AVG Algemene Verordening Gegevenbescherming /GDPR General Data Protection Regulation

De Europese privacyverordening Algemene verordening gegevensbescherming (AVG) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.

In het Engels heet de AVG de General Data Protection Regulation (GDPR). Met het ingaan van de GDPR op 25 mei 2018 zullen er in heel Europa dezelfde regels voor privacy gelden. Deze verordening is van toepassing voor iedereen die woont en of werkt in de EU, en voor alle organisaties die activiteiten ontplooien in de EU.

Beknopt zorgt de AVG/GDPR voor:
Een uitbreiding van privacy rechten, bijvoorbeeld door meer transparantie. De burger moet in eenvoudige en duidelijke taal worden geïnformeerd over wat er met zijn persoonsgegevens gebeurt en hiervoor moet de burger goedkeuring geven. De burger heeft het recht op verzet, inzage, rectificatie en het recht om vergeten te worden.

Gegevensbescherming door ontwerp / Privacy by design and by default

Bedrijven moeten hun systemen zo ontwerpen dat er zoveel mogelijk rekening moet gehouden worden met de privacy. Een systeem moet data pseudonimiseren/anonimiseren en zorgen dat de hoeveelheid persoonsgegevens geminimaliseerd blijft. Er mogen alleen persoonsgegevens verwerkt wordt die noodzakelijk zijn. ICT systemen moeten aantoonbaar uitgevoerd zijn met dergelijke waarborgen (versleuteling / minimalisering / pseudonimiseren / documentatie)

AVG/GDPR traject
• Identificeren – welke persoonsgegevens zijn er en waar zijn deze opgeslagen
• Beheren – hoe en door wie worden deze gebruikt en beheerd
• Beveiligen – stel beveiligingen in om datalekken te voorkomen
• Rapporteren – rapporteer inbreuk op gegevens, documenteer alle stappen
• Controleren – weet welke gegevens je hebt en waar deze zich bevinden

De AVG/GDPR in 17 aspecten
1) Privacyverklaring duidelijker en transparanter
Het is de bedoeling dat in Jip-en-Janneketaal uitgelegd wordt dat er met persoonsgegevens wordt gedaan. Ook dient er gewezen te worden op de rechten van de klant/gebruiker zoals dat deze zijn gegevens mag inzien, aanpassen en zelfs verwijderen.

2) Documenteer het verweken van de persoonsgegevens
Er dient een register te komen waar in opgenomen is welke persoonsgegevens er worden verwekt, met welke doeleinden en hoe deze zijn beveiligd.

3) Minimaliseer het verzamelen van privacygevoelige informatie
Omwille van risicobeheersing is het noodzaak dat er een beleid is uitgewerkt waarin bepaald wordt wanneer informatie niet meer relevant is en hoe deze dan wordt vernietigd, dit beleid dient ook actief uitgevoerd te worden.

4) De beveiliging moet op orde en up-to-date zijn
Het beveiligen van persoonsgegevens is in deze cruciaal, welke veiligheidsmaatregelen heeft u toegepast? Denk aan bijvoorbeeld encryptie en 2-factor authenticatie maar ook aan veilige opslag en het scheiden en wissen van persoonlijke informatie. Informatie systemen dienen met enige regelmaat gecontroleerd te worden op nieuwe kwetsbaarheden.

5) Datalekken moeten worden gedocumenteerd
Alle gevonden datalekken dienen gedocumenteerd te worden, ook de datalekken die niet gemeld hoeven te worden aan burger of Authoriteit Persoonsgegevens.

6) Gegevens zijn eerder een onderdeel van de privacywet
Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder de privacywet. Zelfs als u de persoonsgegevens van een cookie niet heeft dient deze wel als privacygevoelig behandeld te worden.

7) Als basis Privacy-by-Design
Bij elke stap in het ontwikkelen van een service of software dienen de privacyaspecten benoemd te worden en meegenomen in de uitwerking. Standaard instellingen van nieuwe diensten dienen zo strak mogelijk ingesteld te worden als het gaat om privacy.

8) Afhandelen van privacy verzoeken
Is de servicedesk zo ingericht dat deze kan omgaan met het verzoek gegevens aan te passen of verwijderen? In de regel moet deze aanvraag binnen een maand zijn afgehandeld.

9) Afspraken met leveranciers en afnemers
Er dient een verwerkersovereenkomst te komen waarin afspraken over de omgang met persoonlijke gegevens wordt vastgelegd. Indien er diensten worden uitbesteed waarbij persoonsgegevens van een klant zijn betrokken moet de klant daar uitdrukkelijk toestemming voor geven.

10) Biometrie als toegangsbeveiliging?
Gebruikt u vingerafdrukken, iris-scan of gezichtsherkenning voor toegangsbeveiliging dan ligt dit erg gevoelig onder de AVG/GDPR, dergelijke gegevens vallen onder een streng beschermde status.

11) Samenwerken met buitenlandse partijen
Informeer en controleer dan goed waar zij persoonlijke informatie opslaan. Is dit binnen of juist buiten de EU? Klanten kunnen eisen dat hun data de EU niet verlaat.

12) Overdraagbaarheid van informatie op online diensten
Biedt u diensten waar klanten persoonlijke informatie opslaan? Dan moeten deze klanten deze informatie kunnen exporteren in een standaard formaat zodat deze naar een andere concurrent verplaatst kunnen worden.

13) Intern privacybeleid
Er dient een intern privacybeleid te komen waarin staat wie er welke rol heeft bij het verwerken van persoonsgegevens, medewerkers dienen hiervan op de hoogte te zijn en regelmatig bijgespijkerd te worden.

14) Profileren van personen
Maakt u gebruik van interesseprofielen van klanten, bezoekers of andere personen (het gebruik van cookies voor advertentie doeleinden is al voldoende) dan dient u op verzoek uit te kunnen leggen wat er met die informatie gebeurt.

15) Is er een project met verhoogd privacy risico?
Dan bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren. Een verhoogd risico zou bijvoorbeeld kunnen zijn dat er automatisch beoordelingen van personen worden uitvoeren op basis van een algoritme. Het gaat dan bijvoorbeeld om het weigeren van deze personen of het detecteren van fraude. Ook gegevens over gezondheid en etnische afkomst vallen hieronder.

16) Er dient een privacy officer aangesteld te worden
Als er op grote schaal gevoelige persoonsgegevens worden verwekt, of als er fysiek of digitaal mensen worden geobserveerd. De privacy officier mag zowel intern als extern worden benoemd en adviseert en rapporteert over de naleving van de AVG/GDPR.

17) Forse boetes
De maximale boete per overtreding was 900.000 Euro. Met de komst van de AVG/GDPR is dat verhoogd naar 20 miljoen euro of 4% van de wereldwijde jaaromzet (en de hóógste van deze twee bedragen is de maximale boete).

Hulp nodig?
Wij hebben ruime ervaring met het AVG/GDPR-compliant maken (en houden!) van organisaties. Onze specialisten staan u graag vrijblijvend te woord op 088 - 627 0100.


PWC Griekenland op de vingers getikt
150.000 Euro boete van Griekse Autoriteit Persoonsgegevens