Werken conform de AVG, staat u daar bij stil?

Introductie van de AVG
Sinds de inwerkingtreding van de AVG (Algemene Verordening Gegevensbescherming) in 2018 worden er aan het verwerken van persoonsgegevens meer eisen gesteld. De toename in de verwerking van persoonsgegevens door digitalisering en nieuwe technologieën vraagt om meer bescherming van persoonsgegevens. Door de digitalisering van de samenleving worden er doorlopend steeds meer gegevens over ons vastgelegd, zonder dat we exact weten waarom die gegevens worden vastgelegd, hoe ze worden beveiligd, hoe lang ze worden bewaard en wie er allemaal toegang toe heeft. Denk bijvoorbeeld aan gemeenten (zogenoemde smart cities) die nieuwe technologieën inzetten om onder meer de bereikbaarheid, leefbaarheid en economische ontwikkeling van hun stad te vergroten. Of aan organisaties die gebruik maken van algoritmes en Artificial Intelligence.

De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de verwerking van persoonsgegevens en heeft in de afgelopen jaren al meerdere overheden en organisaties een boete opgelegd wegens schending van de AVG, bijvoorbeeld omdat de persoonsgegevens niet passend zijn beveiligd. Niet zo gek als u zich bedenkt welke impact het kan hebben op een persoon als gevoelige persoonlijke informatie in verkeerde handen komt.

De 6 grondslagen uit de AVG
Elke verwerking van een persoonsgegeven is eigenlijk een inbreuk op de privacy van een betrokkene (de persoon op wie een persoonsgegeven betrekking heeft). Persoonsgegevens mogen alleen worden verwerkt op basis van één van de zes wettelijke grondslagen die worden benoemd in de AVG: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene(n) of andere personen, algemeen belang of gerechtvaardigd belang.

Gemeenten verwerken bijvoorbeeld persoonsgegevens met als doel gemeentelijke taken uit te voeren die in diverse wetten zijn vastgelegd, zoals de Wet basisregistratie personen of de Wet gemeentelijke schuldhulpverlening. Pas als een organisatie de wettelijke grondslag heeft bepaald voor de verwerking van persoonsgegevens, mag gestart worden met de verwerking van de persoonsgegevens.

Waar moet u over nadenken bij het conform de AVG werken?
De AVG stelt diverse eisen aan de verwerking van persoonsgegevens. Die eisen dwingen organisaties streng te zijn ten aanzien van de verwerking van persoonsgegevens en belangrijke afwegingen te maken, bijvoorbeeld  tussen de belangen van de organisatie en de privacybelangen van betrokkenen. Naast het vaststellen van de wettelijke grondslag, moet bijvoorbeeld nagedacht worden over onder meer de volgende zaken:

Verantwoordingsplicht
Over deze verantwoordingsplicht iets meer. Die plicht houdt onder meer in dat:

Al deze informatie wordt vaak vastgelegd in een zogenoemd verwerkingsregister.

Passende beveiliging
Op basis van de AVG moeten organisaties beveiligingsmaatregelen nemen om de persoonsgegevens passend te beveiligen tegen onder meer verlies, vernietiging of bijvoorbeeld onbevoegde kennisname. Ook binnen de eigen organisatie moet kritisch worden bekeken wie er bij de persoonsgegevens kan en of die toegang echt noodzakelijk is. Persoonsgegevens kunnen bijvoorbeeld technisch worden beveiligd door middel van encryptie, maar ook het loggen van de verwerking van persoonsgegevens is een voorbeeld van de implementatie van een beveiligingsmaatregel. Op die manier heb je als organisatie inzicht in wie welke persoonsgegevens, wanneer en op welke locatie heeft verwerkt. Dit inzicht is noodzakelijk om transparant te kunnen zijn richting betrokkenen over de verwerking van hun persoonsgegevens. Burgers kunnen bijvoorbeeld een inzageverzoek doen en verzoeken om een kopie van alle persoonsgegevens die een organisatie van hen verwerkt.

Het is een continu proces
Verwerking van persoonsgegevens conform de AVG is geen eenmalig proces. Het is een proces dat door een organisatie op continue basis moet worden ingericht en bewaakt.

Zorgvuldig omgaan met persoonsgegevens in ArcGIS
Ook wanneer u met ArcGIS werkt is het belangrijk om conform de AVG te werken. Binnen ArcGIS zijn er een aantal inrichtingsmogelijkheden die organisaties kunnen helpen bij het voldoen aan een aantal AVG-verplichtingen.

Lees hier hoe u in ArcGIS zorgvuldig met persoonsgegevens omgaat.

Volgend Artikel

GIS onmisbaar bij efficiënt samenwerken, maar het is en blijft mensenwerk

Lees dit artikel