12 september 23 |

Top 5 redenen om te voldoen aan de AVG

AVG Blog

Een veel gestelde vraag van kleine en middelgrote organisaties is “waarom zou ik iets aan AVG doen?“. Hieronder geven we 5 cijfermatig onderbouwde argumenten:

1. “Privacy” staat op #3 van belangrijkste grondrechten

Uit een recente peiling van de overheid blijkt dat de Nederlandse burgers hun privacy steeds belangrijker gaan vinden.

2. 60% van het MKB met een groot datalek is binnen 3 jaar failliet

Uit de Cisco 2022 Privacy Benchmark Study blijkt dat een groot datalek voor het merendeel van de MKB-ondernemers het eindstation betekent. De oorzaken hiervoor zijn niet alleen de directe kosten, maar vooral het verlies aan reputatie en commerciële focus. Organisaties die hun privacy programma wel goed op orde hebben, krijgen nog steeds te maken met datalekken, echter zij zijn in staat om de impact van het datalek significant te verminderen. Zij blijven wel bestaan.

3. Behoud van klanten

Uit de Cisco 2021 Consumer Privacy Study blijkt dat 32% van de consumenten actief van winkel, provider, etc. wisselt, omdat men ontevreden is over hoe hun huidige leverancier met hun privacy omgaat of hier niet transparant in is.

4. Omzetverhoging en kostenreductie

Uit de Cisco 2023 Privacy Benchmark Study blijkt dat 90% van de consumenten géén aankopen wil doen bij organisaties die niet goed met hun data omgaan. Dit biedt kansen voor organisaties die privacy aantoonbaar wel op orde hebben.

Cisco heeft, op basis van diverse andere bronnen, berekend dat een investering van €1,- in privacy een opbrengst genereert van €1,80. Deze opbrengst bestaat uit de volgende componenten:

  • Omzetverhoging
  • Efficiency-voordelen
  • Minder kosten bij een datalek
  • Aantrekkelijker voor de buitenwereld

5. Employer branding

Uit een studie van KPMG uit 2021 blijkt dat 13% van de medewerkers er geen vertrouwen in heeft dat de eigen werkgever juist omgaat met de persoonsgegevens van het personeel. Dit terwijl privacy enorm belangrijk wordt gevonden (zie punt 1). In de huidige arbeidsmarkt is het vechten om talent aan te trekken en te behouden. Bij méér dan 1 op de 8 medewerkers loopt de organisatie een verhoogd risico dat de medewerker vertrekt, vanwege een gebrek aan vertrouwen rondom privacy.

25 augustus 23 |

Hoe lang mag je iemands gegevens bewaren? Met Complite weet je ‘t.

AVG Blog

In de complexe wereld van gegevensbescherming is het bepalen van de juiste bewaartermijnen voor persoonsgegevens een cruciale stap richting
AVG-naleving. Hoe lang mag je iemands gegevens eigenlijk bewaren? Gelukkig biedt Complite, de toonaangevende service van ISPE, de oplossing. Met Complite heb je de nodige begeleiding en expertise binnen handbereik om deze belangrijke vraag te beantwoorden. Ontdek hoe Complite je helpt bij het bepalen van de juiste bewaartermijnen en zorgt voor gemoedsrust in jouw AVG-naleving.

Een essentiële vraag voor AVG-naleving

In de complexe wereld van gegevensbescherming is het bepalen van de juiste bewaartermijnen voor persoonsgegevens een essentieel onderdeel van AVG-naleving. Gelukkig biedt Complite, de toonaangevende service van ISPE, de nodige begeleiding en expertise om deze vraag te beantwoorden.

Nauwkeurige richtlijnen en flexibiliteit

Met Complite krijg je nauwkeurige richtlijnen over hoe lang je persoonsgegevens mag bewaren op basis van de specifieke context en wettelijke vereisten. Of het nu gaat om klantgegevens, medische dossiers of andere persoonlijke informatie, Complite biedt duidelijke en actuele informatie om je te helpen de juiste beslissingen te nemen.

17 mei 23 |

De Meta/mega boete – 5 lessen voor het MKB

Blog

De Ierse toezichthouder (DPC) heeft een megaboete uitgedeeld aan Meta van EUR 390 miljoen. Meta is het moederbedrijf van onder andere Facebook, Instagram en Whatsapp. Waarschijnlijk heb je hiervan wel iets voorbij zien komen in het nieuws of op LinkedIn. Want “dit is echt een mijlpaal voor de handhaving van de AVG!”. Maar waarom eigenlijk? Wat kan het jou als MKB-onderneming nu eigenlijk schelen wat er met Facebook gebeurt? Dat is toch de andere kant van de wereld? Klopt. Maar toch zijn er belangrijke lessen te trekken uit deze casus. Maar om dat te begrijpen, is het belangrijk te snappen waarvoor Meta is bestraft.

Gepersonaliseerde advertenties

Het draait allemaal om gepersonaliseerde advertenties. En meer specifiek: wanneer Meta die mag tonen. Want om je gepersonaliseerde advertenties te tonen, moet Meta persoonsgegevens van die persoon verwerken. Hoe kunnen ze namelijk anders de advertenties op jou afstemmen. Op zich mag dat van de AVG, als je hier maar een zogenaamde “juridische grondslag” voor hebt. En daar gaat het mis.

Tenminste dat vonden enkele privacy-activisten. Want de Ierse toezichthouder had helemaal niet zo’n zin in een onderzoek naar Meta. Maar omdat het iedereen vrij staat een klacht in te dienen, werden ze min of meer ‘gedwongen’ om toch te gaan kijken naar het verdienmodel van Meta.

Grondslagen

De AVG geeft 6 mogelijke juridische grondslagen. De 2 waar het hier om gaat zijn “toestemming” en “noodzakelijk voor het uitvoeren van een overeenkomst”. Bij “toestemming” hebben de meeste mensen wel een beeld. “Noodzakelijk voor het uitvoeren van een overeenkomst” gebruik je als grondslag op het moment je persoonsgegevens moet verwerken om een overeenkomst met de ander na te komen. Simpel voorbeeld is een webshop die jou een besteld artikel wil toesturen. De webshop heeft dan jouw adres nodig om dit te doen. Dus ze verwerken dat persoonsgegeven met de grondslag “noodzakelijk voor het uitvoeren van een overeenkomst”.

Noodzakelijk

Meta gebruikte ook de grondslag “noodzakelijk voor het uitvoeren van een overeenkomst” om de gepersonaliseerde advertenties te versturen. Wilde je gebruik maken van Facebook, Instagram, etc. dan moest je akkoord gaan met hun gebruikersvoorwaarden. En in die voorwaarden stond dat Meta je ook gepersonaliseerde advertenties mocht sturen. Eind goed al goed, toch? Want het staat in de overeenkomst, dus ja: Meta moet je wel die advertenties sturen om de overeenkomst na te leven!

Fout. Want het woordje “noodzakelijk” is hierin cruciaal. Noodzakelijk slaat namelijk niet alleen op de tekst van de overeenkomst, maar ook op de kern van de overeenkomst. Oftewel: wat is nu eigenlijk de onderlinge dienst of verplichting die wordt afgesproken? In het geval van Facebook en Instagram is het niet zo dat jij gebruiker wordt om gepersonaliseerde advertenties te zien. Nee, je wil graag in contact staan met jouw vrienden. Dus als Facebook of Instagram wil bijhouden wie jouw vrienden zijn, zodat jullie contact met elkaar kunnen hebben, dan doet Facebook dit omdat het noodzakelijk is voor de overeenkomst. De gepersonaliseerde advertenties worden er door Facebook “bij de haren bijgesleept”. Maar zouden deze advertenties er niet zijn, dan kun jij nog prima Facebook gebruiken.

Dus, was de conclusie van de toezichthouders: Meta schendt de AVG.

Gevolgen

De zakken van Meta zijn behoorlijk diep. Dus die EUR 390 miljoen gaat ze echt niet failliet maken. Maar er is een veel ergere straf die de toezichthouders kunnen uitdelen: Meta moet namelijk haar dienstverlening aanpassen. Ze moeten toestemming gaan vragen voor de gepersonaliseerde advertenties. En dat gaat wel enorm veel pijn doen bij Meta. Want toestemming kent veel vereisten. Waarschijnlijk kan Meta dan nog maar aan een fractie van de gebruikers gepersonaliseerde advertenties tonen. Terwijl hun hele verdienmodel daar op is gebouwd! Oftewel: Meta moet zichzelf opnieuw gaan uitvinden.

Lessen voor het MKB

Het klopt dat de kans dat jij als MKB-onderneming te maken krijgt met de Nederlandse toezichthouder klein is op dit moment. De meeste aandacht gaat uit naar de grote bedrijven en overheid. Toch?

1. Denk goed na over je juridische grondslagen en leg ze vast.
Waarom mag je volgens jou bepaalde persoonsgegevens verwerken? En heb je dat vastgelegd in een verwerkingsregister?

2. Iedereen kan een klacht tegen jouw organisatie indienen.
De toezichthouder hoeft jou niet zelf in het vizier te krijgen. Iedereen kan een klacht tegen je indienen. Het eerste wat een toezichthouder doet is jouw verwerkingsregister opvragen. Zorg dat je hierop bent voorbereid!

3. De boete is niet je grootste risico.
Reputatieschade en een verbod op het verder verwerken van persoonsgegevens zijn een grotere bedreiging. Wat zou het voor jouw organisatie betekenen als je bepaalde kernactiviteiten ineens niet meer (op deze manier) mag uitvoeren?

4. De Nederlandse toezichthouder loopt achter bij veel Europese collega’s.
Nederland kent 20 bekende AVG-boetes en doet het Europees gezien vrij slecht qua toezicht. Een vergelijkbaar land als België zit op het dubbele aantal boetes. Maar bijvoorbeeld Spanje en Italië zijn veel actiever en kennen honderden boetes. Spanje deelde alleen in december 2022 al 16 boetes uit. Vergelijk dat eens met de 20 boetes van Nederland sinds mei 2018. Het verschil? In Spanje en Italië richten de toezichthouders zich veel meer op het MKB en korte, duidelijke handhaving. Het is onze overtuiging dat Nederland ook die kant uit gaat. Als je dan nog iets moet gaan doen, ben je te laat.

5.  De AVG kun je niet blijven negeren.
Last but certainly not least. Struisvogelpolitiek werkt niet. Vroeg of laat word je ingehaald door de tijd. En dan zou je willen dat je eerder in de actie was geschoten. Wacht niet tot iemand anders (toezichthouder, boze klant, gefrustreerde ex-medewerker) voor jou bepaalt dat je iets aan AVG moet gaan doen. Want misschien moet je dan halsoverkop cruciale bedrijfsprocessen overboord gooien. Kunnen jullie dat opvangen?

Wat nu?

AVG is niet eng of moeilijk. Het is alleen onbekend. Maar niet voor ons. Wij zorgen dat jij de regie pakt op de AVG. Daar kun je op vertrouwen. Hoe? Dat leggen we graag persoonlijk uit.

17 mei 23 |

Toestemming – Het ei van Columbus?

AVG

Iedereen komt het weleens tegen: er wordt om toestemming gevraagd om je persoonsgegevens te verwerken. De kans is groot dat je in de meeste gevallen deze toestemming geeft, maar waarom moet je toestemming geven en waarvoor geef je toestemming?

Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet er bij iedere verwerking van persoonsgegevens een rechtvaardigingsgrond zijn op basis waarvan de persoonsgegevens verwerkt mogen worden. Toestemming is één van die rechtvaardigingsgronden.

Aan het geven van toestemming zijn wel bepaalde voorwaarden verbonden. Zo moet de toestemming gegeven zijn voor één of meerdere specifieke doeleinden. Er kan dus niet gevraagd worden om toestemming voor verwerking ‘ in het algemeen’. Daarnaast moet iemand vrij zijn om toestemming te geven.

Voorbeeld
Toestemming is geen wenselijke grondslag voor de verwerking van persoonsgegevens van een werknemer door een werkgever. Door de gezagsrelatie tussen een werknemer en een werkgever, is een werknemer niet vrij genoeg om toestemming te geven of te weigeren.

Toestemming geven moet een actieve handeling zijn. Er mag wel gekozen worden voor een ‘opt-in’, bijvoorbeeld door een vinkje aan te zetten, maar niet voor een ‘opt-out’ (vooraf ingevuld vinkje uitzetten). Tot slot moet toestemming op informatie berusten. Degene die toestemming geeft moet vooraf op duidelijke wijze geïnformeerd zijn over de verwerking waarvoor toestemming wordt gegeven.

En nu?

Verwerkt uw organisatie persoonsgegevens op basis van toestemming? En vraagt u zich soms weleens af of dit de juiste manier van verwerken is? Schroom niet om contact met ons op te nemen en wij helpen u graag verder!

17 mei 23 |

Rapport Autoriteit Persoonsgegevens: onderwijs

AVG Blog

Een veilige omgeving voor leerkracht en leerling?

Dat er op scholen en onderwijsinstellingen veel persoonsgegevens verwerkt worden zal voor niemand een verrassing zijn. Weet jij eigenlijk welke gegevens er binnen jouw onderwijsinstelling of de onderwijsinstelling van je kind worden verzameld?

Toezichthouder luidt de noodklok

Het rapport dat de Autoriteit Persoonsgegevens (hierna: AP) op 4 november 2021 publiceerde deed flink wat stof deed opwaaien. Zorgvuldige omgang met de gegevens van kinderen en jongvolwassen is cruciaal. Dit zijn namelijk kwetsbare groepen. De AP laat in een brief aan De Minister van Onderwijs weten dit te zien als een inherent onderdeel van goed en veilig onderwijs.

Welke gegevens worden er dan op scholen verwerkt? Natuurlijk de gangbare zaken, zoals naam en contactgegevens. Maar vaak ook erg gevoelige gegevens. Denk hierbij aan eventuele medische gegevens, het gedrag van het kind of de thuissituatie. Onze ervaring is dat dit nog meer is dan dat scholen zelf al dachten. En dat veel van die gegevens veel te lang bewaard blijven.

Daarnaast is er de laatste jaren in het onderwijs steeds meer aandacht gekomen voor digitaal leren en digitale tools die het lesprogramma ondersteunen. Scholen hebben vaak niet in kaart welke gegevens deze systemen verzamelen en wat de gegevensstromen hiervan zijn.

Scholen hebben het niet op orde

De grootste uitdaging in de onderwijssector is om overzicht te houden op al haar verwerkingen. Veel scholen hebben niet de kennis en tools in huis om te dit doen.

Volgens de AP zijn er 3 trends in het onderwijs te zien die risico`s met zich meebrengen:

  • Monitoring van leerlingen en studenten
  • Afhankelijkheid van grote leveranciers
  • Meer uitwisseling van gegevens in samenwerkingsverbanden

De 3 belangrijkste acties voor scholen

De aanbevelingen die de AP hierbij doet zijn als volgt:

  • Breng de basis op orde
  • Houd documentatie up-to-date en voldoe aan de verantwoordingsplicht
  • Richt governance in en versterk de rol van de FG

“Voor veel onderwijsinstellingen is het een uitdaging om overzicht te houden op alle verwerkingen van persoonsgegevens“.
(reactie onderwijsinstellingen op rapport Autoriteit Persoonsgegevens)

De meeste onderwijsinstellingen zijn dus het overzicht verloren en hebben niet de tijd alles opnieuw in kaart te brengen. Dat is begrijpelijk.

ISPE heeft de expertise en ruime ervaring binnen de onderwijssector om dit snel en efficiënt uit te voeren. En de tools om te zorgen dat je actueel blijft. Zo kunnen de mensen binnen de onderwijsinstellingen doen waar hun passie ligt, namelijk jongeren zichzelf laten ontwikkelen. Maar dan wel in een veilige omgeving voor leerkracht en leerling.

Hoe zou het voor jullie zijn als je als school weet waar je staat op AVG-gebied en wat je moet doen? En hoe dit zo eenvoudig en doeltreffend mogelijk kan? Neem dan contact met ons op.

11 mei 23 |

FG in kleine organisaties

Blog

De rol van de Functionaris Gegevensbescherming (FG) wordt steeds belangrijker, vooral in kleinere organisaties waar het aanstellen van een FG vaak over het hoofd wordt gezien. Een FG is een persoon die verantwoordelijk is voor de bescherming en het gebruik van persoonlijke gegevens binnen een organisatie.

In kleine organisaties wordt de FG meestal gezien als een extra last die niet nodig is, maar niets is minder waar. De FG heeft belangrijke taken, zoals het adviseren van medewerkers, het borgen noodzakelijke acties en toezicht op de naleving van privacyregels. Dit is vooral belangrijk met de invoering van de nieuwe Algemene Verordening Gegevensbescherming (AVG).

Als de FG-rol goed wordt uitgevoerd heb je er als organisatie juist enorm veel profijt van:

  • er is structuur – niet iedereen doet zomaar wat
  • er is duidelijkheid – niet meer “volgens mij…”
  • er is tijd – niet meer iedereen die een beetje doet

En dat leidt tot rust. Voor jou, voor je collega’s en voor de klanten.

Veel gemaakte fouten

Vaak gaat er bij het aanstellen van de FG in kleinere organisaties ook veel fout. Zo wordt er niet altijd gekeken naar de relevante vaardigheden die nodig zijn om deze rol goed te kunnen vervullen. Het is belangrijk om een persoon aan te stellen met kennis van de wet- en regelgeving op het gebied van gegevensbescherming, die in staat is om het management te adviseren en ervoor kan zorgen dat de organisatie voldoet aan wet- en regelgeving.

Wat vaak over het hoofd wordt gezien is dat de FG ook echt onafhankelijk moet zijn. Hierdoor vallen veel interne collega’s al af. Ook mag de Functionaris Gegevensbescherming niet iemand van het management- of directieteam zijn, omdat die persoon anders zichzelf moet gaan controleren en adviseren.

De toezichthouders gaan ook steeds strenger kijken naar de rol van de FG. Zo kan een organisatie zonder FG een boete krijgen, zelfs als alle andere vereisten van de AVG wel worden nageleefd. Het is dus belangrijk om deze rol serieus te nemen.

Kortom, de rol van de Functionaris Gegevensbescherming is cruciaal voor kleinere organisaties om te voldoen aan de steeds strenger wordende privacyregels. Aan de ene kant omdat het moet van de wet. Maar vooral ook omdat het goed inzetten van de FG je als organisatie een hoop voordelen oplevert.

Meer weten?

Wil je meer weten of de rol van de FG? Bijvoorbeeld of deze verplicht is voor jouw organisatie? En ben je benieuwd hoe je dit als kleine organisatie ook extern kunt wegleggen? Neem dan eens contact met ons op.

20 maart 23 |

Gerechtvaardigd belang

Blog

De grondslag gerechtvaardigd belang is een belangrijk onderdeel van de Algemene Verordening Gegevensbescherming (AVG). Het is een van de zes mogelijke grondslagen waarop een organisatie persoonsgegevens mag verwerken.

Maar wat houdt gerechtvaardigd belang precies in?

Gerechtvaardigd belang betekent dat een organisatie persoonsgegevens mag verwerken als dit nodig is voor haar eigen belangen, zolang deze belangen niet zwaarder wegen dan de belangen van degene van wie de gegevens worden verwerkt (de “betrokkene”). Dit betekent dat de organisatie een afweging moet maken tussen haar eigen belangen en de belangen van de betrokkene.

Er zijn verschillende situaties waarin een organisatie een gerechtvaardigd belang kan hebben om persoonsgegevens te verwerken. Bijvoorbeeld wanneer een organisatie een fraudeonderzoek wil uitvoeren of wanneer een organisatie haar klantenbestand wil gebruiken voor marketingdoeleinden.

Maak een afweging

Het is belangrijk om op te merken dat gerechtvaardigd belang geen vrijbrief is om persoonsgegevens te verwerken. De organisatie moet altijd zorgvuldig afwegen of haar eigen belangen zwaarder wegen dan de belangen van de betrokkene. Daarnaast moet de organisatie de betrokkene informeren over de verwerking van zijn of haar persoonsgegevens en moet de betrokkene het recht hebben om bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens op basis van gerechtvaardigd belang.

Een voorbeeld van gerechtvaardigd belang in de praktijk is wanneer een organisatie camerabeelden maakt om het pand te beveiligen. De organisatie heeft een gerechtvaardigd belang om deze persoonsgegevens te verwerken om haar eigendommen te beschermen. Zolang de camerabeveiliging is aangekondigd, de camera’s niet op bijzondere plekken hangen (bijvoorbeeld de toiletten) en de beelden slechts kort bewaard worden, dan zal dit vaak wel mogen.

Echter, als de organisatie de camerabeelden gaat gebruiken om te bekijken of medewerkers wel doorwerken, dan gaat dat te ver. De inbreuk op de privacy van medewerkers wordt dan onevenredigheid hard geraakt ten opzichte van het doel.

Een belangrijk vereiste is dat deze belangenafweging achteraf te toetsen moet zijn. Je moet deze dus (uitgebreid) vastleggen en reproduceerbaar maken. Dit dwingt je ook om je eigen uitgangspunten ter discussie te stellen. Pas dan maak je een echte afweging in plaats van een doelredenatie.

Hoe maak je deze afweging?

De belangenafweging kent een vaste structuur. Hierbij moet je de verwerking vanuit verschillende invalshoeken bekijken.

In onze AVG software Caris, zit een module waarmee je deze belangenafweging gemakkelijk zelf kan maken zonder dat het je veel moeite kost. En je voldoet ook meteen aan de verplichting dat deze afweging reproduceerbaar moet zijn.

17 maart 23 |

Waarom privacy en de AVG

AVG

Privacy is een fundamenteel mensenrecht dat in veel landen door de wet wordt beschermd. Het verwijst naar de mogelijkheid van individuen om de verzameling, het gebruik en de openbaarmaking van hun persoonlijke informatie te controleren. In de digitale tijd van vandaag is het steeds moeilijker geworden om privacy te behouden. Er zijn verschillende risico’s verbonden aan privacy waarvan individuen zich bewust moeten zijn.

1. Datalekken

Een van de grootste risico’s voor privacy is een datalek. Een datalek is een beveiligingsincident waarbij gevoelige, beschermde of vertrouwelijke informatie bij anderen belandt, terwijl dat niet de bedoeling was. Datalekken kunnen op verschillende manieren plaatsvinden, zoals hacking, phishing of diefstal. Wanneer datalekken zich voordoen, kan persoonlijke informatie zoals namen, adressen, BSN en creditcardnummers worden blootgesteld, waardoor individuen het risico lopen op identiteitsdiefstal, fraude of andere vormen van cybercriminaliteit.

Wat vaak over het hoofd wordt gezien is dat cybercriminelen informatie van verschillende bronnen aan elkaar koppelen. Zo kan ook een gelekt emailadres of een geboortedatum worden gecombineerd met informatie die ergens anders is gelekt. En kan het zomaar een hoog risico opleveren.

2. Surveillance

Een ander risico voor privacy is surveillance. Surveillance kan vele vormen aannemen, zoals het monitoren van internetactiviteit, het volgen van locaties, het registreren van aanwezigheid of het opnemen van gesprekken. Overheden, bedrijven en individuen maken allemaal gebruik van vormen van surveillance. Hoewel sommige surveillance legitiem kan zijn, zoals wetshandhaving die criminele activiteiten bewaakt, kan het ook opdringerig zijn en de privacyrechten van een individu schenden.

3. Online tracking

Online tracking is een praktijk waarbij bedrijven gegevens verzamelen over de online activiteiten van individuen, zoals bezochte websites en zoekopdrachten. Deze gegevens worden vervolgens gebruikt voor gerichte reclame of andere vormen van marketing. Online tracking kan worden gedaan via cookies, pixels en andere technologieën. Hoewel online tracking misschien onschadelijk lijkt, kan het worden gebruikt om gedetailleerde profielen te maken van de interesses en gedragingen van individuen, die kunnen worden gebruikt voor gerichte advertenties of andere doeleinden zoals politieke beïnvloeding.

4. Social media

Social media is nog een ander belangrijk risico voor privacy. Social media-platforms verzamelen grote hoeveelheden persoonlijke gegevens van gebruikers, zoals locatiegegevens, contacten en online activiteit. Deze gegevens kunnen worden gebruikt om gedetailleerde profielen te maken van de interesses en gedragingen van individuen. Social media-platforms kunnen ook gebruikersgegevens delen met bedrijven van derden voor reclamedoeleinden. Bovendien kunnen social media-gebruikers onbedoeld gevoelige persoonlijke informatie delen met hun volgers, waardoor hun privacy in gevaar komt.

5. Cyberpesten

Cyberpesten is een vorm van online intimidatie die ernstige gevolgen kan hebben voor de privacy van individuen.

Cyberpesten kan vele vormen aannemen, zoals het verzenden van bedreigende of beledigende berichten, het verspreiden van geruchten of leugens, of het delen van gênante foto’s of video’s. Cyberpesten kan langdurige effecten hebben op de mentale gezondheid en het welzijn van individuen. Bovendien kan cyberpesten leiden tot de blootstelling van gevoelige persoonlijke informatie, waardoor de privacy van individuen in gevaar komt.

De AVG

Concluderend is het behouden van privacy in het digitale tijdperk van vandaag steeds uitdagender geworden. Datalekken, surveillance, online tracking, social media en cyberpesten zijn allemaal significante risico’s voor privacy. Daarom is privacy ook een grondrecht van iedereen binnen de EU.

Omdat privacy een grondrecht is, mag je het in principe niet aantasten. Dat betekent dus dat jij als bedrijf of organisatie het recht op privacy moet respecteren. Maar uiteindelijk moet je soms wel persoonsgegevens verwerken, bijvoorbeeld om je werk te kunnen doen of om een persoon te kunnen helpen.

De AVG bepaalt dan (mede) de regels die op dat moment gelden. De AVG maakt de verwerking van persoonsgegevens juist mogelijk. En voorkomt dat het uit de hand loopt.

07 december 22 |

De FG, wat moet ik er mee?

Blog

Het is misschien wel de meest misbruikte term op AVG-gebied: de FG. Of voluit “Functionaris Gegevensbescherming”.

In veel organisaties, waarin een FG is aangesteld is dit even tussendoor gedaan. Een business controller of ICT-beheerder die even niet oplette bij de rondvraag kon zomaar eens de eervolle vermelding “FG” krijgen. Dan was dat AVG-vinkje ook weer gezet. En door……

In dit blog breken wij een lans voor de FG. Niet omdat de functie met allerlei wettelijke verplichtingen omgeven is en dat in de praktijk veel FG’s daar niet aan voldoen. Daar schreven we eerder al een over. Maar vooral omdat het een gemiste kans is. Dat zien wij ruim 4,5 jaar na invoering van de AVG namelijk steeds vaker. Dat het zonde is dat de aangewezen FG de kennis, tijd en ervaring mist om de rol uit te voeren zoals deze is bedoeld.

Hoe is de rol bedoeld?

De FG wordt door veel mensen gezien als de ‘boeman’ (of -vrouw) die steeds vertelt wat er allemaal niet mag. En juist dat beeld is zo ontzettend jammer en niet terecht. Tenminste, als de FG zijn of haar werk goed doet.

Een goede FG is namelijk een adviseur, een klankbord. Iemand die je juist kan vertellen hoe iets wel mag. En ja, als je echt over de grens gaat, dan zal een goede FG je dat ook zeggen en uitleggen. In dat “uitleggen” zit ook de kracht van een goede Functionaris Gegevensbescherming: door helder en praktisch te vertellen waarom iets helaas niet mag. Onze ervaring is dat medewerkers na een goede uitleg begrip hebben voor het advies om een bepaalde verwerking niet te doen. We zeggen met nadruk “advies“, want een FG is geen poortwachter. Geen show-stopper, die het feestje van de commercie komt verzieken. Een goede FG geeft richting, duidelijkheid en zijn of haar mening.

De gemiste kansen

Aan het begin gaven wij aan dat er kansen worden gemist door het niet hebben van een (goede) Functionaris Gegevensbescherming. Hoe dan?

Hieronder enkele waargebeurde voorbeelden, die wij in de praktijk zijn tegen gekomen. Dit zijn voorbeelden die, op 1 na, allemaal voor zijn gevallen bij organisaties die wel een FG hadden aangesteld. Maar waarbij dit iemand was dit het ‘erbij’ deed. De ‘op 1 na’-organisatie was een bedrijf dat formeel wel een FG diende te hebben, maar deze niet wilde aanstellen uit angst voor te veel gedoe.

  • Er werd toestemming gevraagd om nieuwsbrieven naar bestaande klanten te sturen, terwijl dat niet nodig was. Hierdoor was het bereik van de nieuwsbrief kleiner dan deze had kunnen zijn.
  • Bij de implementatie van een nieuw CRM-systeem was geen rekening gehouden met bewaartermijnen van verschillende documenten, terwijl het systeem hier wel in voorzag. Nu, 3 jaar later, moesten alle documenten handmatig worden doorlopen om de bewaartermijn alsnog te vullen.
  • Er was een grote aanbesteding gedaan voor een nieuwe hostingpartij. De partij die het uiteindelijk is geworden, slaat al de back-ups op buiten de EU. Onze klant had dit niet goed onderzocht en geven aan dat ze voor een andere partij hadden gekozen als ze dit van tevoren hadden geweten.
  • Er is voor veel geld geïnvesteerd in camerabeveiliging van een nieuw kantoorgebouw. Verschillende camera’s zijn zo geplaatst dat ze meer filmen dan noodzakelijk, met name bij medewerkers. Deze camera’s moesten allemaal opnieuw worden afgesteld. Het management heeft aan de medewerkers en de Ondernemingsraad moeten uitleggen wat er mis is gegaan en dat medewerkers gedurende lange tijd onrechtmatig zijn gefilmd.

Bovenstaande voorbeelden hadden allemaal voorkomen kunnen worden door het advies van een ervaren en kundige Functionaris Gegevensbescherming in te winnen. Reputatie, tijd en geld had bespaard kunnen worden.

FG as a Service

Wij begrijpen ook dat veel organisaties niet de kennis en ervaring hebben om een goede FG te benoemen binnen het eigen personeelsbestand. Daarom vragen veel organisaties ons om hun Functionaris Gegevensbescherming te zijn. Wij voorzien ze dan van het broodnodige advies, handzame rapportages en ondersteuning bij datalekken.

Daarmee hebben onze klanten hun energie en tijd vrij voor hun klanten en besparen ze vaak geld, omdat dingen dan in 1x goed gaan. En zo maken wij klanten blij.

Meer weten over onze FG as a Service dienst? Neem contact met ons op!

25 oktober 22 |

Het grondrecht “privacy”

AVG Blog

Je kan verschillende associaties hebben bij het begrip privacy. De ondernemer denkt misschien aan de ingewikkelde regels uit de AVG waaraan hij moet voldoen, terwijl anderen misschien denken aan het idee dat ze in de gaten worden gehouden door cameratoezicht op straat of de apps die ze gebruiken. Hoe je ook tegen privacy aankijkt, het is een belangrijk grondrecht voor iedereen.

Grondwet

In Nederland is het recht op privacy vastgelegd in artikel 10 van de Grondwet, namelijk:

“Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.”

Europees Verdrag voor de Rechten van de Mens

Ook op Europees niveau is het recht op privacy geregeld. In het Europees Verdrag voor de Rechten van de Mens, het verdrag dat Europese landen hebben gesloten om mensenrechten te waarborgen, staat het volgende artikel (artikel 8 lid 1):

“Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.” 

De grondwet en het Europees Verdrag voor de Rechten van de Mens. Dat zijn serieuze instrumenten om in te zetten. Privacy moet dan ook niet lichtzinnig worden opgenomen.

Europees Verdrag voor de Rechten van de Mens

Ook op Europees niveau is het recht op privacy geregeld. In het Europees Verdrag voor de Rechten van de Mens, het verdrag dat Europese landen hebben gesloten om mensenrechten te waarborgen, staat het volgende artikel (artikel 8 lid 1):

“Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.” 

De grondwet en het Europees Verdrag voor de Rechten van de Mens. Dat zijn serieuze instrumenten om in te zetten. Privacy moet dan ook niet lichtzinnig worden opgenomen.

De visie van ISPE

De AVG en andere privacy wet- en regelgeving vloeien voort uit dit grondrecht. Onze visie is dat dit grondrecht als basis moet dienen voor de privacy-maatregelen die binnen een organisatie genomen worden. Hebben wij al deze persoonsgegevens echt nodig om onze werkzaamheden te kunnen verrichten? En hoe ingrijpend zou ik het als individu vinden, dat een bedrijf al deze gegevens van mij heeft? Wanneer deze vragen gesteld worden binnen jouw organisatie, met name wanneer er nieuwe processen worden opgestart, dan merk je dat de regels uit de AVG niet zo ingewikkeld zijn als je denkt. En zeg nu zelf: recht op privacy dat wil toch iedereen!

Zoek jij iemand die met je mee kan denken? Dan staan wij graag voor jou klaar en nemen wij jouw zorgen weg!