Privacybescherming

Aan het verwerken van persoonsgegevens zijn risico’s, wetten en regelgeving verbonden. Daarom is het belangrijk om hier zorgvuldig mee om te gaan. Bent u ‘in control’ als het gaat om de verwerking van persoonsgegevens? Kan uw organisatie snel handelen bij datalekken? En weet u of uw organisatie voldoet aan de huidige privacywetgeving? Samen maken we inzichtelijk welke gegevens u verwerkt en pakken we de uitdagingen rondom privacybescherming aan.

Wat is privacybescherming?

Privacy is een grondrecht en een voorwaarde om vrij te zijn in wie je bent en wat je doet. Privacybescherming gaat over regie houden en zeggenschap hebben over uw eigen persoonsgegevens.


Waarom is privacybescherming belangrijk?

Met de komst van het internet, social media en nieuwe technieken zoals virtual reality en artificial intelligence wordt er veel informatie over ons vastgelegd. Vaak zonder dat we dit weten. Ook delen we steeds meer informatie, bewust of onbewust, over onszelf. Al deze gegevens kunnen worden verzameld, opgeslagen, gebruikt of zelfs doorverkocht. Daarom is het belangrijk om deze gegevens te beschermen en zelf de regie te hebben over wie, wat en wanneer deze informatie wordt gebruikt. Beschermheren geeft 5 redenen om nu met privacy aan de slag te gaan:

R

Als organisatie bent u door de AVG verplicht om veilig om te gaan met persoonsgegevens

R

Zorgvuldig omgaan met (privacy)data vergroot de kwaliteit en betrouwbaarheid van uw bedrijf

R

Schending van de wet- en regelgeving kan leiden tot reputatieschade en mogelijke boetes

R

Goede privacybescherming minimaliseert bedrijfsrisico's en voorkomt misbruik van gegevens

R

U houdt zelf de regie over de informatie die u ontvangt, bewaard en verwerkt.

Hoe wordt uw privacy beschermd?

Hoewel u zelf veel kunt doen om uw gegevens te beschermen zijn er daarnaast tal van organisaties die persoonsgegevens verwerken. Denk bijvoorbeeld aan banken, ziekenhuizen of verzekeringsmaatschappijen. Om onze privacy beter te beschermen geldt daarom sinds 25 mei 2018 de Europese privacywetgeving, de General Data Protection Regulation (GDPR). Deze privacywetgeving is in Nederland beter bekend als de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) is de toezichthouder op deze wetgeving in Nederland. Zij stimuleren bedrijven om zich aan de privacyregels te houden en controleren of deze regels ook worden nageleefd.


Wat is de AVG?

De AVG geeft eisen weer richting organisaties over hoe zij bij een verwerking om dienen te gaan met persoonsgegevens. Zo moet er een doeleinde(n) en wettelijke grondslag zijn om persoonsgegevens te mogen verwerken. Daarnaast zijn organisaties verplicht om niet meer persoonsgegevens te verwerken dan nodig is. 

De AVG geeft op Europees niveau eisen en verplichtingen weer ten opzichte van privacy. Op nationaal niveau zijn sommige artikelen verder uitgewerkt. In Nederland staan deze uitwerkingen in de Uitvoeringswet AVG (UAVG). Een voorbeeld hiervan is het gebruik van het BSN-nummer. De eisen voor verwerkingen met betrekking tot een BSN nummer zijn per lidstaat zelf bepaald en vastgelegd. In Frankrijk is het gebruik van het BSN-nummer om die reden bijvoorbeeld strenger dan in Nederland.

Voor wie geldt de AVG?

De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking en op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De AVG is geldig voor bijna alle Europese organisaties (ongeacht of deze verwerking in de Europese Unie plaatsvindt) en voor niet-Europese organisaties die goederen/diensten aanbieden of mensen in de Europese Unie monitoren op gedrag. Ook geldt de AVG voor organisaties die vallen onder het Europees recht. Activiteiten in de persoonlijke of huishoudelijke sfeer vallen buiten de reikwijdte van de AVG.


Wat is er veranderd met de komst van de AVG?

Privacywetgeving is met de komst van de AVG in 2018 niet opeens van start gegaan. Er bestond ook voor die tijd al privacywetgeving zoals de Wet Bescherming Persoonsgegevens (WPB). Alleen wat de AVG net iets anders maakt dan de tot 2018 geldende WPB, is dat organisaties verplicht aantoonbaar aan de wetgeving moeten voldoen. 

Met de komst van de AVG hebben betrokkenen meer rechten gekregen. Zo kun je bij iedere organisatie waar je persoonsgegevens mee hebt uitgewisseld, opvragen welke gegevens er bekend zijn en deze laten verwijderen. Daarnaast hebben de toezichthoudende autoriteiten, zoals de Autoriteit Persoonsgegevens, meer bevoegdheden gekregen. Bijvoorbeeld de bevoegdheid om boetes op te leggen.

Onderstaand een overzicht van de belangrijkste veranderingen met de komst van de AVG:

R

Een bredere toepasbaarheid van de AVG op iedereen die zich richt op EU consumenten.

R

Een introductie op het concept ‘verantwoording’, waarbij organisaties hun naleving met de AVG moeten kunnen aantonen.

R

Krachtigere rechten voor individuelen (in het speciaal binnen de digitale omgeving).

R

Een eis dat privacy wordt meegenomen bij de ontwikkeling van nieuwe technologie (privacy by default/by design).

R

Meer bevoegdheden voor de toezichthoudende autoriteiten.

R

Eén-loketmechanisme (onestopshop). Organisaties die grensoverschrijdende verwerkingen uitvoeren hoeven alleen nog maar met één privacy toezichthouder zaken te doen.

Wat zijn de grootste valkuilen van de AVG?

De grootste valkuil voor organisaties is dat zij bij het aanpakken van hun privacybescherming veelal kijken naar hun kernactiviteiten. Echter, zodra zij met de AVG aan de slag gaan, komen zij er vaak achter dat er nog veel meer onderdelen binnen de organisatie zijn waar persoonsgegevens worden verwerkt.

Daarbij is er binnen de AVG veel grijs gebied. Het geeft weliswaar de kaders aan waarbinnen de organisatie moet opereren als het gaat om privacy. Maar hoe u deze wetgeving vormgeeft binnen uw eigen organisatie, mag u zelf bepalen. Het is daarbij dus van belang dat uw organisatie de verwerking van persoonsgegevens kan onderbouwen en hiermee aantoonbaar kan maken dat u aan de wetgeving voldoet. Zo moet u kunnen beargumenteren waarom bepaalde stappen binnen de AVG wel of niet worden opvolgt. Voor veel organisaties, die geen privacy specialist in huis hebben, ligt daar de crux omdat het niet precies duidelijk is hoe ver u binnen dit grijze gebied kunt gaan. 

Ook is het een misvatting dat privacy binnen de eigen organisatie kan worden aangevlogen als project. Privacybescherming is namelijk een proces waarbij continu, bijvoorbeeld bij in- en uitdiensttreding van medewerkers of nieuwe samenwerkingen met leveranciers, moet worden gekeken of de organisatie blijvend voldoet aan de privacywetgeving.


Wat is het verschil tussen de internationale en Europese (privacy)wetgeving
?
 

De wereldwijde standaard voor informatiebeveiliging is de ISO 27001. Deze norm beschrijft hoe organisaties procesmatig kunnen omgaan met het beveiligen van informatie. Hierbij ligt de focus op het managementsysteem om informatie te beveiligen en verlies van gegevens te voorkomen. De Europese privacywetgeving GDPR/AVG richt zich daarentegen specifiek op de bescherming van persoonsgegevens. Wanneer uw organisatie aan de ISO 27001 normering voldoet betekent dit echter niet dat u hiermee automatisch voldoet aan de GDPR/AVG.

Wie heeft u nodig om privacybescherming te waarborgen?
Om de privacy binnen uw organisatie te waarborgen heeft u commitment nodig vanuit het hoogste orgaan binnen uw organisatie. Zij moeten het belang zien van privacybescherming en fungeren als rolmodel. Om privacybescherming vervolgens in uw hele organisatie door te voeren is het van belang dat er op elk niveau iemand beschikbaar is om dit onderwerp onder de aandacht te brengen. Op strategisch niveau zijn dit de directie en een onafhankelijke Functionaris Gegevensbescherming of privacycontactpersoon. Op tactisch niveau is dit de Privacy Officer en op operationeel niveau zijn dit de Privacy ambassadeurs. Bovenstaande rollen zijn geen ‘vaste’ rollen en kunnen per organisatie verschillen.

Wat is een Functionaris Gegevensbescherming en is dit verplicht?

Een Functionaris Gegevensbescherming (FG) is iemand die binnen de organisatie onafhankelijk toeziet op de naleving van de AVG. Naast een onafhankelijke positionering zijn er door de Autoriteit Persoonsgegevens concrete uitgangspunten opgesteld over o.a. de informatiepositie, de middelen die de FG nodig heeft en de toegang van de FG tot het bestuur van de organisatie.

Voor sommige organisaties is het verplicht om een FG te benoemen. Zo zijn overheden en publieke organisaties verplicht om een FG aan te stellen. Daarnaast geldt het aanstellen van een Functionaris Gegevensbescherming ook voor:

R

Organisatie die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen.

R

Organisaties die vanuit hun kernactiviteit bijzondere persoonsgegevens verwerken (zoals gezondheid, ras, politieke opvatting of geloofsovertuiging)

R

Organisaties die strafrechtelijke persoonsgegevens verwerken.

Wanneer u twijfelt of u verplicht bent om een FG aan te stellen moet u kunnen onderbouwen waarom u ervoor heeft gekozen om dit wel of niet te doen.


Privacybescherming met Beschermheren

Om de privacybescherming binnen uw organisatie te waarborgen moeten de eisen binnen de AVG-wetgeving een integraal onderdeel worden van uw bedrijfsprocessen. Door onderstaande stappen te doorlopen toetsen we of uw organisatie aan de AVG-verplichtingen voldoet. Dit geeft inzicht in welke maatregelen er getroffen moeten worden om de privacybescherming binnen uw organisatie te optimaliseren.

 

R

Heeft uw organisatie zicht op alle type gegevens die uw organisatie verwerkt?

R

Heeft uw organisatie (nog steeds) een grondslag voor het verwerken van persoonsgegevens?

R

Zijn uw (nieuwe) medewerkers op de hoogte van uw privacyregels?

R

Kunnen mensen hun privacyrechten uitoefenen?

R

Is uw organisatie up to date met verwerkingen?

R

Controleert u regelmatig of er een DPIA (Data Protection Impact Assessment) moet worden uitgevoerd over uw processen?

R

Past uw organisatie de verplichte uitgangspunten van privacy by design en default toe in de praktijk?

R

Heeft uw organisatie een functionaris gegevensbescherming (FG) of privacycontactpersoon?

R

Is er een datalek procedure en register en is deze bekend bij uw medewerkers?

R

Heeft u (contractueel) grip op uw verwerkers?

De privacy experts van Beschermheren informeren en adviseren uw organisatie over de verplichtingen op basis van (intern) beleid, privacywetgeving en erkende privacy normenkaders. Zo helpen en begeleiden we bij het opzetten van een Privacy Management Systeem (PMS), het monitoren op compliance én certificering conform de nieuwe BC 5701 norm. Daarnaast ondersteunen we bij het uitvoeren van de verplichtingen uit de privacy wet- en regelgeving, waaronder de meldplicht datalekken, verwerkingsregister, datalek procedures, DPIA’s en het beoordelen van de rechtmatigheid van voorgenomen verwerkingen. Een onafhankelijke FG as a service is ook onderdeel van onze diensten.

Wilt u ook de uitdagingen rondom privacybescherming aanpakken? Inzicht krijgen in de risico’s en met ons werken aan een oplossing die perfect aansluit bij de wensen en behoeftes van de organisatie? Neem dan vandaag nog contact met ons op en zet de eerste stappen naar privacybescherming als integraal onderdeel van de organisatie.

Beschermheren

Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving

Algemene voorwaarden

A man should look for what is, and not for what he thinks should be.

Albert Einstein