Algemene Verordening Gegevensbescherming (AVG)

Vrijdag 4 mei 2018, door Rudolph Froger

Op 25 mei 2018 zal de AVG van toepassing zijn. Dreamsolution heeft altijd veel aandacht gehad voor informatiebeveiliging en dus ook voor de beveiliging van persoonsgegevens. Dit artikel gaat in op de gevolgen van de AVG voor Dreamsolution en haar klanten.

Disclaimer: Dreamsolution is geen juridisch adviesbureau. Onderstaande uitleg is gebaseerd op onze huidige inzichten over de AVG.

Wat zijn persoonsgegevens?

Het begrip persoonsgegevens is heel breed. Persoonsgegevens zijn alle gegevens waarbij direct óf indirect een natuurlijk persoon kan worden geïdentificeerd. Een IP-adres is bijvoorbeeld een persoonsgegeven omdat een IP-adres gecombineerd met gegevens van een internetprovider mogelijk leidt tot de identificatie van een persoon.

De persoon waar de gegevens betrekking op hebben wordt in de verordening "de betrokkene" genoemd.

Inventarisatie

Verwerkingsverantwoordelijken en verwerkers moeten een register bijhouden waarin alle soorten verwerkte persoonsgegevens worden genoemd.

Bij elke categorie met gegeven moeten verschillende zaken worden bijgehouden, waaronder:

  • de categorie van personen op wie de verwerking betrekking heeft (bijvoorbeeld het personeel, de ingeschreven gebruikers of alle bezoekers van een website);
  • categorieën van ontvangers (wie kan de informatie inzien);
  • het doel;
  • de grondslag (zie verderop);
  • de bewaartermijn, inclusief motivatie;
  • derde partijen aan wie de gegevens worden doorgegeven (bij partijen buiten de EU zijn er mogelijk extra waarborgen nodig);
  • de betreffende beveiligingsmaatregelen;
  • inschatting van de risico's voor de betrokkenen.

Grondslag voor verwerking

Voor verwerking van persoonsgegevens moet er een goede grondslag zijn anders mogen de persoonsgegevens niet worden verwerkt. De verordening schrijft een beperkt aantal toegestane grondslagen voor.

  • De betrokkene heeft expliciet toestemming gegeven. Het verkrijgen van toestemming moet aan allerlei eisen voldoen.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst. Voor veel van de web applicaties kan dit een goede grondslag zijn om bepaalde persoonsgegevens te verwerken. De gebruikers van een applicatie zijn vaak een overeenkomst aangegaan voordat men de applicatie mocht gebruiken. Het is dan wel belangrijk dat de betreffende informatie ook echt noodzakelijk is (de overeenkomst kan niet goed worden uitgevoerd zonder de gegevens).
  • Een wettelijke verplichting. Bijvoorbeeld als de Belastingdienst eist dat bepaalde gegevens deel uit maken van de administratie.
  • Wegens vitale belangen. Als het leven van een persoon afhankelijk is van de verwerking dan mag de verwerking plaats vinden. Bij de applicaties die Dreamsolution realiseert zal dit niet snel het geval zijn.
  • Bij een taak van algemeen belang kan er een grondslag zijn voor verwerking. Dit kan bijvoorbeeld van toepassing zijn bij bepaalde overheidstaken. Ook hier geldt dat deze grondslag niet snel van toepassing is.
  • Er kan ook een grondslag zijn bij belangenbehartiging van de verwerkingsverantwoordelijke. Bijvoorbeeld bij fraudepreventie of netwerkbeveiliging kan het nodig zijn om bijvoorbeeld IP-adressen enige tijd vast te leggen. Zolang het strikt noodzakelijk en evenredig is, kunnen deze gegevens worden verwerkt.

Rechten van betrokkenen

De betrokkene moet goed zijn geïnformeerd, bijvoorbeeld met een heldere privacyverklaring met eenvoudig taalgebruik.

Er geldt een recht op inzage. Betrokkenen heeft recht op kosteloos inzage in alle verwerkte persoonsgegevens.

Dataportabiliteit: Betrokkenen hebben het recht om de persoonsgegevens in een digitaal leesbaar standaardformaat te ontvangen (het gaat alleen om geautomatiseerd verwerkte gegevens). Er zijn gevallen waarin dit recht niet van toepassing is, zoals gegevens die verwerkt zijn wegens de belangenbehartiging van de verwerkingsverantwoordelijke.

Als de persoonsgegevens niet correct zijn dan heeft de betrokkene recht op een kosteloze correctie.

Als de gegevens niet langer relevant zijn dan kan de betrokkene ook vragen om verwijdering. De verantwoordelijke kan dit alleen weigeren als kan worden aangetoond dat de gegevens nog wel relevant zijn. Facturen met daarop de naam van een persoon kunnen bijvoorbeeld pas worden gewist nadat deze facturen niet langer nodig zijn voor de administratie. Backups zijn een legitiem doel om gegevens niet direct te verwijderen. Wel dienen de betreffende gegevens weer direct te worden verwijdert mocht de backup ooit worden herstelt.

Betrokkenen hebben recht op bezwaar. Als gegevens bijvoorbeeld worden verwerkt met de grondslag van belangenbehartiging dan kan in individuele gevallen een bezwaar zwaarder wegen dan de grondslag en moeten de gegevens van de betrokkene buiten de verwerken worden gehouden.

Betrokkenen kunnen de verwerking door de verantwoordelijke tijdelijk laten beperken. Dit geldt bijvoorbeeld als een betrokkene in afwachting is van de beoordeling bij de uitoefening van een ander recht uit de AVG.

Beveiliging

De AVG stelt dat de verwerking van de persoonsgegevens goed moet zijn beveiligd. Er moeten passende maatregelen zijn genomen. Hierbij moet onder andere rekening worden gehouden met de stand van de techniek, de aard van de verwerking, de omvang van de verwerking, en de ernst van de risico's voor de betrokkenen.

Dreamsolution neemt standaard tal van maatregelen om informatie te beveiligen. Jaarlijks laten we ons management systeem voor informatiebeveiliging auditen volgens de ISO27001. Voor bepaalde applicaties neemt Dreamsolution in verband met specifieke risico's extra maatregelen.

Belangrijke principes bij de beveiliging van persoonsgegevens zijn "Privacy by design" en "Privacy by default". Om "Privacy by design" aan te kunnen tonen, voert Dreamsolution bij alle grotere wijzigingen in de door haar ontwikkelde software een risico analyse uit. "Privacy by default" betekent dat privacy gerelateerde instellingen standaard zo strak mogelijk moeten zijn ingesteld.

Dreamsolution gaat graag met haar klanten het gesprek aan over de risico's en welke maatregelen passend zijn.

Datalekken

Mocht er toch een inbreuk hebben plaatsgevonden in verband met met persoonsgegevens dan moet de verwerkingsverantwoordelijke (vaak onze klanten) dit zeer snel melden bij de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens). Het is een inbreuk als er gegevens onrechtmatig zijn vernietigd, verloren, gewijzigd, verstrekt, of toegankelijk gemaakt. Er is geen melding nodig als het onwaarschijnlijk is dat de betrokkene risico heeft gelopen.

Als er sprake is van een datalek met hoog risico dan moeten de betrokkenen ook zo snel mogelijk worden geïnformeerd.

Dreamsolution zal in de rol van verwerker de verwerkingsverantwoordelijke zo snel mogelijk informeren als er een inbreuk heeft plaats gevonden die mogelijk een risico vormt voor de betrokkenen.

Verwerkersovereenkomst

Dreamsolution is voor veel van haar klanten een "verwerker" in de zin van de AVG. Dit betekent dat Dreamsolution met haar klanten een aantal zaken moet regelen. Heeft u al een overeenkomst met Dreamsolution dan moet er een additionele verwerkersovereenkomst worden afgesloten.