0297 - 38 52 55
0297 - 38 52 55
info@solidq.nl


De AVG in tien stappen: deel vier

12 februari 2018

Jouw bedrijf verwerkt persoonsgegevens. Welke en waarom heb je inmiddels in kaart gebracht. Elke verwerking van data brengt risico met zich mee. Risico dat gepaard gaat met het onvrijwillig verspreiden van deze data. Wat is de impact daarvan? Wat kun je hier zelf aan doen? Welke maatregelen moet je nemen?

Stap 4: Risico in kaart brengen
Brussel heeft een welsprekende term en ditto afkorting hierbij bedacht: Data Protection Impact Assessment, oftewel DPIA. Je bent straks als bedrijf verplicht om goed na te denken over het type gegevens dat je gaat verwerken. De relatie ervan met privacy en het risico dat hiermee gepaard gaat. Al dat nadenkwerk vat je samen in een document dat je goed bewaart. Inderdaad, de Autoriteit Persoonsgegevens kan hierom vragen en dan ben je verplicht dit op te leveren. Het is dus verstandig als je het al hebt klaarstaan.

Hoge privacyrisico’s
Je mag ervan uitgaan dat, wanneer je persoonsgegevens verwerkt, deze een hoog privacyrisico met zich meebrengen. Zodra je dit benoemt dan moet je direct door met het benoemen van maatregelen die je gaat nemen om dit risico te beperken. Hoe pak je dit aan? De verwerking uitsluitend door aangewezen personeelsleden  laten uitvoeren? Opslag op een aparte, anders en beter beveiligde server? Iets anders? Kom je er niet uit dan mag, nee, moet je vooraf overleggen met de Autoriteit Persoonsgegevens. Voorafgaande raadpleging noemen ze dat.

Wanneer een DPIA
Waarschijnlijk is het erg kort door de bocht om hier te zeggen dat dit onderzoek eigenlijk altijd verplicht is. Het scheelt niet veel, neem dus als vuistregel dat je dit onderzoek moet doen zodra je persoonsgegevens gaat verwerken. Helemaal precies? Goed dan, kijk naar dit lijstje:

  • Profiling: je gebruikt bepaalde kenmerken van personen. Kredietwaardigheid bijvoorbeeld of gegevens over de algehele gezondheid van een persoon.
  • Automatisch beslissen: jouw systemen zijn zo ingericht dat een automatisch besluit tot rechtsgevolgen, uitsluiting of zelfs discriminatie kan leiden.
  • Monitoring: cameratoezicht bijvoorbeeld. Het gaat over openbaar toegankelijke ruimten waar je gegevens verzamelt over de bezoekers hiervan.
  • Gevoelige data: hier hebben we het al meer over gehad. Politieke voorkeur, godsdienst of een strafblad vallen hieronder. Heel interessant om te weten voor sommige bedrijven.
  • Grootschalige gegevensverwerking: al is er geen duidelijke definitie, de naam zegt eigenlijk al voldoende. Persoonsgegevens in het kwadraat verwerken? Dan zet je hier een vinkje.
  • Databases koppelen: commercieel interessant. Analyse is een groeiende trend om zo tot kopers persona te komen.
  • Kwetsbare personen: werknemers, kinderen of patiënten. Om er maar een paar te noemen. Het betreft personen die zich geremd voelen om zelf te protesteren tegen het verwerken van de persoonsgegevens.
  • Nieuwe technologie: ben jij de eerste die de sensor in iemands koelkast wilt uitlezen en daar wat mee gaat doen? Dan hoort bij dit item een vinkje. Dit soort verwerking kan namelijk een grote impact hebben op het dagelijks leven en de privacy van mensen.
  • Blokkering: het betreft hier verwerkingen die tot gevolg kunnen hebben dat de betrokkene iets niet kan.

Veel vinkjes gezet? Dan is de DPIA verplicht. Vanaf twee vinkjes, om precies te zijn. En regelgeving zou niet echt zijn als er nog wat uitzonderingen zijn, zowel om het wel en om het niet te moeten of hoeven doen. Dat gaat echter te ver voor deze blog. Toch even over praten? Bel ons dan gewoon of kom langs met stroopwafels.

Op naar stap vijf
Nog even volhouden, we zijn bijna op de helft! Volgende blog meer over het inbrengen van privacymaatregelen in uw ontwerp.


Bel: 0297 - 38 52 55
Of laat ons contact met u opnemen
Enkele gegevens ontbreken of zijn onjuist