Jullie veelgestelde vragen over de AVG

In de aanloop naar de ingang van de algemene verordening gegevensbescherming (AVG) hebben we een serie aan webinars uitgevoerd die verschillende aspecten van de Verordening aanstipt. Aan het einde van elke webinar beantwoordt onze presentator jullie vragen, en gezien het feit dat dezelfde vragen vaak gesteld worden, leek het ons een goed idee om enkele van deze vragen, uiteraard met de antwoorden, op onze blog te plaatsen.

V: Aan wie moet je datalekkages rapporteren?

A: Wanneer je een schending ontdekt die de rechten en vrijheden van individuen bedreigt, moet je deze datalek binnen 72 uur aan jouw toezichthoudende autoriteit Wanneer die dreiging serieus is, moet je ook  betrokkenen op de hoogte stellen.

Gegevensverwerkers die een inbreuk ervaren, moeten hun gegevensbeheerder zo snel mogelijk op de hoogte stellen. De gegevensbeheerder moet dan de toezichthoudende autoriteit en indien nodig de betrokkenen op de hoogte stellen.

V: Wordt het nog steeds als een schending beschouwd als er geen gegevens gestolen zijn (zoals met ransomware)?

A: Ja. Een gegevensinbreuk omvat zowel de diefstal van gegevens als elke inbreuk die leidt tot ongeautoriseerde vernietiging, verlies, wijziging, openbaarmaking van, of toegang tot persoonlijke gegevens.

V: Moet een schending van testgegevens (gerandomiseerde juiste gegevens) worden gemeld?

A: Als de testgegevens informatie bevatten waarmee een natuurlijk persoon geïdentificeerd kan worden, vallen deze binnen de reikwijdte van de AVG. Hetzelfde geldt voor inbreuken op de beveiliging rondom die gegevens, of voor het testen van gegevens die zonder toestemming van de betrokkene uitgevoerd zijn.

V: Bestaan er richtlijnen over hoe, of via welk medium, ik betrokkenen op de hoogte moet stellen van een inbreuk?

A: De AVG schrijft niet voor op welke manier je inbreukmeldingen moet geven. Het is aan elke organisatie om een eigen, intern beleid te ontwikkelen dat bepaalt hoe de communicatie geleverd wordt aan de betrokkenen in geval van een gegevensinbreuk.

Zodra je een inbreuk meldt bij betrokkenen, is het echter noodzakelijk om de volgende informatie op een simpele en duidelijke manier te verstrekken:

• De aard van de overtreding;
• De naam en contactgegevens van de relevante functionaris voor gegevensbescherming (FG);
• De waarschijnlijke gevolgen van de inbreuk; en
• De maatregelen die zijn genomen of worden voorgesteld om de inbreuk aan te pakken.

In situaties waarbij de gegevens van meer dan één persoon geschonden zijn, kan het een goed idee zijn om kennisgeving van het incident openbaar te maken.

V: Worden organisaties geacht om elke schending te rapporteren, ongeacht de grootte?

A: Datalekkages moeten alleen aan de toezichthoudende autoriteit gemeld worden wanneer zij een risico kunnen vormen voor de rechten en vrijheden van natuurlijke personen.

V: Hoe kan het 72-uursvenster om een schending te melden worden afgedwongen?

A: Het niet bekendmaken van een inbreuk, die schade brengt aan de rechten en vrijheden van Europese inwoners, zal resulteren in strikte disciplinaire maatregelen. Dit kan boetes omvatten van maximaal €20 miljoen óf 4% van de totale wereldwijde jaaromzet – afhankelijk van welk cijfer hoger is.

Artikel 83 van de Verordening constateert dat de manier waarop de toezichthoudende autoriteit achter de schending komt, een effect zal hebben op de resulterende disciplinaire maatregelen. Met andere woorden, een organisatie die haar toezichthoudende autoriteit niet zelf op de hoogte brengt van een datalekkage, zal waarschijnlijk te maken krijgen met striktere maatregelen.

Op zich biedt dit geen antwoord op de vraag hoe autoriteiten ervoor zullen zorgen dat een inbreuk binnen 72 uur na ontdekking wordt gemeld. Het is echter te verwachten dat de enorme financiële boetes organisaties sterk zullen overwegen, zo niet gedwongen worden, om aan de vereisten te voldoen.

V: Als incidenten gemeld moeten worden onder de AVG, zijn er dan criteria voor het type incidenten dat gemeld moet worden en wat door de organisatie intern afgehandeld kan worden?

A: Elke inbreuk die een risico zou kunnen betekenen voor de rechten en vrijheden van natuurlijke personen zal zeker aan de autoriteiten moeten worden gemeld, en moet per individueel geval worden beoordeeld. De Information Commissioner’s Office (ICO) geeft het volgende voorbeeld: “een toezichthoudende autoriteit zou op de hoogte moeten worden gebracht van verlies van klantgegevens wanneer de schending personen blootstelt aan identiteitsdiefstal. activeren van de meldingsplicht. Het verlies of de ongepaste wijziging van de telefoonlijst van een personeelslid voldoet normaliter echter niet aan de drempel voor het activeren van de meldingsplicht.”

Bereid je voor op de AVG

Organisaties die zich voorbereiden op de AVG zullen waarschijnlijk een team van nalevingsspecialisten in dienst hebben die de vereiste maatregelen voor hen in kaart brengen. Het is echter even belangrijk dat werkgevers die met persoonsgegevens omgaan – of deze nu in HR of een andere afdeling werkzaam zijn – zich bewust zijn van hun verplichtingen.

Personeelsbewustheidstraining is een essentieel onderdeel van de AVG-naleving. Het kan echter lastig zijn om een allesomvattend programma samen te stellen dat medewerkers leert wat ze moeten weten. Om deze reden maken veel mensen gebruik van onze ‘GDPR Staff Awareness E-learning Course’ (momenteel alleen in het Engels).

Deze online cursus biedt een grondig overzicht van de AVG, die de principes en vereisten van de Verordening uitlegt. Het gebruikt eenvoudige, duidelijke termen, dus het is ideaal voor iedereen wiens taak het verwerken van persoonlijke gegevens inhoudt, ongeacht kennis van de AVG.

Verkrijg hier meer informatie over onze ‘GDPR Staff Awareness E-Learning Course’ >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.