Wat je nog niet wist over de AVG

Wat je nog niet wist over de AVG

Nu ik me verdiep in de AVG kom ik af en toe onverwachte informatie tegen. Dingen die handig zijn om te weten, maar die meestal niet als eerste verteld worden. En dat is jammer want bewustwording is een belangrijk onderdeel van de nieuwe privacywet.

Daarom heb ik wat zaken voor je op een rijtje gezet.

Je schoenmaat een persoonsgegeven?

Iedereen begrijpt wel dat naam, adres en (persoonlijk) telefoonnummer persoonsgegevens zijn. Maar hoe zit dat met zaken als je schoenmaat of kenteken? Of iets een persoonsgegeven is, hangt in veel gevallen af van de context.

Zo is een kenteken van een auto in principe geen persoonsgegeven. Maar het is wel een persoonsgegeven voor de medewerkers van het garagebedrijf waar deze auto in onderhoud is. Een schoenmaat is ook geen persoonsgegeven, totdat het vermeld staat in je profiel bij een online schoenenwinkel.

Een persoonsgegeven heeft altijd betrekking op een identificeerbaar en natuurlijk persoon. Persoonsgegevens van overleden personen vallen niet onder de AVG. Hier is een andere wet van toepassing. (Artikel 6:162 Burgerlijk Wetboek)

Bijzondere persoonsgegevens

Behalve gewone persoonsgegevens, zijn er ook bijzondere persoonsgegevens. Hiervan is besloten dat deze extra beschermd moeten worden. Denk aan medische gegevens, geaardheid, geloofsovertuiging, politieke overtuiging, ras en lidmaatschap van een vakvereniging (vakbond).

Maar ook een foto is een bijzonder persoonsgegeven. Waarom? Omdat je van een foto de etnische afkomst, oftewel het ras van een persoon kan herleiden. En je BSN (burgerservicenummer) is ook een bijzonder gegeven omdat deze makkelijk gebruikt kan worden voor identiteitsfraude.

De namen in het ledenbestand van een kerk of moskee zijn ook bijzondere persoonsgegevens. Omdat het bestand eigendom is van een geloofsgenootschap, kun je hieruit opmaken wat de geloofsovertuiging is van een persoon.

En dat geldt ook voor politieke partijen en vakbonden. Gelukkig is voor dit soort organisaties in de AVG een uitzondering gemaakt waardoor het wel is toegestaan om de gegevens te verwerken.

Een datalek zit in een klein hoekje

Bij een datalek denk je al snel aan koffertjes van juristen die in verkeerde handen vallen of vertrouwelijke documenten die bij het vuilnis worden gezet. En natuurlijk die nieuwsberichten die je leest als er een grote bank of overheidsinstelling gehackt is.

Maar het is ook een datalek, wanneer jij vanuit je organisatie een e-mail naar een groep mensen stuurt en de e-mailadressen voor iedereen zichtbaar zijn. Dat had ik een tijdje terug zelf, toen ik een e-mail kreeg van de school van mijn dochter. Alle e-mailadressen van andere ouders kon ik zien.

En wat dacht je van een computer waar je even bij wegloopt om koffie te halen, terwijl er ook anderen (lees: onbevoegden) in de ruimte zijn. Of je mobiele telefoon die gestolen wordt en waar de foto’s van die leuke activiteit op staan.

Dat zijn zaken waar je vanuit de AVG flinke boetes voor kunt krijgen.

Je deelt gegevens met meer bedrijven dan je denkt

Wie gebruikt niet Google Drive, Dropbox of een andere plek om foto’s en bestanden online op te slaan? Goedkoop en zó handig.

Vanaf 25 mei wordt dat wel een probleem. In de AVG staat dat je met andere partijen een verwerkersovereenkomst moet afsluiten. In deze overeenkomst spreek je af dat ook deze partijen zorgvuldig en volgens de wet met de persoonsgegevens omgaan.

De AVG is een Europese wet, maar bedrijven over de hele wereld krijgen hiermee te maken zodra ze zaken doen met Europese organisaties. Dus op het moment dat jij als organisatie een zakelijke afspraak maakt, moeten ook grote bedrijven zoals Google een verwerkersovereenkomst aanbieden.

Het probleem met gratis diensten

Het knelpunt zit bij de gratis diensten zoals Google Drive. Deze zijn namelijk alleen bedoeld voor persoonlijk gebruik. Jij mag dat gratis gebruiken voor je persoonlijke bestanden. En daar is de AVG helemaal niet van toepassing.

Het is dan ook niet mogelijk om bij gratis gebruik een verwerkersovereenkomst af te sluiten. Dat wij deze diensten zijn gaan gebruiken voor ‘zakelijke’ doeleinden, daar heeft Google geen boodschap aan.

Hetzelfde geldt voor WeTransfer (om grote bestanden te verzenden), Dropbox en nog veel meer van dat soort handige programma’s.

En tot slot je eigen e-mail

Een ander punt waar niet iedereen bij stilstaat, is je eigen e-mail. Je postbakje dat vol zit met mailtjes van járen. Handig voor als je iets terug wilt zoeken.

Dat mag straks niet meer, dus het is tijd voor een grote opruimactie.

En ga alvast bedenken wat je vanaf nu als bewaartermijn gaat hanteren. Daar zijn namelijk geen voorgeschreven richtlijnen voor, maar je moet straks wel kunnen verantwoorden waarom je een bepaalde bewaartermijn hanteert.

Weet jij meer opvallende aanvullingen over de AVG? Deel ze in een reactie hieronder.

Cursus AVG in de Praktijk

Je bent niet de enige die het duizelt. Veel organisaties zijn met de AVG bezig en het is moeilijk om door de bomen het bos te zien. Want wat betekent de AVG nou echt voor jouw organisatie? Wat moet je precies doen en hoe?

Speciaal voor kleine stichtingen en non-profits heb ik een online cursus gemaakt waarin ik zo kort en eenvoudig mogelijk uitleg wat de AVG is en waar je aan moet voldoen. En daarna ga je stap voor stap zelf aan de gang. Met voorbeelden uit mijn eigen situatie en werkdocumenten die je kunt invullen.

Het blijft een flinke klus, daar kan ik niets aan veranderen. Wel kan ik je met deze cursus aan de hand meenemen langs alle stappen die je moet zetten.

De hele maand april kun je de cursus bestellen tegen een verlaagd tarief van € 79 in plaats van € 115.

Klik op de knop hieronder om alles te lezen over de online cursus.

De afbeelding bij dit artikel is van Sam Manns via Unsplash
2 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *