088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Ken je rol en weet wat je doet – Op weg naar de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG is één wetgeving voor alle lidstaten van de Europese Unie. Daarom spreken we ook wel van de Europese Privacyverordening.

Hoe bereiden organisaties zich het beste voor op de aanstaande Europese Privacyverordening? In onze blogserie nemen wij je mee in de wereld van de AVG. Elke week behandelen wij een relevant AVG onderwerp, die je helpen goed voorbereid de AVG tegemoet te gaan. Deze week de eerste stap: ken je rol en weet wat je doet.

De aanstaande wetgeving regelt op hoofdlijnen twee zaken:EU AVG Privacy legislation

  1. Het verbeteren van de privacyrechten van natuurlijke personen.
  2. Verantwoordelijkheid van organisaties om deze privacyrechten te waarborgen

Niet naleving kan voor organisaties leiden tot bijbehorende sancties. De belangrijkste begrippen in de AVG zijn dan ook privacy en persoonsgegevens.

AVG – Ken je rol

Onder een persoonsgegeven wordt verstaan “alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon.” Dit kan zijn iemands naam, postcode en huisnummer,  telefoonnummer, e-mailadres etcetera. Elke organisatie heeft te maken met persoonsgegevens.  Deze gegevens zijn in veel gevallen herleidbaar naar een natuurlijk persoon.

Binnen de AVG is er daarnaast ook sprake van bijzondere persoonsgegevens. Dit zijn gegevens die extra beschermd dienen te worden omdat zij mogelijk kunnen leiden tot identiteitsfraude en uitsluiting of stigmatisering van individuen. Voorbeelden zijn het BSN, gegevens over een strafrechtelijk verleden, inkomensgegevens of medische gegevens.  Een organisatie mag niet zomaar bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzonderdering is.

Bij persoonsgegevens zijn drie rollen te onderscheiden, te weten:

  • De verantwoordelijke (de “controller”): deze bepaalt het doel en de middelen van het verwerken van persoonsgegevens;
  • De verwerker (de “processor”): deze verwerkt de persoonsgegevens in opdracht van de verantwoordelijke, maar valt niet onder diens gezag;
  • De betrokkene (het “data subject”): dit is de persoon op wie de persoonsgegevens betrekking hebben.

De ‘verantwoordelijke’ is aansprakelijke partij binnen de AVG

De verantwoordelijke is de organisatie die beslist hoe en waarom persoonsgegevens worden verwerkt. De verwerker voert de verwerking van die gegevens uit. Een verwerker kan een cloudprovider zijn, een IT-dienstverlener die beheer uitvoert, of een bedrijf dat data verwerkt voor advertenties. Wanneer je weet welke rol jouw organisatie bij een gegevensverwerking volgens de AVG heeft, dan weet je welke regels je binnen de AVG moet volgen en welke rechten, maar vooral plichten daarbij horen. Zo is de verantwoordelijke binnen de AVG primair aansprakelijk, bijvoorbeeld bij datalekken.

Het lijkt in eerste instantie eenvoudig om te bepalen welke partij verantwoordelijke is en welke partij de verwerker. In sommige gevallen is dat echter niet zo evident. Laat je bij twijfel adviseren door een privacy deskundige.

AVG – Weet wat je doet

Om te bepalen in welke mate de AVG jouw organisatie gaat raken, ligt de eerste stap “weet wat je doet” voor de hand. Hiermee bedoelen we dat elke organisatie moet beginnen data en gegevensverwerkingen in kaart te brengen.

Inventariseer uw gegevensverwerkingen

“Meten is weten” is  het eerste en het belangrijkste vertrekpunt op weg naar AVG compliance. Pas als je weet wat jouw organisatie met (interne- en externe) persoonsgegevens doet, kan je bepalen in hoeverre de AVG van invloed is en welke (aanvullende) maatregelen getroffen moeten worden.

De inventarisatie van gegevensverzameling bevat de volgende elementen:

  • De categorieën persoonsgegevens die worden verwerkt, zie figuur 1 voor voorbeelden van deze categorieën
  • De categorieën betrokkenen waarvan persoonsgegevens worden verwerkt, bijvoorbeeld werknemers, uitzendkrachten, sollicitanten, leden of leveranciers.
  • De doeleinden voor de gegevensverwerkingen, waarbij van belang is dat persoonsgegevens alleen voor specifieke, uitdrukkelijke en legitieme doeleinden mogen worden verzameld en niet verder mogen worden gebruikt op een manier die onverenigbaar is met deze doeleinden.
  • De ontvangers van de persoonsgegevens
  • Vermelding van de landen waar de persoonsgegevens naar getransporteerd worden
  • De bewaartermijn van de persoonsgegevens
  • De maatregelen ter beveiliging van de persoonsgegevens, bijvoorbeeld toegangsbeveiliging, pseudonimisering, encryptie en vernietiging na de noodzakelijk verwerking.
Figuur1: Categorieën van persoonsgegevens

De AVG stelt in bepaalde gevallen een Register van verwerkingsactiviteiten verplicht (Art 30 AVG). Bijvoorbeeld bij risicovolle verwerkingen, structurele verwerkingen of verwerkingen (ook incidenteel) van bijzondere of strafrechtelijke persoonsgegevens. De toezichthouder kan in voorkomende gevallen inzage in het Register vragen. De verwerkingsverantwoordelijke dient hieraan mee te werken. Houd je registratie van gegevensverwerkingen volledig en up-to-date!

In de volgende blog behandelen we de tweede stap op weg naar AVG compliance: rechten van de betrokkenen.

Crowe Horwath Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl