3-3-2018
AVG…? Is dat niet die virusscanner? ;-)
Ja, wij dachten in eerste instantie ook aan de vrolijk gekleurde gratis virussoftware. Maar de nieuwe AVG staat voor ‘Algemene Verordening Gegevensbescherming’. Er komt nieuwe privacy wetgeving aan. Be prepared!
Nieuwe privacywetgeving
De ontwikkelingen in de technologie gaan steeds sneller. Privacy is hierbij een hot item. Kijkers van de Netflix-serie “Black Mirror” staan vast de voorbeelden nog op het letterlijke netvlies waar technologie pijnlijk met privacy in de knoop komt. De beroepsethiek wordt steeds belangrijker in de IT. Hoe is de privacy nu geregeld en wat gaat er binnenkort veranderen?
Apps en privacy
Zooma bouwt apps. Dit doen wij voor onze opdrachtgevers. Apps bieden handige tools en functionaliteiten. Hiervoor heeft een app gegevens nodig. Bijvoorbeeld waar een gebruiker zich bevindt of de app vraagt gegevens die zijn opgeslagen in de telefoon of tablet. Een app kan pushberichten versturen, kan gegevens groeperen, opslaan of zelfs verstrekken aan andere partijen. Dit alles natuurlijk om de gebruiker een fantastische beleving of up-to-date informatie te bieden. Maar het moet wel helder zijn wat er precies met de gegevens gebeurt, en hoe de privacy van de gebruiker is gewaarborgd.
Verwerking van persoonsgegevens
Als dienstverlenend bedrijf heb je snel persoonsgegevens in handen. Denk aan informatie over je klanten. Als je die gegevens bewaard, ben je al persoonsgegevens aan het verwerken. Je krijgt dan te maken met privacy wetgeving. Momenteel is dit nog geregeld in de Wet bescherming persoonsgegevens (Wbp). De Wbp geeft regels over onder meer beveiliging, registratie, toestemming, documentatie en bewaartermijnen.
Algemene Verordening Gegevensverwerking
Per 25 mei 2018 wordt de Wpb vervangen door een nieuwe wet: de Uitvoeringswet Algemene Verordening Gegevensbescherming (AVG). Hiermee gaan er voor heel Europa grotendeels dezelfde regels gelden. De AVG betekent een uitbreiding van de privacyrechten van gebruikers, en meer verantwoordelijkheden bij de verwerkers van persoonsgegevens. De Autoriteit persoonsgegevens houdt toezicht op naleving van de AVG.
Basisprincipes
Voor het verwerken van gegevens geldt een aantal basisprincipes. Zo moet het rechtmatig, eerlijk en transparant gebeuren, mogen er niet meer gegevens verwerkt worden dan nodig voor het doel, moeten de gegevens juist zijn, niet langer dan nodig worden bewaard en passend worden beveiligd.
Toestemming
In het kader van rechtmatigheid was het al verplicht om vooraf toestemming van de gebruiker te verkrijgen om persoonsgegevens te verwerken. In de AVG is de wijze waarop toestemming verkregen kan worden strakker geregeld. De organisaties moeten kunnen bewijzen dat zij een geldige toestemming hebben verkregen. En gebruikers moeten de toestemming net zo makkelijk weer kunnen intrekken.
Voor bepaalde categorieën persoonsgegevens gelden zwaardere regels. Voor het verwerken van bijvoorbeeld het BSN-nummer is een wettelijke bevoegdheid nodig. Als de verwerker die niet heeft, mag die instantie deze gegevens niet verwerken. Toestemming of niet.
Recht op vergetelheid
Naast dat gebruikers het recht hebben om bezwaar te maken tegen de verwerking en rectificatie van onjuiste gegevens kunnen verlangen, hebben zij het recht hun persoonsgegevens te laten verwijderen: het recht vergeten te worden. Hierbij kunnen zij van de verwerker eisen dat de organisatie dit doorgeeft aan alle andere organisaties die deze gegevens van die betreffende organisaties hebben gekregen.
Portable data
Gebruikers hebben het recht om hun gegevens in te zien, maar met de AVG krijgen zij ook het recht hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk gebruiken voor nieuwe dienstverleners.
Verantwoordingsplicht
Bedrijven moeten meer kunnen aantonen dat zij zich aan de wet en alle basisprincipes houden. Processen moeten worden vastgelegd en er zijn technische maatregelen nodig. Heeft u in kaart welke gegevens u verwerkt en kunt u dat verantwoorden? Weet uw personeel wat zij moeten doen bij een datalek? Het kan ook nodig zijn dat er een functionaris voor de gegevensbescherming (FG) wordt aangesteld binnen het bedrijf en een Data protection impact assessment (DPIA) wordt uitgevoerd.
Wie is er uiteindelijk verantwoordelijk?
Zooma bouwt apps in opdracht van onze klanten. Wij verlenen een IT-dienst, namelijk het gebruik van een door ons gebouwde app. De bouwtekening, ofwel broncode, staat in de App/Play Store en blijft eigendom van Zooma. Een eenmaal gedownloade app gebruikt gegevens van de gebruiker. Deze gegevens worden opgeslagen bij de opdrachtgever of op de servers van Zooma. Wie is er nu verantwoordelijk voor de zorgvuldige verwerking van de persoonsgegevens?
De wet geeft aan dat degene ‘die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dat gebeurt en hoe dit gebeurt’ de verantwoordelijke is. Dit is in veel gevallen onze opdrachtgever. Die heeft de app bedacht en gefinancierd en wordt dan ook meestal als verantwoordelijke gezien door toezichthoudende instanties. Maar omdat er sprake is van een samenwerking tussen Zooma en de opdrachtgever, beschouwen wij het voldoen aan de privacywetgeving als een gezamenlijke verantwoordelijkheid. Wij pakken dit onderwerp dan ook samen met onze opdrachtgever op.
Meer weten?
Dit artikeltje is een tipje van de sluier. Bij Zooma zijn wij voorbereid op de nieuwe AVG en staan wij onze opdrachtgevers graag bij op dit onderwerp. Meer weten over apps en privacy? Neem gerust contact met ons op.
Volgende