Privacy Friendly

Opinie

De onderstaande weblog-artikelen zijn geschreven in de vorm van een uitgebreid opiniestuk.

3 september 2019, 23:33

Door ons en vele anderen is uitvoerig geschreven over toestemming als grondslag. Over dat toestemming als grondslag het laatste redmiddel is. Op andere blogs lees je vooral ook veel over dat die toestemming 'vrijelijk' moet zijn: geinformeerd, ondubbelzinnig, zonder dwang. Vermoedelijk is toestemming een van de moeilijkste onderwerpen van de AVG.

De discussie die ik minder vaak hoor is hoe onhandig toestemming is om mee te werken. De AVG gaat immers veel verder dan het vragen om toestemming. Je moet die toestemming administreren (art. 7 lid 1). Je moet er op voorbereid zijn dat de betrokkene zijn toestemming op ieder moment kan intrekken en vanaf dat moment dus jouw grondslag wegneemt. Elke keer als ik ergens lees dat toestemming nodig is, vraag ik me af of die administratie ook echt gevoerd wordt en wat er gebeurt bij intrekking.

Het meest recente voorbeeld is de Boxmeerse Kermis. Ook hier kunnen we discussieren over de vraag of toestemming wel nodig is: als publicatie plaatsvindt voor een journalistiek doel zitten we in de uitzonderingen van art. 43 UAVG.

Lees hier verder. >>>

Artikel 30 van de AVG eist dat een verwerkingsverantwoordelijke een register bijhoudt van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. En dat is heel logisch. Om de overige artikelen van de AVG te kunnen naleven, moet je natuurlijk wel weten om welke gegevens het precies gaat. Veel organisaties leggen vanwege deze verplichting zo'n verwerkingsregister aan, gebruikmakend van zelf gemaakte Excelsheets tot aan specifiek daarvoor ontwikkelde tooling. En hoewel je met zo'n verwerkingsregister voldoet aan een van de vele eisen vanuit de AVG, is de vraag of het hebben van zo'n apart register de juiste aanpak is. Persoonsgegevens zijn namelijk niet het enige soort gegeven dat om goed beheer en om goede beveiliging vraagt. Ook voor andere vertrouwelijke bedrijfsinformatie geldt dat het goed zicht hebben erop noodzakelijk is om ze goed te kunnen beheren en beveiligen. Eigenlijk wil je als organisatie een centraal overzicht hebben van alle bedrijfsinformatie. Of iets een persoonsgegeven is en de verwerking daarvan dus onder de AVG valt, zou eigenlijk niet meer dan een attribuut van informatie in dat centrale overzicht moeten zijn.

Lees hier verder. >>>

Sinds de komst van de AVG hebben cybersecurityexperts er een extra uitdaging bij, namelijk het beveiligen van persoonsgegevens. De valkuil voor hen is dat zij, door onvoldoende kennis van de AVG, denken dat dat het enige is wat gegevensbescherming inhoudt. Echter, het beveiligen van gegevens is slechts 1 van de 99 artikelen uit de AVG.

Ik hoor ook regelmatig geluiden over de FG die half op de stoel van de CISO gaat zitten, omdat hij/zij zich geroepen voelt om een inhoudelijke mening of reactie te geven over artikel 32. Echter, het feit dat de AVG een artikel bevat over informatiebeveiliging, maakt dat niet automatisch een verantwoordelijkheid van de FG.

Lees hier verder. >>>

De uitkomsten van een DPIA worden doorgaans geheim gehouden. Ze worden beschouwd als interne bedrijfsinformatie. Eigenlijk is dat gek. Je brengt namelijk risico's in kaart voor anderen; de betrokkenen. Die zouden moeten mogen weten welk risico ze lopen. Toch?

Ik heb het vermoeden dat de houding ten opzichte van de resultaten van een DPIA afkomstig is uit de risicoanalyse. De resultaten daarvan worden ook als interne bedrijfsinformatie gezien. En dat is niet zo vreemd. Het gaat immers om risico's voor de organisatie. Maar juist dat is het grote verschil met een DPIA. Risicoanalyse: risico's voor jou. DPIA: risico's voor anderen. We moeten dus loslaten dat het in kaart brengen van risico's altijd betekent dat de resultaten daarvan vertrouwelijk zijn. Artikel 5 van de AVG stelt dat gegevens moeten worden verwerkt op een wijze die transparant is. Hoort zicht op de risico's daar niet gewoon bij?

Lees hier verder. >>>

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

Lees hier verder. >>>