AVG in de ICT

In de ICT-dienstverlening krijgen bedrijven vaak te maken met het verwerken van bedrijfsgevoelige gegevens, waaronder ook persoonsgegevens vallen. De Wet Bescherming persoonsgegevens (Wbp) beschermde de burger tegen onrechtmatig gebruik van deze gegevens. Door deze wet konden burgers inzage krijgen in wat er met hun persoonsgegevens gebeurde. Echter kwam de Wbp in 2018 te vervallen na de komst van de Algemene Verordening Gegevensbescherming, oftewel AVG. Maar wat betekent die regelgeving voor de werkzaamheden in de ICT? Hieronder lees je meer over de gevolgen van de AVG in de ICT-branche.

Sinds de intreding van de nieuwe Europese privacyverordening of General Data Protection Regulation (GDPR) op 25 mei 2018, worden alle Europese bedrijven die persoonsgegevens digitaal verwerken verplicht om aan deze nieuwe regelgeving te voldoen. Hieronder valt het gebruik van de smartphone, de tablet, het internet of computer. Maar ook geprinte papieren vallen onder dezelfde regel.

Verwerkingsovereenkomst

Elke ICT-dienstverlener doet zich er goed aan gebruik te maken van een verwerkersovereenkomst waarin afspraken en verplichtingen over de verwerking van persoonsgegevens tussen verwerker en verwerkingsverantwoordelijke zijn vastgelegd. In de overeenkomst staan welke persoonsgegevens, op welke manier, aan welke partijen, hoe en wanneer verwerkt gaan worden.  Zo weet de privépersoon in kwestie precies wat er met de gegevens gebeurt.

Privacy by design – privacy by default

Bij het ontwerpen van nieuwe toepassingen zoals software of applicaties wordt privacy by design als uitgangspunt gebruikt. Dit houdt in dat er rekening wordt gehouden met de privacy. Persoonsgegevens die zijn toegepast, worden in sommige gevallen versleuteld om de privacy te waarborgen. Met privacy by default wordt privacy als uitgangspunt genomen. Er worden dan zo min mogelijk persoonsgegevens gevraagd en verwerkt.

Meldplicht datalekken

Hackers komen steeds vaker in het nieuws na het stelen van persoonsgegevens en het online zetten daarvan. Hetzelfde gebeurt met organisaties die slachtoffer zijn van dit soort criminele acties. Vanaf 1 januari 2016 was je al het verplicht om een melding te maken van ieder datalek. Met de invoering van de AVG zijn deze regels veranderd en uitgebreid. Na de intreding van de AVG is de werkgever ook verplicht de datalekken te documenteren en de betrokkene te attenderen op het veroorzaakte datalek.

Conclusie

Met de komst van de AVG zou regelgeving omtrent privacy een stuk verbeterd moeten zijn. De verwerkingsovereenkomst tussen verwerker en verwerkingsverantwoordelijke maakt overzichtelijk welke afspraken en verplichtingen er gelden.  Als dan ook nog privacy by design of default wordt toegepast en datalekken op tijd worden gemeld, zorgt dit voor een significante verbetering van de privacy.