Functionarissen voor gegevensbescherming krijgen een meer strategische rol op zich, die verder gaat dan het zorgen voor naleving van wet- en regelgeving. De AVG vereist dat veel organisaties een FG aanstellen. In het begin ging het vooral om het begrijpen van de wetgeving op het gebied van gegevensbescherming. Nu ligt de focus vooral op hoe we de organisatie verder kunnen bijsturen.

Luister naar het volledige interview met de Information Security Group.

Link naar podcast:

https://www.inforisktoday.in/interviews/changing-role-dpos-i-4455

The post De veranderende rol van de functionaris voor gegevensbescherming appeared first on DPO Centre.

De AVG verplicht alle instellingen inbreuken in verband met persoonsgegevens te melden aan de Autoriteit Persoonsgegevens (AP) indien het waarschijnlijk is dat deze inbreuken een risico vormen voor de betrokkenen. Deze melding moet plaatsvinden binnen 72 uur nadat de verantwoordelijke voor de verwerking van de gegevens op de hoogte is geraakt van de inbreuk, voor zover dit haalbaar is.

De verantwoordelijke voor de verwerking heeft ook aanvullende verplichtingen om de inbreuk zonder onnodige vertraging aan de betrokkenen te melden, indien de inbreuk waarschijnlijk een hoog risico inhoudt op negatieve gevolgen voor de rechten en vrijheden van personen.

In het verleden was het melden van inbreuken optioneel, zonder verplichting om de AP in te lichten, hoewel belangrijke inbreuken steeds vaker vrijwillig werden gemeld.

Het is daarom heel belangrijk om de inbreuk volledig te beoordelen en een systematisch proces op te zetten dat kan worden gevolgd, zodat de meldbaarheid op de juiste manier wordt vastgesteld.

De te nemen stappen zijn als volgt:

STAP ÉÉN – Wat is een “gegevensinbreuk”?

Om te bepalen of er sprake is van een meldbare inbreuk op persoonsgegevens, moet in de eerste plaats worden nagegaan of er een inbreuk in de persoonsgegevens heeft plaatsgevonden.

Een inbreuk op persoonsgegevens wordt in de richtlijn gedefinieerd als “een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies of wijziging of in een niet-geautoriseerde vrijgave van of toegang tot verstrekte, opgeslagen of anderszins verwerkte persoonsgegevens”.

STAP TWEE – Is ernstige schade waarschijnlijk?

In de tweede stap wordt nagegaan of, vanuit het perspectief van een normaal persoon, de inbreuk in verband met persoonsgegevens kan leiden tot ernstige schade aan de persoon van wie de persoonsgegevens onderdeel waren van de inbreuk in verband met persoonsgegevens.

“Ernstige schade” is niet gedefinieerd in de AVG. In het licht van een gegevensinbreuk kan ernstige schade voor een persoon ook ernstige fysieke, psychologische, emotionele, financiële of reputatieschade omvatten.

Instellingen moeten het risico op ernstige schade op holistische wijze beoordelen, waarbij zij rekening houden met de waarschijnlijkheid van de schade voor de betrokkenen en de gevolgen van de schade.

Elementen om de waarschijnlijkheid van ernstige schade te beoordelen zijn in het algemeen:

1. Omstandigheden van de gegevensinbreuk: Relevante overwegingen in dit verband zijn;

• • Of de inbreuk opzettelijk of onopzettelijk was: wanneer een derde partij zich lijkt te richten op de persoonsgegevens van een bepaalde persoon of groep personen, kan dit het risico op ernstige schade vergroten, aangezien het waarschijnlijker is dat de gegevens voor kwaadaardige doeleinden zijn bestemd.
  • Hoe lang de inbreuk toegankelijk is geweest: hoe langer de periode van toegang, hoe groter de kans op ernstige schade.
  • Omvang van de betrokken persoonsgegevens: hoe meer persoonsgegevens bij een inbreuk betrokken zijn, hoe groter de kans dat de betrokkenen worden geïdentificeerd en hoe groter dus de kans op ernstige schade.
  • Type persoonsgegevens: informatie over de gezondheid of de financiën van een persoon kan ernstige schade veroorzaken als de gegevens worden onderschept.
  • Betrokken personen – Indien de betrokken informatie in de eerste plaats betrekking heeft op personen waarvan bekend is dat zij kwetsbaar zijn, kan dit het risico op ernstige schade vergroten.
  • Aantal betrokkenen – Wanneer een inbreuk op de gegevens een groot aantal betrokkenen treft, is het, zelfs indien het soort persoonsgegevens op zich geen hoog risico inhoudt (zoals namen en adressen), waarschijnlijker dat ten minste een aantal van hen ernstige schade ondervindt wanneer meer betrokkenen bij de inbreuk betrokken zijn.
  • Welke partijen hebben toegang gekregen tot de persoonsgegevens – indien een derde partij die toegang heeft gekregen tot de persoonsgegevens, bekend staat als een crimineel, is het risico op ernstige schade zeer groot.

2. Aard van de schade die uit de inbreuk in verband met persoonsgegevens kan voortvloeien: Bij de beoordeling van het risico op ernstige schade is het zeer nuttig na te gaan wat de mogelijke gevolgen van een dergelijke inbreuk zijn en hoe groot de kans is dat elk gevolg zich voordoet.

Voorbeelden zijn:

• • pesterijen of marginalisering op de werkplek of in de maatschappij
  • financieel verlies voor de betrokkene
  • verlies van zakelijke of werkgelegenheidskansen
  • identiteitsdiefstal
  • vernedering
  • relatiebeschadiging

STAP DRIE: Risicobeoordeling

Er moet een officiële risicobeoordeling worden uitgevoerd om de bovengenoemde grote categorieën uitvoerig te beoordelen en samenhang te brengen in elke inbreukbeoordeling die wordt uitgevoerd.

Dit zou zonder onnodige vertraging moeten gebeuren.

Wanneer wordt vastgesteld dat er sprake is van een laag of middelmatig niveau van schade of risico, moet de inbreuk in verband met persoonsgegevens worden opgenomen in het register van gegevensinbreuken van de instelling.

Wanneer echter een hoog of ernstig risico voor een betrokkene wordt vastgesteld, moet de inbreuk in verband met persoonsgegevens worden gemeld aan de AP en aan de getroffen betrokkene(n), met inachtneming van de voorgeschreven termijn van 72 uur om te melden.

The post Gegevensinbreuken herkennen – rapporteerbaar vs registreerbaar appeared first on DPO Centre.

De 5 stappen in de verwerking van een uitvoeren rechten van betrokkenen

Uit onze ervaring blijkt dat de verwerking van uitvoeren rechten van betrokkenen kan worden onderverdeeld in het volgende proces van 5 stappen:

1. Het verzoek om toegang tot de gegevens (uitvoeren rechten van betrokkenen) herkennen en registreren in uw uitvoeren rechten van betrokkenen-logboek
2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren

• • De identiteit van de verzoeker verifiëren
  • Nagaan of de verzoeker recht heeft op de informatie
  • Eventuele vrijstellingen vaststellen

3. Verzamelen en herzien van gegevens

• • Papier, elektronisch, externe verwerkers

4. Controleer het antwoord, redigeer de inhoud om specifiek de persoonlijke identificeerbare informatie van andere personen te verwijderen
5. Antwoord delen met de verzoeker

• • Registreren en loggen

1. Herkennen en ontvangen van Uitvoeren rechten van betrokkenen

Uitvoeren rechten van betrokkenen zijn verzoeken van personen (bekend als een betrokkene) die vragen welke PII u over hen bewaart.

Er is geen specifiek formaat vereist om een verzoek om een uitvoeren rechten van betrokkenen in te dienen – we hebben verzoeken gezien die mondeling, per brief, per e-mail, online chatfaciliteit en zelfs per post op sociale media zijn gedaan – ze zijn allemaal even geldig. De uitvoeren rechten van betrokkenen hoeft ook niet specifiek te verwijzen naar de AVG en u kunt en mag iemand niet vragen waarom hij het verzoek indient: u hebt geen wettige reden om deze vraag te stellen.

Het belangrijkste is ervoor te zorgen dat uw personeel een verzoek om toegang tot gegevens herkent wanneer dit wordt ingediend. Wij adviseren een toegewezen persoon of afdeling aan te wijzen die uitvoeren rechten van betrokkenen ontvangt en voorkomt dat ze verloren gaan. Als zij het niet zeker weten, kunnen zij altijd advies inwinnen bij uw functionaris voor gegevensbescherming of bij het Autoriteit Persoonsgegevens (AP).

Alle Uitvoeren rechten van betrokkenen moeten worden geregistreerd in een uitvoeren rechten van betrokkenen-logboek, zodat u de details van het verzoek, de ondernomen actie en de duur van het antwoord kunt bijhouden.

2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren

Veel Uitvoeren rechten van betrokkenen zijn eenvoudig te verwerken, maar we zien dat Uitvoeren rechten van betrokkenen worden gebruikt als middel om lastige verzoeken te doen of als poging om organisaties gegevens te ontfutselen waar de verzoeker geen recht op heeft. Voordat u veel tijd en moeite steekt in het verzamelen van gegevens, moet u dus altijd

• • De identiteit van de verzoeker verifiëren

Zorg ervoor dat de verzoeker is wie hij zegt dat hij is, vooral als het verzoek niet persoonlijk wordt gedaan. Het geven van persoonlijke informatie aan iemand anders is een inbreuk op de gegevens en zal de problemen alleen maar verergeren. Controleer in geval van twijfel de identiteit van de aanvrager, bijvoorbeeld door een identiteitsbewijs met foto te vragen, zoals een paspoort of rijbewijs en een rekening van een nutsbedrijf, of vraag in sommige gevallen om een persoonlijk gesprek.

• • Nagaan of de verzoeker recht heeft op de informatie

In de meeste gevallen worden verzoeken om toegang tot persoonsgegevens ingediend door de persoon over wie u de persoonsgegevens bewaart. Verzoeken om kopieën van de persoonsgegevens van iemand anders kunnen echter ook worden ingediend door iemand die namens die persoon optreedt. Voorbeelden hiervan zijn personen die de ouderlijke verantwoordelijkheid dragen, in het bezit zijn van toestemming van de betrokkene of een volmacht hebben, en rechtshandhavingsinstanties die naar behoren zijn gesanctioneerd.

U moet er in de eerste plaats altijd voor zorgen dat de verzoeker het wettelijke recht heeft om de persoonsgegevens van iemand anders te ontvangen.

Voorbeelden van ongepaste verzoeken die we hebben gezien zijn:

• In scholen, vervreemde ouders of stiefouders die geen wettelijke voogd zijn en vragen om de persoonlijke gegevens van een leerling.
• Ontevreden klanten die informatie vragen over de bijzonderheden van andere klanten of werknemers
• Potentiële werkgevers die een vorige werkgever om een persoonlijke referentie vragen zonder de toestemming of het akkoord van de betrokkene

In dergelijke gevallen is het juiste antwoord dat er zonder de specifieke toestemming van de betrokkene geen informatie kan worden verstrekt.

Verzoeken van de politie om persoonsgegevens in het kader van haar onderzoek zijn een veel voorkomend type van uitvoeren rechten van betrokkenen dat wij hebben gezien. In deze gevallen hebben wij het verzoek aanvaard op voorwaarde dat de politie de grondslag ervan schriftelijk heeft bevestigd. Bovendien hebben wij, door de centrale van het betrokken politiebureau te bellen, bevestigd dat de politieambtenaar die het verzoek heeft ingediend, daadwerkelijk op dat bureau werkt.

• • Eventuele vrijstellingen vaststellen

Uitvoeren rechten van betrokkenen betreffen de persoonlijke informatie die u verwerkt over de persoon die om de informatie verzoekt. Ze zijn geen middel om aanvullende informatie over uw organisatie te achterhalen, om informatie over anderen te verkrijgen of om anderszins bevoorrechte informatie te ontfutselen.

Zo kan een ouder in een school legitiem een uitvoeren rechten van betrokkenen gebruiken om informatie te vragen over de prestaties van zijn of haar kind of over de redenen waarom bepaalde beslissingen zijn genomen. Een uitvoeren rechten van betrokkenen kan niet worden gebruikt om informatie op te vragen over de prestaties van andere individuele leerlingen om een vergelijking te kunnen maken, of kan niet worden gebruikt om een ander kind te identificeren dat betrokken is bij een woordenwisseling of een disciplinaire procedure. Er kunnen tegenstrijdige voorschriften zijn waardoor bepaalde PII niet mag worden vrijgegeven – bijvoorbeeld wanneer het niet in het belang van het kind is om gevoelige veiligheidsinformatie waarover een school beschikt, vrij te geven.

In de handelswereld hebben wij ervaren dat indieners denken dat zij vorderingen hebben tegen ondernemingen die Uitvoeren rechten van betrokkenen gebruiken als een middel om te proberen juridisch bevoorrechte informatie te ontfutselen.

In het geval van dergelijke tegenstrijdige eisen moet u een “afweging” maken om de hoeveelheid persoonlijke informatie vast te stellen die moet worden verzameld en gedeeld met de verzoeker.

Om uw werk bij het verzamelen en voorbereiden van de informatie te beperken, is het altijd het beste om (zoals hierboven beschreven) de identiteit van de verzoeker te verifiëren, zijn recht op de informatie te bevestigen en eventuele uitzonderingen vanaf het begin te identificeren. Vervolgens kunt u de verzoeker vooraf bevestigen en antwoorden en uitleggen welke informatie u al dan niet mag verstrekken.

Als u twijfels hebt, kan een ervaren functionaris voor gegevensbescherming met kennis van uw organisatie en van de praktische toepassing van de wetgeving, van onschatbare waarde zijn en u veel tijd en middelen besparen.

3. Verzamelen en herzien van gegevens

Zodra u de uitvoeren rechten van betrokkenen hebt bevestigd en hebt bepaald welke informatie nodig is, moet u uit alle nodige bronnen alle bestanden met persoonsgegevens verzamelen en controleren. U hebt slechts 30 dagen om de gegevens te verzamelen en met de verzoeker te delen, dus dit kan een lastige taak zijn – vooral omdat de gegevens zowel op papier als in elektronische vorm kunnen zijn, en vergeet niet de informatie van de derde partijen die gegevens verwerken en deel uitmaken van uw gegevensverwerkingsketen.

Eén van onze cliënten kreeg een bijzonder moeilijk verzoek van iemand die een legitiem uitvoeren rechten van betrokkenen-verzoek indiende om transcripties te verstrekken van de meer dan 100 telefoongesprekken en opgenomen berichten die hij had gevoerd. Dit kostte veel tijd en moeite om de gegevens te verzamelen en te controleren.

De systemen die in alle gevallen van onschatbare waarde zijn, zijn systemen waarin gegevens centraal worden opgeslagen, doorzoekbaar zijn en gemakkelijk kunnen worden ingezien en opgehaald. Het opslaan van informatie op meerdere fysieke locaties of als papieren dossiers, kan het werk om de gegevens te ordenen aanzienlijk vergroten.

AVG schrijft voor dat u binnen 30 dagen na verificatie van de identiteit van de verzoeker op uitvoeren rechten van betrokkenen moet reageren. Voor complexe verzoeken kan dit worden verlengd tot 90 dagen, op voorwaarde dat u de verzoeker vóór het verstrijken van de oorspronkelijke termijn van 30 dagen informeert over de redenen voor de verlenging van de antwoordtermijn.

4. Controleer het antwoord en verwijder alle PII van andere personen

Controleer het antwoord voordat u informatie deelt met de indiener van het verzoek. Zorg ervoor dat de informatie volledig is, maar zorg er ook voor dat verwijzingen naar andere personen zijn weggelaten (d.w.z. voor papieren dossiers, weggelaten met een zwarte weglatingsstift), aangezien dit een inbreuk zou zijn op de persoonsgegevens van andere personen. Wijs een specifieke persoon of afdeling aan die verantwoordelijk is voor het redigeren van informatie, aangezien dit een specialistische taak is.

Het is doorgaans een goed idee om de controle te laten uitvoeren door iemand anders dan degene die de informatie heeft verzameld, waarbij de verantwoordelijkheid vaak bij de functionaris voor gegevensbescherming ligt.

5. Antwoord delen met de verzoeker

Tenslotte deelt u het antwoord met de indiener van het verzoek en verwijst u in uw antwoord naar het oorspronkelijke verzoek. Zorg er altijd voor dat u een exacte kopie bewaart van alle verzonden informatie en dat u uw antwoord registreert in uw logboek voor verzoeken om toegang tot gegevens.

Samenvatting

Het aantal uitvoeren rechten van betrokkenen blijft toenemen doordat personen hun rechten onder de AVG beter begrijpen en uitvoeren.

De expertise van een ervaren FG in het verwerken van uitvoeren rechten van betrokkenen kan voor u van onschatbare waarde zijn om ervoor te zorgen dat er efficiënt, effectief en wettelijk op uitvoeren rechten van betrokkenen wordt gereageerd.

Dankzij onze samenwerking met meer dan 600 organisaties, kan het team van ervaren FG’s van The DPO Centre het nodige advies, de nodige begeleiding en de nodige modeldocumenten verschaffen om tijdig, gepast en wettelijk te reageren op uitvoeren rechten van betrokkenen. 

The post Uitvoeren rechten van betrokkenen – 5 essentiële stappen appeared first on DPO Centre.

Hoe definieert AVG “persoonsgegevens”?

Artikel 4, lid 1 van de AVG  definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”)….. een natuurlijke persoon die direct of indirect kan worden geïdentificeerd”.

Belangrijke punten om op te letten:

• Om iemand te kunnen identificeren, hoeft u zijn naam niet te kennen
• Een persoon kan indirect identificeerbaar zijn, zelfs als de benodigde aanvullende informatie niet in de database van het bedrijf is opgeslagen, maar uit een andere bron moet worden verzameld. Indien deze aanvullende gegevens gemakkelijk te verkrijgen zijn, kunnen zij als persoonsgegevens worden beschouwd
• Of informatie als persoonsgegevens wordt beschouwd, hangt af van de betreffende situatie.

Wat is een identificator?

De AVG geeft enkele voorbeelden:

• Naam
• Identificatienummer
• Locatiegegevens
• Online-identificator (bv. IP-adressen)

Deze lijst is niet limitatief, dus ook andere gegevens kunnen als persoonlijk worden beschouwd, zoals functieomschrijving, geloofsovertuiging of zelfs haarkleur!

Om deze gegevens te mogen verwerken, moet een bedrijf een rechtmatige grondslag hebben volgens Artikel 6 van de AVG.

Hoe zit het met gegevens uit “bijzondere categorieën”?

Dit zijn gegevens die als gevoeliger van aard worden beschouwd (d.w.z. de gegevens waarvan u echt niet wilt dat anderen ze over u weten) en die daarom beter moeten worden beschermd, omdat ze grotere risico’s voor de rechten en vrijheden van een persoon kunnen opleveren.

Voorbeelden: ras of etnische afstamming, godsdienstige of levensbeschouwelijke overtuiging, gezondheid, genetische of biometrische gegevens enz.

Voor gegevens in bijzondere categorieën moet niet alleen een rechtmatige grondslag voor verwerking op grond van Artikel 6 bestaan, maar moet ook aan een van de voorwaarden van Artikel 9 zijn voldaan.

AVG -regels omzeilen – anonimisering van persoonsgegevens

Anonimisering van gegevens zorgt ervoor dat individuen niet direct of indirect kunnen worden geïdentificeerd, zodat ze niet langer worden geclassificeerd als persoonsgegevens en niet onder de AVG (GDPR) vallen, waardoor het delen van gegevens gemakkelijker wordt.  Het verwijderen van directe identificatoren uit een gegevensset, het verminderen van de nauwkeurigheid van variabelen en het generaliseren van bevindingen zijn slechts enkele manieren om gegevens te anonimiseren.

Samenvatting

• Het is belangrijk om de term “persoonsgegevens” te begrijpen om te bepalen of de AVG -regels van toepassing zijn op de gegevensverwerking van een bedrijf
• Persoonsgegevens zijn gegevens aan de hand waarvan een persoon direct OF indirect kan worden geïdentificeerd
• Onthoud! Er is geen definitieve lijst van wat persoonsgegevens zijn; het hangt er meer van af of een individu kan worden geïdentificeerd aan de hand van de gegevens. Als u het dus niet zeker weet, kunt u gegevens het beste als persoonsgegevens behandelen om een inbreuk te voorkomen
• Maar om zekerheid te hebben, kunt u de AVG -regels vermijden en anonimiseren

The post wat zijn ‘persoonsgegevens’ precies appeared first on DPO Centre.