Wat betekent GDPR voor jou?
In het algemeen, maar nog belangrijker: voor een app!
In deze blog lichten wij kort de nieuwe privacyregelgeving toe die gaat gelden in alle lidstaten van de Europese Unie (EU). De regelgeving is er op gericht om de privacy van de burgers beter te bewaken.
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) in het Engels, van toepassing. Deze verordening zal per die datum de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. De wet is van toepassing op iedere organisatie of onderneming, groot, klein en ook voor bijvoorbeeld ZZP’ers, die persoonsgegevens verwerkt.
Er zijn 7 belangrijke punten op het gebied van de GDPR, die wij door middel van deze blog kort toelichten. We eindigen in de blog met de vraag: Wat houdt de GDPR in voor jouw app?
1. Rechten van betrokkenen
De inwoners van de Europese lidstaten krijgen steeds meer rechten! Zo hebben ze al recht op inzage, correctie en verwijdering van al hun eigen data gegevens. De rechten gaan nu uitgebreid worden met dataportabiliteit en het recht van vergetelheid.
Wat is het recht op dataportabiliteit? De inwoners van de Europese lidstaten hebben het recht om in een toegankelijk formaat de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere organisatie van een zelfde soort dienst.
Het recht van vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als diegene van wie de organisatie gegevens verwerkt erom vraagt.
2. Overzicht verwerkingen
Voor de verwerking van alle persoonsgegevens, is het aan te raden om een register op te stellen. Organisaties met meer dan 250 medewerkers en/of organisaties die gevoelige data verwerken zijn verplicht om een verwerkingsregister te maken en bij te houden. Een bedrijf kan een persoon in dienst nemen of een interne medewerker verantwoordelijk maken voor het aanleggen van een verwerkingsregister.
De persoon die verantwoordelijk is voor het verwerkingsregister heet ook wel de verwerker. Het is belangrijk dat de verwerker een register aanlegt van onder andere alle persoonsgegevens, de verwerkingsdoeleinden en de derden met wie de gegevens zijn gedeeld. In dit register staat ook vastgelegd, wie toegang heeft tot welke informatie.
3. Data Protection Impact Assessment
Op grond van de AVG dienen organisaties een Data Protection Impact Assessment (DPIA) op te stellen als een verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA is verplicht als er twee of meer criteria matchen uit onderstaande lijst:
- Beoordelen van mensen op basis van persoonskenmerken;
- Geautomatiseerde beslissingen;
- Stelselmatige en grootschalige monitoring;
- Gevoelige gegevens;
- Grootschalige gegevensverwerkingen;
- Gekoppelde databases;
- Gegevens over kwetsbare personen;
- Gebruik van nieuwe technologieën;
- Blokkering van een recht, dienst of contract.
4. Functionaris voor de gegevensbescherming (FG)
Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Organisaties hebben de mogelijkheid om zelf een FG toe te wijzen of aan te nemen voor de verwerking van de persoonsgegevens. De FG dient onafhankelijk zijn werkzaamheden te kunnen verrichten.
Bij Fish on Fire is er een medewerker aangewezen als FG om zelf toezicht te houden over de verwerking van de persoonsgegevens.
De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de nieuwe regelgeving.
5. Meldplicht datalekken
Organisaties zijn verplicht om datalekken te rapporteren aan toezichthouder Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. Daarnaast dienen alle datalekken gedocumenteerd te worden, zodat er bewijs is dat de AVG wordt nageleefd.
6. Verwerkersovereenkomsten
Mocht een organisatie gebruik maken van een gegevensverwerker, dan zijn beide partijen verplicht om een aantal punten schriftelijk vast te leggen, zoals:
- Algemene beschrijving
- Instructies verwerking
- Geheimhoudingsplicht
- Beveiliging
- Subverwerkers
- Privacyrechten
- Andere verplichtingen
- Gegevens verwijderen
- Audits
Meer informatie over deze overeenkomst vind je op de website van de Autoriteit Persoonsgegevens.
7. Toestemming
Bij verwerking van persoonsgegevens die is gebaseerd op toestemming van de betrokken personen is het voor een organisatie belangrijk om aan te kunnen tonen dat de betrokkenen daadwerkelijk toestemming hebben gegeven voor het verwerken van hun persoonsgegevens.
De toestemming dient ‘geïnformeerd’ en ‘specifiek’ te zijn gegeven, oftewel de organisatie dient aan te tonen op basis van welke informatie de betrokkenen de toestemming hebben verleend. Daarnaast moet het ook net zo makkelijk voor de betrokkenen zijn, om de eerder gegeven toestemming in te trekken.
Wat betekent dit concreet voor een app?
Persoonsgegevens in de app
Indien een organisatie persoonsgegevens verzamelt en gebruikt in een app, dan is het belangrijk om de betreffende gebruiker te informeren over welke gegevens er worden verzameld en de doeleinden daarvan. De persoonsgegevens waar de app gebruik van maakt, dienen in een machine leesbaar formaat beschikbaar te zijn. De desbetreffende gebruiker heeft het recht om zijn persoonsgegevens op te vragen.
Het is verplicht dat de gebruiker akkoord geeft voor het gebruik van de persoonsgegevens door een duidelijke actie te ondernemen. Een automatische checkbox aanvinken is niet meer toegestaan. Daarnaast moet het intrekken van de rechten net zo gemakkelijk gaan als het verstrekken van de rechten. Voor een app betekent dit dat er functionaliteit beschikbaar moet zijn, waarbij de gebruiker een expliciete actie onderneemt.
Naast de expliciete actie moet het voor de gebruiker duidelijk zijn, waarvoor de persoonsgegevens worden gebruikt. Denk er hierbij in een app bijvoorbeeld aan om de doeleinden te verwerken in de duidelijke en goed vindbare algemene voorwaarden.
In sommige apps wordt er gebruik gemaakt van een backend waarin persoonsgegevens worden opgeslagen. Hiervoor moeten aparte maatregelen worden getroffen.
Wij als Fish on Fire gaan alle huidige apps (indien van toepassing de backend) onderzoeken en bekijken of er aanpassingen nodig zijn om te kunnen voldoen aan de nieuwe wet- en regelgeving.
Datalekken
Mocht Fish on Fire te maken krijgen met een datalek dan zal zij dit melden aan de AP. Zoals de wetgeving voorschrijft registreert Fish on Fire de datalek melding in een logboek. Hiermee voldoet Fish on Fire aan de verplichtingen die de wet voorschrijft als het gaat om bewijslast voor datalekken.
*Deze blog is opgesteld in samenwerking met Van Diepen Van der Kroef Advocaten, contactpersoon Frances Eikenhorst.
