AVG: Algemene Verordening Gegevensbescherming

Wat is de AVG? De AVG is een EU-regelgeving (van kracht sinds 25 mei 2018) die de verwerking van persoonsgegevens door organisaties reguleert, gericht op het beschermen van de privacy van individuen.

Belangrijke principes van de AVG:

• Rechtmatigheid, behoorlijkheid en transparantie: Persoonsgegevens moeten op een eerlijke, rechtmatige en transparante manier worden verwerkt.

• Doelbinding: Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doelen.

• Dataminimalisatie: Alleen de gegevens die noodzakelijk zijn voor het doel mogen worden verwerkt.

• Juistheid: Gegevens moeten accuraat zijn en waar nodig worden bijgewerkt.

• Opslagbeperking: Gegevens mogen niet langer worden bewaard dan nodig.

• Integriteit en vertrouwelijkheid: Gegevens moeten worden beschermd tegen ongeoorloofde toegang of verlies.

Rechten van betrokkenen

Recht op inzage: Betrokkenen kunnen een kopie van hun gegevens opvragen. Recht op rectificatie: Onjuiste of onvolledige gegevens kunnen worden gecorrigeerd. Recht op vergetelheid: Betrokkenen kunnen verzoeken hun gegevens te laten verwijderen. Recht op dataportabiliteit: Gegevens kunnen worden overgedragen naar een andere organisatie. Recht op bezwaar: Bezwaar maken tegen verwerking, zoals direct marketing. Recht op beperking van verwerking: Verwerking kan tijdelijk worden opgeschort. Plichten van organisaties Verwerkersovereenkomst: Contract tussen organisaties en derden die persoonsgegevens verwerken. Register van verwerkingen: Documenteren van gegevensverwerkingsactiviteiten. DPIA (Data Protection Impact Assessment): Verplicht bij hoog risico-verwerkingen. Beveiliging: Gegevens moeten technisch en organisatorisch worden beschermd. Meldplicht datalekken: Binnen 72 uur een datalek melden aan de toezichthouder (in Nederland de Autoriteit Persoonsgegevens). Gerelateerde concepten Privacy by Design: Privacy moet vanaf het ontwerp worden geïntegreerd in systemen en processen. Privacy by Default: Standaardinstellingen moeten de meest privacyvriendelijke optie bieden. Anonimisatie vs. Pseudonimisering: Anonimisatie: Gegevens zijn volledig onherleidbaar naar een persoon. Pseudonimisering: Gegevens zijn nog herleidbaar met aanvullende informatie. Internationale dataoverdracht Bij overdracht van persoonsgegevens buiten de EU moeten landen voldoende bescherming bieden (bijvoorbeeld via het EU-US Data Privacy Framework of standaardcontractbepalingen).

Belangrijke rollen Verwerkingsverantwoordelijke: Bepaalt het doel en de middelen voor gegevensverwerking. Verwerker: Voert de verwerking uit in opdracht van de verwerkingsverantwoordelijke. Functionaris Gegevensbescherming (FG): Onafhankelijke toezichthouder binnen de organisatie (verplicht voor bepaalde organisaties). Veelvoorkomende problemen en uitdagingen Datalekken: Hacken, verlies van apparatuur of ongeoorloofde toegang. Niet-naleving: Hoge boetes (tot €20 miljoen of 4% van de wereldwijde omzet). Bewustwording: Training en bewustzijn van medewerkers over privacy en gegevensbescherming. Tools en technieken Beveiligingsmaatregelen: Encryptie, firewalls, toegangscodes. Software voor privacybeheer: Hulpmiddelen zoals TrustArc, OneTrust. Frameworks en standaarden: ISO 27001 (informatiebeveiliging), NIST Privacy Framework.