AVG staat voor Algemene Verordening Gegevensbescherming. In de hele Europese Unie geldt door de AVG dezelfde privacywetgeving. De AVG heeft bijvoorbeeld gezorgd voor de versterking en uitbreiding van privacy rechten en meer verantwoordelijkheden voor organisaties. De Europese Privacy toezichthouders hebben de mogelijkheid gekregen om boetes op te leggen. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens (AP). Op de website van de AP lees je meer over de AVG.
Er is een toename van cybercriminaliteit, door te voldoen aan de AVG kun je een hoop leed voorkomen. Voldoe je niet aan de AVG dan riskeer je een forse boete, daarnaast kom je negatief in het nieuws en dat is ook nog eens schadelijk voor je reputatie! Hoe het mis kan gaan én wat je er aan kunt doen lees je hier.
Gehackt = Datalek
Transavia kreeg in 2021 een boete van 400.000 euro, omdat zij gehackt was en de hacker gebruik kon maken van persoonsgegevens van klanten en werknemers. Zo’n hack is een datalek, dat moet worden gemeld aan de AP en aan de klanten en werknemers om wie het gaat. Om die melding te kunnen doen is een datalekprotocol nodig, dan weet iedereen wat te doen ingeval van een datalek.
Tegen betaling verstrekken van persoonsgegevens
De tennisbond (KNLTB) kreeg in 2019 een boete van 525.000 euro. Persoonsgegevens van leden waren tegen betaling verstrekt aan sponsors voor marketingactiviteiten, terwijl ze daarvoor niet waren bedoeld. De persoonsgegevens waren verstrekt voor de ledenadministratie, niet voor extra inkomsten voor de tennisbond. In een register voor de verwerkingen hou je bij van wie en met welk doel je persoonsgegevens verwerkt. Daarmee voldoe je aan het vereiste van rechtmatige, behoorlijke en transparante verwerking. Zo voorkom je ook dat gegevens voor een ander doel gebruikt worden.
Onvoldoende beveiliging
In 2020 had de GGD een groot data-lek. In verband met testen op COVID-19 was veel extra personeel nodig, onder andere voor callcenters. De IT-systemen die bedoeld waren voor inzage door GGD-artsen, werden toegankelijk gemaakt voor callcenter medewerkers. Die konden zo gegevens uitwisselen, maar ook testuitslagen van vrienden en familie inzien, of de privé-gegevens van bekende Nederlanders. Persoonsgegevens werden gestolen en verkocht, met het risico op o.a. identiteitsfraude en oplichting. Om die reden moet je passende technische en organisatorische maatregelen treffen om verlies of diefstal tegen te gaan.
Niet versleuteld versturen van persoonsgegevens
Een orthodontiepraktijk kreeg in 2021 een boete van 12.000 euro, omdat patiëntgegevens niet voldoende waren beveiligd. De formulieren op de website waarop patiënten hun persoonsgegevens invulden werden niet versleuteld verstuurd. Dat maakte het gemakkelijk voor cybercriminelen om die gegevens te onderscheppen. Persoonsgegevens moeten op grond van de AVG zorgvuldig worden verwerkt. Ze moeten voldoende beveiligd zijn en goede beveiliging van je IT-systemen is van belang.
Waar moet je aan voldoen volgens de AVG?
- Zorg voor een datalekprotocol;
- Stel een register voor gegevensverwerking op;
- Maak beleid hoe lang je persoonsgegevens bewaart;
- Neem organisatorische en technische maatregelen om verlies of diefstal tegen te gaan;
- Bespreek met de ICT afdeling of je IT-systemen voldoende beveiligd zijn;
- Sluit verwerkersovereenkomsten met derden die in jouw opdracht gegevens verwerken;
- Werk je personeelshandboek bij en zorg voor een privacyverklaring op je website.
Wil je meer weten of heb jij hulp nodig bij het opstellen van een privacyverklaring, verwerkings-register of datalekprotocol, neem dan contact op met Fleur van Tol via FleurvanTol@JAN.nl of 088-2202238.
