De Algemene Verordening Gegevensbescherming - Bentacera

De Algemene Verordening Gegevensbescherming

Gepubliceerd op 2 mei 2018
De Algemene Verordening Gegevensbescherming

Het is nu echt bijna zover: vanaf 25 mei geldt de Algemene Verordening Gegevensbescherming (AVG). In deze AVG is er meer aandacht voor de rechten van betrokkenen, maar wanneer ben je dat eigenlijk? En wat wordt er precies bedoeld als het over ‘een privacystatement’ gaat? In deze blog leggen we het aan je uit.

Allereerst een aantal begrippen. Het is namelijk wel zo handig om goed te weten wat er bedoeld wordt voor je je in de AVG verdiept.

Persoonsgegevens: Alle gegevens over een identificeerbare natuurlijke persoon.
Betrokkene: Degene op wie de persoonsgegevens betrekking hebben.
Privacybeleid: Informatief document voor als de gegevens rechtstreeks van de betrokkene verkregen worden.
Privacystatement: Informatief document voor als de gegevens niet rechtstreeks van de betrokkene verkregen worden.
Verantwoordelijke: Degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: De partij die voor de verantwoordelijke persoonsgegevens verwerkt
Bijzondere gegevens: Gevoelige persoonsgegevens, zoals ras, godsdienst of gezondheid.

De belangrijkste pijlers van de AVG zijn transparantie en accountability. Transparantie houdt in dat de betrokkene weet wat er met zijn persoonsgegevens gebeurt. Hier kan invulling aan gegeven worden door middel van een privacybeleid en een privacystatement. Accountability houdt in dat de verantwoordelijke een verantwoordingsplicht heeft. Hij moet aan kunnen tonen wat hij met de persoonsgegevens van betrokkenen doet.

Rechten van betrokkenen
Zoals we eerder al benoemden, is er in de nieuwe AVG meer aandacht voor de rechten van betrokkenen. Denk hier bijvoorbeeld aan het recht op inzage (betrokkenen kunnen een overzicht opvragen van alle gegevens die verwerkt worden), het recht op verwijdering/correctie (betrokkene kan vragen al zijn gegevens te verwijderen of onjuiste gegevens te wijzigen) en het recht op dataportabiliteit (betrokkene kan verzoeken zijn gegevens in een handzaam format door te sturen naar een derde).

Als de betrokkene niet tevreden is over de manier waarop zijn verzoek is afgehandeld, kan hij een klacht indienen bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens is altijd verplicht om de klacht in behandeling te nemen.

Als ondernemer ben je verplicht om de betrokkenen te vertellen over onder andere hun rechten. Dit kun je doen in een privacybeleid of -statement afhankelijk van hoe je de gegevens verkregen hebt.
Download hier een voorbeeld privacystatement in Word-format*

Verwerkingsregister
De verantwoordelijke is soms verplicht een verwerkingsregister bij te houden. Het verwerkingsregister is een register, waarin onder andere bijgehouden wordt welke persoonsgegevens verwerkt worden, met welke reden en met wie die gegevens gedeeld worden. Het register is verplicht voor organisaties met meer dan 250 medewerkers, organisaties die bijzondere persoonsgegevens verwerken en organisaties die op grote schaal persoonsgegevens verwerken.

Functionaris voor de Gegevensbescherming
De AVG levert voor sommige bedrijven een nieuwe functie op. Zo moet er een Functionaris voor de Gegevensbescherming (FG) aangesteld worden. Een FG is iemand die binnen de organisatie let op de toepassing en naleving van de AVG. Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van privacywetgeving en van de praktijk van gegevensbescherming. De functie hoeft echter niet ingevuld te worden door iemand die bij de organisatie in dienst is.

Verwerkersovereenkomsten
Als een organisatie een andere partij inschakelt om persoonsgegevens voor hem te verwerken, moet hij met deze organisatie een verwerkersovereenkomst afsluiten. In een verwerkersovereenkomst staat bijvoorbeeld het onderwerp en de duur van de gegevensbescherming, de aard en het doel van de gegevensbescherming en de rechten en verplichtingen van de verantwoordelijke. De verplichting om verwerkersovereenkomsten te sluiten, geldt voor alle overheden en organisaties, ongeacht de grootte.
Download hier een voorbeeld verwerkersovereenkomst in Word-format*

Datalekken
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een (ernstig) datalek hebben. Soms moet een datalek ook gemeld worden aan de betrokkene. Een datalek is bijvoorbeeld het kwijtraken van een USB-stick met persoonsgegevens erop, of een mailtje met een kopie paspoort naar de verkeerde persoon sturen. Wat je veel ziet, is dat datalekken hand in hand gaan met cybercrime.

Cybercrime
Iedereen die gebruik maakt van internet heeft te maken met cybercrime. Je kunt dit niet voorkomen, maar je kunt de risico’s wel beperken. Dit begint natuurlijk bij goede antivirussoftware en een goede firewall. Daarnaast moet je ervoor zorgen, dat je altijd de laatste beveiligingsupdates van je besturingssysteem en software installeert. Die zorgen er namelijk voor dat bekende ‘backdoors’ in de software hersteld worden.

Een bekende vorm van cybercrime is ransomware. Ransomware is software die automatisch op je computer wordt geïnstalleerd. Meestal gebeurt dit door het klikken op een onveilige link in e-mail of het bezoeken van een onveilige website. De e-mails met dit soort links zijn steeds geavanceerder en in sommige gevallen heel moeilijk te herkennen. Wantrouw daarom iedere link in een mail en ga rechtstreeks naar de website van het bedrijf. Tip: Als je met de muis over de link gaat, zie je de echte link. Deze kan anders zijn dan de tekst.

Ransomware zorgt ervoor dat veel van je bestanden versleuteld worden. De hacker vraagt vervolgens om losgeld. Ga hier nooit op in, want je hebt geen garanties voor herstel. Bovendien houdt je daarmee het businessmodel van de crimineel in stand. Zorg voor goede back-ups die veilig worden opgeslagen in een kluis. Let er ook op, dat mensen niet bij bestanden kunnen waar ze in principe niet bij hoeven. De ransomware kan namelijk alleen bij de bestanden waar de gebruiker zelf ook bij kan. Op het moment dat je ransomware hebt, kun je te maken hebben met een datalek. Je weet namelijk niet wat de software precies doet. Zo kan het zijn dat de ransomware automatisch toegang aan onbevoegden verstrekt.

Voorkomen is beter dan genezen
Om je verder te beschermen tegen datalekken kun je het beste zoveel mogelijk gebruik maken van multifactor authenticatie. Als je gebruikersnaam en wachtwoord dan bij een site zijn gehackt, kan men nog steeds niet inloggen. Het regelmatig wisselen van wachtwoord en het gebruik van verschillende wachtwoorden voor verschillende sites helpt ook.

Tot slot: verander altijd het wachtwoord dat standaard staat ingesteld op je Wi-Fi netwerk en van de beheerder om je netwerkinstellingen aan te passen. Deze lijken vaak veilig door de hoeveelheid karakters, maar hier zit een formule achter. Hackers kennen de formule en kunnen vervolgens heel makkelijk bij je netwerk.

Mocht je naar aanleiding van bovenstaande informatie over de AVG of over cybercrime nog vragen hebben, neem dan gerust contact op met onze specialisten Lisa Hozeman of Mark Stortelers (ICT).

*De verwerkersovereenkomst en privacystatement zijn voorbeelddocumenten. Dit voorbeeld is lang niet altijd de beste oplossing voor jouw onderneming. Het opstellen van een deze documenten is altijd maatwerk.

Wij maken tijd

  • De zaken goed op een rij hebben
  • Grip op processen krijgen
  • Betere balans tussen leven en werken
  • Wij maken tijd door te bentaceren!

Alles in de cloud

bentaceraapp

Alles op één plek: de Bentacera cloud!

Meer weten?