Wet bescherming persoonsgegevens

...een jaar later en erg weinig gebruikers maken zich zorgen

Sinds 1 januari 2016 is de nieuwe Wet bescherming persoonsgegevens (Wbp) ingegaan. Met deze wet wordt de bescherming van privacygevoelige informatie stevig aangescherpt.  Indien er persoonsgegevens verzamelt worden, bijvoorbeeld een webwinkel of forum, dan ben je gehouden aan deze wet. Als eigenaar van de website heb je de rol als Verantwoordelijke en ben je aansprakelijk bij eventuele datalekken.

We ontvangen regelmatig vragen over wat er nu wel en niet mag, welke maatregelen we moeten nemen en of er melding gedaan moeten worden van het verzamelen van persoonsgegevens. In dit artikel wil ik het geheel kort samenvatten en proberen we een aantal praktische tips te geven.

Waar moeten we  op letten?

  1. Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  2. Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  3. Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  4. De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Vooraf melden van gegevensverwerkingen

Verwerk je  persoonsgegevens? Dan ben je in een aantal gevallen wettelijk verplicht om dit te melden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens houdt een openbaar register bij van alle meldingen. Zo kunnen mensen zien wie welke persoonsgegevens van hen gebruikt en met welk doel dit gebeurt. En kunnen zij zo nodig gebruikmaken van hun privacy rechten, zoals het recht op inzage van hun gegevens.

Melden moet altijd indien:

  1. Het gebruik van een identificerend nummer, heimelijke waarneming of het verwerken van strafrechtelijke gegevens voor een ander.
  2. Er meer dan 1 verantwoordelijke is
  3. Er gegevens buiten de EU worden doorgegeven
  4. Er specifieke risico’s bij de verwerking plaatsvinden, het gaat hierbij en persoonsnummer wilt verwerken voor een ander doel, persoonsgegevens uit heimelijke observatie wilt verwerken of strafrechtelijke gegevens wilt verwerken.

Melden hoeft niet indien:

  1. Als het om handmatige niet-geautomatiseerde verwerkingen gaat.

Bijzondere vereisten – vrijgestelde categorieën van verwerkingen

Vrijgestelde verwerkingen van persoonsgegevens is mogelijk binnen specifieke categorieën. Hier zijn echter wel nadere vereisten waaraan deze verwerking moet voldoen om voor vrijstelling in aanmerking te komen. Deze vrijstellingen zijn terug te vinden op de website van de autoriteit persoonsgegevens. Zo kun je bijvoorbeeld vinden wat wel en niet mag bij een sollicitatie procedure of wat er wel en niet mag binnen de gezondheidszorg.

Doorgaans mogen de volgende ’gewone persoonsgegevens’ worden verwerkt:

  1. Naam
  2. Voornamen
  3. Voorletters
  4. Titulatuur
  5. Geslacht
  6. Geboortedatum
  7. Adres
  8. Postcode
  9. Woonplaats
  10. Telefoonnummer

 

Wanneer is er sprake van verwerken?

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Wat zijn de rechten van de betrokkene

De Wet Bescherming Persoonsgegevens richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt. Zo mogen de betrokkenen controleren of en op welke manier, zijn gegevens worden verwerkt. Kan de betrokken een correctieverzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking. Heeft de betrokkene het recht om zich te verzetten tot gegevensverwerking.

Datalek en nu?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

Wat kunnen we nu samen met de heren direct oppakken?

Beveiliging

Houd je website veilig en up-to-date, wij bieden standaard onze uitgebreide beveiliging aan waarbij we actief de site actief 24/7 bewaken.  We scannen op malware en virussen maar monitoren ook alle bezoeker en sluiten kwaadwillende bezoekers uit middels een firewall. Wachtwoorden moeten aan strenge eisen voldoen en administrators mogen alleen inloggen vanaf veilig IP geregistreerde werkplekken. Indien administrators willen inloggen vanaf een andere werkplek zal een extra veilige two-way-authenticatie plaatsvinden. Ook monitoren we op verouderde plug-ins en kunnen we landen of IP reeksen uitsluiten.

SLA

Samen met een Service Level Agreement kunnen we samen zorgen voor een up-to-date website waarbij plug-ins en het CMS maandelijks worden voorzien van alle noodzakelijk updates.

SSL

Zorg dat het domein is voorzien van een Secure Socket Layer (SSL). Bij subdomeinen plaatsen we een Wildcard SSL zodat ook deze domeinen veilig kunnen worden bereikt.

Persoonsgegevens

Vraag en verwerk alleen gegevens die echt noodzakelijk zijn en kijk wat de wetgeving hierover zegt. Burgerservicenummer mogen we in nagenoeg alle gevallen niet vragen of verwerken. Onze formuliertools beschikken over de mogelijkheid om data middels encryptie te verwerken, data uit te sluiten van opslag in een database of zelf helemaal niet op te slaan in een database.

Server en backups

De server is middels de laatste technieken beveiligd en maakt regelmatig updates. De server en de backup server staan in Nederland of in een land binnen de EU.

Bewerkersovereenkomst

Sluit bewerkersovereenkomsten af met alle Bewerkers, wij hebben een standaard overeenkomst beschikbaar.

Meer weten? Neem contact met ons op dan bespreken we de mogelijkheden.

Kijk ook op:
https://autoriteitpersoonsgegevens.nl/nl

contact

De Heren Van
De Lei 2
3971 CA Driebergen-Rijsenburg

T 0343 - 520 350
F 0343 - 521 500
E info@deherenvan.nl