Introductie van de AVG
Sinds de inwerkingtreding van de AVG (Algemene Verordening Gegevensbescherming) in 2018 worden er aan het verwerken van persoonsgegevens meer eisen gesteld. De toename in de verwerking van persoonsgegevens door digitalisering en nieuwe technologieën vraagt om meer bescherming van persoonsgegevens. Door de digitalisering van de samenleving worden er doorlopend steeds meer gegevens over ons vastgelegd, zonder dat we exact weten waarom die gegevens worden vastgelegd, hoe ze worden beveiligd, hoe lang ze worden bewaard en wie er allemaal toegang toe heeft. Denk bijvoorbeeld aan gemeenten (zogenoemde smart cities) die nieuwe technologieën inzetten om onder meer de bereikbaarheid, leefbaarheid en economische ontwikkeling van hun stad te vergroten. Of aan organisaties die gebruik maken van algoritmes en Artificial Intelligence.
De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de verwerking van persoonsgegevens en heeft in de afgelopen jaren al meerdere overheden en organisaties een boete opgelegd wegens schending van de AVG, bijvoorbeeld omdat de persoonsgegevens niet passend zijn beveiligd. Niet zo gek als u zich bedenkt welke impact het kan hebben op een persoon als gevoelige persoonlijke informatie in verkeerde handen komt.
De 6 grondslagen uit de AVG
Elke verwerking van een persoonsgegeven is eigenlijk een inbreuk op de privacy van een betrokkene (de persoon op wie een persoonsgegeven betrekking heeft). Persoonsgegevens mogen alleen worden verwerkt op basis van één van de zes wettelijke grondslagen die worden benoemd in de AVG: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene(n) of andere personen, algemeen belang of gerechtvaardigd belang.
Gemeenten verwerken bijvoorbeeld persoonsgegevens met als doel gemeentelijke taken uit te voeren die in diverse wetten zijn vastgelegd, zoals de Wet basisregistratie personen of de Wet gemeentelijke schuldhulpverlening. Pas als een organisatie de wettelijke grondslag heeft bepaald voor de verwerking van persoonsgegevens, mag gestart worden met de verwerking van de persoonsgegevens.
Waar moet u over nadenken bij het conform de AVG werken?
De AVG stelt diverse eisen aan de verwerking van persoonsgegevens. Die eisen dwingen organisaties streng te zijn ten aanzien van de verwerking van persoonsgegevens en belangrijke afwegingen te maken, bijvoorbeeld tussen de belangen van de organisatie en de privacybelangen van betrokkenen. Naast het vaststellen van de wettelijke grondslag, moet bijvoorbeeld nagedacht worden over onder meer de volgende zaken:
- Met welk doel verzamelt en verwerkt onze organisatie de persoonsgegevens en verwerken wij de persoonsgegevens alleen voor het doel waarvoor wij ze hebben verzameld (doelbinding)? Hang je als organisatie camera’s op ten behoeve van de veiligheid, dan mogen die camerabeelden bijvoorbeeld niet gebruikt worden voor de monitoring van medewerkers.
- Beperken wij de verwerking van de persoonsgegevens tot het noodzakelijke (dataminimalisatie)? Het verzamelen van telefoonnummers is bijvoorbeeld niet noodzakelijk als je als organisatie van plan bent om alle communicatie via de e-mail te laten verlopen.
- Staat het doel van de verwerking in verhouding tot de inbreuk voor de personen waarvan onze organisatie persoonsgegevens verwerkt (proportionaliteit)?
- Wie binnen onze organisatie kan bij welke persoonsgegevens? Is het bijvoorbeeld nodig dat alle medewerkers bij klantgegevens kunnen?
- Welke technische en organisatorische beveiligingsmaatregelen hebben wij getroffen ter bescherming van de persoonsgegevens?
- Worden de persoonsgegevens verwerkt in één of meerdere zogenoemde ‘veilige landen’?
- Hebben wij met externe partijen duidelijke afspraken gemaakt over de verwerking van de persoonsgegevens, bijvoorbeeld in een verwerkersovereenkomst?
- En, op welke manier voldoen wij aan onze verantwoordingsplicht ten aanzien van de verwerking van persoonsgegevens?
Verantwoordingsplicht
Over deze verantwoordingsplicht iets meer. Die plicht houdt onder meer in dat:
- Een organisatie moet vastleggen op basis van welke wettelijke grondslag en met welk doel persoonsgegevens worden verwerkt;
- welke categorieën persoonsgegevens worden verwerkt (NAW-gegevens, camerabeelden);
- van welke categorieën betrokkenen u persoonsgegevens verwerkt (bijv. medewerkers, inwoners van een bepaalde gemeente);
- hoe lang de persoonsgegevens worden bewaard; met wie de persoonsgegevens worden gedeeld;
- of de persoonsgegevens in een zogenoemd ‘veilig land’/ worden verwerkt
- en welke maatregelen er zijn genomen om de persoonsgegevens te beveiligen.
Al deze informatie wordt vaak vastgelegd in een zogenoemd verwerkingsregister.
Passende beveiliging
Op basis van de AVG moeten organisaties beveiligingsmaatregelen nemen om de persoonsgegevens passend te beveiligen tegen onder meer verlies, vernietiging of bijvoorbeeld onbevoegde kennisname. Ook binnen de eigen organisatie moet kritisch worden bekeken wie er bij de persoonsgegevens kan en of die toegang echt noodzakelijk is. Persoonsgegevens kunnen bijvoorbeeld technisch worden beveiligd door middel van encryptie, maar ook het loggen van de verwerking van persoonsgegevens is een voorbeeld van de implementatie van een beveiligingsmaatregel. Op die manier heb je als organisatie inzicht in wie welke persoonsgegevens, wanneer en op welke locatie heeft verwerkt. Dit inzicht is noodzakelijk om transparant te kunnen zijn richting betrokkenen over de verwerking van hun persoonsgegevens. Burgers kunnen bijvoorbeeld een inzageverzoek doen en verzoeken om een kopie van alle persoonsgegevens die een organisatie van hen verwerkt.
Het is een continu proces
Verwerking van persoonsgegevens conform de AVG is geen eenmalig proces. Het is een proces dat door een organisatie op continue basis moet worden ingericht en bewaakt.
Zorgvuldig omgaan met persoonsgegevens in ArcGIS
Ook wanneer u met ArcGIS werkt is het belangrijk om conform de AVG te werken. Binnen ArcGIS zijn er een aantal inrichtingsmogelijkheden die organisaties kunnen helpen bij het voldoen aan een aantal AVG-verplichtingen.
Lees hier hoe u in ArcGIS zorgvuldig met persoonsgegevens omgaat.