Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

24 juli 2017

Waar moet u zeker op letten bij de bescherming van persoonsgegevens binnen uw organisatie? Per 25 mei 2018 hebben we te maken met de Algemene Verordening Gegevensbescherming (AVG). In deze blog lichten we vier valkuilen toe waar u mee te maken kan krijgen zodra de AVG van kracht wordt.

Valkuil 1: Er valt binnen de AVG meer onder persoonsgegevens dan u misschien denkt

Onder persoonsgegevens vallen niet alleen gegevens die iemand direct identificeren, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep. Denk hierbij aan een patiëntgroep binnen een ziekenhuis of gegevens die iets zeggen over een device, zoals een IP-adres.

Het is dus van belang dat u als bedrijf zicht heeft op alle gegevens die verzameld worden en dat u zich goed laat informeren over welke gegevens allemaal onder persoonsgegevens vallen. Meer hierover kunt u nalezen in onze eerste blog over de AVG.

Valkuil 2: Een privacy statement dat alleen u/de organisatie begrijpt

Het is inmiddels gebruikelijk om in een privacy statement aan te geven wat u als bedrijf doet met persoonsgegevens. Helaas zijn deze statements uitgegroeid tot lange juridische boeken die moeilijk te begrijpen zijn. Veel mensen slaan het lezen van een privacy statement per definitie over. De AVG schrijft voor dat ‘Informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Er moet duidelijke en eenvoudige taal worden gebruikt.’ Als u eens kritisch naar uw eigen privacy statement kijkt, hoe begrijpelijk is die tekst dan?

Wat uitkomst kan bieden, en ook de voorkeur heeft van de toezichthouders, is een gelaagd privacy statement. Hierin wordt eerst op hoofdlijnen en dan steeds gedetailleerder uitgelegd hoe een bedrijf omgaat met gegevens. Belangrijk is ook dat het taalgebruik moet aansluiten bij de gemiddelde doelgroep. Afhankelijk van uw doelgroep, kan deze regel dus om een herziening van uw privacy statement vragen.

Valkuil 3: Enkel registreren van datalekken met nadelige gevolgen

De huidige Wet bescherming persoonsgegevens verplicht bedrijven om een administratie bij te houden van iedere inbreuk die leidt tot een aanzienlijke kans op, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

De AVG breidt de eisen aan deze administratie uit. Per 25 mei 2018 bent u verplicht om alle inbreuken in verband met persoonsgegevens te documenteren en binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. In deze administratie moeten per geval de feiten, de gevolgen en de maatregelen vastgelegd worden. Opmerkelijk is dat er sprake is van ‘alle inbreuken’, dus ook de inbreuken waarvoor geen meldingsplicht geldt.
Onder de AVG bent u dus verplicht een veel omvangrijkere administratie bij te houden dan nu het geval is. Ieder incident waarbij iemand “per ongeluk” toegang krijgt tot gegevens moet u strikt genomen registreren. Voor bepaalde bedrijven is een Functionaris Gegevensbescherming dan ook noodzakelijk. Lees meer hierover in onze vorige blog over de AVG.

Valkuil 4: Onvoldoende afspraken met uw IT-bedrijf

De AVG bepaalt dat er afspraken gemaakt moeten worden over de melding van datalekken. Er staat niets vermeld over de inhoud van deze afspraken of de verantwoordelijkheden.

Het is daarom verstandig om duidelijke afspraken met uw IT-bedrijf te maken over de informatie die nodig is om een goede en volledige administratie bij te houden. Op welke manier waarborgt uw IT-bedrijf dat de informatie die u nodig hebt bij een eventuele melding beschikbaar is? Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie. Ook belangrijk: kan uw IT-bedrijf aantonen dat u alles hebt gedaan om een lek te voorkomen? Dit laatste punt kan uw kans op een eventuele boete bij een inbreuk verkleinen.

Meer blogs uit onze blogserie over de AVG:

Voldoen aan de AVG. Waar moet ik beginnen?

Bescherming persoonsgegevens, wie is verantwoordelijk? 

Moet ik een Functionaris Gegevensbescherming aanstellen?

Hoe zorg ik dat ik een datalek op tijd herken?

De vier belangrijkste gevaren van Shadow IT

Meer weten over de AVG en hoe u zich daar op kunt voorbereiden? Download onze whitepaper ‘Praktische handreiking voor de AVG’.

Intermax Redactie