Belang
Het is van groot belang dat alle medewerkers van de organisatie die met persoonsgegevens in aanraking komen bekend zijn met de AVG zodat wettelijke verplichtingen worden nagekomen en daarmee boetes worden voorkomen. Afhankelijk van de grootte van de organisatie en de persoonsgegevens die worden verwerkt, kan dat een behoorlijke inspanning met zich mee brengen. Er zijn echter ook voordelen, met name wordt transparant hoe persoonsgegevens worden verzameld en ingezet. De verstrekker van de persoonsgegevens wordt duidelijk waarom om de gegevens wordt gevraagd en wat de voordelen daarvan zijn; voorwaarden en condities worden gemakkelijker te lezen en te begrijpen en de verstrekker van de persoonsgegevens kan zijn gegevens eenvoudiger laten verwijderen. Het vertrouwen in de organisatie zal daardoor toenemen en de kans op gegevenslekken wordt geminimaliseerd. Als voordeel kan ook worden aangemerkt dat de AP heeft aangegeven vanaf 6 november 2017 niet meer te handhaven op de naleving van de meldplicht voor de verwerking van persoonsgegevens; deze vervalt immers met de invoering van de AVG. 

Begrip
De medewerkers van de organisatie dienen begrip te hebben van 

  • Wat persoonsgegevens zijn. 
  • Begrip voor de verantwoordelijkheden die gepaard gaan met de omgang van (andermans persoonsgegevens). 
  • Welke verplichtingen voortvloeien uit de AVG en gevolgen van niet nakomen. 
  • Hoe de organisatie invulling geeft aan de verplichtingen. 
  • De rechten van de eigenaar van de persoonsgegevens. 
  • Hoe de organisatie met deze rechten omgaat.  
  • Wat zijn datalekken en hoe moet hiermee worden omgegaan. 

Persoonsgegevens
Persoonsgegevens zijn alle gegevens die redelijkerwijs iets zeggen over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat betekent dat deze gegevens direct over een bepaalde persoon gaan of naar die persoon te herleiden zijn.
Voor de hand liggende persoonsgegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers, postcodes met huisnummers, emailadres, het IP-adres van de computer en sommige cookies zijn persoonsgegevens. Ras, geloof, gezondheid en politieke overtuiging worden bijzondere persoonsgegevens genoemd. En foto’s, geluidsopnames en videobeelden zijn veelal ook persoonsgegevens waarvoor toestemming nodig is om ze te verwerken.
De bescherming van persoonsgegevens valt onder de bescherming van de persoonlijke levenssfeer en is een grondrecht dat ondermeer is geregeld in de Grondwet, het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM), in het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en de AVR. Van essentieel belang hierbij is het begrijpen dat dat persoonsgegevens een persoonlijk bezit vormen net als je fotoalbum, boeken, fiets en auto. Anderen mogen best in je fotoalbum kijken of je fiets of auto lenen, maar alleen wanneer de eigenaar dat toestaat – anders heb je er van af te blijven! 

Verwerken van persoonsgegevens
Onder het verwerken van persoonsgegevens worden verstaan: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen. Kortom verwerken van persoonsgegevens is een zéér ruim begrip. Het verwerken van persoonsgegevens vereist toestemming; zonder die toestemming is sprake van een strafbaar feit. 

Datalekken
Vrij vertaald definieert Wikipedia datalek als ‘het opzettelijk of onopzettelijk vrijgeven van beveiligde gegevens aan een niet geautoriseerd publiek’. Daarbij kan worden gedacht aan hackers die zich op vernuftige wijze toegang verschaffen tot beveiligde gegevens die uiteindelijk toch niet voldoende beschermd blijken te zijn. Maar veel meer voorkomende datalekken zijn: 

  • Het verlies van een USB-stick met data. 
  • Het verlies van een mobiele telefoon waarop zich persoonsgegevens bevinden of waarmee toegang tot persoonsgegevens wordt verkregen. 
  • Persoonlijke gegevens die vertrouwelijk naar iemand mails en die worden doorgestuurd. 
  • Overbodige persoonlijke gegevens op een presentielijst die tijdens een bijeenkomst wordt doorgegeven.
  • Het inzien en/of bewerken van persoonsgegevens door een niet-bevoegd personeelslid. 
  • Het langer bewaren van persoonsgegevens dan afgesproken en/of dan nuttig voor een beoogd doel. 
  • Het verwerken van persoonsgegevens die op onrechtmatige manier zijn verkregen, bijvoorbeeld zonder medeweten of toestemming van de betrokkene.  
  • Een niet via HTTPS beveiligd systeem met persoonsgegevens benaderen via een openbaar netwerk 

 


Gerelateerde artikelen