Datalekken

Datalekken

Wat is een datalek? Een belangrijk onderdeel van de AVG is de registratieplicht en de meldplicht van datalekken. Maar wat is een datalek nu precies? Er is sprake van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Dit kan per ongeluk gebeuren, bijvoorbeeld door het abusievelijk mailen van een bestand met persoonsgegevens naar de verkeerde ontvanger. Wist u dat het meest gemelde datalek (45% van alle meldingen) een verkeerd geadresseerde…

Lees Meer Lees Meer

Informatieverplichting en privacyverklaring

Informatieverplichting en privacyverklaring

Informatieverplichting Volgens de AVG heeft iedere onderneming die persoonsgegevens verwerkt een informatieverplichting. Dit is onder meer opgenomen in het eerste beginsel van de AVG. Hierin staat letterlijk: ‘persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is’. Verder is deze verplichting ook terug te vinden het recht op informatie van de betrokkene. Dit houdt in dat het voor de betrokkene duidelijk moet zijn dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een…

Lees Meer Lees Meer

Functionaris gegevensbescherming (FG)

Functionaris gegevensbescherming (FG)

Een Functionaris voor de gegevensbescherming (FG) (ook wel DPO data protection officer genoemd) is kort gezegd een interne toezichthouder op de verwerking van persoonsgegevens. Met de inwerkingtreding van de AVG kan een organisatie verplicht zijn een FG aan te stellen. Dit zal voor de meeste kleine organisaties niet nodig zijn. De verplichting voor het aanstellen van een FG geldt alleen in de volgende situaties. Overheden en publieke organisaties Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te…

Lees Meer Lees Meer

Verantwoordingsplicht

Verantwoordingsplicht

Naast de verplichting tot het naleven van de regelgeving van de AVG, is het een belangrijke verplichting dat de verwerkingsverantwoordelijke kan aantonen dat en hoe hij aan de regelgeving voldoet. Dit wordt ook wel accountability genoemd. Deze verantwoordingsplicht/accountability introduceert ook de omgekeerde bewijslast. Kan de verwerkingsverantwoordelijke niet aantonen te hebben voldaan aan de verplichtingen, dan betreft dit een boetewaardige overtreding. Zorg dus dat u altijd kunt aantonen dat en hoe u aan de verplichtingen uit de AVG voldoet. U legt…

Lees Meer Lees Meer

Dataminimalisatie en bewaartermijnen

Dataminimalisatie en bewaartermijnen

Dataminimalisatie Het is van belang dat er niet meer gegevens verwerkt worden dan strikt noodzakelijk voor het betreffende doel. Dit uitgangspunt wordt minimale gegevensverwerking (dataminimalisatie) genoemd. Het is bijvoorbeeld niet nodig om een geboortedatum te vragen om iemands leeftijd te bepalen. Daar is alleen het geboortejaar voldoende voor. Maar het ook lang niet altijd nodig om bijvoorbeeld iemands leeftijd te weten, terwijl dit vaak wel gevraagd wordt. Ga dus voor uzelf goed na welke gegevens écht noodzakelijk zijn voor de…

Lees Meer Lees Meer

Profilering

Profilering

Een bijzondere manier van verwerken betreft de profilering. Maar wat wordt daar nou precies onder verstaan? De letterlijke definitie van de AVG is: ‘elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.’ Profilering is de letterlijke vertaling van profiling. Deze term zal al meer…

Lees Meer Lees Meer

DPIA

DPIA

De Nederlandse vertaling van DPIA is (Data Protection Impact Assessment) is gegevensbeschermingseffectbeoordeling. Het is een voorafgaand onderzoek naar de privacyeffecten van een nieuw project. Het doel hiervan is om in een vroeg stadium privacyrisico’s in kaart te brengen en maatregelen hiervoor te bedenken. Een DPIA is alleen verplicht voor projecten met hoge risico’s voor de privacy van de betrokkenen. Dat is in ieder geval aan de orde wanneer een organisatie: • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling •…

Lees Meer Lees Meer

Privacy by design en default

Privacy by design en default

Gegevensbescherming door ontwerp (design) en door standaardinstellingen (default) De AVG kent ook de verplichting om verwerkingen zo in te richten dat rekening gehouden wordt met gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Privacy by design is voornamelijk van toepassing op de ontwerpfase van nieuwe producten of diensten. Privacy by default heeft vooral te maken met de gebruiksfase. Privacy by design Privacy by design houdt in dat al direct aan het begin van de ontwerpfase van…

Lees Meer Lees Meer

Beveiliging

Beveiliging

In de AVG is opgenomen dat organisaties verplicht zijn hun gegevens goed te beschermen. Het beveiligingsniveau moet afgestemd zijn op de risico’s die de betreffende verwerking met zich meebrengt. Technische en organisatorische maatregelen Beveiligingsmaatregelen kunnen onderverdeeld worden in technische en organisatorische maatregelen. Bij technische maatregelen moet gedacht worden aan up-to-date houden van software, backups maken, versleuteling van gegevens, verwijderen van verouderde gegevens, maar ook goede toegangsbeveiliging. Voorbeelden van organisatorische maatregelen zijn het opstellen van een protocol voor de afhandeling van…

Lees Meer Lees Meer

Doorgifte persoonsgegevens buiten de EU (derde landen)

Doorgifte persoonsgegevens buiten de EU (derde landen)

De AVG bevat zonder twijfel de strengste regelgeving wereldwijd op het gebied van bescherming van persoonsgegevens. Om te voorkomen dat deze bescherming aan kracht verliest, heeft de AVG strenge bepalingen opgenomen met betrekking tot het doorgeven van persoonsgegevens naar landen buiten de EU (de AVG spreekt over doorgifte naar derde landen). Voorbeelden verwerking buiten de EU Men is snel geneigd te denken dat bedrijven die alleen in Nederland werken geen gegevens naar het buitenland doorgeven. Maar toch kan het zijn…

Lees Meer Lees Meer