Avans Privacy

Aanleiding

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). De AVG gaat ervan uit dat je eigenaar bent van je eigen persoonsgegevens. De wet bevat artikelen die betrekking hebben op het veilig omgaan met die gegevens. Avans maakt vooral gebruik van persoonsgegevens van studenten en medewerkers. Omdat deze persoonsgegevens ‘eigendom’ zijn van anderen, moet ook Avans aan de AVG voldoen en kunnen aantonen dat ze maatregelen heeft getroffen om de privacy van betrokkenen te beschermen.

De AVG-cyclus

Persoonsgegevens worden verwerkt in processen en systemen. Omdat de persoonsgegevens eigendom zijn van anderen, mag je als organisatie alleen persoonsgegevens verwerken als dat rechtmatig is. Wat een handeling rechtmatig maakt, staat beschreven in de artikelen 5 tot en met 11 van de AVG. Als verantwoordelijke organisatie heb je de plicht om veilig met de persoonsgegevens om te gaan en passende beveiligingsmaatregelen te treffen.

Privacy Impact Assessment

Van de verantwoordelijke organisatie wordt verwacht dat zij de mogelijke privacyrisico’s in kaart brengt voordat ze aan een verwerking begint. Zodat ze tijdig maatregelen kan treffen. Het in kaart brengen van die privacyrisico’s kan met behulp van een PIA: een Privacy Impact Assessment. Soms is het uitvoeren van een PIA verplicht.

Meldplicht datalekken

Gaat er toch iets mis in de beveiliging van persoonsgegevens, dan wordt van de verantwoordelijke organisatie verwacht dat ze de betrokkenen informeert. Hiervoor is de meldplicht datalekken in de wet opgenomen. Ook wordt het van de organisatie verwacht dat ze de beveiliging verbetert.

Meer rechten

De betrokkenen krijgen onder de AVG meer en verbeterde privacyrechten. Zoals het recht op inzage, wijziging en verwijdering van gegevens. Maar ook het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. De betrokkenen ontvangen hun persoonsgegevens op een zodanige wijze dat zij deze mee kunnen nemen. Dat heet dataportabilteit.

Verwerkingsregister

Het hart van de wetgeving is het verwerkingsregister. Elke organisatie moet een actueel overzicht hebben van welke persoonsgegevens ze verwerkt. Pas als je weet welke gegevens je verwerkt en met welk doel, is het mogelijk om goed om te gaan met die persoonsgegevens.

Verwerkersovereenkomst

Laat je persoonsgegevens verwerken door een externe partij, dan ben je als organisatie nog steeds verantwoordelijk voor een juiste verwerking van die persoonsgegevens. Daarom ben je verplicht zaken vast te leggen in een verwerkersovereenkomst.

Toezicht en naleving

De overige artikelen van de wet hebben te maken met toezicht op de naleving van de wet. Ze gaat ervan uit dat de veiligheid van persoonsgegevens beter geborgd is als een verantwoordelijke organisatie zich aansluit bij gedragscodes of certificerende organen. Ook beschrijft de wet de Autoriteit Persoonsgegevens als externe toezichthouder, inclusief haar rechten en mogelijkheid tot sancties. Bovendien kan de wet een interne toezichthouder verplichten: de functionaris voor de gegevensbescherming (FG). Bij Avans is Paul Logtens aangesteld als FG.