Wat betekent GDPR voor jou?

In het algemeen, maar nog belangrijker voor een app!

In deze blog lichten wij kort de nieuwe privacyregelgeving toe die gaat gelden in alle lidstaten van de Europese Unie (EU). De regelgeving is er op gericht om de privacy van de burgers beter te bewaken. Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing.

Het gaat om een verordening. Deze is dus rechtstreeks van toepassing. En we eindigen in de blog met; Wat houdt de General Data Protection Regulation (GDPR) in voor jouw app.

Er zijn 7 belangrijke punten op het gebied van de GDPR, die wij door middel van deze blog kort toelichten.

 

1. Rechten van betrokkenen

De inwoners van Europese lidstaten krijgen steeds meer rechten! Ze hebben al recht op inzage, correctie en verwijdering van al hun eigen data gegevens. Het recht gaat nu uitgebreid worden met dataportabiliteit en het recht van vergetelheid.

Wat is het recht op dataportabiliteit? De inwoners hebben het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft in een toegankelijk formaat. Zo kunnen zij hun gegevens bijv. makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

Het recht van vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als diegene van wie de organisatie gegevens verwerkt erom vraagt.

 

2. Overzicht verwerkingen

Voor de verwerking van alle persoonsgegevens, is het aan te raden om een register op te stellen. Voor organisaties met meer dan 250 medewerkers en/of organisaties die gevoelige data verwerken zijn verplicht om een verwerkingsregister te maken en bij te houden. Een bedrijf kan een persoon in dienst nemen of een interne medewerker verantwoordelijk maken voor het aanleggen van een verwerkingsregister.

De medewerker die verantwoordelijk is voor het verwerkingsregister heet ook wel de verwerker. Het is belangrijk dat de verwerker een register aanlegt van onder andere alle persoonsgegevens, de verwerkingsdoeleinden en de derden met wie de gegevens zijn gedeeld. In dit register staat ook vastgelegd, wie toegang heeft tot welke informatie.

 

3. Data Protection Impact Assessment

Op grond van de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties een DPIA op te stellen als een verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Een DPIA is verplicht als er twee of meer criteria matchen uit onderstaande lijst:;

Beoordelen van mensen op basis van persoonskenmerken.

  • Geautomatiseerde beslissingen.
  • Stelselmatige en grootschalige monitoring.
  • Gevoelige gegevens (Zie lijst hierboven)
  • Grootschalige gegevensverwerkingen
  • Gekoppelde databases
  • Gegevens over kwetsbare personen
  • Gebruik van nieuwe technologieën
  • Blokkering van een recht, dienst of contract

 

4.Functionaris voor de gegevensbescherming (FG)

Vanaf 25 mei 2018 kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Organisaties hebben de mogelijkheid om zelf een FG toe te wijzen of aan te nemen voor de verwerking van de persoonsgegevens. De FG dient onafhankelijk zijn werkzaamheden te kunnen verrichten.

Bij Fish on Fire is er medewerker aangewezen als FG om zelf toezicht te houden over de verwerking van de persoonsgegevens.

De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de nieuwe regelgeving.

 

5. Meldplicht datalekken

Organisaties zijn verplicht om datalekken te rapporteren aan een toezichthouder (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. Alle datalekken dienen ook gedocumenteerd te worden, zodat er bewijs is dat de AVG wordt nageleefd.

 

6. Verwerkersovereenkomsten

Mocht een organisatie gebruik maken van een gegevensverwerker, dan zijn beide partijen verplicht om een aantal punten schriftelijk vast te leggen.

  • Algemene beschrijving
  • Instructies verwerking
  • Geheimhoudingsplicht
  • Beveiliging
  • Subverwerkers
  • Privacyrechten
  • Andere verplichtingen
  • Gegevens verwijderen
  • Audits

Meer informatie over deze overeenkomst vind je op de website van de Autoriteit Persoonsgegevens.

 

7. Toestemming

Bij verwerking van persoonsgegevens die is gebaseerd op toestemming van de betrokken personen is het voor een organisatie belangrijk om aan te kunnen tonen dat de betrokkenen daadwerkelijk toestemming hebben gegeven voor het verwerken van hun persoonsgegevens.

De toestemming dient ‘geïnformeerd’ en ‘specifiek’ te zijn gegeven, oftewel de organisatie dient aan te tonen op basis van welke informatie de betrokkenen de toestemming hebben verleend. Daarnaast moet het ook net zo makkelijk voor de betrokkenen zijn, om de eerder gegeven toestemming in te trekken.

 

GDPR blog app
GDPR voor jouw app, de nieuwe regelgeving persoonsgegevens. AVG, Algemene Verordening Gegevensbescherming

 

Wat betekent dit concreet voor een app?

Persoonsgegevens in de app

Indien een bedrijf persoonsgegevens verzamelt en gebruikt in een app, dan is het belangrijk om de betreffende persoon te informeren over welke gegevens er worden verzameld en de doeleinden daarvan. De persoonsgegevens waar de app gebruik van maakt, dienen in een machine leesbaar formaat beschikbaar te zijn. De desbetreffende persoon heeft het recht om zijn persoonsgegevens op te vragen.

Het is verplicht dat de persoon akkoord moet geven voor het gebruik van de persoonsgegevens door een duidelijke actie te ondernemen. Een automatische checkbox aanvinken is niet meer toegestaan. En intrekken van de rechten moet net zo gemakkelijk zijn als het verstrekken van de rechten. Voor een app betekent dit dat er functionaliteit beschikbaar moet zijn, waarbij de gebruiker een expliciete actie onderneemt.

Naast de expliciete actie moet het voor de gebruiker duidelijk zijn, waarvoor de persoonsgegevens worden gebruikt. Denk hierbij in een app bijvoorbeeld om de doeleinden te verwerken in de duidelijke en goed vindbare algemene voorwaarden.

In sommige apps wordt er gebruik gemaakt van een backend waarin persoonsgegevens worden opgeslagen. Hiervoor moeten aparte maatregelen worden getroffen.

Wij als Fish on Fire gaan dan ook alle huidige apps (indien van toepassing de backend) onderzoeken en bekijken of er aanpassingen nodig zijn om te kunnen voldoen aan de nieuwe wet- en regelgeving.

Datalekken

Bij datalekken meldt Fish on Fire dit aan de AP. Zoals de wetgeving voorschrijft registreert Fish on Fire de datalek melding in een logboek. Hiermee voldoet Fish on Fire aan de verplichtingen die de wet voorschrijft als het gaat om bewijslast voor datalekken.

* Deze blog is in samenwerking met advocatenbureau van Diepen & van der Kroef.

 

SCAN MIJN APP

NEEM VRIJBLIJVEND ADVIES OP.

Waarom Fish on Fire?

  • Kwalitatieve apps sinds 2008
  • Advies op maat voor het beste resultaat
  • Realiseert de behoeften
  • Ondersteunt het behalen van doelstellingen
  • Ontwikkelt met het oog op de toekomst
  • Stelt kwaliteit altijd boven kwantiteit

Vraag vrijblijvend een adviesgesprek aan of kom langs op de koffie. Bel ons direct op 020 303 9000.

Contact

020 - 303 9000