Wat betekent de AVG voor het bewaren van gegevens?
Op 25 mei aanstaande is de AVG alweer drie jaar van kracht. Deze ‘Algemene verordening gegevensbescherming’ en de Uitvoeringswet die erbij hoort (UAVG), kwam in de plaats van de Wet bescherming persoonsgegevens (Wpb). Eenvoudig gezegd moet de UAVG ervoor zorgen dat gegevens over personen zorgvuldig en veilig worden opgeslagen, dat mensen inzage kunnen hebben in hun eigen gegevens, maar vooral dat er niet ‘onnodig’ of zonder toestemming dingen worden bewaard. Dit alles om de privacy van personen te beschermen.
De UAVG heeft als grootste verschil met de oude wet, dat er boetes kunnen worden opgelegd aan instanties die zich er niet aan houden. En dat is de afgelopen jaren ook gebeurd. Slecht beveiligde data, datalekken of zelfs doorverkochte gegevens hebben instellingen boetes van honderdduizenden euro’s gekost. De Autoriteit Persoonsgegevens heeft een overzicht gemaakt van de zaken die voor een organisatie van belang zijn voor het naleven van de AVG. Los van juridische formuleringen komt het hierop neer:
- Zorg dat je je bewust bent van de regels en pas de werkwijze en procedures daarop aan.
- Weet waar de betrokken personen recht op hebben; zij kunnen stukken inzien, hebben recht op correctie of zelfs verwijderen van gegevens.
- Documenteer wat je doet met gegevens; wat leg je vast en waarom? Hoe zorg je ervoor dat persoonsgegevens goed worden beschermd, hoe kom je aan de gegevens en wie kan het inzien? Dit alles moet verplicht worden vastgelegd.
- Privacy Impact Assesment (PIA); een instelling moet dit uitvoeren als er een hoog privacy risico bestaat.
- Bij het ontwerpen van producten en diensten moet je al stilstaan bij de manier waarop je de persoonsgegevens beschermt en welke gegevens echt noodzakelijk zijn. Het vinkje ‘ja ik wil voortaan aanbiedingen ontvangen’ dus niet al vooraf aanvinken.
- Bij grotere instellingen kan het benoemen van een aparte functionaris voor de gegevensbescherming noodzakelijk zijn.
- Als er toch datalekken worden geconstateerd moeten deze verplicht worden vastgelegd en gemeld!
- Als je de verwerking van gegevens hebt uitbesteed aan een andere partij, controleer dan of in het contract duidelijke afspraken en maatregelen staan over de bescherming van gegevens.
- Als mensen hebben toegestemd in het bewaren van hun gegevens, moeten zij deze toestemming eenvoudig weer kunnen intrekken.
Het bewust omgaan met persoonlijke data en zorgen voor een veilige opslag daarvan staan centraal. Hierbij hoort ook de vernietigingsprocedure. Gegevens die niet meer noodzakelijk zijn moeten worden vernietigd. Bij ‘papieren’ opslag moet goed gekeken worden hoe dit moet worden gedaan. Een A4 door de meest eenvoudige papierversnipperaar halen is niet voldoende; er bestaan verschillende types versnipperaar, elk met een eigen veiligheidscodering. Digitale gegevens zijn tegenwoordig talrijker dan papieren. En juist hierbij kan, met een onvoldoende beveiliging, heel snel iets mis gaan. Zowel bij het bewaren als bij het vernietigen van gegevens is het dus belangrijk stil te staan bij de risico’s en het naleven van de AVG. Doe je dit als instelling niet zelf, maar geef je het in handen van een ander, dan is het dus van belang dat dit een betrouwbaar, gecertificeerd bedrijf is!
Content is gerealiseerd door: Helma Bode, scribia.nl