Het is alweer 4 jaar geleden dat de algemene verordening gegevensbescherming (verder afgekort als: AVG) in dienst is getreden. De AVG is op dit moment hét leidende stukje wetgeving dat burgers beschermt op het gebied van privacy en gebruik van hun data. Waar komt de AVG vandaan? Hoe gaat de Autoriteit Persoonsgegevens (AP) om met de AVG? En wat is effect van cyberaanvallen op datalekken?
Waar komt de AVG vandaan?
Voordat de AVG door de Europese Unie als regulatie ingesteld werd, was in Nederland de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit was het eerste Europese initiatief om gezamenlijk privacy en mensenrechten te waarborgen. Waar de AVG een regulatie is, was de Wbp een richtlijn. De twee verschillen in uitvoering, een regulatie is voor elke lidstaat hetzelfde terwijl een richtlijn door elk lidstaat aangepast of omgevormd kan worden. Hierdoor wordt de AVG, Europees de ‘General Data Protection Regulation (GDPR)’, gezien als belangrijke wetgeving omdat het de uniformiteit binnen Europa bevorderd. De AVG heeft concreet gezorgd voor meer verantwoordelijkheden omtrent privacy en data bij organisaties en de grondslag voor alle Europese privacy toezichthouders om stevige boetes, 20 miljoen of 4% van de globale jaaromzet, uit te delen.
Waar focust de AVG zich voornamelijk op, waar moet op worden gelet bij het verwerken van persoonsgegevens en wat kan er fout gaan?
De AVG zorgt ervoor dat private en publieke organisaties binnen bepaalde kaders moeten opereren. Dit doet de wet aan de hand van zes grondslagen. Deze grondslagen staan aan de basis voor elke organisatie die data wil verwerken. Als we spreken over data, dan hebben we het over persoonsgegevens. Dit is data die gelinkt kan worden aan personen en dit kan zijn aan de hand van namen, foto’s, e-mailadressen, IP-adressen en ga zo maar door. Voor de verwerking van data geeft de Autoriteit Persoonsgegevens aan dat elke organisatie een goede reden, grondslag, moet hebben om persoonsgegevens te verwerken. In de AVG staan de volgende zes grondslagen:
- Toestemming; de persoon om wie het mogelijk gaat heeft toestemming gegeven.
- Noodzakelijk; het is mogelijk je op deze grondslag te beraden als er een overeenkomst is met de desbetreffende persoon en hierbij het verwerken van persoonsgegevens noodzakelijk zijn.
- Wettelijke verplichting; het kan zijn dat persoonsgegevens verstrekt moeten worden als hiervoor een wettelijke verplichting geldt. Bijvoorbeeld door een bevel van de politie.
- Vitale belangen; dit is aan de orde als de verwerking essentieel is voor het leven van die persoon en er op dat moment geen toestemming gevraagd kan worden.
- Algemeen belang of openbaar gezag; deze grondslag is van toepassing als de verwerker een publieke taak voor algemeen belang of openbaar gezag uitoefent. Bij deze grondslag is het belangrijk om duidelijk te maken dat persoonsgegevens gebruikt worden voor dit belang. Een voorbeeld is het gebruik van cameratoezicht door de gemeente voor de openbare veiligheid.
- Gerechtvaardigd belang; er zijn drie voorwaarden waar je aan moet voldoen om je verwerking op deze grondslag te baseren. Er is daadwerkelijk een gerechtvaardigd belang, de verwerking is noodzakelijk om dit belang te behartigen en er is een afweging gemaakt tussen de belangen van de organisatie en de betrokkenen. Een gerechtvaardigd belang, de naam zegt het al, wordt een beetje door de wettelijke grondslag bepaalt. De volgende onderdelen kunnen dus niet als gerechtvaardigd belang worden opgegeven; commercieel belang, winstmaximalisatie, gedrag van werknemers en potentiële klanten volgen zonder legitieme reden.
De AVG voelt soms wellicht als uitdaging waarbij de rechten van natuurlijke rechtspersonen, lees burgers, zo goed mogelijk beschermd worden. Hiervoor moeten organisaties duidelijk maken wat voor persoonsgegevens zij willen gaan verwerken en welke grondslag hierbij hoort. Het belang van goed privacy beleid én de opvolging ervan sijpelt door naar de Autoriteit Persoonsgegevens. Sinds de invoering van de AVG op 25 mei 2018 zijn in het eerste jaar 2,5 miljoen euro aan boetes hebben opgelegd. Dit is intussen al gestegen naar 6,4 miljoen in 2021. Buiten een boete of dwangsom is imagoschade misschien wel schadelijker voor de organisatie.
Het is niet bijzonder, dat op de ‘verjaardag’ van de AVG, de AP zich heeft geuit over de stijging van het aantal datalekken als gevolg van cyberaanvallen. Een rapport van de toezichthouder heeft uitgewezen dat het aantal melding van een datalek door een cyberaanval met 88% is gestegen. Tevens geven ze aan dat organisaties er vaker voor kiezen de IT extern onder te brengen, en als die leveranciers dan wordt getroffen komt mogelijk de gehele keten in het geding. Eerder vertelde onze collega Lynn Molendijk al over het belang van zicht op ketenveiligheid en het kunnen beantwoorden van vragen zoals; ‘zijn we goed beveiligd tegen ransomware of andere vormen van hacking?’, ‘hebben we een plan als het fout gaat’ en ‘hebben we een controleplan waarin alles jaarlijks wordt doorlopen?’
Privacy Specialist BV helpt organisaties in hun privacy en security uitdagingen. Vanuit ons ‘Duurzaam veilig’ aanpak helpen we om regie bij het MT en bestuur te krijgen, een sterk privacy & security team in de organisatie neer te zetten en betrokken medewerkers te creëren door een passende awarenesscampagne. Producten en diensten zijn onder andere:
- Reviews en audits
- Privacy en security beleid & ISMS, aangesloten op de planning & control cyclus
- Hybride PO/SO/FG
- Cyber securityplan
- Zwakhedentest
Benieuwd hoe we dit aanpakken? Plan dan nu hier vrijblijvend je adviesgesprek!
Bron: Privacy Specialist, Foto: Privacy Specialist
