GDPR-7-takeaways

AVG Overzicht: voldoen aan de EU-wetgeving voor persoonsgegevens

AVG Overzicht: voldoen aan de EU-wetgeving voor persoonsgegevens

Nu de Europese Algemene Verordening Gegevensbescherming (AVG), of GDPR in het Engels, van kracht is, moet GDRP-paraatheid top of mind zijn bij alle organisaties. Niet alleen bij de bedrijven die in de Europese Unie (EU) zijn gevestigd, maar ook die daarbuiten die EU klanten hebben en daarvoor persoonsgegevens verwerken en opslaan. Dit AVG-overzicht legt de zeven principes uit die regulering en handhaving moeten stimuleren.

Inhoudsopgave

Wat is AVG / GDPR precies?
Veelgestelde vragen over AVG
Basis Principes van de AVG:

Principe 1: Transparante verwerking van gegevens
Principe 2: Beperking van verzamelde gegevens
Principe 3: Minimaliseer verzamelde en opgeslagen gegevens
Principe 4: Persoonsgegevens moeten juist zijn
Principe 5: Beperk de opslag van persoonsgegevens
Principe 6: Integriteit en vertrouwelijkheid
Principe 7: Verantwoording

 

Wat is AVG precies?

De Algemene Verordening Gegevensbescherming (AVG) is een nieuwe wet op de gegevensbescherming voor alle 28 lidstaten in de Europese Unie.

AVG stelt een hoge standaard voor gegevensbescherming en is van toepassing op elke organisatie die de persoonsgegevens van betrokkenen in de EU verwerkt, ongeacht of die organisatie zelf in de EU is gevestigd of niet. Dit is belangrijk, omdat de normen van AVG veel strenger zijn dan die van de huidige Amerikaanse privacywetgeving. En de straffen bij het niet compliant zijn hoog. Tot 20 miljoen Euro, of 4% procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

Ontworpen ter vervanging van een mengelmoes aan voorschriften en autoriteiten inzake gegevensbescherming die van toepassing waren in de 28 EU-lidstaten, brengt de AVG een homogene regelgeving die in de hele EU van toepassing is.

De hervorming moderniseert de principes uit de EU-richtlijn inzake gegevensbescherming van 1995 en is van toepassing bij de verwerking van persoonsgegevens van EU data subjecten door gegevensbeheerder en gegevensverwerkers.

Veelgestelde vragen over AVG

Wanneer is AVG in werking getreden?

AVG werd in april 2016 ondertekend en ging in op 25 mei 2018. Sinds die datum moet elke organisatie die de persoonsgegevens van betrokkenen in de EU verzamelt, opslaat of verwerkt voldoen aan de Algemene Verordening Gegevensbescherming.

Wat zijn Persoonsgegevens?

In de EU worden persoonsgegevens gedefinieerd als alle data die op zichzelf, of in combinatie met andere gegevens waartoe de bezitter waarschijnlijk toegang heeft, kunnen worden gebruikt om een persoon te identificeren. Het verzamelen, verwerken en delen van persoonlijke gegevens maakt organisaties in een groot aantal sectoren lucratieve doelwitten voor phishing, denial of service, ransomware en geavanceerde aanhoudende digitale aanvallen door cybercriminelen en hackers.

Wie is een data subject of betrokkene?

Volgens de EU-wetgeving is een data subject of betrokkene elke persoon binnen de EU-grenzen wiens persoonsgegevens zijn verzameld (of het nu EU-burgers, ingezetenen of toeristen zijn die op doorreis zijn) met het oog op het aanbieden van goede en diensten binnen de EU. Voor EU-burgers geld dat de AVG ook van toepassing is wanneer zij zaken doen met een in het buitenland gelegen entiteit, die goederen en diensten binnen de EU-grenzen wil aanbieden.

Voorbeeld: Als een Duitser een vakantieverblijf in Spanje boekt met AirBnB (een in de VS gevestigde service) dan is de AVG van toepassing omdat de kamer die wordt aangeboden zich in Spanje bevindt, binnen de EU. Als diezelfde persoon een kamer in Japan boekt, is AVG niet van toepassing, omdat de aangeboden service niet binnen de EU valt.

Lang verhaal kort, de AVG beschermt de data van personen, maar definieert het bereik ervan door de dingen die worden gekocht en verkocht aan de EU.

Wat zijn verwerkingsverantwoordelijken en gegevensverwerkers?

Verantwoordelijken en data processors zijn twee verschillende soorten organisaties waarop AVG van toepassing is, namelijk degenen die persoonsgegevens "beheren" en die deze "verwerken". Een gegevensverwerker (data processor) wordt in de AVG gedefinieerd als elke organisatie die persoonsgegevens van betrokkenen uit de EU verzamelt, verwerkt, opslaat of doorgeeft. Een gegevensbeheerder (data controller) is de organisatie die de activiteiten van de verwerker aansturen.

GDPR-processor-half

Dat betekent dat de gegevensbeheerder / data controller het hoe en waarom van de verwerking van persoonsgegevens definieert en dat de gegevensverwerker / data processor, namens de verwerkingsverantwoordelijke optreedt. Een bank die bijvoorbeeld controleverwerkingsprocessen uitbesteedt, is de gegevensbeheerder, terwijl de outsourcer de processor is.

Onder de AVG moeten gegevensverwerkers een auditspoor bijhouden van alle verwerkingsactiviteiten, maar het is de verantwoordelijkheid van de gegevensbeheerder om ervoor te zorgen dat al hun processors in overeenstemming zijn. Controllers worden niet ontheven van hun verplichtingen inzake gegevensbescherming als zich een inbreuk voordoet in een netwerk van verwerkers.

Overdrachten van persoonsgegevens tussen verwerkingsverantwoordelijken en verwerkers moeten veilig zijn en de data moet worden beschermd terwijl ze wordt verwerkt. In bepaalde gevallen kan AVG ook vereisen de data verwerker om persoonsgegevens te verwijderen die na de verwerking ervan niet meer nodig zijn.

Wie moet voldoen aan AVG

De regels van AVG zijn van toepassing op elke organisatie die de persoonsgegevens van betrokkenen uit de EU verzamelt, opslaat of verwerkt.  Het maakt niet uit waar uw bedrijf is gevestigd. Ook bedrijven die niet fysiek aanwezig zijn in de EU moeten voldoen aan AVG.

Ons bedrijf is al HIPAA-compatibel - voldoet dat voor de AVG?

Niet bepaald. Er zijn enkele overlappingen, maar de AVG is een veel groter en verdergaand stuk wetgeving. Je kunt hier meer lezen over de verschillen tussen de twee.

GDPR-vs-HIPAA-layers-half

Wat zijn de sancties bij het niet naleven van de AVG?

De gevolgen voor niet-naleving van AVG zijn ernstig, tot 20 miljoen euro, of 4% van de jaaromzet, afhankelijk van welk bedrag hoger is.

Stelt de Brexit het VK vrij van AVG?

Nee. Ondanks de Brexit moeten Britse bedrijven ook aan de AVG voldoen. De datum van de terugtrekking uit de EU kwam later dan de datum dat de AVG van kracht werd. Britse bedrijven vallen dus onder de jurisdictie van de EU en zijn onderworpen aan AVG. Ook na de Brexit moeten Britse bedrijven aan de AVG voldoen als ze de persoonsgegevens van betrokkenen uit de EU verzamelen, opslaan of verwerken.

Heb je nog vragen?

Bekijk onze Procrastinator's Guide to GDPR voor een meer diepgaande uitsplitsing van AVG en de implicaties ervan.

Deep Dive in AVG principes

AVG is gebouwd op zeven gegevensbeschermingsprincipes die er samen voor zorgen dat de rechten van het individu centraal staan bij het verzamelen en verwerken van persoonsgegevens van betrokkenen uit de EU.

De nieuwe regelgeving versterkt de controle van gebruikers over hoe persoonsgegevens worden verwerkt en opgeslagen en verleent belangrijke rechten en vrijheden, zoals het recht op toestemming, het recht om geïnformeerd te worden, het recht op gegevensportabiliteit en het recht op wissing van persoonsgegevens (d.w.z. het "recht om vergeten te worden").

GDPR-7-takeaways-half

Principe één: eerlijke, wettige en transparante verwerking van data

Het eerste AVG-gegevensbeschermingbeginsel is de vereiste voor "eerlijke, wettige en transparante verwerking van data." Wat betekent dat?

Volgens deze regel schrijft de AVG voor dat een data controller in staat moet zijn om gegevens te verstrekken onderwerp (d.w.z. de gebruiker) met gedetailleerde informatie over zijn of haar verwerking van persoonsgegevens.

Om compliant te zijn, moeten deze gegevens op een gemakkelijk toegankelijke manier en in duidelijke, beknopte en transparante taal worden gepresenteerd. Met andere woorden, zeg vaarwel tegen de gebruikersovereenkomst van 100 pagina's.

Om aan de EU-vereisten voor transparantie te voldoen, moeten de voor de datat verwerkers alle personen informeren:

  1. Voordat persoonsgegevens worden verzameld
  2. Wanneer er wijzigingen in de processen voor het verzamelen van data worden aangebracht
  3. En ten slotte moet de betrokkene toestemming geven dat zijn of haar data vewerkt wordt.

Deze toestemming kan op verschillende manieren gegeven worden, maar moet door de betrokkene zelf uit vrije wil worden gegeven, en de betrokkene moet eeen positieve actie ondernemen om toestemming te geven (d.w.z. door op een selectievakje te klikken). Dat betekent dat impliciete toestemming een grote no-no is onder AVG.

De wet stelt ook dat persoonsgegevens die worden verzameld en gebruikt voor verwerking "adequaat, relevant en beperkt moeten zijn tot wat nodig is voor de doeleinden waarvoor ze worden verwerkt", en de periode waarvoor die data wordt opgeslagen, moet tot een "strikt minimum" worden beperkt.

Principe twee: AVG verplicht doelbeperking van verzamelde data

Onder het tweede gegevensbeschermingsbeginsel van de AVG [artikel 5, clausule 1(b)], is het verplicht dat persoonsgegevens van betrokkenen uit de EU worden "verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden." Elke verdere verwerking van die data mag niet "onverenigbaar zijn met de oorspronkelijke doeleinden".

In gewoon Nederlands betekent dit dat je een legitiem, wettig doel nodig hebt voor het verzamelen en verwerken van gebruikersgegevens. Als je persoons verzamelt die geen specifiek doel hebben, weet je dat je niet aan de regels voldoet.

Evenzo mag je onder de AVG, zodra je gegevens voor jouw doel hebt verzameld en verwerkt, die data niet verwerken voor een niet-verbonden doel. Gegevens die voor onderzoeksdoeleinden zijn verzameld, kunnen bijvoorbeeld niet worden verwerkt en verkocht voor marketingdoeleinden.

Onder de AVG zijn persoonsgegevens alle gegevens die op zichzelf, of in combinatie met andere data waartoe de bezitter waarschijnlijk toegang heeft, kunnen worden gebruikt om een persoon te identificeren. Dat betekent naam, telefoonnummer, IP-adres, e-mail... het hele gamma.

GDPR-3-players-half

In het Facebook-schandaal, dat Mark Zuckerberg ertoe bracht te getuigen voor leden van het Amerikaanse Congres en het E.U.-parlement, werd onthuld dat het Britse politieke adviesbureau Cambridge Analytica gegevens gebruikte die waren verzameld voor onderzoeksdoeleinden. Vervolgens werden hiermee miljoenen Amerikanen en EU-burgers getarget met politieke advertenties tijdens de verkiezingen van 2016. Onder de AVG zouden Cambridge Analytica en Facebook risico hebben gelopen op forse boetes.

Er is momenteel geen dergelijke wet op doelbinding in de VS.

Principe drie: bedrijven moeten ook verzamelde en opgeslagen data minimaliseren

Een van de belangrijkste manieren waarop AVG het verzamelen en verwerken van gegevens transformeert, is het principe van gegevensminimalisatie, onder sectie 5, clausule 1 (c). Volgens dit principe moeten alle verzamelde persoonsgegevens "adequaat, relevant en beperkt" zijn tot wat nodig is in verband met de doeleinden waarvoor ze worden verwerkt."

Dit hangt nauw samen met doelbinding, maar verschilt doordat het de beperking vereist van welke gegevens worden opgeslagen, evenals de gegevens die worden verzameld. Om AVG compliant te zijn, moeten processen en regels voor gegevensminimalisatie geïmplementeerd worden in elke fase van de levenscyclus van de gegevens, van de verzameling tot verwerking, opslag en het gebruik. Op elk punt in het proces zou je jezelf moeten afvragen: Hebben we deze gegevens echt nodig? Als het antwoord nee is, moet je eigenlijk de informatie verwijderen. Dit proces moet worden gedocumenteerd met een bewijsbare audit trail.

Bovendien betekent gegevensminimalisatie dat je moet nadenken over hoe lang je van plan bent persoonsgegevens op te slaan. Als je bijvoorbeeld data nodig hebt voor een project dat zeven weken duurt, moet je de data verwijderen wanneer het project is voltooid en de gegevens niet langer nodig zijn. Momenteel is het nog steeds een gangbare praktijk om vast te houden aan alle persoonsgegevens voor het geval ze nog eens nuttig kunnen zijn. Wees gewaarschuwd.

Om te blijven voldoen aan de AVG, moet je jezelf de volgende vragen stellen bij het verzamelen van data:

  • Hoe ga ik persoonsgegevens gebruiken?
  • Kan ik mijn doel bereiken zonder persoonsgegevens te verzamelen?
  • Hoe lang moet ik persoonsgegevens bewaren om mijn doel te bereiken?
  •  

    Hoe MOVEit u kan helpen te voldoen aan AVG-principes twee en drie

    Als jouw bedrijf de persoonsgegevens van betrokkenen uit de EU verzamelt, opslaat, verwerkt of verzendt, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Het is een best practice om ervoor te zorgen dat de systemen, gebruikersauthenticatie en encryptie die worden gebruikt bij de overdracht van persoonsgegevens veilig zijn en voldoen aan de AVG. Meer informatie over hoe MOVEit kan helpen bij het beheren en beveiligen van bestandsoverdrachten van file die persoonsgegevens bevatten.

    Principe vier: Persoonsgegevens moeten juist zijn

    Volgens het vierde principe van AVG moeten alle verzamelde of verwerkte persoonsgegevens "nauwkeurig zijn en, waar nodig, up-to-date worden gehouden." Bovendien schrijft de AVG voor dat "elke redelijke stap moet worden genomen om ervoor te zorgen dat persoonsgegevens die onnauwkeurig", met betrekking tot de doeleinden waarvoor ze worden verwerkt, "onmiddellijk gewist of gecorrigeerd worden."

    Wat betekent dat precies? In gewoon Nederlands: Je kunt geen ongewenste gegevens bewaren en zorg ervoor dat gegevens nauwkeurig en up-to-date zijn. Anders moet je ze wissen.

    Stel dat je bijvoorbeeld aan een politieke campagne werkt en dat je data van de laatste verkiezingscyclus gebruikt. Volgens principe vier man je alleen nauwkeurige en actuele gegevens gebruiken om de kiezers te benaderen.

    Dit raakt zowel aan het recht van de persoon op rectificatie als aan hun recht op verwijdering; beiden belangrijke bepalingen van de AVG. Op grond van het recht op rectificatie, hebben personen het recht om onjuiste informatie te laten corrigeren en onvolledige informatie te laten aanvullen. Onder het recht op verwijdering kunnen zij verzoeken om hun persoonlijke gegevens snel te laten verwijderen.

    GDPR-rights-half

    Principe vijf: beperk de opslag van persoonsgegevens

    Weet je nog in principe drie, hoe het opslaan van persoonsgegevens voor het geval ze nog eens nuttig kunnen, niet voldoet aan de AVG? Welnu, de schrijvers van die regel vonden het zo leuk dat ze een volledig gegevensbeschermingsprincipe schreven op basis van daarop: het beginsel van opslagbeperking.

    Volgens dat beginsel mogen persoonsgegevens niet "langer worden bewaard in een vorm die identificatie van betrokkenen mogelijk maakt dan nodig is voor de doeleinden waarvoor de betrokkene gegevens worden verwerkt." Als persoonsgegevens voor langere tijd moeten worden bewaard, moet worden bewezen dat de gegevens "uitsluitend worden verwerkt voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden."

    Kortom, het is net zoals we eerder zeiden, je mag persoonsgegevens alleen bewaren zolang je ze nodig hebt voor de taak waarvoor ze zijn verzameld. De nuttige levensduur van de data kan veel langer zijn, maar ze mogen niet worden bewaard of worden hergebruikt voor andere doeleinden (zoals het verkopen aan iemand anders). Dit zou rommelige schandalen zoals die bij Facebook / Cambridge Analytica voorkomen en is een fundamenteel recht onder AVG.

    Om aan dit principe te voldoen, heb je een beleid nodig dat de retentie van data beperkt en documentatievereisten vastlegt om zo te kunnen controleren op naleving. Er moet ook regelmatig data worden gewist wanneer deze niet langer is.

    Principe zes: integriteit en vertrouwelijkheid

    Principe zes van AVG is een van de belangrijkste, en met goede reden; het draait allemaal om de beveiliging van data.

    Principe zes stelt dat gegevens moeten worden "verwerkt op een manier die een passende beveiliging van de persoonsgegevens waarborgt, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen."

    In gewoon Nederlands: organisaties moeten met persoonlijk identificeerbare informatie (PII) op een manier omgaan die bescherming biedt tegen diefstal, vernietiging of onopzettelijk verlies. De oproep voor het gebruik van "passende technische of organisatorische maatregelen" is een beetje vaag, en het is waarschijnlijk dat de auteur van AVG doelbewust vaag was in het verplichten van beveiligingsstappen, omdat deze technologieën en best practices voortdurend veranderen.

    Zonder al te specifiek te zijn, moedigt het principe niettemin het gebruik aan van gevestigde best practices voor cyberbeveiliging - zaken als het encrypten van data als deze worden gedeeld of 'at rest', met behulp van 2FA en het gebruik van fraudebestendige logs om bij te houden wie toegang heeft tot gegevens.

    Principe zeven: Verantwoording

    Hoewel het 6de beginsel de enige is die zich expliciet richt op beveiliging, zou het AVG-overzicht niet compleet zijn zonder te praten over waar iedereen mee bezig is: gevolgen.

    Principe zeven stelt, kort en bondig, dat "de controller is verantwoordelijk voor en moet in staat zijn om aan te tonen dat de voorgaande beginselen worden nageleefd."

    En naleving is verplicht voor elke organisatie die de persoonsgegevens van betrokkenen uit de EU verzamelt, opslaat of verwerkt. Het maakt niet uit waar uw bedrijf is gevestigd. Ook bedrijven die niet fysiek aanwezig zijn in de EU moeten voldoen aan de AVG.

    Maar hoe ziet compliance eruit? Hoe moet je naleving aantonen? De AVG schrijft bedrijven niet voor hoe ze naleving moeten aantonen, omdat dat verschilt van het type bedrijf, de persoonsgegevens die worden verwerkt en de grootte van de organisatie. Maar je kunt er zeker van zijn dat je maar beter klaar bent voor een audit, ongeacht de grootte. Typische best practices, zoals het registreren van beveiligingsincidenten en toegang tot PII, en interne audits worden aanbevolen.

    Bovendien kan het raadzaam zijn om een risicobeoordeling te krijgen, die eventuele zwakke punten kan identificeren en evalueren of er specifieke beveiligingscontroles moet worden verbeterd of geïmplementeerd.

    Maak een AVG-actieplan

    Zoals hierboven vermeld, als jouw bedrijf de persoonsgegevens van betrokkenen in de EU verzamelt, opslaat, verwerkt of verzendt, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.  Zorg er voor dat de systemen, gebruikersauthenticatie en encryptie die gebruikt worden bij het uitwisselen van bestanden veilig zijn en voldoen aan de AVG. Dit AVG overzicht is slechts een begin.

    Meer informatie over hoe MOVEit kan helpen bij het beheren en beveiligen van bestanden met persoonsgegevens, het verbeteren van zowel de veiligheid als de compliance.


    Comments
    Comments are disabled in preview mode.