Tag: Transparantie

AVG en informatie verschaffen

Bij de AVG is transparantie van groot belang. Er worden duidelijke eisen gesteld aan de informatie die moet worden verschaft bij:

  1. de verwerving van persoonsgegevens
  2. bij een onverhoopte inbreuk

Hieronder zijn de informatie-eisen die worden gesteld aan de informatieverschaffing voor beide situaties grafisch weergegeven.

Wellicht stimuleert dat de beeld- en begripsvorming over een belangrijk onderdeel van de AVG dat geregeld moet worden voor 25 mei 2018.

Implementatie dient uiteraard op basis van de feitelijke wetsteksten te geschieden.

Te verschaffen informatie – bij verwerven persoonsgegevens

Als persoonsgegevens worden verworven moet de juiste informatie worden verschaft aan betrokkene. Bij direct contact met betrokkene geldt artikel 13. Bij indirect verworven persoonsgegevens (verwerving via derde partij) geldt artikel 14. Hieronder, voor de beeldvorming, een overzicht van de te verstrekken informatie (aan betrokkene).

Te verschaffen informatie – bij inbreuk op privacy

In het onverhoopte geval dat er een inbreuk is op de privacy van persoonsgegevens (zie artikel 4 voor definities), dient uw organisatie op de juiste wijze informatie te verschaffen aan betrokkene en de Autoriteit Persoonsgegevens. Hieronder, voor de beeldvorming, een schematisch overzicht van dit protocol (artikel 33 en 34).

AVG en Transparantie

Een belangrijk beginsel bij de AVG is transparantie (artikel 12).

Zo moet u de betrokkene correct informeren over uw doelstelling (m.b.t. de persoonsgegevens) en de rechten van de betrokkene, zowel in het geval u rechtstreeks de persoonsgegevens van betrokkene verwerft (artikel 13), maar ook als u deze via een derde partij verwerft (artikel 14). Het bewijs van toestemming moet worden vastgelegd in een toestemmingsregister (artikel 7 en 8).

De betrokkene heeft recht op inzage in de gegevens die u heeft van betrokkene (artikel 15) in een bruikbaar formaat (artikel 20), recht op rectificatie van de gegevens (artikel 16) , recht op beperking van de verwerking (artikel 18), en recht op wissing/vergetelheid (artikel 17). Uiteraard moet de betrokkene, correct in kennis worden gesteld over de aanpassing in uw registratie (artikel 19).

Als er binnen uw organisatie onverhoopt een inbreuk is op persoonsgegevens, dan moet dit binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (artikel 33) en moet u bovendien de betrokkene(n) een mededeling doen van deze inbreuk (artikel 34).

Elke verwerking moet worden vastgelegd in een verwerkingsregister (artikel 30) en als u de intentie heeft een verwerking te doen, waarbij een potentieel probleem kan optreden, dient u een gegevensbeschermingseffectbeoordeling (artikel 35) te doen en bij hoog risico de Autoriteit Persoonsgegevens vooraf te raadplegen (artikel 36).

Conclusie: Op het gebied van communicatie, registratie (ICT) en verwerking (proces) moet er veel worden geregeld. Bewustwording in uw organisatie, bij uw management en medewerkers is essentieel om dit tijdig in goede banen te leiden.