AVG

De AVG, wat is het nou eigenlijk? We leggen hier in het kort uit wat het inhoudt en vooral hoe je ermee omgaat.

AVG staat voor Algemene verordening gegevensbescherming en is de vervanger van de Wet bescherming persoonsgegevens. De AVG is sinds 25 mei 2018 van toepassing en staat ook wel bekend onder de afkorting GDPR, van zijn Engelse benaming General Data Protection Regulation. De AVG regelt dus de bescherming van persoonsgegevens en wel zo dat dit in de hele EU hetzelfde is.

Wat zijn persoonsgegevens?
Naast duidelijke persoonlijke zaken zoals naam, adres en woonplaats, vallen ook je telefoonnummer(s), e-mailadres, je IBAN, het IP-adres van je computer en niet te vergeten je (HCC-)lidnummer onder persoonsgegevens. Maar ook foto's van mensen vallen onder deze noemer (van een foto valt immers iemands geslacht, leeftijd, afkomst, maar soms ook religie, gezondheid en andere zaken op te maken). Kort door de bocht zijn het dus alle gegevens waaruit (direct of indirect) iets op te maken valt over jou. Dat geldt ook voor versleutelde gegevens, zo lang iemand de 'code' kan ontsleutelen, zijn gegevens niet geanonimiseerd maar 'gepseudonimiseerd'. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

Er zijn verschillende categorieën persoonsgegevens te onderscheiden:
De belangrijkste tweedeling is in gewone persoonsgegevens zoals je naam en adres, telefoonnummer en e-mailadres, en gevoelige persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Eventueel kun je nog verder onderscheid maken en onder meer biometrische persoonsgegeven, zoals je vingerafdruk, apart benoemen.

Verwerken van persoonsgegeven behelst alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Volgens de Auroriteit persoonsgevens vallen hieronder volgens de AVG in ieder geval: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.

Aan welke eisen moet een organisatie in de verwerking voldoen?

• Transparantie - een organisatie moet te allen tijde openheid betrachten in de verwerking van persoonsgegevens
  - Wat bewaren we en hoelang
  - Met wie delen we de gegevens (verwerker)
  - Meldplicht bij datalek (datalekprocedure < 72uur)
  - Privacy by design & privacy by default
• Doelbinding & grondslag - Met welk doel verwerk je gegevens en wat is de grondslag van de verwerking
  - Juridische verplichting
  - Noodzakelijk voor uitvoering van de overeenkomst
  - Gerechtvaardigd (commercieel) belang
  - Toestemming (expliciet en áltijd intrekbaar)
  LET OP: Handig is géén grondslag
• Dataminimalisatie
  - Bewaar niet meer dan noodzakelijk
  - Bewaar niet op onnodig veel plekken
  LET OP: Handig voor de toekomst wordt gezien als overtollig!
• Goede beveiliging - Je moet naar eer en geweten alles zo goed mogelijk beveiligd hebben.
  - Site achter SSL (https)
  - Wachtwoorden gehasht (versleuteld)
  - Persoonsbestanden versleuteld versturen
  - Alleen verstrekken aan gemachtigden
  - De AVG maakt geen onderscheid tussen digitaal of analoog (dus informatie op papier)
• Bewaartermijn - persoonsgegevens die niet meer nodig zijn voor je doelen, moeten weggegooid worden.
  - Hoelang bewaar je de gegevens
  - Niet langer dan noodzakelijk
  - Bij voorkeur geautomatiseerd
  - Gooi oude data (veilig) weg!
  Sommige verwerkingen moet je binnen een wettelijke termijn verwijderen, bijvoorbeeld een personeelsdossier. Meestal moet je de termijn zelf bepalen. Zo heeft HCC ervoor gekozen inzendingen via formulieren na 6 maanden automatisch te (laten) verwijderen.
• Rechten van het individu - iedereen heeft een aantal rechten met betrekking tot de verwerking van hun persoonsgegevens.
  - Het recht op dataportabiliteit (overdraagbaarheid), dit houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.
  - Het recht op vergetelheid. Mensen kunnen aan organisaties vragen om hun gegevens te wissen met een beroep op hun recht op vergetelheid. Daar zijn wel enkele uitzonderingen op, bijvoorbeeld als een organisatie wettelijk verplicht is om bepaalde gegevens te verwerken.
  - Recht op inzage. Mensen hebben het recht om de persoonsgegevens die een organisatie van hen verwerkt in te zien.
  - Recht op rectificatie en aanvulling. Dat betekent dat mensen het recht hebben om de persoonsgegevens die een organisatie verwerkt, te (laten) wijzigen.
  - Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken, in bepaalde situaties zoals bijvoorbeeld als de gegevens mogelijk onjuist zijn.
  - Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: je hebt het recht op een menselijke blik bij besluiten.
  - Het recht om bezwaar te maken tegen de gegevensverwerking.

Meer informatie

>> Avg samengevat handout 

>> Wettekst