Blogs - In het kader van de AVG: welke (onnodige) gegevens vraagt u uw bezoekers?

14-11-2017 10:17:04

Op 25 mei 2018 gaat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht en worden bedrijven verplicht nog zorgvuldiger om te gaan met persoonlijke gegevens. Het is daarom belangrijk om binnen uw organisatie zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Maar waar moet u beginnen? Om u een handje op weg te helpen, geef ik u aan de hand van enkele privacy by design-principes, handvatten om weer een stapje dichter bij compliancy en dus meer online privacy te komen.

Wees transparant

Allereerst is het belangrijk dat u altijd transparant en doelgericht communiceert waarom u om bepaalde persoonsgegevens vraagt in een webformulier. Het is dan ook strikt verboden om de gegevens voor andere doeleinden te gebruiken dan die u benoemt. Tevens is het belangrijk dat u in begrijpelijke taal communiceert. Zorg er dus voor dat de betrokkene, van wie u persoonsgegevens verzamelt, niet drie keer dezelfde zin moet lezen voordat hij begrijpt waar hij mee akkoord gaat. Dit betekent bijvoorbeeld ook dat er geen
dubbele ontkenningen in zo’n zin mogen staan: ‘Ik ga niet akkoord met het niet delen van gegevens met partijen die niet in het lijstje staan.’

Dataminimalisatie

Een belangrijk onderdeel van het Privacy by Design Framework is dataminimalisatie. Dit houdt in dat u niet méér persoonsgegevens verwerkt dan strikt noodzakelijk voor het doel van de verwerking. Denk bijvoorbeeld aan een contactformulier op uw website. Vraagt u ook naar het privéadres? Vraag uzelf dan af of dit wel echt noodzakelijk is. Gaat u de persoon in kwestie ook per post benaderen? Zo niet, dan is dit volgens de regels van de AVG verboden te vragen. De achterliggende gedachte van dataminimalisatie is dat u alleen informatie verwerkt die ook daadwerkelijk nodig is om uw doel te kunnen bereiken.

Data pseudonimiseren

Heeft u gegevens toch nodig? Dan is het belangrijk om deze zo snel mogelijk te pseudonimiseren. Dit betekent dat persoonsgegevens worden versleuteld, zodat een betrokkene (degenen van wie persoonsgegevens worden verwerkt) niet meer rechtstreeks identificeerbaar is, maar nog wel individualiseerbaar. Hierbij is het belangrijk dat gegevens versleuteld worden opgeslagen door middel van encryptie.

Dataportabiliteit

De betrokkene waarvan gegevens worden verwerkt heeft een aantal rechten, zoals recht op inzage en recht op overdracht. Dit betekent dat de betrokkene de persoonsgegevens moet kunnen ontvangen die een organisatie van hem heeft. Om hieraan te kunnen voldoen is het belangrijk om na te denken over hoe de data snel en eenvoudig overdraagbaar wordt. Zoals in het vorige punt aangegeven moet data versleuteld worden, maar dus ook weer ontsleuteld kunnen worden. De data moet namelijk in een format aangeboden worden waarmee anderen aan de slag kunnen.

Daarnaast kan de betrokkene verzoeken dat de persoonsgegevens worden overgedragen aan een andere aanbieder. Bijvoorbeeld als ze willen overstappen naar een andere telecomprovider. En ook hier geldt dat de data direct bruikbaar moet zijn voor de derde partij.

Data bewaren en verwijderen

Tot slot is het bewaren van persoonsgegevens slechts toegestaan voor zover dit noodzakelijk is voor de verwerkelijking van het doel waarmee deze worden verzameld of verwerkt. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen. Is het doel waarvoor de persoonsgegevens zijn verwerkt niet meer aanwezig, dan dienen deze te worden verwijderd. Om het verwijderen van data soepel te laten verlopen, is het goed om systemen in te bouwen die ervoor zorgen dat gegevens automatisch worden verwijderd.

Ook heeft de betrokkene nog een ander recht, namelijk recht op vergetelheid. Wanneer betrokkene hier aanspraak op doet, dienen de persoonsgegevens uit alle systemen verwijderd te worden. Hierbij is het belangrijk om na te gaan dat de data daadwerkelijk overal gewist wordt. Er zijn mogelijk kopieën vanuit de database gemaakt en daarnaast dienen de gegevens ook uit back-ups gewist te worden.

De tijd dringt

U heeft nog slechts een half jaar om aan de slag te gaan en uw organisatie klaar te stomen voor de AVG. Mijn advies is om u goed te verdiepen in de technische en organisatorische maatregelen die u dient te treffen. Denk bijvoorbeeld na over hoe systemen moeten worden ingericht om aan alle eisen te voldoen en hoe deze goed zijn te monitoren. Bij het opzetten van systemen is het belangrijk dat u te allen tijde vertrouwelijkheid, integriteit en beschikbaarheid garandeert. Privacy staat immers voorop. Kortom, vraag alleen de informatie die u daadwerkelijk nodig heeft. Zo voorkomt u een hoop ellende.


Door: Wido Potters

Deel deze pagina op

Meer artikelen: