025 / Wie heeft een FG nodig?

Veel bedrijven stellen zichzelf deze vraag. Helaas is het antwoord niet 100% duidelijk, zelfs niet wanneer de juridische teksten worden geraadpleegd, althans niet in het geval van kleinere bedrijven. Ik doel hier uitsluitend op de regelgeving vanaf 25.5.2018 en niet-overheidsinstanties.

In het algemeen is het aanstellen van een functionaris gegevensbescherming gangbaar voor bedrijven die doorgaans* meer dan 20 personen in dienst hebben (inclusief uitzendkrachten) die betrokken* zijn bij het verzamelen, verwerken of gebruiken van (bijzondere categorie) persoonsgegevens (Art 9 van de AVG) in een geautomatiseerde (computer)verwerking. Bedenk: in veel personeelsdossiers worden juist die bijzondere categorieën persoonsgegevens verwerkt.

Als de verantwoordelijke of de verwerker een verwerking van persoonsgegevens uitvoert die onderworpen is aan een GEB (*zie onder) of als u persoonsgegevens commercieel verwerkt met het oog op doorgifte, anonieme verzending of met het oog op markt- of opinieonderzoek, heeft u een (functionaris) gegevensbeschermingsverklaring nodig, ongeacht het aantal werknemers. (AVG art. 37). M.a.w. u zult een Fg moeten aanstellen.

Wat betekent dat concreet?

Aangezien persoonsgegevens bijna overal in bedrijven worden verwerkt en in de meeste bedrijven alle werknemers toegang hebben tot computers, zou elk bedrijf met meer verwerkingen van persoonsgegevens een functionaris gegevensbescherming moeten aanstellen. Bedenk: zelfs een klantenkaart bevat gegevens zoals naam, adres, telefoonnummer en gedetailleerde informatie over projecten, vertegenwoordigt persoonlijke gegevens.

Maar hoe zit het met bedrijven met 2, 3 of 4 medewerkers?

Het antwoord ligt in de vraag of er in het bedrijf voorbereidende werkzaamheden op de loonadministratie worden verricht. Dit betekent dat er bijzondere persoonsgegevens van de werknemers zijn, die meestal worden doorgegeven aan de belastingadviseur of de salarisadministratie. In ieder geval zou een gegevensbeschermingseffectbeoordeling vereist zijn en daarom de aanstelling van een functionaris gegevensbescherming noodzakelijk.

Veel kleinere bedrijven zullen waarschijnlijk wachten tot de eerste boetes worden uitgedeeld. Experts vermoeden dat juist het uitblijven van de aanstelling van de functionaris voor gegevensbescherming de belangrijkste reden voor boetes zal zijn.

Twijfel: doe de AVG check

Als u niet zeker weet of u een functionaris gegevensbescherming voor uw bedrijf moet aanstellen, gebruik de AVG-check.

Klik hieronder en neem de test:


Een GEB | gegevensbeschermingseffectbeoordeling is een hulpmiddel om gegevensbeschermingsrisico’s te identificeren voordat persoonsgegevens worden verwerkt. Naar aanleiding van deze GEB kunnen vervolgens (aanvullende) maatregelen worden genomen om de gegevensbeschermingsrisico’s te verkleinen. In het Engels wordt een GEB een “Data Protection Impact Assessment” (DPIA) genoemd.

* Doorgaans: het is al voldoende als een persoon regelmatig (“niet incidenteel”) verwerkingstaken uitvoert die zich af en toe voordoen volgens hun functiebeschrijving of het organisatieplan van de verantwoordelijke instantie en deze taak niet vanaf het begin uitvoert voor een korte periode, bijvoorbeeld als vervanging voor vakantie .

* Wat betekend “betrokken bij” : doorslaggevend voor tewerkstelling in die zin, is dat de persoon taken uitvoert die verband houden met de verwerking van persoonsgegevens. Het gaat dus niet alleen om vaste medewerkers als onderdeel van het personeelsbestand, maar ook om uitzendkrachten, stagiaires, stagiaires, stagiaires, vrijwilligers of zelfs de directeur zelf.

024 / Wat is de AVG?

Afkorting AVG dat staat voor…?

De AVG | Algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Oorspronkelijk gepubliceerd op 27 April 2016. Van toepassing vanaf 25 mei 2018! In deze AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. (Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp)).

In het kort: De Algemene Verordening Gegevensbescherming is vastgesteld om natuurlijke personen te beschermen bij het verwerken van persoonsgegevens en om het vrije verkeer van persoonsgegevens te waarborgen (AVG / artikel 1, 2 en 3).

Wat zijn nu persoonsgegevens?

Lees hier wat er precies wordt bedoeld met “persoonsgegevens

De verwerking zelf is geregeld in artikel 2, eerste lid: “Volledig en gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgeslagen in een bestandssysteem of bestemd zijn om in een bestandssysteem te worden opgeslagen”.

(Dit suggereert nu dat de klassieke dossiers (bedrukt papier) hiervan uitgesloten zijn. Helaas is dat niet het geval.)

Dit zou in wezen duidelijk maken wat er op het spel staat, maar op wie heeft dit precies betrekking? Misschien is het makkelijker om te omschrijven voor wie het niet geldt:

  • Activiteiten die niet binnen het kader van de Unie vallen
  • Activiteiten van natuurlijke personen om uitsluitend persoonlijke of familiale activiteiten te verrichten
  • Autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of handhaving, met inbegrip van de bescherming tegen en het afwenden van bedreigingen voor de openbare veiligheid.

Concreet betekent dit dat strikte naleving van de AVG gevolgen heeft voor bedrijven, gemeenten, organisaties, commerciële personen, artsen en zelfs verenigingen.

Bijzondere categorieën “Persoonsgegevens”

Bijzonders streng zijn de voorschriften voor het hanteren van gegevens volgens AVG-artikel 9: het gaat daar specifiek om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt, evenals de verwerking van genetische of biometrische gegevens, gezondheidsgegevens of gegevens over het seksleven of seksuele geaardheid).  Bedenk: als werkgever met werknemers, worden sommige van deze gegevenscategorieën in de verwerkingen toegepast.

Naar mijn mening zou elk bedrijf dat loongegevens en dergelijke beheert en verwerkt, gewoon moeten doen wat hen aan de “veilige kant” plaatst: een externe functionaris voor gegevensbescherming inschakelen om de vereisten (inclusief AVG-artikel 9) te controleren en uit te voeren. (Voor kleine bedrijven hoeft dit niet echt duur te zijn.)

Ik mijn volgende blog ga ik in op de vraag wie er nu een FG daadwerkelijk nodig heeft…


Verdere informatie kunt u vinden op de site van de Autoriteit Persoonsgegevens.

• Wat is het verschil tussen een wet en een verordening? Lees hier verder.

023 / Dropbox, Google Drive etc… daarom kan eigen initiatief gevaarlijk zijn!

Als u uw gegevens opslaat in cloudopslag zoals Google Drive, kunt u deze overal via het internet openen. Dit is ideaal voor flexibel werken in het thuiskantoor of onderweg. Voor gegevensbescherming ziet het er echter heel anders uit.

Het doel: gegevens opslaan, uitwisselen en beveiligen

Iedereen die in het thuiskantoor of onderweg werkt moet soms creatief zijn, zo lijkt het. Veel mogelijkheden die op kantoor bestaan zijn buiten het bedrijf niet beschikbaar. Als u bijvoorbeeld belangrijke gegevens wilt opslaan lijkt het opslaan op de notebook of tablet alleen niet voldoende. Wat gebeurt er bij verlies van het eindapparaat? Dan blijkt al het werk tevergeefs.

Op kantoor kunt u uw gegevens opslaan in een directory in het netwerk. Ook collega’s die met de data aan de slag moeten, kunnen daar gemakkelijk bij. Bent u echter onderweg of in het thuiskantoor, dan ontbreken deze opties soms voor opslag in het netwerk en voor gegevensuitwisseling. Regelmatige back-ups zijn ook niet zo eenvoudig centraal uit te voeren als u onderweg of in je thuiskantoor werkt.

Als het bedrijf niet de juiste ondersteuning biedt of als u de voorgestelde oplossingen voor gegevensopslag en gegevensoverdracht niet kent, wordt u snel inventief. Er zijn oplossingen zoals Google Drive of Dropbox die zich privé al hebben bewezen. Herkent u u weer? U staat hierin niet alleen – helaas vanuit het oogpunt van gegevensbescherming.

Het probleem: de zogenaamde schaduw-IT

Kiest u als gebruiker de oplossingen waarmee u data wilt opslaan en uitwisselen, dan zorgt u voor zogenaamde schaduw-IT. Dit betekent IT-oplossingen die de verantwoordelijke afdeling in het bedrijf niet heeft gecontroleerd en goedgekeurd.

Als u ongecontroleerde en operationeel niet goedgekeurde oplossingen gebruikt, kunnen risico’s voor de data, die niet bekend zijn bij de IT-afdeling, in het bedrijf worden aangesloten. En daarom kunnen deze risico’s niet worden afgewend met de benodigde IT-beveiligingsoplossingen. Dit is vooral het geval bij cloudopslag, waar iedereen snel, gemakkelijk en meestal gratis gebruik van kan maken.

De dringende aanbeveling: neem a.u.b. geen initiatief in gegevensopslag

Normaal gesproken is elk bedrijf blij met het initiatief van de medewerkers. Maar als het om databeveiliging en data protectiecompliance gaat, is het niet goed en ook niet wenselijk om zelf naar oplossingen te zoeken.

Operationele gegevens mogen alleen worden opgeslagen en uitgewisseld in oplossingen die zijn goedgekeurd door het bedrijf. Anders kunnen de gegevens in gevaar komen omdat de beveiliging van oplossingen voor privédoeleinden niet voldoet aan de hoge eisen van een bedrijf. Daarnaast kan het, zeker bij cloudopslag, voorkomen dat de persoonsgegevens worden doorgegeven aan een land dat niet simpelweg het noodzakelijke niveau van gegevensbescherming biedt.

Gebruik daarom alleen bedrijfsgoedgekeurde applicaties, ook in het thuiskantoor en onderweg! Als je de oplossing niet weet, vraag het dan.

022 / Gezichtsherkenning, vingerscan & co.: handig, maar niet zonder risico

U moet wachtwoorden onthouden, niet uw vingerafdrukken.

Biometrische methoden zijn navenant populair bij het registreren voor apparaten en applicaties. Maar Autoriteit Persoonsgegevens waarschuwt ervoor dat biometrie niet te snel wordt ingevoerd. Waarom eigenlijk?

Zijn wachtwoorden straks overbodig?

Uit een Cisco-enquête onder 500 gebruikers bleek dat vingerafdrukken een populair alternatief zijn voor wachtwoorden. Meer dan de helft (55 procent) voelt zich op zijn gemak bij het gebruik van de vingerafdruk om toegang te krijgen tot een online account.
40 procent heeft niets tegen gezichtsherkenning. Sterker nog, bedrijven vervangen wachtwoordbeveiliging steeds vaker door andere beveiligingsmethoden. Dit geldt met name voor het gebruik van biometrie in de vorm van vingerafdrukken en gezichtsherkenning.

Smartphones en andere mobiele apparaten hebben functies voor inloggen via vingerafdruk of gezichtsherkenning direct aan boord. De registratie vindt dan ook frequent plaats wanneer medewerkers in het thuiskantoor zijn of onderweg werken.

Volgens een onderzoek van de FIDO Alliance onder 1.000 ondervraagde Europeanen, worden biometrische methoden niet alleen als handig beschouwd, maar ook als het veiligste type identiteitsverificatie. Veel studies gaan er dan ook van uit dat wachtwoorden nauwelijks een toekomst hebben; biometrie zal ze vervangen.

Zou de Dataprotectie daar niet blij mee moeten zijn als er zulke grote problemen zijn met voldoende sterke wachtwoorden? Ja en nee is het antwoord.

Wachtwoorden kunnen worden uitgewisseld, vingerafdrukken niet

Als bedrijven biometrische oplossingen willen gebruiken, vereist gegevensbescherming dat de risico’s zorgvuldig worden gecontroleerd. Daar zijn goede redenen voor: biometrische gegevens en hun analyse zijn zeer geschikt als identiteitsbewijs. Als biometrische gegevens echter in verkeerde handen vallen, kunnen deze worden gebruikt voor identiteitsdiefstal.

Als aanvallers wachtwoorden hebben gestolen, kunnen en moeten deze worden vervangen. Bij biometrische kenmerken zoals vingerafdrukken of het gezicht is het echter niet mogelijk om een ​​nieuwe, unieke identifier te kiezen. Je hebt maar één gezicht en een beperkt aantal vingertoppen.

Biometrische gegevens kunnen worden misbruikt

In tegenstelling tot een wachtwoord, dat, zoals bekend, niet aan de betreffende persoon mag worden gekoppeld, d.w.z. de naam bijvoorbeeld niet mag bevatten, hebben biometrische gegevens met de persoon te maken. Een gezichtsuitdrukking kan niet alleen worden gebruikt om een ​​persoon te identificeren. Verdere analyses zijn ook mogelijk, zo waarschuwt een studie van het EU-parlement. Dit zou het bijvoorbeeld gemakkelijker kunnen maken om de menselijke conditie van de persoon, zoals angst, vermoeidheid of ziekte, te identificeren, aldus het onderzoek.

Biometrie vereist een hoog beveiligingsniveau

Wilt u dus gebruik maken van het gemak van inloggen via gezichtsherkenning of vingerafdruk, dan moet u het proces extra goed beveiligen. Dit is wat de Autoriteit Persoonsgegevens wil waarborgen om misbruik te voorkomen. Om deze reden vereist Autoriteit Persoonsgegevens een controle voordat biometrie wordt ingevoerd – niet om wachtwoordproblemen te voorkomen, maar om de gegevens van de betrokken personen te beschermen.

Denkt u er daarom aan om, zelfs bij privégebruik van vingerscan en gezichtsherkenning, niet zomaar elke procedure uit te voeren. Als aanvallers uw biometrische monsters stelen, lopen uw particuliere en professionele toegangspunten gevaar als ze worden beschermd door biometrische gegevens.