Tag: persoonsgegevens

De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker. Lees verder

To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Lees verder

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder

Nut en noodzaak hernieuwde aanmelding FG’s/DPO’s

Functionaris GegevensbeschermingSinds 3 april verlangt de Autoriteit Persoonsgegevens dat organisaties hun FG/DPO opnieuw aanmelden met behulp van een online formulier. Wettelijk is hernieuwde aanmelding niet nodig, maar toch is het een goed idee. Lees in deze blog over nut en noodzaak van de hernieuwde aanmelding. Hopelijk heeft de AP ook voorzien in passende waarborgen om onjuiste meldingen er uit te filteren.

Lees verder

De AVG in Beeld: bewaring en archivering

In de blogserie “De AVG in Beeld” zullen wij met het oog op onze PrivacyProof®-methodiek de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog beschrijven we aan de hand van een aantal praktijkvoorbeelden, de wettelijke vereisten en geven we een aantal praktische handvaten over het hamsteren van persoonsgegevens.

Wij krijgen de afgelopen maanden veel vragen over het opstellen van archiveringsdoelen en het bepalen van een bewaartermijn. Kort gezegd, heeft iedere branche of onderneming een wettelijke of contractuele bewaartermijn. Maar hoe beheert u netjes de archivering- en bewaartermijnen?

Lees verder

De AVG in Beeld: Gegevensverwerking van kinderen (deel 1)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen zetten we de vereisten bij gegevensverwerking over kinderen uiteen. Deze blog beschrijft de toestemmingsvereisten bij een gegevensverwerking van kinderen tot zestien jaren oud. De volgende ‘AVG in Beeld’: Kinderen betreft de verplichting om de wettelijke vertegenwoordiger te informeren.

Welke ouder, oma, opa, tante, oom of andere wettelijke vertegenwoordiger heeft het meegemaakt dat een kind voor het gebruik van social media, app of computerspel om zijn of haar toestemming heeft gevraagd? Waarschijnlijk bijna niemand. Kinderen van tegenwoordig zijn immers geen digibeten. Zij kunnen gemakkelijk spelletjes, social media-accounts en applicaties openen zonder dat de ouders daartoe hebben ingestemd, ook al wordt er wel gevraagd om toestemming van hen.

Er bestaan een hoop cowboy-verhalen over de gegevensverwerking bij kinderen. De beruchtste is deze: om überhaupt gegevens van kinderen te mogen verwerken, moet men toestemming hebben van de ouders of wettelijk vertegenwoordiger. Niet waar! Zelfs niet als ook de AP op haar website die fout maakt:

“Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.”

Lees verder

EU akkoord over nieuwe privacyverordening

In Brussel is een akkoord bereikt over de Algemene Verordening Gegevensbescherming (AVG). Gisteravond werden de laatste horden genomen in de wetgevingsonderhandelingen tussen de Europese Commissie, het Europese Parlement en de EU-Raad. Er resteren nu alleen nog maar enkele formaliteiten voordat de AVG officieel wordt gepubliceerd. Hiermee is een einde gekomen aan een wetgevingstraject van vier jaar.
Lees verder