Gegevensbescherming: compliance is topsport

Update 28– Het Inzicht– September 2016

In dit artikel geeft Renate Verheijen, Legal & HR Counsel bij Madison Gurkha, inzicht in de effecten van de Algemene Verordening Gegevensverwerking (AVG) en wat het betekent voor uw organisatie.

Gegevensbescherming: compliance is topsport

In het Interview met ICT-jurist Arnoud Engelfriet elders op deze website, heeft u kunnen lezen dat er veel gaat veranderen op het gebied van privacywetgeving. In dit artikel brengt Renate Verheijen, Legal & HR Counsel bij Madison Gurkha, de consequenties van de Algemene Verordening Gegevensbescherming (AVG) in kaart en neemt u mee in de uitdagingen die u staan te wachten. Zo weet u hoe u ervoor staat en welke stappen u moet zetten om compliant te zijn of te blijven.

 

Tot 25 mei 2018 krijgen gegevensverwerkers van Europese persoonsgegevens - ongeacht of deze zich binnen of buiten de EU bevinden - de tijd om toe te werken naar een wijze van gegevensverwerking die voldoet aan alle in de Algemene Verordening Gegevensbescherming (AVG)1 gestelde eisen en normen. Doordat we nogal enthousiast persoonsgegevens verzamelen in algemeen en/of commercieel belang, heeft de Unie zich ten doel gesteld een krachtig en coherent kader te scheppen voor deze gegevensbescherming en erop toe te zien dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het doel waarvoor ze gebruikt worden. Gezien de inhoud, reikwijdte en het aantal bepalingen, laat zich raden dat het een ‘onsje’ meer geworden is dan enkel een kader. Het betreft een redelijk strak setje aan verplichtingen waar eenieder die persoonsgegevens verwerkt zich aan dient te houden.

Toepassing van de AVG
Voordat u uw mouwen gaat opstropen om in actie te komen, is het verstandig om te bezien wanneer er nu eigenlijk sprake is van persoonsgegevens en verwerking van persoonsgegevens onder de verordening en zo ja, of de verordening ook van toepassing is voor de gegevens die u verwerkt. Er is volgens art. 4 lid 1 AVG sprake van persoonsgegevens wanneer het gaat om informatie over een geïdentificeerde of identificeerbare persoon. Een persoon is identificeerbaar als de persoon direct of indirect kan worden geïdentificeerd. Daarvan is al sprake als er een identificator wordt gebruikt zoals een naam, een identificatienummer (denk hierbij aan een klantnummer, personeelsnummer, lidmaatschapsnummer of accountnummer of -naam), locatiegegevens van een persoon, een online identificator (bijvoorbeeld een IP-adres, e-mailadres, GPS-coördinaten van een mobile device) of één of meerdere elementen die worden verzameld en kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, of sociale identiteit van de natuurlijke persoon.
Het komt er feitelijk op neer dat al heel snel sprake is van een persoonsgegeven. Daar waar u wellicht in de veronderstelling verkeert dat er geen sprake is van identificeerbaarheid, omdat deze informatie niet direct zichtbaar is, of informatie op diverse plaatsen is ondergebracht, of u gebruikmaakt van anonimisering van de persoonsgegevens, kan het tegendeel blijken. Door onbedoelde of opzettelijke combinaties van deze niet te identificeren gegevens of het koppelen van de diverse plaatsen waar gegevens zijn opgeslagen, kan (ook buiten uw toedoen) een identificator ontstaan. Los van het feit dat u anonimiteit toepast dient u er zo veel als mogelijk voor te zorgen dat dit wordt voorkomen. Niet identificeerbaarheid of anonimiteit op zichzelf biedt onvoldoende garantie indien u de gegevens gaat verwerken.
De regels en verplichtingen van de AVG komen in beeld zodra u de persoonsgegevens verwerkt. Van verwerken is sprake als een bewerking of een geheel van bewerkingen plaatsvindt, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, gebruiken, opvragen, raadplegen, verstrekken door middel doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (art. 4 lid 2 AVG). Verwerkt u persoonsgegevens, anders dan zuivere privéactiviteit, dan is de AVG van toepassing. Uitzonderingen zijn verwerkingen die buiten de werkingssfeer van het Unierecht vallen of wanneer het persoonsgegevens betreft die verwerkt worden door bevoegde autoriteiten met het oog op voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten. Indien een persoon is overleden, is de verordening eveneens niet van toepassing en gelden andere regels.2

Beginselen
Nu helder is in welke gevallen de verordening van toepassing is, komen de uitdagingen voor u aan de orde. Daar waar de Wet Bescherming Persoonsgegevens (Wbp) melding maakt van enkele rechten van natuurlijke personen wiens gegevens verwerkt worden,3 kent de AVG meer gewicht toe aan deze rechten en wordt er gesproken van ‘beginselen inzake verwerking van persoonsgegevens’ (art. 5 lid 1 AVG). Deze beginselen dient u aantoonbaar toe te passen en te respecteren. Om welke beginselen gaat het?
1. De beginselen van rechtmatigheid, behoorlijkheid en transparantie: de persoonsgegevens dienen te worden verwerkt op de wijze die ten aanzien van betrokkene rechtmatig, toestemming van betrokkene (art. 7,8 AVG). Voor het verwerken van bijzondere persoonsgegevens4 gelden strikte regels (art 9 AVG);
2. Het beginsel van doelbinding: gegevens van de persoon mogen alleen verwerkt worden op basis van uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet voor andere doeleinden worden gebruikt (art. 5 lid 1 sub b AVG);
3. Het beginsel van minimale gegevensverwerking: de gegevens moeten ter zake dienend zijn, verwerking en verzameling dient beperkt te worden tot wat noodzakelijk is voor de doeleinden (art. 5 lid 1 sub c AVG);
4. Het beginsel van juistheid, accuraatheid: er moeten redelijke maatregelen worden getroffen om de gegevens met het oog op de gebruikte doeleinden te rectificeren of te verwijderen bij onjuistheid (art. 5 lid 1 sub d AVG);
5. Het beginsel van opslagbeperking: de gegevens dienen te worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor het doel van de verwerking noodzakelijk is. Uitzonderingen hierop zijn opslag in het algemeen belang, opslag in het belang van wetenschappelijk, historisch of statistisch onderzoek (art. 5 lid 2 sub e AVG);
6. Het beginsel van integriteit en vertrouwelijkheid: u dient de passende technische en organisatorische maatregelen te nemen, zodat een passende beveiliging van de verwerking van de persoonsgegevens gewaarborgd is. (art. 5 lid 1 sub f AVG).

Indien een inbreuk op deze beginselen plaatsvindt kan er na afweging van alle omstandigheden en belangen door de Autoriteit Persoonsgegevens5 een bestuurlijke boete worden opgelegd tot een maximum van 20.000.000,- euro of, indien uw jaarlijkse totale omzet wereldwijd hoger ligt, 4% hiervan (art. 83 lid 5 sub a AVG). Bij schending van de rechten van betrokkenen onder de Wbp ligt het maximum voor 2016 op 820.000,- euro, waarmee direct helder wordt dat het toegekende gewicht aan beginselen zich vertaalt in de zwaarte van de op te leggen sancties bij een inbreuk hierop. Het is echter niet zo dat iedere inbreuk ook zonder meer een boete oplevert. Als blijkt dat u de nodige inspanningen verricht heeft en geheel buiten uw toedoen een inbreuk heeft plaatsgevonden dan wel dat u de aanwijzingen ter verbetering van de toezichthoudende instelling aantoonbaar opvolgt, blijft het hierbij.

De rechten van betrokkenen
Daarnaast is het aantal rechten dat betrokkenen wordt toegekend uitgebreid onder de AVG. De rechten van betrokkenen die u dient te respecteren en na te volgen zijn terug te vinden onder artt. 12 t/m 22 AVG. U moet hierbij denken aan:
1. Het recht van betrokkene op informatie wanneer persoonsgegevens bij de betrokkene worden verzameld;
2. Het recht op -andere- informatie naar betrokkene toe wanneer de gegevens niet via betrokkene zijn verkregen;
3. Het recht van inzage van betrokkene; het recht op rectificatie en wissen van gegevens (het recht op vergetelheid);
4. Het recht op beperking van de verwerking;
5. De kennisgevingsplicht bij rectificatie of het wissen van persoonsgegevens of verwerkingsbeperking;
6. Het recht van betrokkene op overdraagbaarheid naar andere gegevensverwerkers van zijn gegevens;
7. Het recht van bezwaar en het recht van betrokkene niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, waaronder profiling.

De schending van deze rechten - die voortvloeien uit de hierboven vermelde beginselen - kennen dezelfde sancties en doen derhalve in compliance belang niet onder voor de beginselen. Dus is het zaak om ten behoeve van de nakoming van deze beginselen en rechten procedures vooraf zo in te richten dat hieraan wordt voldaan. U dient het bestaan van deze procedures aan te tonen en kenbaar te maken aan betrokkenen. Hiermee is uw klus nog niet geklaard en dient u de mouwen nog iets verder op te stropen. Er ligt nog een setje aan verplichtingen voor u klaar. Deze verschillen al naar gelang de rol die u vervult in het verwerken van persoonsgegevens.

Uw verplichtingen als verwerkingsverantwoordelijke6
Centraal in de verplichtingen bij het verwerken van persoonsgegevens staat dat er al bij het ontwerpen van de wijze van verwerking rekening dient te worden gehouden met het vereiste niveau van gegevensbescherming (Privacy by design). De AVG is vrij kort over de te vervullen verplichtingen door als algemeen uitgangspunt te vermelden dat gelet op de stand van techniek, uitvoeringskosten, aard, omvang, de context en het doel van de gegevensverwerking en de mogelijke ernst van de risico’s voor de betrokkenen, passende technische en organisatorische maatregelen getroffen moeten worden omtrent de gegevensbeschermingsbeginselen bij de verwerking, de naleving en de bescherming van de rechten van betrokkenen (art. 25 AVG).

Compliance is verheven tot een topsport, waarbij zeer welwillende professionele personal auditors en een coach u naar de eindstreep begeleiden.

Als leidraad voor het treffen van deze maatregelen kunt u de CBP Richtsnoeren Beveiliging van persoonsgegevens van 2013 aanhouden.7 Deze is geschreven in samenhang met de destijds door de Europese Commissie ontworpen concept-Verordening, die nu een definitieve status heeft. Beide sluiten goed op elkaar aan. Zo kunt u passende maatregelen treffen op basis van een risicoanalyse die ertoe leidt dat u een passend beveiligingsniveau kunt garanderen bij de verwerking van persoonsgegevens. Deze risicoanalyse draagt de naam Privacy Impact Assessment (PIA), ook wel een gegevensbeschermingeffectbeoordeling (art. 35 AVG) genoemd. Onder de Wbp viel dit assessment buiten de reikwijdte van art.13 Wbp en had geen formele status. Dat heeft hij nu wel. Bij grootschalige verwerking van bijzondere persoonsgegevens is het verplicht, evenals bij grootschalige monitoring van openbare ruimten, of systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde gegevensverwerking - zoals profiling. Daarnaast kan de Autoriteit Persoonsgegevens een openbare lijst opstellen van soorten gegevensverwerking waarvoor zij een gegevensbeschermingeffectbeoordeling verplicht stelt of juist niet verplicht stelt. Het is de komende tijd dan ook voor u van belang de ontwikkelingen van de Autoriteit op de voet te volgen. Los daarvan kan deze risicoanalyse u helpen bij het verkrijgen van een inzicht in wat u te doen staat.

De gegevensbeschermingeffectbeoordeling is door NOREA (de beroepsorganisatie van IT-auditors) in samenwerking met de Autoriteit Persoonsgegevens, Auditdienst Rijk, PWC – natuurlijk niet geheel belangeloos – en PBLQ/HEC ontwikkeld.8 U dient een vragenlijst in te vullen, aan de hand van een handleiding de impact hiervan te beoordelen en eventuele aanvullende maatregelen te treffen om daarna een verslag op te stellen en dat door een onafhankelijk auditor te laten beoordelen. Dit natuurlijk tot grote vreugde van PWC. Volgt hieruit dat uw voorgenomen gegevensverwerking een hoog risico zou opleveren, dan bent u – kort door de bocht geformuleerd - ‘de Sjaak’. U dient dan namelijk conform art. 36 AVG een voorafgaande raadpleging aan te vragen bij de Autoriteit Persoonsgegevens. Een vrij tijdrovende en bewerkelijke procedure waarbij u alle informatie dient te overhandigen en het schriftelijk advies van de Autoriteit dient af te wachten. Uiteraard dient u dit advies op te volgen.

Gaat het om de verwerking van bijzondere persoonsgegevens, dan is vereist dat er bij de ontwerpfase rekening dient te worden gehouden met het vereiste beveiligingsniveau (Security by design). Hiervoor dient u van Privacy Enhancing Technologies (PET) gebruik te maken: het vereiste beveiligingsniveau is dan leidend voor de keuze van beveiligingsmaatregelen.

De volgende stap is om met de tips en trucs van uw auditor vervat in een keurige rapportage, passende organisatorische en technische maatregelen te ontwerpen en of te actualiseren gericht op het beveiligen van de verwerkingen. Dit doet u aan de hand van het vaststellen van de betrouwbaarheidseisen. Het gaat dan om de mate waarin de organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. Hierbij spelen vier aspecten van beveiliging:
1. De beschikbaarheid: maatregelen treffen die waarborgen dat gebruikers op de juiste momenten toegang hebben tot de informatie en aanverwante bedrijfsmiddelen;
2. Integriteit: het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van de informatie en de verwerking ervan;
3. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd;
4. Controleerbaarheid: het waarborgen om met voldoende zekerheid vast te kunnen stellen of aan de hierboven genoemde drie aspecten wordt voldaan.

Aan de hand van de “plan-do-check-act”- cyclus gaat u fasegewijs deze maatregelen ontwerpen en of actualiseren, controleren, evalueren en aanpassen. Al deze aspecten zijn opgenomen in art. 32 AVG. Voor het opstellen van de beveiligingsmaatregelen raad ik u aan het CBP Richtsnoer Beveiliging van persoonsgegevens erbij te pakken en conform deze aanpak te werk te gaan. Het richtsnoer verwijst veelvuldig naar de norm NEN-ISO-IEC 27002:2007 (inmiddels is deze normering geactualiseerd en raad ik u aan de actuele normering bij de hand te nemen), waarmee u direct aansluiting vindt bij de AVG.

De AVG stimuleert het voldoen aan certificering namelijk. De AVG gaat niet zover dat zij expliciet verwijst naar de NEN-ISOrichtlijnen (dit in verband met de diversiteit aan certificeringen voor de lidstaten en de sectorspecifieke toepassingen die variaties met zich meebrengen in normeringen) maar geeft nadrukkelijk aan dat certificeringsmechanismen een belangrijke ondersteuning kunnen bieden voor het aantonen dat u aan de gestelde voorschriften voldoet als verwerkingsverantwoordelijke.9 Ook goedgekeurde gedragscodes kunnen hiertoe bijdragen. Zo kan het midden- en kleinbedrijf bijvoorbeeld branchegericht gedragscodes opstellen en deze door de Autoriteit Persoonsgegevens laten goedkeuren en de toepassing van de AVG af laten stemmen op de omstandigheden en omvang van de verwerking van persoonsgegevens.10 Daarnaast kan de Autoriteit Persoonsgegevens in concernverband de verwerking van persoonsgegevens en de doorgifte hiervan tussen de bedrijfsonderdelen (die zich in diverse lidstaten kunnen bevinden) vastgelegd in bindende bedrijfsvoorschriften goedkeuren (art. 47 AVG).

Nieuw is dat u als verwerkingsverantwoordelijke op grond van art. 30 AVG een register dient bij te houden dat de volgende gegevens bevat:
1. De naam en contactgegevens van u als verwerkingsverantwoordelijke en de eventueel door u en de verwerker aangestelde functionaris voor gegevensverwerking;
2. De verwerkingsdoeleinden;
3. De beschrijving van de categorieën van persoonsgegevens;
4. De categorieën van ontvangers aan wie persoonsgegevens zijn of zullen worden verstrekt - ook indien deze zich in derde landen bevinden of internationale organisaties zijn;
5. Aan welk een derde land of internationale organisatie u persoonsgegevens heeft doorgegeven en de documenten inzake passende waarborgen die hierop toezien;
6. De beoogde termijnen waarbinnen de verschillende categorieën persoonsgegevens dienen te worden gewist;
7. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Conform de Wet Meldplicht Datalekken bepaalt ook de AVG dat u als verwerkingsverantwoordelijke in geval van een datalek, melding hiervan dient te maken bij de Autoriteit Persoonsgegevens, binnen 72 uur nadat de melding u bekend is geworden (art. 33 lid 1 AVG). De AVG bepaalt tevens wat er in de melding dient te staan (art. 33 lid 3 sub a-d AVG) en onder welke omstandigheden de betrokkenen van de datalek door u op de hoogte gesteld dienen te worden en wat er in de melding dient te worden opgenomen (art. 34 lid 1 en lid 3 sub a-c AVG).

Uw verplichtingen als verwerker11 Hierbij geeft de AVG vrij resoluut aan dat de verwerkingsverantwoordelijke alleen dan een beroep op u als verwerker van persoonsgegevens kan doen, indien u afdoende garanties kunt bieden met betrekking tot het toepassen van passende organisatorische en technische maatregelen, zodat aan alle vereisten van de verordening voldaan wordt en de bescherming van betrokkene is gewaarborgd. U werkt uitsluitend in opdracht van de verwerkingsverantwoordelijke tenzij er op grond van Unierecht of recht van de lidstaat een verplichting tot verwerking ligt (art. 29 AVG). Een subverwerker kan alleen met schriftelijke toestemming van de verwerkingsverantwoordelijke door u als verwerker worden ingeschakeld (art. 28 lid 3 AVG). Wanneer de subverwerker tekort schiet in de nakoming blijft u als verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk (art. 28 lid 4 AVG).

Alle verplichtingen van u als verwerker jegens de verwerkingsverantwoordelijke worden vastgelegd in een bewerkersovereenkomst. De AVG legt - in tegenstelling tot de Wbp - op wat er in de bewerkersovereenkomst dient te worden opgenomen (art. 28 lid 3 sub a-h AVG). Daarnaast dient u de verwerkingsverantwoordelijke bij te staan in de vereisten die hem aangaan en zijn vastgelegd in artt. 32-36 AVG. De verwerkingsverantwoordelijke heeft het recht een audit uit te voeren om na te gaan of u aan uw beschermingsverplichtingen voldoet, uw interne procedures hieromtrent op orde hebt, u passende maatregelen heeft geïmplementeerd en geborgd.

Net als de verwerkingsverantwoordelijke dient u een register bij te houden van alle categorieën van verwerkingsactiviteiten die u ten behoeve van uw verwerkingsverantwoordelijke heeft verricht (art. 30 lid 2 sub a-d AVG). Het betreft de volgende gegevens:
1. De naam en de contactgegevens van u als verwerker en de door u ingeschakelde eventuele subverwerkers alsmede de verwerkingsverantwoordelijken voor wie u verwerkingen verricht en de contactgegevens van de eventueel (door u en de verwerkingsverantwoordelijke aangestelde) functionaris gegevensbescherming;
2. De categorieën van verwerkingen die voor rekening van al uw verwerkingsverantwoordelijken zijn uitgevoerd;
3. De doorgiften van persoonsgegevens aan een derde land of internationale organisatie, welke landen of organisaties dit betreffen en de documenten inzake de passende waarborgen;
4. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Dit register alsmede het register van de verwerkingsverantwoordelijke kan door de Autoriteit Persoonsgegevens worden opgevraagd (art. 30 lid 4 AVG). Indien u zich niet houdt aan uw verplichtingen als gegevensverantwoordelijke dan wel als verwerker is de AVG in boetebeleid ten opzichte van de beginselen van gegevensverwerking en rechten van betrokkenen iets milder. Bij schending van uw verplichtingen ligt het maximum van de toe te kennen boete op 10.000.000,- euro. Indien de jaaromzet van uw onderneming hoger is bedraagt het maximum 2% van de wereldwijde jaaromzet (art. 83 lid 4 sub a-c AVG). Uiteraard geldt ook hier dat boetes niet zomaar worden toegekend en er een zorgvuldige afweging van alle belangen plaatsvindt en naar alle omstandigheden wordt gekeken.

De ideale kandidaat is een soort kruisbestuiving van een IT-beveiligingsdeskundige en een gehaaide ICT/persoonsgegevensjurist.

De functionaris gegevensbescherming (Artt. 37-39 AVG)
Daar waar in de Wbp (artt. 62 en 63 Wbp) de mogelijkheid bestaat om een functionaris aan te wijzen die kan ondersteunen, adviseren en controleren bij de beveiliging en uitvoering van de persoonsgegevensverwerking, gaat de AVG explicieter in op deze functionaris. De functionaris dient een onafhankelijke positie te vervullen in verband met toezicht op naleving van de AVG door uw organisatie en zijn ondersteunende en adviesrol. U mag deze functionaris dan ook geen instructies geven, wel mag u hem betalen voor zijn onafhankelijk functioneren. Indien u overweegt om een personeelslid hiervoor aan te wijzen die deze functie met een reeds bestaande functie kan combineren, dan meldt de AVG fijntjes dat er geen sprake kan zijn van belangenverstrengeling. Daar waar u hoopt op een kleine financiële escape door via Social Return maatschappelijk te willen ondernemen, stelt de AVG dusdanig stevige kennis- en vaardigheidseisen, dat ook dit niet gaat lukken en u een forse salarispost tegemoet kunt zien.

De ideale kandidaat is een soort kruisbestuiving van een IT-beveiligingsdeskundige en een gehaaide ICT/persoonsgegevens-jurist. Een uiterst zeldzame combinatie waardoor u deze uit uw hoed zult moeten toveren door middel van een stevig en gezond trainingsbudget. U begrijpt dat ik veel bewondering koester voor de reeds in functie zijnde functionarissen. Omwille van de uitoefening van de onafhankelijke functie kunt u deze persoon niet ontslaan op grond van uitoefening van zijn taken.

Nu hoeft u gelukkig niet in alle gevallen deze functionaris aan te wijzen.12 Indien u besluit de functionaris uit eigen beweging te benoemen zonder dat hiertoe een verplichting bestaat is de consequentie wel dat u zich aan alle bepalingen van de AVG omtrent de functionaris dient te houden. Het spreekwoord ‘bezint eer ge begint’ lijkt toepasselijk.

Conclusie
Er liggen voor de komende tijd voldoende uitdagingen, zou ik voorzichtig met u kunnen concluderen. Velen met u krijgen het behoorlijk warm als u al deze punten op uw “to do”- lijst dient te zetten. De tijd, energie en geld wat u ongetwijfeld aan andere zaken had willen besteden, zullen nu deels opgaan aan al deze uitvoeringseisen. Uiteraard draait u op voor de kosten en nee, uw klanten zitten inderdaad niet te wachten op doorberekening van deze kosten. De AVG draagt ertoe bij dat u uw overhemd maar beter kunt vervangen door een professionele sportoutfit. Compliance is verheven tot een topsport, waarbij zeer welwillende professionele personal auditors en een coach (functionaris gegevensverwerking) u naar de eindstreep begeleiden. Wie de eindstreep niet (of op tijd) haalt wacht een straftraining en indien de resultaten niet naar behoren zijn, kan uw organisatie de beurs trekken.

Ik kan u slechts aanraden om een gedegen plan van aanpak op te stellen en vooraf een goede inventarisatie te maken van uw te vervullen taken en de benodigde tijd om dit plan te realiseren. Zoek intern verbinding met de personen die u op onderdelen kunnen helpen en denk hierbij ook aan uw klanten. Maak een realistisch en pragmatisch projectplan. Volg hierbij systematisch de AVG alsmede de “plan-do-check-act”-cyclus bij de gegevensbeschermingeffectbeoordeling. Als u vervolgens met het CBP Richtsnoer in de hand en conform de actuele NEN-ISO-IEC 27002 norm de passende maatregelen treft, dan bent u op weg een topsporter te worden. En topsport beoefenen vergt investering, discipline en doorzettingsvermogen. Er zijn helaas hierbij geen prijzen te vergeven…

 1 Verordening (EU) 2016/679 van het Europees Parlement van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming: hierna aangeduid als AVG), Pb L 119 van 4 mei 2016, p. 2, clausule 7.
2 Clausule 27 AVG, p. 5. Gezien het onderwerp van dit artikel en de beperking in omvang ontbreekt de ruimte om hier nader op in te gaan.
3 Deze rechten zijn opgesomd onder artt. 35-42 Wbp en zien o.a. toe op het recht van wijziging, verbetering, aanvulling, afscherming, wissen; het recht van verzet bij gebruik van persoonsgegevens; het recht op informatie omtrent gegevensverwerking en het recht om niet te worden onderworpen aan besluitvorming op grond van ‘profiling ‘ (dit gaat om een besluit dat alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van de persoonlijkheid van betrokkene en dit besluit rechtsgevolgen voor betrokkene heeft dan wel dit besluit hem in belangrijke mate treft).
4 Het gaat hierbij om gegevens van ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, politieke opvattingen, het lidmaatschap van een vakbond, verwerking van genetische gegevens, biometrische gegevens met het oog op identificatie van een persoon, gegevens omtrent gezondheid, seksueel gedrag of seksuele gerichtheid.
5 Dit wordt, of liever gezegd blijft, de toezichthoudende autoriteit onder de AVG.
6 Art. 4 lid 8 AVG omschrijft een verwerkingsverantwoordelijke als: “een natuurlijk persoon, rechtspersoon, overheidsinstantie, een dienst of ander orgaan dat alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Indien “de doelstellingen van en de middelen voor verwerking in het Unierecht of lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is en onder welke criteria deze wordt aangewezen.”
7 https://autoriteitpersoonsgegevens.nl/sites/default/ files/downloads/rs/rs_2013_richtsnoerenbeveiliging- persoonsgegevens.pdf
8 Privacy Impact Assessment (PIA), ‘Introductie, handreiking en vragenlijst’, versie 1.2, november 2015, NOREA. http://www.norea.nl/ readfile.aspx?ContentID=82987&ObjectID=1 265283&Type=1&File=0000042779_PIA%20 versie%201.2%20def.pdf
9 Artt. 24, 25, 32, 42, 43 AVG.
10 Artt. 24, 32, 40, 41 AVG.
11 Art. 4 lid 8 AVG omschrijft de verwerker als een natuurlijk persoon, rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
12 Er zijn drie situaties benoemd waarvoor de aanstelling van deze functionaris verplicht is: art. 37 lid 1 AVG somt deze op. Daarnaast treft u de opsomming aan in het interview met Arnoud Engelfriet onder vraag 9 in deze editie.

 

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa