Privacy-bewustzijn is in de drie jaar dat de GDPR van kracht is onmiskenbaar gegroeid. Het onderwerp privacy is onontkoombaar geworden voor overheden, zorginstellingen en het bedrijfsleven. Goede bescherming van privacy is een continu proces dat niet vanzelf goed gaat.
In de eerste drie jaar van de GDPR (General Data Protection Regulation) zijn er in Europa voor meer dan 300 miljoen euro aan boetes uitgedeeld voor overtredingen van deze nieuwe privacyregels. Sinds de invoering van de Algemene verordening gegevensbescherming (AVG), de Nederlandse naam voor de Europese verordening, in mei 2018, zijn er in Nederland meer dan 70.000 datalekken gemeld. Het hoogste aantal in Europa, op Duitsland na.
GPDR is de nieuwe standaard voor de verwerking van persoonsgegevens in de Europese Unie. Het gaat om gegevens die aan een individu zijn verbonden of waarmee een individu kan worden geïdentificeerd. Denk aan naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mailadres, IP-adres, vingerafdruk of medische data. Het doel van de GDPR is de bescherming van persoonsgegevens binnen de Europese Unie te garanderen, en het vrije verkeer van gegevens binnen de Europese interne markt te waarborgen.
Met de komst van de GDPR is er veel veranderd. Bedrijven, organisaties en overheidsinstellingen zijn verplicht in hun bedrijfsvoering en -processen te voldoen aan de AVG. In het eerste jaar dat de AVG van kracht was, kreeg de Autoriteit Persoonsgegevens (AP) die in Nederland toeziet op de naleving, een golf van vragen, klachten en datalekmeldingen binnen. Data Protection Officers (DPO’s) werden aangesteld en elke overheidsinstelling heeft inmiddels een functionaris gegevensbescherming (FG). Een verplichte DPIA (Data Protection Impact Assesment), een onderzoek bij de verwerking van extra gevoelige persoonsgegevens, is gemeengoed geworden. Klanten, burgers, patiënten, deelnemers, vrijwilligers of verenigingsleden kunnen hun gegevens bij organisaties (gratis) opvragen, wijzigen en laten verwijderen als ze dat willen.
GDPR: waar moet je aan voldoen?
De verwerking van persoonsgegevens binnen een bedrijf moet volgens de GDPR in de eerste plaats transparant zijn: de persoon van wie de gegevens worden verwerkt, is hiervan op de hoogte en heeft hier toestemming voor gegeven. Verder is het alleen toegestaan persoonsgegevens te verzamelen voor een bepaald wettig doel, en mogen de gegevens niet voor andere zaken worden gebruikt of doorverkocht.
Ook is het niet toegestaan meer gegevens van een persoon te verzamelen dan de gegevens die voor het doel noodzakelijk zijn, of deze langer te bewaren dan nodig is voor het bepaalde doel. Het bedrijf dat de persoonsgegevens in bezit heeft, moet ervoor zorgen dat de gegevens correct zijn èn blijven en moet de gegevens beschermen tegen toegang door onbevoegden, verlies of vernietiging. Tenslotte moet het bedrijf kunnen aantonen dat het aan de regels voldoet.
Dat dit niet eenvoudig is, blijkt wel uit de boetes die de AP in Nederland uitdeelde voor overtredingen van de nieuwe privacyregels: sinds begin 2020 ruim vier miljoen euro. Zo vroeg de BKR een vergoeding voor het opvragen van eigen gegevens (€ 830.000 boete) en een gemeente in het oosten van het land kreeg een forse boete voor het inzetten van wifi-tracking op winkelend publiek in de binnenstad (€ 600.000). Bedrijven als Booking.com en Uber kregen een boete voor het te laat melden van een datalek en een bedrijf waarvan de naam niet bekend is gemaakt werd berispt vanwege het ongeoorloofd inzetten van vingerafdrukscans van werknemers.
Grondslag voor verwerking
Een belangrijk startpunt voor naleving van de GDPR is het hebben van een zogeheten grondslag voor de verwerking van persoonsgegevens. In de AVG worden zes grondslagen genoemd:
- De persoon om wie het gaat heeft toestemming gegeven voor de verwerking van de gegevens
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren
- Het is noodzakelijk om gegevens te verwerken, omdat dit wettelijk verplicht is
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen
- Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
Het is belangrijk de grondslag voor verwerking goed te onderbouwen en aan klanten kenbaar te maken. Dat kan door deze op te nemen in de privacyverklaring en het privacy-beleid, dat overigens niet altijd verplicht is. Eventueel kan het ook worden opgenomen in het verwerkingsregister.
De Autoriteit Persoonsgegevens biedt een handige checklist aan die kan helpen om te voldoen aan de AVG. Daarin staat ook de tip te controleren of mensen hun privacy-rechten kunnen uitoefenen. Door na te gaan of er de afgelopen periode verzoeken zijn binnengekomen en hoe (snel) die verzoeken zijn afgehandeld. Kijk ook of de bewaartermijnen in acht worden genomen, en of gegevens die niet langer nodig zijn, worden verwijderd.
Het aanstellen van iemand die binnen de organisatie verantwoordelijk is voor de bescherming van de persoonsgegevens en het voldoen aan de AVG is belangrijk. Maar ook het privacy-bewustzijn van (nieuwe) medewerkers is cruciaal om processen, diensten en producten in de dagelijkse praktijk privacy-proof te houden.
Breinstein heeft al diverse young professionals uitgezonden om bedrijven te helpen bij het AVG-proof maken van de organisatie. Dit zijn Digital Natives die zijn opgegroeid in het digitale tijdperk. Deze generatie weet bijvoorbeeld dat het belangrijk is je computer te vergrendelen als je wegloopt van je werkplek en dat je zorgvuldig moet omgaan met inloggegevens. Onze trainees Informatiemanagement, Data Analytics en Cybersecurity staan tijdens hun traineeship uitgebreid stil bij de impact van de AVG/GDPR en gaan bijvoorbeeld aan de slag als Functionaris Gegevensbescherming, Privacy Officer of ze draaien mee in projecten om medewerkers aan te zetten tot gedragsverandering.