Privacy Friendly

Opinie

De onderstaande weblog-artikelen zijn geschreven in de vorm van een uitgebreid opiniestuk.

Artikel 30 van de AVG eist dat een verwerkingsverantwoordelijke een register bijhoudt van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. En dat is heel logisch. Om de overige artikelen van de AVG te kunnen naleven, moet je natuurlijk wel weten om welke gegevens het precies gaat. Veel organisaties leggen vanwege deze verplichting zo'n verwerkingsregister aan, gebruikmakend van zelf gemaakte Excelsheets tot aan specifiek daarvoor ontwikkelde tooling. En hoewel je met zo'n verwerkingsregister voldoet aan een van de vele eisen vanuit de AVG, is de vraag of het hebben van zo'n apart register de juiste aanpak is. Persoonsgegevens zijn namelijk niet het enige soort gegeven dat om goed beheer en om goede beveiliging vraagt. Ook voor andere vertrouwelijke bedrijfsinformatie geldt dat het goed zicht hebben erop noodzakelijk is om ze goed te kunnen beheren en beveiligen. Eigenlijk wil je als organisatie een centraal overzicht hebben van alle bedrijfsinformatie. Of iets een persoonsgegeven is en de verwerking daarvan dus onder de AVG valt, zou eigenlijk niet meer dan een attribuut van informatie in dat centrale overzicht moeten zijn.

Lees hier verder. >>>

Sinds de komst van de AVG hebben cybersecurityexperts er een extra uitdaging bij, namelijk het beveiligen van persoonsgegevens. De valkuil voor hen is dat zij, door onvoldoende kennis van de AVG, denken dat dat het enige is wat gegevensbescherming inhoudt. Echter, het beveiligen van gegevens is slechts 1 van de 99 artikelen uit de AVG.

Ik hoor ook regelmatig geluiden over de FG die half op de stoel van de CISO gaat zitten, omdat hij/zij zich geroepen voelt om een inhoudelijke mening of reactie te geven over artikel 32. Echter, het feit dat de AVG een artikel bevat over informatiebeveiliging, maakt dat niet automatisch een verantwoordelijkheid van de FG.

Lees hier verder. >>>

De uitkomsten van een DPIA worden doorgaans geheim gehouden. Ze worden beschouwd als interne bedrijfsinformatie. Eigenlijk is dat gek. Je brengt namelijk risico's in kaart voor anderen; de betrokkenen. Die zouden moeten mogen weten welk risico ze lopen. Toch?

Ik heb het vermoeden dat de houding ten opzichte van de resultaten van een DPIA afkomstig is uit de risicoanalyse. De resultaten daarvan worden ook als interne bedrijfsinformatie gezien. En dat is niet zo vreemd. Het gaat immers om risico's voor de organisatie. Maar juist dat is het grote verschil met een DPIA. Risicoanalyse: risico's voor jou. DPIA: risico's voor anderen. We moeten dus loslaten dat het in kaart brengen van risico's altijd betekent dat de resultaten daarvan vertrouwelijk zijn. Artikel 5 van de AVG stelt dat gegevens moeten worden verwerkt op een wijze die transparant is. Hoort zicht op de risico's daar niet gewoon bij?

Lees hier verder. >>>

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

Lees hier verder. >>>

In een vorige opinie schreef ik dat de on-premise softwareleverancier niet een Verwerker wordt omdat er situaties zijn waarin hij in contact komt met data van de klant. Waardoor je in veel situaties kunt volstaan met geheimhoudingsverklaring en geen verwerkersovereenkomst hoeft te regelen. Uit de reacties die ik heb gekregen kwam het verzoek om een paar concrete situaties uit te werken. Bij deze.

Lees hier verder. >>>