Gegevensbescherming is een hot en soms zelfs wel eens een controversieel onderwerp sinds de EU de oude gegevensbescherming verordening heeft veranderd naar de nieuwe Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe regelgeving brengt gegevensbescherming aan het licht zoals het betrekking heeft op individuelen. Data en de bescherming hiervan, wordt nu als een basisrecht van alle individuen gezien – een verlengstuk van henzelf.
Het belang dat de regeringen en overkoepelende organen de afgelopen jaren op data hebben geplaatst betekent dat veel organisaties en bedrijven over de hele wereld op de hoogte zijn van de kleine letters van dataverzameling en de verwerking daarvan. Ze worden geacht de databescherming en de verplichtingen hiervan te kennen. Met deze nieuwe verschuiving in perspectief met betrekking tot data en gegevensbescherming, komen er vragen die individuen en bedrijven beantwoord willen hebben.
In dit artikel behandelen we de top 10 vragen omtrent databescherming in 2022. Van de definitie van gegevensbescherming tot wat er betrokken is bij data protectie diensten, wij hebben de antwoorden voor u.
1. Wat is gegevensbescherming?
Gegevensbescherming refereert in de brede zin van het woord aan het verzamelen, verwerken en opslaan van de persoonlijke data van een individu en hoe deze data beschermd is. Gegevensbescherming is het proces van het veiligstellen van belangrijke informatie en het beschermen tegen corruptie, compromis of verlies. Gegevensbescherming verwijst naar AVG en de verschuiving van de focus die het aan het licht heeft gebracht toen de wet in werking is gesteld. Het refereert aan hoe persoonlijke informatie van individuen wordt behandeld door organisaties en hoe deze data conform de rechten van het individu gebruikt wordt.
2. Wat is het AVG?
AVG verwijst naar de specifieke regulering is voortgekomen uit de wet in de EU, Nederland en andere landen. AVG is ingegaan op 25 mei 2018 en heeft databescherming en de rechten van het individu in een nieuw licht gesteld.
AVG relateert aan de bescherming van persoonlijke data en de rechten van het individu over hun data. Het hoofddoel is om individuen meer controle over hun persoonlijke data te geven en helpt met de vloed van persoonlijke data en verbetert de privacy en rechten voor burgers.
3. Wat zijn de hoofdverantwoordelijkheden van AVG voor bedrijven?
Onder de AVG, moeten bedrijven aan zes data principes kunnen voldoen wanneer deze te maken hebben met het werken met persoonlijke data. Dit is inclusief de garantie dat de verwerking van de persoonlijke data volgens de wet verloopt, eerlijk en transparant is, waar de data alleen voor specifieke en wettelijke doeleinden wordt gewonnen. Deze dient up-to-date gehouden te worden voor zolang nodig is. Organisaties die data verzamelen, moeten het ook beschermen tegen misbruik en exploitatie.
Het akkoord gaan met het AVG betekent ook dat dit betrekking heeft op data als er een data lek ontstaat, welke vermiste en gestolen data bevatten, dat de bedrijven verplicht zijn dit te melden aan de relevante toezichthoudende autoriteiten binnen 72 uur van het incident.
4. Wat zijn gegevensbescherming diensten?
Gegevensbescherming diensten, zijn diensten die geleverd worden aan grote en kleine organisaties tot middelmatige bedrijven, die het complexe landschap van gegevensbescherming bewandelen. Ze bieden advies, ondersteuning en specifieke diensten als DPO’s (Functionaris gegevensbescherming) van buitenaf. DPO’s van buitenaf hebben de expertise om organisaties beter hun gegevensbescherming verplichtingen te laten begrijpen, om up-to-date te blijven met de huidige regelgeving en om continu compliant te blijven met de wetten en regelgeving.
5. Moeten alle organisaties een DPO aanstellen?
Ondanks dat het niet verplicht is om voor alle organisaties om een DPO toe te wijzen, hangt het van een aantal factoren af of die van u er wel of niet een nodig heeft. De Autoriteit Persoonsgegevens in Nederland stelt dat een DPO verplicht is, wanneer bedrijven:
● Een publieke autoriteit zijn (met de uitzondering van een gerechtshof actief in hun juridische capaciteit).
● Op grote schaal systematisch individuen monitoren, zoals gedrag tracken.
● Op grote schaal speciale categorieën van data of data gerelateerd tot strafrechtelijke veroordeling of overtredingen verwerken.
De meeste organisaties wijzen een DPO toe. Ze kunnen gegevensbeschermingsdiensten gebruiken om ze te helpen met dit proces. Zelfs als een organisatie niet verplicht is om een DPO aan te stellen of indien geen van het bovenstaande voor hen van toepassing is, worden ze nog steeds geacht te garanderen dat hun personeel de taken uitvoert onder AVG-verplichtingen.
6. Wie wordt door gegevensbescherming beïnvloed?
Om dit te begrijpen, moet u eerst begrijpen waar het op toegepast wordt.
Gegevensbescherming, waar in deze context de AVG mee bedoeld wordt, is van toepassing op persoonlijke data. Dit is gedefinieerd als elke informatie, gerelateerd aan een identificeerbaar individu, welke direct of indirect geïdentificeerd kan worden door een verwijzing van de data.
Een groot aantal types informatie kan gedefinieerd worden als persoonlijke data. Van persoonlijke adressen tot het browsen van de historie tot e-mailadressen. Gegevensbescherming beïnvloedt organisaties die persoonlijke data van deze aard en nog meer hanteren, verzamelen of verwerken.
7. Welke regels dienen organisaties te volgen om naleving te garanderen?
Om naleving te garanderen met betrekking tot gegevensbescherming, zegt het AVG dat persoonlijke data:
● Wettelijk, eerlijk en transparant moet worden verwerkt.
● Alleen verzameld mag worden voor specifieke en wettelijke doeleinden.
● Adequaat, relevant en gelimiteerd is aan wat nodig is.
● Accuraat en up-to-date gehouden wordt.
● Alleen bewaard wordt zo lang als het nodig is.
● Beschermd is op een manier die veiligheid en integriteit garandeert.
8. Wat zijn de boetes voor AVG-overtredingen?
Het AVG gebruikt een gelaagde aanpak van hoe het de boetes distribueert. Dit betekent dat de aard van de overtreding de boete bepaalt – en die kunnen significant zijn.
De maximale boetes die een bedrijf kan ontvangen, is 4% van hun jaarlijkse inkomen, of € 20 miljoen, welk bedrag hoger is. De minder serieuze overtredingen kunnen een boete van 2% of € 10 miljoen verwachten.
Het verdient vermeldingiidat een aantal van de grootste bedrijven al beboet zijn voor overtredingen in het AVG. Het jaar na de introductie van het AVG, liep dit in de honderden miljoenen.
9. Wat is het fundamenteel recht van het AVG?
● Het recht om geïnformeerd te worden: individuen hebben het recht om te weten welke persoonlijke data de organisaties van hen verzamelen, hoe het wordt opgeslagen en wordt gebruikt.
● Het recht van toegang: individuen hebben het recht om een kopie van de persoonlijke informatie te krijgen, die van hen verzameld is. Dit mag ze laten controleren hoe hun data wordt verwerkt en of het rechtsgeldig is.
● Het recht op rectificatie: individuen zijn gemachtigd om hun persoonlijke data gecorrigeerd te krijgen als deze incompleet of niet accuraat is.
● Het recht tot verwijderen/het recht om vergeten te worden: individuen hebben het recht om te kiezen of hun data verwijderd wordt.
● Het recht tot restrictie verwerking: individuen hebben het recht om het verwerken van data te blokkeren of onderdrukken.
● Het recht tot data overdraagbaarheid: individuen kunnen hun persoonlijke data van één IT-omgeving naar de andere kopiëren, overzetten of verzetten.
● Het recht om te protesteren: individuen zijn gemachtigd om commentaar te maken op het verwerken van hun persoonlijke data, zoals wanneer bedrijven hun persoonlijke data gebruiken voor directe marketing.
● Rechten gerelateerd aan automatische keuzes of profilering: Het AVG heeft maatregelen genomen om het individu te beschermen tegen het risico van potentiële beschadigende keuzes die gemaakt worden met hun data.
10. Wie is er verantwoordelijk voor het handhaven van het AVG?
Terwijl de EU GDPR en Nederlands AVG staatswetten in natiestaten implementeren, hebben deelnemende landen ook hun eigen autoriteiten die verantwoordelijk zijn voor het hanteren van de wet. Bijvoorbeeld is het in het VK de ICO, in Hongarije is het de Hungarian National Authority for Data Protection and Freedom of Information. Deze instituten zijn verantwoordelijk voor het hanteren van het AVG binnen hun naties.