Wegwijs in het woud van afkortingen en termen van GDPR en AVG

Blog
01 Dec 2017
woud avg blog 350x250

Op alle mogelijke manieren bereiken ons de termen GDPR en AVG. Via email, blogs, webinars en op events wordt ons continu op het hart gedrukt dat we op 25 mei 2018 compliant moeten zijn. Waar hebben we het over en wordt de soep daadwerkelijk zo heet gegeten als dat zij wordt opgediend?

In mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze Europese privacyverordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. De internationale naam voor de verordening is General Data Protection Regulation (GDPR). Ondanks dat organisaties als sinds mei 2016 bezig kunnen zijn om hun bedrijfsvoering in overeenstemming te brengen met de nieuwe wetgeving, is het in de praktijk pas hot geworden sinds de late lente van 2017.

 

Er zijn al vele blogs en artikelen geschreven over alle stappen die we als organisatie dienen te nemen voor deze datum. Veel van deze onderdelen zouden onder de huidige wetgeving al in orde moeten zijn. Een grote aanjager om nu wel in overeenstemming met de verordening te handelen zijn de hoge boetes die opgelegd kunnen worden.

We kunnen de werkzaamheden die we uitvoeren om te voldoen aan de AVG voor veel organisaties omschrijven als broodnodige stappen om niet alleen te voldoen aan de nieuwe wetgeving, maar ook schoon schip te maken ten aanzien van de huidige wetgeving. In de eerste blog uit onze reeks voor GDPR ligt de focus op de terminologie, in onze volgende blogs gaan we verder in op de betekenis hiervan voor organisaties.

Termen en afkortingen
Voor we op weg gaan is het echter van belang om de termen en afkortingen die gebruikt worden nader onder de loep te nemen. Veel van de termen bestaan al langer, maar komen nu pas aan het licht. Daarnaast worden verschillende termen gebruikt in het Engels en Nederlands.

Personally Identifiable Information (PII) / Persoonsgegevens zijn gegevens die direct of indirect informatie verschaffen over een persoon, waarbij de persoon direct of indirect identificeerbaar is. Bijvoorbeeld de volledige naam van een persoon kan direct een persoon identificeren, zeker indien de naam van de persoon uniek is. Ook een foto of een emailadres kunnen direct of indirect een persoon identificeren.

Data Protection Officer (DPO) / Functionaris voor de Gegevensbescherming (FG) is een interne toezichthouder op de verwerking van de persoonsgegevens. Dit is altijd een onafhankelijke natuurlijk persoon en mag zelf geen verantwoordelijke zijn voor de gegevensverwerking. Niet iedere organisatie heeft een FG nodig en een FG kan ook gedeeld worden door meerdere organisaties of vanaf extern betrokken worden.

Privacy by Design betekent letterlijk “gegevensbescherming door ontwerp”. Zowel op organisatorisch als technisch gebied dient een zorgvuldige omgang met persoonsgegevens te worden afgedwongen. Onderdeel hiervan is data-minimalisatie, waarbij er wordt geborgd dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk. Bij het ontwikkelen van een nieuwe applicatie houdt dit in dat je er rekening mee houdt dat alleen de persoonsgegevens kunnen worden vastgelegd die voor dit proces benodigd zijn.

Privacy by Default is een onderdeel van privacy by design en vereist dat de standaardinstellingen van een applicatie altijd zo privacy vriendelijk mogelijk zijn. Verlies hierbij niet de gebruiksvriendelijkheid uit het oog, want het één kan eenvoudig ten koste gaan van het ander. Een goede mix, met aandacht voor zowel privacy als gebruiksgemak, helpen om een goede applicatie te ontwikkelen.

Privacy Impact Assessment (PIA) / Privacy Effect Beoordeling is een instrument waarmee organisaties vooraf aan de implementatie van (aanpassingen aan) een applicatie de privacy risico’s in kaart kunnen brengen. De PIA is tevens een toets om aan te tonen dat de persoonsgegevens verwerkt worden op basis van geldige grondslagen.

Data Protection Impact Assessment (DPIA) Gegevensbeschermingseffectbeoordeling is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA hoeft niet voor elke gegevensverwerking te worden uitgevoerd, maar is onder de nieuwe wetgeving alleen verplicht als de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.

Bovenstaande lezende komt de vraag boven of een PIA en een DPIA niet hetzelfde zijn. Hierover zijn in de praktijk de meningen verdeeld. Over het algemeen worden beide echter over één kam geschoren en wordt het aanbevolen om een PIA uit te voeren alvorens je start met de daadwerkelijke ontwikkeling van je applicatie.

Wilt u meer weten over de impact van AVG in een business-to-business omgeving? Lees dan onze volgende blog.

-- Dit blog is geschreven door Max Verbong --