AVG | Algemene verordening gegevensbescherming

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. Deze verordening heeft betrekking op bescherming van persoonsgegevens en geeft de ‘gewone man’ meer rechten. Daarnaast zorgt de AVG ervoor dat de organisaties die persoonsgegevens verwerken meer verantwoordelijkheid krijgen en transparanter te werk gaan. 

Persoonsgegevens

Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon moeten als persoonsgegevens worden beschouwd. Dit kan in geschreven tekst zijn, maar ook in beeld en geluid.

Bij persoonsgegevens wordt er onderscheid gemaakt tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. In de eerste categorie vallen onder andere telefoonnummers, namen en e-mailadressen. Dit zijn persoonsgegevens die iedere organisatie mag verwerken. In de tweede categorie vallen ‘gevoeligere’ gegevens die bijvoorbeeld wat zeggen over iemands gezondheid of geloofsovertuiging. Deze gegevens mogen niet door iedereen worden verwerkt en dienen strenger te worden beveiligd. Klik hier voor meer informatie over persoonsgegevens.

Verwerking

Organisaties mogen op verschillende grondslagen persoonsgegevens verwerken. Dit kan zijn middels toestemming van de gebruiker, vitale belangen, wettelijke verplichting, een overeenkomst, algemeen belang of gerechtvaardigd belang.

Onder het verwerken van persoonsgegevens valt iedere handeling die betrekking heeft tot de persoonsgegevens. In de wet staan een aantal voorbeelden van verwerking zoals: het verzamelen, vastleggen, ordenen, bewaren en bijwerken van gegevens.

AVG | Meer rechten voor de ‘gewone man’

De AVG zorgt ervoor dat de organisaties die persoonsgegevens verwerken transparanter te werk gaan. De persoon van wie de gegevens worden verwerkt, ofwel de betrokkene, heeft namelijk het recht om te weten welke persoonsgegevens er verwerkt worden en waarvoor. Daarom moeten organisaties de betrokkene de volgende informatie verstrekken als hierom wordt gevraagd:

  • De verwerkingsdoeleinden.
  • De categorieën van persoonsgegevens.
  • De ontvangers aan wie de gegevens zijn of zullen worden verstrekt.
  • De bewaartermijnen.
  • Het recht van betrokkene op rectificatie, verwijdering, beperking en bezwaar.
  • Het recht van betrokkene om een klacht in te dienen bij de toezichthoudende autoriteit.
  • Alle beschikbare informatie over de bron van de gegevens (voor zover dat niet de betrokkene zelf is).
  • Informatie over eventuele geautomatiseerde besluitvorming.

Behalve recht op informatie, heeft de betrokkene ook het recht op een kopie van de gegevens die worden verwerkt. De organisatie mag zelf bepalen hoe deze informatie ter beschikking wordt gesteld. Lees hier meer over de rechten van de betrokkenen.

Dataportabiliteit

Geheel nieuw is het recht op dataportabilieit. Met het recht op dataportabiliteit kunnen betrokkenen gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort diensten. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is. Er zijn verschillende manieren waarop organisaties het recht op dataportabiliteit kunnen aanbieden:

  • De mogelijkheid om de gegevens direct te downloaden in een gestructureerde, gangbare machineleesbare vorm.
  • De mogelijkheid om de gegevens direct naar een andere verantwoordelijke te verzenden.

Meer verantwoordelijkheid voor organisaties

Organisaties dienen verschillende maatregelen te treffen om de persoonsgegevens van de betrokkene goed te beveiligen. Dit kunnen zij doen door preventieve, detectieve, repressieve, en herstelmaatregelen te treffen. Preventieve maatregelen voorkomen dat een dreiging leidt tot een beveiligingsincident. Door detectieve maatregelen te treffen weten bedrijven of er een beveiligingsincident heeft plaatsgevonden. Hierna stellen de repressieve maatregelen de organisatie in staat om de negatieve gevolgen van het beveiligingsincident te beperken. Tot slot zorgen de herstelmaatregelen voor het verhelpen van de negatieve gevolgen. 

Verder horen organisaties de gebruiker op een bewuste manier te informeren dat er gebruik wordt gemaakt van zijn of haar persoonsgegevens. Dit dienen zij te doen door de gebruiker bijvoorbeeld een vakje aan te laten vinken. Achter dit vakje staat dan duidelijk vermeld dat de organisatie persoonsgegevens gebruikt om een specifieke dienst te kunnen verlenen. Klik hier voor meer informatie over voorbereiding op de AVG.

Covadis & AVG

Bij Covadis wordt er software ontwikkeld voor diverse opdrachtgevers. Deze software dient natuurlijk ook te voldoen aan de eisen die de AVG stelt. Daarom wordt er tijdens het ontwikkelen en testen nauwkeurig gekeken naar eventuele beveiligingsrisico’s. Nadat deze risico’s in kaart zijn gebracht, worden er in samenspraak met de opdrachtgever maatregelen genomen. Op deze wijze ondersteunen wij de opdrachtgevers en kunnen zij een passend beveiligingsniveau handhaven.