Een praktische gids voor naleving van gegevensbescherming: de AVG-principes en -vereisten begrijpen en toepassen

Door René Millman • 29 augustus 2023

Gegevensbescherming is een topprioriteit geworden voor bedrijven en particulieren. Met complexe regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG) kan het een uitdaging zijn om aan de naleving te voldoen. In werkelijkheid, tot nu toe zijn er voor ruim € 359 miljoen aan aanzienlijke AVG-boetes uitgedeeld. U moet uw verplichtingen begrijpen en deze regelgeving naleven, terwijl u de privacy van uw klanten en werknemers beschermt.

En terwijl veel organisaties beweren hierop voorbereid te zijn voorschriften voor gegevensbescherming, moeten ze wellicht nog alle maatregelen nemen die nodig zijn om dergelijke claims te rechtvaardigen.

Volgens een onderzoek onder 205 bedrijfsleiders in Groot-Brittannië en de VS door advocatenkantoor Womble Bond Dickinson, terwijl veel bedrijven mogelijk externe acties ondernemen, zoals het plaatsen van een cookiebanner op hun website of het bijwerken van de privacy beleidsmaatregelen door te lezen.zegt slechts 34% van alle respondenten dat ze data mapping hebben uitgevoerd en dat ze de datapraktijken in de hele organisatie begrijpen.

“Bedrijven beschikken vaak over te weinig middelen en moeten zich richten op cosmetische veranderingen door publiekgerichte inhoud bij te werken; Dit neemt echter niet de onvermijdelijke noodzaak weg om back-endvereisten uit te bouwen om de compliance-vereisten echt te kunnen implementeren”, zegt Tara Cho, partner en voorzitter van het Privacy- en Cybersecurity-team voor Womble Bond Dickinson (VS).

Hoe komen organisaties nu door het doolhof van regelgeving op het gebied van gegevensbescherming?

AVG-principes en naleving

De GDPR schetst zeven essentiële beginselen voor gegevensverwerking: rechtmatigheid, eerlijkheid, transparantie, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, veiligheid (integriteit en vertrouwelijkheid) en aansprakelijkheid. Deze principes vormen de kern van de gegevensverwerkingsaanpak van een organisatie. Persoonsgegevens moeten op rechtmatige, eerlijke en transparante wijze worden verzameld en verwerkt. Ze moeten worden verkregen voor specifieke, legitieme doeleinden en mogen niet op onverenigbare manieren worden gebruikt. De verzamelde gegevens moeten relevant, beperkt en nauwkeurig zijn. Er moeten stappen worden ondernomen om onnauwkeurigheden onmiddellijk te corrigeren.

De informatie van betrokkenen mag alleen worden bewaard als dat nodig is voor verwerkingsdoeleinden. Er moeten beveiligingsmaatregelen worden genomen om te waken tegen ongeoorloofde verwerking, verlies of schade. Organisaties moeten compliance aantonen.

Afgezien van deze principes omvat de AVG verschillende aspecten, waaronder speciale verwerkingsscenario's, gegevensoverdrachten, rechtsmiddelen, aansprakelijkheid en boetes.

Volgens Louise Brooks, hoofd consultancy bij DQM GRC, is de Britse AVG gebaseerd op principes, wat betekent dat er geen voorgeschreven lijst is met wat wel en niet mag.

“Een organisatie moet rekening houden met het raamwerk dat de Britse AVG biedt en dit implementeren op een manier die past bij de context van hun bedrijf. We merken dat klanten moeite kunnen hebben met dit concept”, zegt ze.

“Het kan soms ook moeilijk zijn om een positieve compliancecultuur te creëren die organisaties in staat stelt de juiste keuzes te maken op het gebied van gegevensbescherming. We zien dat gegevensbescherming vaak wordt gezien als een blokkering en niet als een katalysator voor bedrijfsdoelstellingen. De juiste cultuur in een organisatie vergemakkelijkt het samenwerken en zorgt ervoor dat gegevensbescherming de basis vormt waarop alle zakelijke activiteiten waarbij persoonsgegevens betrokken zijn, zijn gebaseerd.”

Individuele rechten

De AVG biedt verschillende rechten aan individuen om hen te helpen hun persoonlijke gegevens te controleren.

Deze rechten omvatten het recht om geïnformeerd te worden, het recht op toegang, het recht op rectificatie, het recht op wissing (ook bekend als het recht om vergeten te worden), het recht om de verwerking te beperken, het recht op gegevensportabiliteit en het recht om bezwaar te maken.

Organisaties moeten duidelijke gegevensdetails aanbieden: wat er wordt verzameld, wat er wordt gebruikt, wat er wordt gedeeld. Individuen kunnen dat hun verwerkte gegevens opvragen voor nauwkeurigheids- en wettigheidscontroles. Onnauwkeurigheden kunnen worden gecorrigeerd. Verzoeken om gegevensverwijdering zijn van toepassing wanneer deze onnodig zijn of de toestemming wordt ingetrokken.

Het gebruik van persoonlijke gegevens kan worden beperkt, bijvoorbeeld door betwiste nauwkeurigheid of onrechtmatige verwerking. Individuen kunnen hun gegevens hergebruiken en deze veilig tussen organisaties overbrengen. Sommige gegevensprocessen, zoals marketing, kunnen worden afgewezen. Deze rechten versterken de controle op persoonsgegevens en bevorderen eerlijkheid en transparantie.

Brooks zegt dat als het gaat om verzoeken om rechten van betrokkenen, “een organisatie moet beginnen met begrijpen welke rechten van toepassing zijn op welke van haar verwerkingsactiviteiten.”

“Dit is belangrijk omdat het organisaties zal helpen begrijpen waar de gegevens van het individu zich binnen de organisatie bevinden, bijvoorbeeld in welke systemen, gebruikt door welke teams en waarvoor ze worden gebruikt, voegt ze eraan toe.

Wettelijke basis voor verwerking

De AVG schrijft geldige rechtsgronden voor voor de verwerking van persoonsgegevens, die zes grondslagen omvatten: toestemming, contractuitvoering, legitiem belang, vitaal belang, wettelijke vereiste en algemeen belang.

Toestemming betreft expliciete toestemming voor specifieke gegevensverwerking, gekenmerkt door vrijheid, specificiteit, informatie en duidelijkheid.

De uitvoering van een overeenkomst vereist gegevensverwerking om op verzoek van een individu een contract uit te voeren of te initiëren.

Legitieme interesse rechtvaardigt gegevensverwerking voor doeleinden van organisaties of derden, tenzij dit wordt overschreven door individuele rechten.

Vitale interesse omvat gegevensverwerking om het leven van een individu of dat van iemand anders te beschermen.

Wettelijke vereiste eist gegevensverwerking om te voldoen aan organisatorische wettelijke verplichtingen.

Publiek belang gegevensverwerking met zich meebrengt voor de uitvoering van publieke taken of de uitoefening van officieel gezag.

Voordat organisaties persoonsgegevens verwerken, moeten zij hun gegevens vaststellen en documenteren wettelijke basis. Deze basis vindt zijn oorsprong in de AVG of andere relevante wetten binnen de Europese Unie of lidstaten.

Gegevensveiligheid

GDPR legt de nadruk op gegevensbeveiliging en vereist robuuste verwerkingsmaatregelen. Deze zorgen voor bescherming tegen ongeoorloofde verwerking, verlies en schade, waarbij gebruik wordt gemaakt van passende technische en organisatorische maatregelen.

Organisaties houden rekening met risicoanalyse, beleid en fysieke/technische acties voor gegevensbeveiliging. Maatregelen garanderen de vertrouwelijkheid, integriteit en het tijdige herstel van gegevens na incidenten.

Voorbeelden: toegangscontrole, preventie van gegevensverlies, encryptie, responsplannen voor incidenten, risicobeheer van derden en fysieke/logische acties.

Regelmatige controle en testen zijn essentieel voor effectieve beveiliging. Compliance bevordert het vertrouwen bij belanghebbenden en schept vertrouwen.

Verantwoording en bestuur

Het verantwoordingsbeginsel is een van de cruciale beginselen van de AVG. Organisaties moeten de verantwoordelijkheid nemen voor de verwerking van persoonsgegevens en voldoen aan andere AVG-principes. Dit omvat een verplichting om naleving aan te tonen door middel van gedocumenteerde procedures en routines.

Organisaties moeten verantwoordelijk zijn voor hun activiteiten op het gebied van het verzamelen, verwerken en opslaan van gegevens en moeten kunnen aantonen dat zij de noodzakelijke maatregelen hebben genomen om aan de AVG-verplichtingen te voldoen. Dit kan worden gerealiseerd met behulp van geschikte technische en organisatorische strategieën. Deze strategieën omvatten;

Het aannemen en uitvoeren van beleid inzake gegevensbescherming
Het omarmen van de 'gegevensbescherming door ontwerp en standaard'-filosofie
Het opstellen van formele contracten met externe entiteiten die persoonlijke gegevens verwerken
Het bijhouden van uitgebreide registraties van verwerkingsactiviteiten
Het implementeren van adequate beveiligingsprotocollen
Het documenteren en communiceren van inbreuken op persoonsgegevens indien nodig
Het uitvoeren van beoordelingen van de gevolgen voor gegevensbescherming voor situaties die aanzienlijke risico's voor de rechten van individuen met zich meebrengen
Het aanwijzen van een functionaris voor gegevensbescherming indien nodig
Het naleven van relevante gedragscodes en tegelijkertijd deelnemen aan certificeringsprogramma's.

Er zijn voortdurend verantwoordingsverplichtingen en organisaties moeten hun maatregelen met passende tussenpozen herzien en bijwerken. Implementeren van een privacymanagement Dit raamwerk kan verantwoordingsmaatregelen verankeren en een privacycultuur in de hele organisatie creëren. Het afleggen van verantwoording kan helpen bij het opbouwen van vertrouwen bij individuen en het verlichten van handhavingsmaatregelen.

Internationale gegevensoverdrachten

AVG heeft betrekking op de overdracht van persoonsgegevens naar derde landen of internationale organisaties. Overdrachten buiten de EER zijn beperkt tenzij er bescherming of uitzonderingen van toepassing zijn.

Gegevensbeheerders en -verwerkers hebben een overeenkomst nodig met gedefinieerde criteria onder de AVG. Voor de overdracht van persoonsgegevens naar landen zonder adequate bescherming zijn “adequate waarborgen” nodig, waardoor afdwingbare rechten en rechtsmiddelen voor individuen worden gewaarborgd.

Adequate waarborgen kunnen mechanismen omvatten zoals standaardcontractbepalingen, bindende bedrijfsregels of goedgekeurde gedragscodes of certificeringsmechanismen. Bovendien maken verschillende uitzonderingen de overdracht van persoonsgegevens buiten de EER mogelijk zonder adequate waarborgen, zoals uitdrukkelijke toestemming van het individu, de uitvoering van een contract, gewichtige redenen van algemeen belang of het instellen, uitoefenen of verdedigen van juridische claims.

Nu het nieuwe EU-VS-kader voor gegevensprivacy zijn intrede doet en sommige organisaties hiervan afstappen standaard contractuele clausules (SCC's), is het belangrijk op te merken dat een nieuw mechanisme, een zogenaamde 'databrug', kan worden gebruikt om persoonlijke gegevens tussen de EU en de VS over te dragen. Groot-Brittannië en de VS zijn in principe tot een verbintenis gekomen om een “databrug” tussen de twee landen. Dit mechanisme zou het voor ongeveer 55,000 Britse bedrijven gemakkelijker maken om gegevens vrijelijk over te dragen aan gecertificeerde Amerikaanse organisaties, zonder omslachtige bureaucratie of regelgeving.

Organisaties moeten ervoor zorgen dat zij voldoen aan de regels rond internationale gegevensoverdrachten en passende mechanismen gebruiken om naleving te garanderen.

vrijstellingen

De AVG kent verschillende uitzonderingen die onder bepaalde omstandigheden van toepassing kunnen zijn. Deze omvatten vrijstellingen voor de nationale veiligheid en wetshandhaving, bepaalde soorten persoonlijke gegevens, journalistiek en creatieve expressie, wetenschappelijk of historisch onderzoek, activiteiten buiten de reikwijdte van het EU-recht, informatie die niet in een “archief”-systeem zit, financiën, management en onderhandelingen, algemeen belang en huishoudelijk gebruik.

De AVG is bijvoorbeeld niet van toepassing als een organisatie niet binnen de EU actief is, geen persoonsgegevens verwerkt, of alleen gegevens voor binnenlandse doeleinden verwerkt. Daarnaast zijn er uitzonderingen voor de verwerking van persoonsgegevens voor journalistieke doeleinden of voor academische, artistieke of literaire uitingen praktische doeleinden.

Organisaties moeten zorgvuldig overwegen of er vrijstellingen van toepassing zijn op hun verwerkingsactiviteiten en moeten voldoen aan alle andere vereisten van de AVG als er geen vrijstelling van toepassing is.

ISO 27001 en AVG-naleving

ISO 27001 is een internationale standaard voor informatiebeveiliging Managementsysteem (ISMS) dat een uitstekend startpunt biedt voor het realiseren van de technische en operationele vereisten die nodig zijn om het risico op een inbreuk te verminderen. De Algemene Verordening Gegevensbescherming (AVG) van de EU verplicht organisaties om toepasselijke technische en organisatorische maatregelen te implementeren, waaronder beleid, procedures en processen, om de persoonlijke gegevens die zij verwerken te beschermen. proces. Door beide normen toe te passen, kunt u voldoen aan de privacy- en informatiebeveiligingsvereisten van de AVG en aantonen dat u hieraan voldoet.

Implementatie van een ISO 27001-uitgelijnd ISMS kan organisaties helpen om op een kosteneffectieve manier aan de AVG te voldoen door een raamwerk te bieden voor het beheren van informatiebeveiligingsrisico's en het aantonen van naleving van de technische en organisatorische vereisten van de AVG. Door beide standaarden te implementeren, kunnen organisaties ervoor zorgen dat ze voldoen aan de privacy- en informatiebeveiligingsvereisten van de AVG en andere wetten op gegevensbescherming, terwijl ze de kosten minimaliseren.

Er moet echter worden erkend dat deze normen niet alle aspecten van de AVG dekken, zoals toestemming, gegevensportabiliteit, het recht om vergeten te worden en internationale gegevensoverdrachten. Daarom moeten organisaties hun ISO-frameworks aanvullen met andere maatregelen om volledige naleving van de AVG te garanderen.

Kernprincipes en vereisten van de AVG om succes te behalen

Regelgeving voor gegevensbescherming, zoals de AVG, lijkt misschien ingewikkeld, maar het begrijpen van de kernprincipes is van cruciaal belang. Hiermee kunnen organisaties compliance garanderen en de privacy van klanten en medewerkers waarborgen.

Onthoud deze aspecten:

Zorg voor rechtmatige grondslagen voor gegevensverwerking.
Beveilig persoonlijke gegevens.
Houd de verantwoordelijkheid hoog.
Houd u aan de internationale regels voor gegevensoverdracht.
Respecteer de individuele rechten en vrijstellingen van de AVG.

Praktische stappen omvatten:

Normaal risicobeoordelingen.
Robuuste veiligheidsmaatregelen.
Gedocumenteerde verwerkingsregistraties.
Duidelijke communicatie met particulieren.
Consistente compliance-updates.

Door proactief te voldoen groeit het vertrouwen onder de belanghebbenden, waardoor de handhavingsrisico’s worden geminimaliseerd.

René Millman

Rene Millman is een veelzijdige freelanceschrijver en presentator, gespecialiseerd in cybersecurity, AI, IoT en cloudtechnologieën. Naast zijn rol als bijdragend analist bij GigaOm, brengt hij uitgebreide ervaring met zich mee als voormalig Gartner-analist die zich richt op de infrastructuurmarkt. Rene Millman staat bekend om zijn expertise en heeft regelmatig televisieoptredens gedaan, waarbij hij inzichten en analyses deelde over technologietrends en invloedrijke bedrijven die ons dagelijks leven vormgeven. Blijf op de hoogte van de inzichten van Rene Millman door hem te volgen op Twitter.

Lees meer van Rene Millman

Cyber security 13 januari 2026

leven na de deadline: van naleving van de regelgeving tot operationele stabiliteit.

Leven na de deadline: DORA-naleving omzetten in operationele stabiliteit

De paniek rond januari 2025 is definitief voorbij. Maar voor de meest succesvolle leiders in de financiële sector is het echte werk, en de echte beloning, pas begonnen...

René Millman

Cyber security 13 augustus 2024

de crowdstrike-storing is een pleidooi voor het versterken van de incidentrespons met de ISO 27001-banner

De CrowdStrike-storing: een pleidooi voor het versterken van incidentrespons met ISO 27001

In juli 2024 leidde een mislukte software-update van CrowdStrike tot een aanzienlijke wereldwijde IT-storing, die gevolgen had voor talloze organisaties, waaronder luchtvaartmaatschappijen,...

René Millman

Cyber security 16 July 2024

het vermijden van de volgende medische cyberveiligheidslessen voor bedrijven

De volgende MediSecure vermijden: cyberbeveiligingslessen voor bedrijven

De cybersecuritycatastrofe van MediSecure is een duidelijke wake-upcall voor bedrijven: verwaarloos uw digitale verdediging niet, anders loopt u het risico...

René Millman