Onze bijdrage over de Functionaris Gegevensbescherming
Met als uitgangspunt de Grondwet (artikel 10), worden de belangen van personen (de Betrokkenen) beschermd in de privacywetgeving. Vanaf 1995 in diverse varianten, met als recente hoogtepunten: de Meldplicht Datalekken (januari 2016) en het uniformeren op Europees niveau (mei 2016):
Voor deze recente versie van de privacy wetgeving, geldt een implementatieperiode tot 25 mei 2018; de datum waarop het sanctiebeleid en de verantwoordingsplicht daadwerkelijk ingaan.
Van ondernemers en bestuurders mogen betrokkenen verwachten, dat zij de privacy van hen respecteren en de persoonsgegevens, waarover zij beschikken, aantoonbaar beschermen tegen misbruik en oneigenlijk gebruik door derden.
Betrokkene (degene van wie een organisatie persoonsgegevens verwerkt: klant, abonnee, patiënt, leerling, student, personeelslid, sollicitant, lid (vereniging, geloofsgemeenschap, politieke organisatie), zakelijke relatie en prospect, leverancierscontact/medewerker, inwoners afnemer, sponsor/donateur, vrijwilliger, deelnemer aan enquêtes/onderzoeken, vakbondslid, <16 jarigen, strafrechtelijk geregistreerd, reiziger, enz. |
De AVG legt meer dan voorheen de verantwoordelijkheid bij bestuurders/directie/eigenaren van een organisatie (bedrijfsleven, overheid, non-profit) om aan te tonen dat is voldaan aan de privacyregels. Het kunnen voldoen aan de verantwoordingsplicht (accountability) is een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
Deze verscherping dwingt om goed na te denken over hoe de organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat, bestuurders/directie/eigenaren moeten kunnen aantonen, dat hun verwerkingen aan de regels van de AVG voldoen. Zij zullen door de toezichthouder worden aangesproken en aansprakelijk worden gesteld voor de mogelijke omissies.
Definitie Verwerken (IT en non-IT): verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. |
De onderneming moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid, transparantie, doelbinding en juistheid. Ook moet worden aangetoond dat, op basis van een beschreven risicoafwegingen, de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen.
De onderneming is verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018.
Op grond van artikel 37 van de AVG is een FG in drie situaties verplicht (bron AP).
Ad 2. Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met als doel: beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Voorbeelden: beheren telecommunicatienetwerk, leveren telecommunicatiediensten, retargeting via e-mail, marketingactiviteiten op basis van gegevens, profilering en scores toekennen met het oog op risicobeoordeling (bijv. voor: toekenning van een kredietwaardigheidsscore, bepaling van verzekeringspremies, fraudepreventie, detectie van witwaspraktijken), locatietracering, bijv. via mobiele apps, programma's voor klantenbinding, gedrag gerelateerde publiciteit, monitoring van gezondheids- en conditiegegevens via draagbare apparaten, gesloten tv-circuit, gekoppelde apparaten bv. slimme meters, slimme wagens, domotica enz |
Voor meer, gedetailleerde informatie over de FG, zie: autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf
De technische kant
Een omvangrijk en lastig onderdeel van het geheel. Maar de wetgever omschrijft dit in art. 5.1 f en 5.2 als volgt: Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”). En dit ook kunnen aantonen.
Wed, 10 January