Waar we u een paar weken geleden informeerden over de inhoud van de nieuwe verordening, gaan we in deze blog dieper in op een aantal terminologieën. Even het geheugen opfrissen: de Europese Privacy Verordening (EPV) wordt ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Belangrijk is in ieder geval dat in mei 2018 iedereen dient te voldoen aan deze nieuwe verordening. Het is zelfs nog mogelijk dat Nederland nog een nieuwe wet gaat lanceren, welke gebaseerd is op de EPV als zodanig. Een heleboel ontwikkelingen!
Transparantie & vertrouwen
Elke organisatie zal zich niet alleen moeten realiseren welke persoonsgegevens worden verwerkt, maar zal dit ook in een eigen register moeten vastleggen. Hierbij is belangrijk het doel en de grondslag te benoemen voor de verwerking. Dit zal voor een aantal organisaties al moeilijk- of wellicht goed zijn om te bepalen of de verwerking wel ‘legaal’ is. Dit leidt tot een meer transparante organisatie, die ook naar buiten toe meer vertrouwen uit zal stralen. Denk ook aan de verplichting om een Privacy Officer binnen organisaties aan te stellen. Dit geldt voor organisaties waar persoonsgegevens worden verwerkt, sowiezo verplicht in de publieke en in de private sector in het geval de hoofdactiviteit het verwerken van bijzondere persoonsgegevens is dan wel regelmatige of systematische observatie van betrokken betreft. Benieuwd waar dit exact voor geldt? Check hier de richtlijnen! (artikel 37)
Doelen bereiken
Daarnaast is het belangrijk om te bepalen welke eigenschappen van een persoon worden verwerkt. Hier geldt weer hetzelfde: het doel is hierbij erg belangrijk. Bijvoorbeeld: ‘heb ik het telefoonnummer of e-mailadres van de persoon wel écht nodig om het doel te bereiken?’ De vraag die men zich moet stellen is : ‘Kan ik met minder persoonsgegevens of andere gegevens hetzelfde doel bereiken?’ Verder dienen gegevens vernietigd te worden als ze niet meer nodig zijn. Belangrijk om een bewaartermijn te koppelen aan de set van gegevens.
In de vorige blog werden kort de termen privacy by default, privacy by design en privacy impact assessments genoemd. Wat betekenen deze termen nu eigenlijk?
Privacy by default
Privacy by default kan het beste met een voorbeeld worden geïllustreerd. Vaak krijg je op een website – na registratie – de vraag om nieuwsbrieven te ontvangen. Vanuit de ‘privacy by default’-gedachte is het belangrijk dat de keuze om de nieuwsbrief te ontvangen standaard ‘uit’ staat. De gebruiker in kwestie dient dan zelf aan te vinken of hij/zij de nieuwsbrief wil ontvangen.
Privacy by design
Bij het ontwikkelen van nieuwe applicaties is het belangrijk om de privacy aspecten mee te nemen. Bij voorkeur vóórdat de applicatie is gebouwd. Dit noemt men ook wel ‘Privacy by design’.
Privacy impact assessment
Als verantwoordelijke, of als verwerker van de persoonsgegevens, is het uitvoeren van een ‘privacy impact assessment’ belangrijk. Het uitgangspunt is om in kaart te brengen welke persoonsgegevens met welk doel en grondslag worden verwerkt. Vervolgens dient in kaart te worden gebracht welke risico’s aan deze verwerking verbonden zijn, om daarop afgestemde maatregelen te treffen om de genoemde risico’s te mitigeren.
Samenvattend kan gesteld worden dat net zoals bij veiligheid, ook bij privacy medewerkers bewust moeten worden gemaakt van het verwerken van persoonsgegevens. Hierdoor wordt bereikt dat men het eigen gedrag aanpast bij de verwerking van persoonsgegevens en de juiste beslissingen of overwegingen kan maken. Binnen de organisatie kunnen vervolgens processen en procedures worden opgesteld, zodat naleving van de wet geborgd is.