Tag: GDPR

AVG en informatie verschaffen

Bij de AVG is transparantie van groot belang. Er worden duidelijke eisen gesteld aan de informatie die moet worden verschaft bij:

  1. de verwerving van persoonsgegevens
  2. bij een onverhoopte inbreuk

Hieronder zijn de informatie-eisen die worden gesteld aan de informatieverschaffing voor beide situaties grafisch weergegeven.

Wellicht stimuleert dat de beeld- en begripsvorming over een belangrijk onderdeel van de AVG dat geregeld moet worden voor 25 mei 2018.

Implementatie dient uiteraard op basis van de feitelijke wetsteksten te geschieden.

Te verschaffen informatie – bij verwerven persoonsgegevens

Als persoonsgegevens worden verworven moet de juiste informatie worden verschaft aan betrokkene. Bij direct contact met betrokkene geldt artikel 13. Bij indirect verworven persoonsgegevens (verwerving via derde partij) geldt artikel 14. Hieronder, voor de beeldvorming, een overzicht van de te verstrekken informatie (aan betrokkene).

Te verschaffen informatie – bij inbreuk op privacy

In het onverhoopte geval dat er een inbreuk is op de privacy van persoonsgegevens (zie artikel 4 voor definities), dient uw organisatie op de juiste wijze informatie te verschaffen aan betrokkene en de Autoriteit Persoonsgegevens. Hieronder, voor de beeldvorming, een schematisch overzicht van dit protocol (artikel 33 en 34).

AVG op hoofdlijnen

Algemeen

  1. De GDPR / AVG is ingegaan op 25 mei 2016 en wordt na een overgangsperiode van 2 jaar op 25 mei 2018 actief gehandhaafd.
  2. De GDPR / AVG is van toepassing voor iedere partij (wereldwijd) die met gegevens van Europese / Nederlandse burgers werkt.
  3. Er is sprake van zeer hoge boetes (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet per incident).

Recht van de betrokkene

  1. De betrokkene heeft recht op inzage in een bruikbaar formaat, recht om de verwerking te beperken, recht op rectificatie, recht op wissing/vergetelheid en het recht op bezwaar.
  2. De betrokkene heeft het recht om niet te worden onderworpen aan automatische besluitvorming (o.b.v. profilering) als daar wezenlijke gevolgen voor betrokkene aan zijn verbonden.

Verplichtingen voor uw organisatie

  1. Moet transparant zijn; over rechten van betrokkene, over mutaties, over incidenten.
  2. Moet toestemming verkrijgen van betrokkene voor elke verwerkingsdoelstelling.
  3. Maakt gebruik van een minimale set van gegevens i.r.t. de doelstelling van de verwerking waarvoor toestemming is verleend.
  4. Moet een toestemmingsregister en een verwerkingsregister hebben.
  5. Handelt de rechtsverzoeken van betrokkene op adequate en transparante wijze af.
  6. Moet de beveiliging zowel organisatorisch als technisch op orde hebben: “Security by default” en “security by design”.
  7. Heeft een verwerkingsverantwoordelijke en duidelijke richtlijnen (beleid, contract) waaronder verwerking plaats vindt.
  8. Heeft een Functionaris Gegevensbescherming (> 250 medewerkers).
  9. Als er potentieel een groot risico bestaat dat de belangen van betrokkene ernstig in het geding zijn bij een beoogde verwerking, dan moet er een beoordeling van het effect plaats vinden.
  10. Als het risico van de beoogde verwerking inderdaad hoog is moet er “voorafgaande raadpleging” plaatsvinden met de Autoriteit Persoonsgegevens.
  11. Elke verwerking moet altijd in lijn zijn met de doelstelling waarvoor toestemming is verleend.
  12. Als er onverhoopt een inbreuk plaats vindt, moet
    • de inbreuk binnen 72 uur worden gemeld bij de autoriteit persoonsgegevens,
    • bovendien moet de betrokkene hierover in kennis worden gesteld.

Résumé

  1. Deze nieuwe wetgeving vraagt een behoorlijke inspanning om “compliant” te worden op alle vlakken, denk aan dienstverlening, organisatie en ICT.
  2. Stel een coördinator aan en begin met een inventarisatie, dan weet u waar u staat en wat er (minimaal) moet gebeuren.

AVG Spoorboekje

Wij hanteren het volgende spoorboekje bij de coördinatie van de veranderingen die nodig zijn om AVG-compliant te worden.

Nadat de AVG-coördinator is aangesteld worden in een aantal fasen de verschillende sporen afgelopen.

De fasen zijn:

  1. Inventarisatie van uw informatiehuishouding, dienstverlening en organisatie
  2. Het maken van een plan op basis van de inventarisatie en de eisen die AVG stelt
  3. Het realiseren van de aanpassingen conform plan
  4. Certificeren (niet verplicht) in samenwerking met certificeringsinstanties

De sporen die in elke fase worden geadresseerd, zijn:

  1. Besturing / governance: aanpassingen in beleid, middelen, monitoring en besturing.
  2. Bewustwording en opleiding van medewerkers zodat de juiste competenties, houding en gedrag worden ontwikkeld.
  3. Business / dienstverlening: aanpassingen in de relatie / interactie met klant en leveranciers, zowel qua communicatie als afspraken.
  4. Aanpassingen in proces en ICT, zowel qua applicatieve ondersteuning als registratie, mate van automatisering en anonimisering.
  5. Overig, zoals het creëren van kansen die het vertrouwen van klant en leverancier in uw organisatie vergroten.

Neem contact met ons op voor een verkennend gesprek.

AVG – EffectBeoordeling

Als er een potentieel hoog risico is waarbij de rechten en vrijheden van een persoon in het geding zijn door de verwerking van de gegevens van die persoon, dan dient er een beoordeling plaats te vinden (artikel 35). Deze gegevensbeschermingseffectbeoordeling bevat:

  1. Een beschrijving van de beoogde bewerkingen en de verwerkingsdoeleinden
  2. Een beoordeling van de noodzaak, verwerkingen en doeleinden
  3. Een beoordeling van de risico’s

De verwerkingsverantwoordelijke wint hiervoor advies in bij de functionaris gegevensbescherming (FB) en raadpleegt de betrokkene(n) of hun vertegenwoordiger(s). De beoordeling moet worden gedaan met inachtneming van de gedragscodes (artikel 40).

De verwerkingen waarvan het effect beoordeeld moet worden zijn:

  1. verwerkingen waarbij geautomatiseerde beslissingen worden genomen die de betrokkene wezenlijk treffen (o.b.v. profilering)
  2. verwerkingen van speciale categorieen (art 9 lid1)
  3. verwerkingen van strafrechtelijke veroordelingen en/of feiten (art 10)
  4. stelselmatige en grootschalige monitoring van openbare ruimten

De Autoriteit Persoonsgegevens (AP) zal bovendien een lijst publiceren van verwerkingen waarvoor beoordeling verplicht is, alsmede een lijst van verwerkingen waarvoor geen beoordeling nodig is.

Als het risico na de beoordeling nog steeds hoog is, dient er voorafgaande raadpleging (art 36) met de Autoriteit Persoonsgegevens plaats te vinden.

Hieronder een schematisch weergave van deze wetsartikels als proces.

AVG en uw ICT

De AVG raakt, behalve uw dienstverlening, processen en organisatie natuurlijk ook uw ICT.

De persoonsgegevens moeten op accurate wijze worden opgeslagen en beveiligd (art 32). De opslag van persoonsgegevens conform AVG betreft niet alleen de persoonsgegevens maar ook het toestemmingsregister (art 7,8) en het verwerkingsregister (art 30). De beveiliging (art 32) is niet alleen technologisch (state of the art) maar ook organisatorisch van aard en vraagt om continue aandacht en verbetering. Adequate monitoring om eventuele onverhoopte inbreuk vast te stellen en maatregelen te nemen is essentieel.

De verwerkingsprocessen (verwerving, inzage, mutaties, marketing, analyse, .., notificatie / melding / kennisgeving) zullen in meer of mindere mate worden gefaciliteerd door ICT en kunnen in sommige gevallen wellicht volledig geautomatiseerd.  De verwerking moet altijd in lijn zijn en blijven met de toestemming die is verleend en dat kan wellicht ten dele of volledig worden geborgd met een ((semi)automatisch) verificatieproces. Zie ook: http://ixxi.nl/gdpr-avg/avg-verwerking/.

Als er sprake is van analyse van gegevens moet dat proces worden voorzien van faciliteiten voor pseudonimisering of versleuteling (art 6,25,32,34,40,89).

Als uw organisatie gebruik maakt van profilering van personen en op basis daarvan automatisch besluiten neemt, dan moet u het volgende artikel goed bestuderen (art 22: Geautomatiseerde individuele besluitvorming, waaronder profilering). Zie ook het artikel over profilering: http://ixxi.nl/gdpr-avg/avg-en-profilering/.

En … de medewerkers maar ook uw klanten zullen zeer waarschijnlijk behoefte hebben aan een AVG kennisbank met Q&A, templates, richtlijnen, etc.

AVG is een verandering die serieuze aandacht verdient, stel daarom een coördinator aan die het voor u in goede banen leidt.

AVG en Profilering

Als uw organisatie gebruik maakt van profilering van personen en op basis daarvan automatisch besluiten neemt, dan zijn de volgende AVG wetartikelen van toepassing:

  • Art 22: Geautomatiseerde individuele besluitvorming, waaronder profilering – Zie Lid 1 t/m 4
  • Art 4: Definities – Zie Lid 4 “Profilering”
  • Art 21: Recht van bezwaar – Zie Lid 1 en Lid 2
  • Art 47: Bindende bedrijfsvoorschriften – Zie Lid 2e
  • Art 35: Gegevensbeschermingseffectbeoordeling – Zie Lid 3a
  • Art 13: Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld – Zie Lid 2f

AVG en uw Organisatie

De AVG onderkent de volgende rollen binnen uw organisatie:

  1. de verwerkingsverantwoordelijke
  2. de functionaris voor gegevensbescherming (FG)
  3. de verwerker

Weet u wie dat zijn binnen uw organisatie?

De verwerker vervult meerdere taken in de front office zoals het vergaren van gegevens, het afhandelen van verzoeken (inzage in gegevens) en het muteren van gegevens. De verwerker vervult ook verschillende taken in de backoffice, zoals bijvoorbeeld analyse, waarbij anonimisering belangrijk is.

Uiteraard moeten alle activiteiten worden uitgevoerd onder het regime van de wet en in lijn met uw interne beleid t.a.v. persoonsgegevens (heeft u dat?).

AVG vraagt om bewustwording binnen uw organisatie en o.a. om opleiding van uw personeel.

Advies: begin met een inventarisatie en maak een plan, dan weet u waar u aan toe bent.