AVG begrippenlijst

In deze begrippenlijst worden een aantal termen over de AVG verder toegelicht.

Datalek

Bij een datalek (‘inbreuk op persoonsgegevens’) hebben anderen onrechtmatig toegang tot persoonsgegevens of zijn gegevens (mogelijk) onbedoeld vernietigd of gemuteerd, of is dit redelijkerwijs niet uit te sluiten. Organisaties zijn verplicht het direct te melden bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Soms moeten zij het datalek melden aan de mensen van wie de persoonsgegevens zijn gelekt. Voorbeelden van datalekken zijn:

  • het verlies van een niet-beveiligde USB met daarop een lijst met huurachterstanden van een groep huurders
  • bezoekers van een ‘MijnCorporatie’-omgeving kunnen persoonsgegevens van anderen inzien
  • een e-mail met persoonsgegevens is naar een verkeerde ontvanger gestuurd.

Niet elk datalek hoeft gemeld te worden. Alleen datalekken die leiden tot of een aanzienlijke kans hebben op een risico voor de rechten en vrijheden van betrokkenen. Als dit risico hoog wordt ingeschat, is het ook noodzakelijk dat dit gemeld wordt aan diegene waarvan de persoonsgegevens zijn gelekt.

Functionaris gegevensbescherming

De functionaris voor de gegevensbescherming (FG) is een (interne) onafhankelijke toezichthouder die toeziet op de naleving van de privacyverordening binnen de organisatie. Meer specifiek betekent dit toezicht houden op en adviseren over verplichtingen die volgen uit de privacyverordening. In een aantal gevallen zijn organisaties verplicht tot het aanstellen van een functionaris gegevensbescherming. Dit geldt met name voor overheidsinstellingen of voor organisaties die vanuit hun kernactiviteiten:

  • op grote schaal bijzondere persoonsgegevens verwerken
  • op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen en cameratoezicht.

Organisaties kunnen er sowieso voor kiezen om vrijwillig een functionaris gegevensbescherming aan te stellen. De functionaris gegevensbescherming dient aangemeld te worden bij de Autoriteit Persoonsgegevens (AP). Organisaties zullen naast de functionaris gegevensbescherming ook andere rollen moeten inzetten om aan privacy te werken. Voorbeelden hiervan zijn een privacy-officer en een projectleider privacy.

Klantrechten

Een betrokkene kan vragen om inzage in de door de corporatie opgeslagen gegevens over deze persoon. En in sommige gevallen heeft hij of zij recht op correctie en recht op verwijdering. Eigen notities die geen onderdeel zijn van het dossier, hoeven niet altijd ter inzage aangeboden te worden.

Privacystatement

Een privacystatement is bedoeld om betrokkenen te informeren over welke persoonsgegevens een organisatie verwerkt en op welke manier dat gebeurt. Het statement moet in ieder geval eenvoudig toegankelijk zijn en dient in begrijpelijke en eenvoudige taal geschreven te zijn. Enkele verplichte onderdelen zijn: welke categorieën persoonsgegevens verwerkt worden (inclusief de doelen en grondslagen), of gegevens worden gedeeld en met wie, hoe lang gegevens worden bewaard en hoe betrokkenen gebruik kunnen maken van hun rechten.

Verwerkersovereenkomst

De organisatie die persoonsgegevens verwerkt en daarbij doel en middelen van die verwerking bepaalt, wordt gezien als verantwoordelijke. Woningcorporaties zijn vaak verantwoordelijke als het gaat om de verwerking van huurdersgegevens. Soms besluiten woningcorporaties omwille van de uitvoering van hun taken of om andere redenen, om gegevens met derden te delen. Als gegevens met derden worden gedeeld, is het goed om afspraken te maken over hoe om te gaan met deze gegevens en de bescherming daarvan. Dit moet in een aantal gevallen via een verwerkersovereenkomst. In zo’n verwerkersovereenkomst staan wederzijdse afspraken en verantwoordelijkheden over deze gegevens. Let op: niet in alle gevallen is een verwerkersovereenkomst noodzakelijk.

Verwerkingenregister

Het inrichten en bijhouden van een register van verwerkingsactiviteiten. Een organisatie die persoonsgegevens verwerkt, moet een volledige lijst bijhouden van alle categorieën van persoonsgegevens die worden verwerkt, alle categorieën van betrokkenen en alle verwerkingsactiviteiten. Daarnaast moet de organisatie onder andere aangeven wat de verwerkingsdoeleinden en grondslagen zijn, wie de persoonsgegevens nog meer ontvangen en voor hoelang deze gegevens bewaard worden.