De Europese privacyverordening algemene verordening gegevensbescherming (AVG) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. In het Engels heet de AVG General Data Protection Regulation (GDPR). Met het ingaan van de GDPR op 25 mei 2018 zullen er in heel Europa dezelfde regels voor privacy (meer controle en helderheid over het gebruik van persoonsgegevens) gelden. Deze verordening is van toepassing voor iedereen (persoon) die woont en of werkt of (bedrijf) gevestigd is in de EU.

Beknopt zorgt de GDPR voor:

Rechten van betrokkenen

Een uitbreiding van privacy rechten : transparantie → de gegevens verstrekker moet in eenvoudige en duidelijke taal worden geïnformeerd over wat er met zijn persoonsgegevens gebeurd en hiervoor moet de verstrekker ook special goedkeuring geven. De gegevens verstrekker heeft het recht op verzet, inzage, rectificatie en het recht om vergeten te worden.

Gegevensbescherming door ontwerp /Privacy by design and by default

Bedrijven moeten hun systemen zo ontwerpen dat er zoveel mogelijk rekening moet gehouden worden met de privacy. Een systeem moet data pseudonimiseren/anonimiseren en zorgen dat de hoeveelheid persoonsgegevens geminimaliseerd blijft. Er mogen alleen persoonsgegevens verwerkt wordt die noodzakelijk zijn. ICT systemen moeten aantoonbaar uitgevoerd zijn met dergelijke waarborgen (versleuteling / minimalisering / pseudonimiseren / documentatie)

GDPR traject

  • identificeren – welke persoonsgegevens zijn er en waar zijn deze opgeslagen
  • beheren – hoe en door wie worden deze gebruikt en beheerd
  • beveiligen – stel beveiligingen in om persoonsgegevens lekken te voorkomen
  • rapporteren – rapporteer inbreuk op gegevens, documenteer alle stappen en controles hiervan.
  • Controlerenweet welke gegevens je hebt en waar deze zich bevinden

persoonsgegevens voorbeelden:

  • klantendatabases
  • e-mail content
  • foto’s / video’s
  • HR database
  • IP /locatie data
  • Naam, adres, inkomen, profilering

 

De GDPR in 17 stappen

Privacyverklaring duidelijker en transparanter

Het is de bedoeling dat in eenvoudige (bijna Jip en Janneke) taal uitgelegd wordt dat er met persoonsgegevens wordt gedaan. Ook dient er gewezen te worden op de rechten van de klant/gebruiker zoals dat deze zijn gegevens mag inzien, aanpassen en zelfs verwijderen.

Documenteer het verweken van de persoonsgegevens

Er dient een register te komen waar in opgenomen is welke persoonsgegevens er worden verwekt, met welke doeleinden en hoe deze zijn beveiligd.

Minimaliseer het verzamelen van privacygevoelige informatie en vernietig deze a.s.a.p.

Omwille van risicobeheersing is het noodzaak dat er een beleid is uitgewerkt waarin bepaald wordt wanneer informatie niet meer relevant is en hoe deze dan wordt vernietigd, dit beleid dient ook actief uitgevoerd te worden.

De beveiliging moet op orde en up to date zijn
Het beveiligen van persoonsgegevens is in deze cruciaal, welke veiligheidsmaatregelen heeft u toegepast? Denk aan bijvoorbeeld encryptie en 2 factor authenticatie maar ook aan veilige opslag en het scheiden en wissen van persoonlijke informatie. Informatie systemen dienen met enige regelmaat gecontroleerd te worden op nieuwe risico’s.

Datalekken moeten worden gedocumenteerd
Alle gevonden datalekken dienen gedocumenteerd te worden ook de datalekken die niet gemeld hoeven te worden.

Gegevens eerder een onderdeel van de privacywet

Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder de privacywet. Zelfs als u de persoonsgegevens van een cookie niet heeft dient deze wel als privacygevoelig behandeld te worden.

Als basis Privacy by design
Bij elke stap in het ontwikkelen van een service of software dienen de privacyaspecten benoemd te worden en meegenomen in de uitwerking. Standaard instellingen van nieuwe diensten dienen zo privacy mogelijk ingesteld te worden.

Afhandelen van privacy verzoeken
Is de service/helpdesk zo ingericht dat deze kan omgaan met het verzoek gegevens te aanpassen of te verwijderen? Normaal moet deze aanvraag binnen een maand inhoudelijk zijn afgehandeld.

Afspraken met leveranciers en afnemers
Er dient een verwerkersovereenkomst te komen waarin afspraken over de omgang met persoonlijke gegevens wordt vast gelegd. Indien er diensten worden uitbesteed waarbij persoonsgegevens van een klant zijn betrokken moet de klant uitdrukkelijk toestemming geven.

Biometrie als toegangsbeveiliging?
Gebruikt u vingerafdrukken, iris-scan of gezichtsherkenning voor toegangsbeveiliging dan ligt dit erg gevoelig onder de GDPR, dergelijke gegevens vallen onder een steng beschermde status.

Samenwerken met buitenlandse partijen
Informeer en controleer dan goed waar deze persoonlijke informatie opslaan? Is dit juist binnen of buiten de EU? Klanten kunnen eisen dat data in het geheel de EU niet verlaat.

Overdraagbaarheid van informatie op online diensten
Biedt u diensten waar klanten persoonlijke informatie opslaan? Dan moeten deze klanten deze informatie kunnen exporteren in een standaard formaat zodat deze naar een andere organisatie verplaatst kunnen worden.

Intern privacybeleid
Er dient een intern privacybeleid te komen waarin staat wie er welke rol heeft bij het verwerken van persoonsgegevens, medewerkers dienen hiervan op de hoogte te zijn en regelmatig bijgespijkerd te worden.

Profileren van personen
Maakt u gebruik van interesseprofielen van klanten, bezoekers of andere personen (het gebruik van cookies voor advertentie doeleinden is al voldoende) dient u dit op verzoek uit te kunnen leggen hoe en wat er met de informatie gebeurt.

Is er een project met verhoogde privacy risico
Dan bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren. Een verhoogd risico zou bijvoorbeeld kunnen zijn; dat er automatisch beoordelingen van personen worden uitvoeren t.b.v. het weigeren van deze personen of het detecteren van fraude, ook gegevens als gezondheid en etnische afkomst vallen onder een verhoogd privacy status.

Er dient een privacy officer aangesteld te worden
Als er op grote schaal gevoelige persoonsgegevens worden verwekt, of als er fysiek of digitaal mensen worden geobserveerd. De privacy officier mag zowel intern als extern worden benoemd en adviseert en rapporteert over de naleving van de GDPR.

Forse boetes
Momenteel is de maximale boete per overtreding van de huidige privacywet 900.000 euro. met de komst van de GDPR wordt dit verhoogd naar 20 miljoen euro of 4% van de wereldwijde jaaromzet.