonsgegevens die je verwerkt en de risico's die hiermee gepaard gaan.

Vervolgens kun je nagaan of je een juridische basis hebt voor de verwerking van deze persoonsgegevens. Bijvoorbeeld toestemming van de betrokkenen, noodzakelijkheid voor de uitvoering van een overeenkomst, wettelijke verplichting of gerechtvaardigd belang. Als je geen juridische basis hebt voor de verwerking, dan moet je deze verwerking stopzetten.

Als je eenmaal in kaart hebt gebracht welke persoonsgegevens je verwerkt en wat de juridische basis is voor deze verwerking, kun je verder gaan met het implementeren van de noodzakelijke maatregelen om aan de AVG-wetgeving te voldoen. Dit kan bijvoorbeeld betekenen dat je een privacyverklaring moet opstellen, technische en organisatorische maatregelen moet nemen om de gegevens te beschermen, en afspraken moet maken met derden over de verwerking van persoonsgegevens.

Het is aan te raden om een plan van aanpak op te stellen, waarin je de stappen beschrijft die je gaat nemen om aan de AVG-wetgeving te voldoen. Hierin kun je ook prioriteiten stellen en aangeven welke stappen je als eerste gaat nemen. Dit kan je helpen om gestructureerd te werk te gaan en om overzicht te houden.

Wat zijn de boetes als ik niet voldoe aan de AVG?

Als je niet voldoet aan de AVG, kunnen er boetes worden opgelegd door de toezichthoudende autoriteit in jouw land. De hoogte van de boete is afhankelijk van de aard en ernst van de overtreding. Er zijn twee categorieën boetes die kunnen worden opgelegd:

  1. Tot 10 miljoen euro of 2% van de wereldwijde jaaromzet van de organisatie, afhankelijk van welk bedrag hoger is, kan worden opgelegd voor minder ernstige overtredingen, zoals het niet correct informeren van betrokkenen over de verwerking van hun gegevens of het niet correct bewaren van de gegevens.

  2. Tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van de organisatie, afhankelijk van welk bedrag hoger is, kan worden opgelegd voor ernstige overtredingen, zoals het niet naleven van de privacyrechten van betrokkenen, het verwerken van gevoelige gegevens zonder toestemming, of het niet adequaat beveiligen van persoonsgegevens.

Het is belangrijk om te benadrukken dat de boetes niet het enige risico zijn van het niet naleven van de AVG. Het kan ook leiden tot reputatieschade, verlies van klanten of andere financiële schade. Daarom is het belangrijk om aan de AVG-wetgeving te voldoen en de persoonsgegevens van betrokkenen te beschermen.

Ik voldoe aan de AVG-wetgeving?

Meer tips van de week