De GDPR verplicht organisaties te zorgen voor een verzoeken- en klachtenprocedure. Waar moet een dergelijke procedure allemaal rekening mee houden? De GDPR geeft hier een gedetailleerd antwoord op.
In een eerder blog heb ik geschreven over ‘het eigendom van persoonsgegevens’. Mijn conclusie was dat de AVG de betrokkenen (natuurlijke personen waarvan persoonsgegevens worden verwerkt) heeft gebombardeerd tot een soort ‘pseudo-eigenaar’ van zijn persoonsgegevens.
Over wie hebben we het hier eigenlijk? Als we het hebben over het mitigeren van de risico’s die verbonden zijn met het delen van persoonsgegevens met derden, dan gaat het over iedereen met wie persoonsgegevens worden gedeeld. Dit is inclusief verwerkers, leveranciers en klanten. Om met dergelijke partijen gegevens te mogen delen, verplicht art 28 AVG je als verwerkingsverantwoordelijke om verplicht drie privacy-activiteiten uit te voeren.
(meer…)
In deze zesde blog gaan we het hebben over de wijze waarop de GDPR verwacht dat organisaties hun persoonsgegevens technisch en organisatorisch beveiligen, een onderwerp dat vaak verward wordt met ‘privacy compliant’ zijn.
Afgelopen woensdag en donderdag heb ik deelgenomen aan de ‘Privacy & Data Protection Officers Summit Europe’ te Parijs. Het aantal deelnemers was beperkt, maar dat bood tegelijkertijd de mogelijkheid om de sprekers nader te bevragen. De sprekers waren allemaal privacy professionals, werkzaam bij nationale autoriteiten persoonsgegevens, multinationals en legal-consultants. Zeker ook gezien het niveau van deze sprekers, heeft dit tot een aantal interessante discussies geleid. Hieronder volgen de belangrijkste take-aways van deze twee dagen:
(meer…)
Vanaf 25 mei 2018 wordt de beschermingsomvang van persoonsgegevens door de General Data Protection Regulation (GDPR) bepaald. Dit wordt een behoorlijke omslag die ervoor zorgt dat de rechten van de betrokkene (consument, burger,etc.) centraler komen te staan. Waarom heeft de wetgever (zowel nationaal als op Europees niveau) voor deze omslag gekozen?
In deze vijfde van dertien blogs uit de serie over de GDPR gaan we het hebben over het ‘inbedden van privacybeleid’, over het voor het eerst breed in de organisatie implementeren van acht door de GDPR verplicht gestelde en op de bescherming van de rechten en vrijheden van de betrokkene gerichte maatregelen.
In deze vierde van dertien blogs uit deze serie over de GDPR gaan we het hebben over privacybeleid en in het bijzonder over de zes beginselen die zijn neergelegd in artikel 5 GDPR.
In artikel 39 lid 1 GDPR staan vijf taken opgesomd waaraan de Functionaris voor Gegevensbescherming invulling moet geven. In lid 2 wordt duidelijk gemaakt dat dit niet een ‘checklist aangelegenheid’ is, maar dat er bij de uitvoering van die taken echt gewikt en gewogen moet worden.
Een van de belangrijke wijzigingen in de GDPR ten opzichte van de Wet bescherming persoonsgegevens (Wbp), is art 30. Hierin wordt de verwerkingsverantwoordelijke onder sommige omstandigheden verplicht een ‘eigen’ register van de verwerkingsactiviteiten te onderhouden. Ook moeten de door hem ingeschakelde verwerker(s) (en vertegenwoordigers van die verwerker(s)) een ‘eigen’ register bijhouden van alle categorieën van verwerkingsactiviteiten die hij voor zijn verwerkingsverantwoordelijke(n) verricht. Kort gezegd: de meldplicht uit de Wbp is vervangen door een ‘eigen’ registratieplicht.