Bescherming persoonsgegevens met de AVG

Cybercrime, dichterbij dan je denkt!

Deel 2, bescherming persoonsgegevens met de AVG

In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), de opvolger van de Wet bescherming Persoonsgegevens, van kracht geworden. In deze verordening zijn de rechten van personen, met betrekking tot (geautomatiseerde) verwerking van persoonsgegevens, vastgelegd. In het kort komt het erop neer dat je niet zomaar gegevens van personen mag vastleggen of verwerken zonder een nader omschreven (legitiem) doel en (schriftelijke) toestemming te hebben van de betrokken personen om dit te doen. De Autoriteit Persoonsgegevens (AP) is de instantie die er op toeziet dat dit volgens de regels van de AVG gebeurt.


Hoe ga je om met persoonsgegevens?
Als NVRA juristen hebben we allemaal te maken met (gevoelige) persoonsgegevens. Omdat wij vaak gebruiker c.q. verwerker zijn moeten deze gegevens beschermd worden tegen inbreuk of misbruik (meer informatie hierover in artikel 1 van vorige week De ins en outs van cybersecurity). De vraag is welke gegevens je mag of moet vragen en welke je niet moet opslaan of verwerken. Eén en ander hangt uiteraard af van het doel waarvoor je deze gegevens nodig hebt. Om het kort te stellen moet je niet méér gegevens verwerken dan nodig voor het doel waarvoor je deze nodig hebt of waarvoor je toestemming hebt verkregen. De AP (Autoriteit Persoonsgegevens) is de laatste tijd daadwerkelijk overgegaan tot het uitdelen van boetes, die hoog kunnen oplopen.

Zoals al opgemerkt hebben wij voor onze werkzaamheden (vertrouwelijke) gegevens nodig van onze cliënten. Deze gegevens worden, gevraagd of ongevraagd, aan ons verstrekt. Nadat de werkzaamheden zijn afgerond, dien je de vraag te stellen of je de gegevens nog moet of mag bewaren. Sommige gegevens moeten (op wettelijke gronden) worden bewaard, andere kun je verwijderen. De AP geeft het advies om na twee jaar niet noodzakelijke gegevens te verwijderen, maar dit is geen wettelijke plicht. (Wanneer je hieraan gevolg geeft, denk dan ook aan je back-ups. Ook daar moet je deze gegevens verwijderen.) Als een cliënt op grond van de AVG vraagt de gegevens te wijzigen, aan te passen, te verwijderen of in te zien, dien je daaraan gevolg te geven of uit te leggen waarom je dat niet doet. Als er een klacht is op grond van de AVG moet de klager altijd eerst de gebruiker/verwerker daarvan op de hoogte stellen en hem de gelegenheid geven dit op te lossen. Pas als dit geen resultaat heeft kan de klager een klacht indienen bij de AP.

Beveiliging persoonsgegevens
Gegevens dienen op een veilige en betrouwbare wijze te worden opgeslagen en tegen inbreuken en misbruik te worden beveiligd. Hiervoor zijn verschillende methodes beschikbaar waarbij een gecodeerde, of met wachtwoord beveiligde, opslag wordt aanbevolen. De makkelijkste manier is in ieder geval je apparaat te voorzien van een (sterk) wachtwoord dat ook werkt als je het apparaat niet gebruikt voor een korte tijd. Dit geldt ook voor je mobiel en tablet.

Geadviseerd wordt een lang wachtwoord met hoofdletters, cijfers en tekens te gebruiken en elk half jaar de wachtwoorden te wijzigen. Gebruik je je mobiele telefoon ook voor zakelijke e-mail en/of opslag? Bedenk je dan dat al deze gegevens makkelijk te hacken zijn. Voor apparaten die je extern gebruikt raadt men een (betaalde) VPN-verbinding aan (Virtual Private Network). Zeker als je die op een open wifi netwerk gebruikt. Deze zijn notoir onveilig.

Wat te doen bij een cyberaanval?
Indien er een inbreuk/cyberaanval is geconstateerd dan dien je onmiddellijk actie te ondernemen. Allereerst moet je de inbreuk onderzoeken en oplossen voor zover dat mogelijk is. Ten tweede dien je te kijken wat voor inbreuk het is. Is er gevoelige data gelekt dan dien je daarvan verplicht melding te doen bij de AP en bij de cliënten die getroffen zijn. Geef aan wat voor soort inbreuk het is, wat de gevolgen (kunnen) zijn en welke maatregelen er getroffen zijn of door de cliënten genomen moeten worden. (Denk hierbij ook aan een verloren/gestolen apparaat, usb-sticks en dergelijke.) Tip: sommige apparaten zijn op afstand te vergrendelen of te wissen.

Het volgende artikel, dat verschijnt op 28 januari gaat in op het borgen van je privacy.

Lees hier het eerste artikel, voorafgaand aan dit artikel.

Gérard Koopal