Europese Dag van de Privacy

veilige en betrouwbare Teams omgeving
Achtergrond

28 januari is sinds 2007 de Europese Dag van de Privacy. Voor de datum is gekozen, omdat op die dag in 1981 het Dataprotectieverdrag is getekend. Het doel is om burgers beter te informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Ook worden bedrijven en organisaties op deze dag aangespoord de bescherming van persoonsgegevens te verbeteren.

AVG

Het Dataprotectieverdrag legde de basis voor de Europese privacybescherming, die uiteindelijk in 2018 resulteerde in de Algemene Verordening Gegevensbescherming (AVG), de versie van de Europese privacywet. De AVG, met als toezichthouder de Autoriteit Persoonsgegevens, sluit volgens de Nederlandse overheid  beter aan op het digitale tijdperk waarin we leven. De wet geeft burgers meer rechten en organisaties meer verantwoordelijkheid om zorgvuldig met (digitale) persoonsgegevens van burgers om te gaan.

De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn:

  • Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
  • Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld.
  • Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
  • Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
  • De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Datalek

Mocht er toch een datalek plaatsvinden dan verplicht de AVG organisaties om dit te melden bij de Autoriteit Persoonsgegevens. In een artikel op het tech business platform Executive People vertelt Debby Meijer-van der Leest wat te doen bij een datalek. Ze is specialist op het gebied van privacy wetgeving en heeft een rol gespeeld bij de ontwikkeling van een AVG Awareness training bij opleidingsinstituut The Ministry of Compliance.

Stap 1: bepalen of er sprake is van een datalek

Volgens de AVG is er sprake van een datalek als er een inbreuk heeft plaatsgevonden op de beveiliging van persoonsgegevens, die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van deze gegevens. Het verlies van gegevens is dus niet per se een datalek. Voor een datalek onder de AVG moet er sprake zijn van het verlies van persoonsgegevens. 

Stap 2: datalek melden bij de AP

Moet het datalek gemeld worden bij de AP? Dan moet dit binnen 72 uur na ontdekken gebeuren. Bij de melding moet in ieder geval duidelijk worden hoeveel mensen het betreft, welke persoonsgegevens en wat de aard van de inbreuk is. Ook moet je aangeven wanneer het lek is ontdekt, en wat de gevolgen zijn van het datalek.

Stap 3: datasubject informeren

Als er een aanzienlijk risico is dat de persoon van wie de gegevens gelekt zijn schade lijdt, dan moet de onderneming ook deze persoon informeren. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie van de gegevens of discriminatie. Financiële instellingen vormen hierop een uitzondering op grond van de Uitvoeringswet AVG (UAVG). Zij moeten op basis van de zorgplicht bepalen of ze het datasubject moeten informeren.

Stap 4: documentatie in het datalekregister

Vanwege de verantwoordingsplicht uit de AVG moet iedere organisatie die persoonsgegevens verwerkt een datalekregister opstellen. Hierin neem je alle datalekken en data-incidenten op die er hebben plaatsgevonden. Het gaat hierbij zowel om de datalekken die gemeld zijn bij de AP, alsook om de data-incidenten waarbij geconcludeerd is dat een melding aan de AP niet nodig is. Belangrijk hier is ook de overwegingen in de besluitvorming vast te leggen

Supersnel internet

Tegenwoordig willen we supersnel internet zodat we sneller kunnen streamen, gamen en beeldbellen. Daarvoor zijn grote datacentra nodig. Waarom dat slecht is voor je privacy legt Ronald van Rijswijk van de Universiteit Twente uit in het volgende filmpje van de Universiteit van Nederland op de website van Dutch Cowboys. Hij legt uit dat het probleem niet is wanneer datacentra onder een Europese cloud zouden vallen – want de Europese privacywet is de strengste ter wereld – maar wel wanneer het gaat om een Amerikaanse cloud die valt onder Amerikaanse wetgeving. Sinds 2001 is spionage in de VS namelijk toegestaan vanwege de Patriot Act. Ook Chinese of Russische clouds kunnen een bedreiging voor de privacy zijn. Daarom pleit Van Rijswijk voor een Europese cloud.

Bronnen: Fruytier Lawyers In Business, Dutch Cowboys en Executive People.

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
Hoe richt je met technologie onderwijs flexibel in?