Autoriteit Persoonsgegevens 2017De Autoriteit Persoonsgegevens (AP) publiceerde afgelopen week haar belangrijkste thema’s van 2017. Deze thema’s zijn de nieuwe Europese privacywetgeving (1), profilering (2), bijzondere persoonsgegevens (3) en beveiliging van persoonsgegevens (4) . In dit artikel bespreken we kort de thema’s en hoe u deze thema’s toe kan passen binnen de organisatie. 

 

Europese privacywetgeving

Vorig jaar mei is de nieuwe, Europese privacywetgeving (de Algemene Verordening Gegevensbescherming) aangenomen. Deze zal vanaf 25 mei 2018 van start gaan. De huidige privacywetgeving, de Wet bescherming persoonsgegevens, zal dan niet meer van kracht zijn. Organisaties krijgen onder de Algemene Verordening Gegevensbescherming (AVG) meer verplichtingen dan onder de Wet bescherming persoonsgegevens (Wbp). Zo zijn sommige organisaties verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen.

Krijg zo snel mogelijk inzichtelijk wat uw organisatie nog moet doen om volledig te voldoen aan deze Europese wetgeving. U wilt namelijk niet onjuist handelen, want dat kan zorgen voor boetes. De boetes van de Algemene Verordening Gegevensbescherming zijn nog hoger dan de Wet bescherming persoonsgegevens. Schrik niet: de boetes kunnen oplopen tot 20.000.000 euro of 4% van de jaarlijkse wereldwijde omzet.

 

Profilering

Veel organisaties stellen een profiel op van hun klanten. Om dit te realiseren verzamelen ze allerlei gegevens, worden deze gegevens geanalyseerd en met elkaar gecombineerd. Dit noemen we profilering. Profilering is voor de klant geheel onzichtbaar. De AP wil dit jaar de focus leggen op transparantie bij profilering. Organisaties horen hun klanten correct te informeren over welke gegevens zij van hen verwerken, wat daarmee gebeurt en met welk doel.

Breng in kaart welke persoonsgegevens de organisatie écht nodig heeft om haar werk uit te voeren. Gegevens die de organisatie niet écht nodig heeft, kan het beter ook niet opslaan. Er zijn genoeg redenen om dat niet te doen. Denk bijvoorbeeld aan het extra werk van het werven van die informatie en het opslaan en bijhouden ervan. Geef vervolgens aan bij klanten welke informatie er van hen wordt verwerkt, wat er mee gebeurt en met welk doel.

 

Bijzondere persoonsgegevens

Organisaties mogen meestal geen bijzondere persoonsgegevens verwerken. Het verwerken van deze gegevens mag alleen bij (wettelijke) uitzondering. Denk bijvoorbeeld aan medische gegevens. De AP signaleert dat organisaties steeds vaker bijzondere persoonsgegevens verwerken, vaak voor andere doelen dan waarvoor ze zijn verzameld. Om deze reden zal de Autoriteit Persoonsgegevens alert zijn op het verwerken van de juiste persoonsgegevens voor de juiste doelen.

Zoek uit welke gegevens uw organisatie op mag slaan. Dit verschilt sterk per branche. Zorg er ook voor dat (het verzamelen van) de persoonsgegevens wordt / worden gelinkt aan een doelen. Net zoals we bij profilering aangaven: sla geen gegevens op die uw organisatie niet nodig heeft.

 

Beveiliging van persoonsgegevens

Meldplicht datalekken

De AP geeft aan dat ze óók in 2017 de meldplicht datalekken hoog op de agenda heeft staan. Als er een datalek plaatsvindt bij een organisatie, dient ze dat binnen een bepaalde tijdsspanne te melden bij de AP. Het niet of onjuist melden kan leiden tot een boete.

Zorg ervoor dat de organisatie een procedure meldplicht datalekken klaar heeft liggen. Hoe goed uw organisatie haar informatie ook heeft beveiligd, de kans blijft aanwezig dat er een datalek plaats gaat vinden. Daarom is het belangrijk dat duidelijk is wat de organisatie moet doen wanneer er sprake is van een lek.

Beveiliging niet op orde

Naast de meldplicht datalekken gaat de Autoriteit Persoonsgegevens zich richten op situaties waarin de beveiliging overduidelijk niet op orde is. Ze gaat vooral letten op klantportalen.

Maak werk van het beveiligen van uw klantportaal. Wanneer u denkt dat de beveiliging niet beter kan, raden we u aan om een ethische hacker het portaal uit te laten testen. Deze ethische hacker kan testen hoe sterk de beveiliging is van het portaal en kan aantonen waar de zwakke plekken zitten.

 

Heeft u ondersteuning nodig met (één van) bovenstaande punten? We helpen u graag. Neem contact met ons op via dit contactformulier.

 

Bron: Autoriteit Persoonsgegevens

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

47 − = 43