Nieuws

dinsdag 10 oktober 2017

Voorbereiden op de GDPR - rechten van betrokkenen

Door: Kees Mastwijk, business area manager Security Management

De Algemene Verordening Gegevensbescherming (AVG/GDPR) die in mei 2018 van kracht is, introduceert onder andere verstevigde rechten van individuen (betrokkenen). Voorbeelden van deze rechten zijn het recht op correctie van persoonsgegevens als deze niet kloppen, het recht op inzage van de persoonsgegevens die worden opgeslagen en verwerkt, en het recht om ‘vergeten’ te worden. In het laatste voorbeeld betreft het een verzoek van een betrokkene om zijn/haar persoonsgegevens te wissen.

Voor u als betrokkene, consument of individu zijn deze rechten een daadwerkelijke meerwaarde in de bescherming van uw privacy. Maar welke maatregelen moet uw organisatie treffen om te kunnen voldoen aan deze eisen? Het inzichtelijk maken van de diverse verwerkingen en de opslag en verwerking van persoonsgegevens is een eerste goede stap. Als u weet welke persoonsgegevens er worden verwerkt dan kunt u op basis hiervan eventuele aanvullende maatregelen nemen om te kunnen voldoen aan de rechten van de betrokkenen.

Een inventarisatie van de verschillende typen persoonsgegevens plus de locatie waar deze zijn opgeslagen is het absolute minimum om aan de eisen te kunnen voldoen. Immers: zonder deze informatie is het onmogelijk om gegevens van een betrokkene aan te passen op zijn/haar verzoek, kan het recht op inzage niet worden ingewilligd, en kan data van een betrokkene niet worden verwijderd. Opslaglocaties van persoonsgegevens waar u wellicht gelijk aan denkt zijn databases, mappen op een fileshare, Office documenten, CRM pakketten en e-mailpostbussen.

Het klinkt eenvoudig: inzage geven, aanpassen en verwijderen. De praktijk kan een stukje lastiger zijn. Zeker omdat de AVG stelt dat persoonsgegevens onder bepaalde omstandigheden onverwijld verwijderd moeten kunnen worden als de betrokkene er om vraagt.  De uitdagingen waar u tegenaan kunt lopen zijn bijvoorbeeld back-ups. Hoe zorgt u er voor dat de persoonsgegevens ook uit de back-ups worden verwijderd? Of u heeft een leverancier die voor u de back-ups verzorgt. Kunnen de persoonsgegevens dan ook onverwijld worden verwijderd? Of er is een deel van de verwerking uitbesteed aan een externe partij. Kan er in dat geval ook worden voldaan aan de verzoeken van de betrokkene?

In de AVG wordt niet gesteld op welke manier deze, veelal technische, maatregelen geïmplementeerd moeten worden. Het is vooral van belang dat u kunt aantonen dat u in de context van de AVG een verzoek heeft afgehandeld: het recht van de betrokkenen staat hierbij voorop. Verplaats u in de persoon die het verzoek doet en beoordeel of het resultaat van de afhandeling datgene is wat de betrokkene mag verwachten van u.
Print

Tags:

Nieuwsbrief

 

Blijf op de hoogte van de laatste security ontwikkelingen door je nu in te schrijven voor de Vest nieuwsbrief!


Ja, ik wil die nieuwsbrief!


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie