031 / Interne versus externe FG

Als externe functionaris gegevensbescherming zal ik natuurlijk meer argumenten voor de externe functionaris gegevensbescherming vinden dan tegen. Ik zal proberen gelijk ter zake te komen: het is gemakkelijker met de externe functionaris gegevensbescherming omdat de ervaring er is. Natuurlijk vereist de externe implementatie van de AVG een hoog niveau van kennis van bedrijfsprocessen, omdat elk bedrijf op de een of andere manier anders is.

Dat is wat DSBOK onderscheidt. Wij hebben branche-ervaring in bijna alle economische sectoren.

Werklast AVG in het bedrijf

De werkzaamheden voor de implementatie van de Algemene verordening gegevensbescherming (AVG) bestaat o.a. uit het opstellen van een register van verwerkingsactiviteiten, vastleggen van werkzaamheden en implementatie van de Verordening in de diverse bedrijfsprocessen. De functionaris gegevensbescherming, intern of extern, organiseert deze uitvoering en genereert dus interne tijdsbesteding. We maken daarbij onderscheid tussen opleidings- en implementatiekosten. (Bedenk: met een externe functionaris gegevensbescherming zijn er dus geen opleidingskosten van de persoon voor het bedrijf.)

Interne functionaris gegevensbescherming

Volgens onze berekeningen is de interne functionaris voor gegevensbescherming de moeite waard vanaf ongeveer 400 medewerkers. (Details van de rentabiliteitsberekening kunt u bij ons opvragen per e-mail: break-even-dsb@dsbok.de)

Interne kosten functionaris gegevensbescherming (voor bedrijven met 100-200 medewerkers)

De reguliere opleidingskosten voor een interne functionaris gegevensbescherming bedragen in het eerste jaar ongeveer 3.500 euro, de vervolgopleiding kost ongeveer 1.800 euro per jaar om te voldoen aan de wettelijke vereisten.

Daarnaast zijn er voor haar/hem de werktijden voor de interne implementatie van de AVG in het bedrijf, dus voor de bedrijf gerelateerde onproductieve uren. De inspanning is afhankelijk van het aantal medewerkers en ligt gemiddeld rond de 72 uur in het eerste jaar en 68 uur in het volgende jaar. Dit komt overeen met ongeveer 3.960 euro in het eerste jaar en ongeveer 3.740 euro elk volgend jaar (55 euro per uur verondersteld).

Hoewel de intern aangewezen functionaris gegevensbescherming vanwege zijn functie ontslagbescherming geniet, betekent de dubbele last van het implementeren van de vereisten van de AVG ook een verhoogde werkdruk voor 3-4 maanden per jaar, evenals wijzigingen in relevante IT-systemen of Cloud services of veranderingen in de wet.

Externe functionaris gegevensbescherming (voor bedrijven met 100-200 medewerkers)

De externe functionaris gegevensbescherming heeft ofwel een coördinator gegevensbescherming in het bedrijf nodig of bespreekt gegevensbeschermingskwesties rechtstreeks met de afdelingen. De prijs van een externe functionaris gegevensbescherming hangt af van deze twee factoren.

Kosten van externe functionaris voor gegevensbescherming

Een externe functionaris gegevensbescherming kost in het eerste jaar van samenwerking (afhankelijk van de omvang van de gegevensverwerking) minder dan een interne functionaris gegevensbescherming; ongeveer 4.350 euro in het eerste jaar; In de jaren daarna zijn de kosten met zo’n 2.560 euro ook beduidend lager.
> Vraag hier uw offerte voor een externe functionaris gegevensbescherming aan.

(Een andere mogelijkheid is dat de externe functionaris gegevensbescherming een interne functionaris gegevensbescherming ondersteunt in zijn taken bij de implementatie. Om een beeld te krijgen hoe dat in zijn werk gaat (financieel en organisatorisch), kunt u het beste met mij hierover contact opnemen. )

Ook zijn de interne uitvoeringskosten bij de inzet van een externe functionaris gegevensbescherming lager doordat het proces meer op ervaring is afgestemd.

De kosten voor een functionaris gegevensbescherming in het volgende overzicht hebben betrekking op bedrijven met 100-200 werknemers:

Vergelijken interne / externe functionaris gegevensbescherming:

1ste jaarvolgende jaren
Interne FG opleiding3.500 euro1.800 euro
Interne FG tijdbesteding3.960 euro3.740 euro
Gezamenlijke kosten7.460 euro5.540 euro
Externe FG4.320 euro2.560 euro
Inzet tijd intern met een CG* 1.800 euro600 euro
Gezamenlijke kosten6.120 euro3.160 euro
Het vergelijken FG en externe FG1ste jaarvolgende jaren
Interne FG7.460 euro5.540 euro
Externe FG6.120 euro3.160 euro
Afkortingen:
* (FG= Functionaris gegevensbescherming)
* (CG: Coördinator gegevensbescherming intern)

Calculatie Functionaris gegevensbescherming intern/extern

030 / Compensatie voor inbreuken op uw gegevensbescherming

Schendingen van de gegevensbescherming leiden al snel tot schadeclaims. Reden genoeg om de regels van gegevensbescherming zeer serieus te nemen.

€ 2.000 compensatie voor pijn en lijden is geen geringe zaak

Een Duits voorbeeld van dit jaar (maar zeker ook representatief voor Nederland): iedereen die op zijn werk e-mails verstuurt, moet de regels van het spel van gegevensbescherming kennen die van toepassing zijn. En: uiterst zorgvuldig werken is geboden! Dat had de medewerker van een zorgverzekeraar ter harte moeten nemen. Want vanwege een niet zo grote inbreuk op de gegevensbescherming moet zijn werkgever nu € 2.000,- schadevergoeding betalen voor pijn en lijden.

“Foutverzendingen” gebeuren heel snel met e-mails

Mails zijn sneller dan brieven en ook nog eens goedkoper. Dit geldt echter alleen als de e-mail naar het juiste adres gaat. Een “verkeerde bezorging” op het verkeerde adres kan voor behoorlijk wat problemen zorgen. Precies zo’n storing onderging de medewerker van een zorgverzekeraar.

Een medewerker maakt een fout in het e-mailadres

Een klant belde hem en vroeg hem haar de inhoud van haar gezondheidsdossier van de afgelopen drie jaar te sturen (zie hierover bijv. Art 15 van de AGV). De medewerker vroeg de klant of het ok was om het per e-mail te verzenden. De klant had eerst bedenkingen, maar uiteindelijk stemde ze toe.

Het was haar duidelijk dat ze een onversleutelde e-mail zou ontvangen. Ze vroeg om de documenten naar het e-mailadres “P1@abcdef.nl” te sturen. De medewerker schreef echter per ongeluk naar “P2@abcdef.nl”.

Natuurlijk verontschuldigt hij zich bij de klant

Pas toen de klant drie dagen later vroeg waar de post met haar documenten was, werd de storing opgemerkt. De bediende verontschuldigde zich bij de klant. Hij informeerde ook zijn superieuren. Er was geen economische schade, uiteindelijk is er “niets gebeurd”. Een paar maanden later nam een ​​medewerker van de zorgverzekeraar contact op met het bedrijf, dat in de twee e-mailadressen verborgen zit achter de domein afkorting “abcdef”. Het bedrijf “abcdef” verzekerde dat het e-mailaccount “P2@abcdef.de” nooit was gebruikt. Het e-mailadres is nu op verzoek verwijderd.

De klant vraagt ​​€15.000 en krijgt €2.000

Niettemin eiste de getroffen klant compensatie voor pijn en lijden. Haar idee: € 15.000,- plus juridische kosten natuurlijk. Het Rechtbank verminderde de verwachtingen van de klant aanzienlijk. De rechtbank kende haar echter een schadevergoeding van € 2.000 toe.

Het gaat om het balanceren van zorgen en angsten

Volgens de rechtbank moet de vergoeding de klant compenseren voor de zorgen en angsten waar zij last van heeft. Ze verloor immers maandenlang de controle over gevoelige gezondheidsgegevens. Bovendien waren sommige van deze gegevens zelfs extreem intiem (zie hierover bijv. Art. 9 van de AVG).

Op een fout wijzen helpt niet, het feit dat de medewerker duidelijk “slechts” een fout maakte, hielp niet. De rechtbank ging daar niet eens in detail op in. Het verklaarde eenvoudig dat het verzenden naar het verkeerde e-mailadres in strijd was met de gegevensbescherming.

Hoewel de klant ermee instemde dat de post werd verzonden, maar natuurlijk alleen naar het juiste e-mailadres. Aangezien de medewerker een ander e-mailadres gebruikte, blijft het zo dat er sprake was van een inbreuk op de gegevensbescherming.

Aandacht besteden aan gegevensbeschermingstraining is zinvol

De casus herinnert eraan dat privacytraining zeer zorgvuldig moet worden gevolgd. Zijn er misschien gegevens die helemaal niet per e-mail moeten worden verzonden? Hoe zorg ik ervoor dat het e-mailadres echt klopt? Als u hier goed op let en vragen stelt, beschermt u uw bedrijf tegen schadeclaims en uzelf tegen problemen!

Brievenpost kan net zo riskant zijn

Omdat alles via de e-mail zo drastisch mis was gegaan, stuurde de zorgverzekeraar de klant uiteindelijk de gevraagde documenten per brief. Begrijpelijk, want in dit geval hadden beide partijen genoeg van e-mails. Bedenk daarom: verkeerde adressering komt ook voor bij brieven, en niet zo zelden. Ook dan is een vergoeding verschuldigd!

Er hangt in ieder geval nog een waarschuwing in lucht

De zorgverzekeraar moet de € 2.000 betalen, niet de medewerker persoonlijk. Of zijn werkgever verhaal op hem kan nemen, hangt af van de regels van het arbeidsrecht. Aangezien de medewerker “slechts” onzorgvuldig heeft gehandeld, hoeft hij zijn werkgever waarschijnlijk niet terug te betalen.

Een officiële waarschuwing voor deze medewerker zou altijd terecht zijn. Als er in het verleden andere overtredingen zijn geweest, is beëindiging van zijn contract ook een optie… (maar dat is een beoordeling op een ander traject).

028 / Recht op informatie bij rekeningafschriften?

Het recht op inzage is misschien wel het belangrijkste recht in de Algemene Verordening Gegevensbescherming (AVG). Maar zelfs dit recht heeft grenzen. Dit kan heel mooi worden weergegeven aan de hand van het voorbeeld van bankafschriften.

Het recht op informatie is erg belangrijk

Zoals bekend heeft een betrokkene recht op informatie over alle gegevens die hem betreffen. Het is ook duidelijk hoe belangrijk dit recht is. Pas als iemand weet of een bedrijf gegevens over hem verwerkt, kan hij controleren of alles in orde is.

Dit alles is geregeld in artikel 15 van de AVG. Ook is daar bepaald dat een betrokkene “een kopie van de persoonsgegevens” kan opvragen. Deze formulering leidde tot een geschil tussen een bank en een van haar klanten.

Het eerste exemplaar is gratis

De klant had zijn rekeningafschriften uiteraard correct ontvangen. Hij heeft echter de afschriften kwijtgemaakt. Dit bracht hem op het idee om zijn bank nogmaals om een ​​kopie van deze bankafschriften te vragen. In zijn gedachten zou het voor hem gratis moeten zijn. Artikel 15 van de AVG stelt immers ook dat de eerste kopie van gegevens gratis is. Alleen verdere kopieën mogen iets kosten.

De bank deed niet mee, maar…

De bank stond dit idee echter niet aan. Het ging haar waarschijnlijk minder om die ene specifieke klant. Ze was eerder bang om in de toekomst met dergelijke verzoeken te worden geconfronteerd. Al met al zou dat best duur voor haar zijn. Daarom wees ze het verzoek van de klant af.

De klant wilde het niet loslaten en legde het voor advies voor bij de desbetreffende onafhankelijke toezichthouder die de bescherming van persoonsgegevens bevordert en bewaakt. Uit dit resulteerde een interessant oordeel: “ja, maar…”

Het “ja” betekent dat de grote klant zijn bank daadwerkelijk kan vragen om een ​​gratis overzicht van de geldtransacties op zijn rekening. Dit vloeit voort uit de volgende overwegingen:

  • De rekeningbewegingen zijn persoonsgegevens. Omdat ze betrekking hebben op de persoon van de klant.
  • Dit betekent dat de bankcliënt recht heeft op informatie over deze rekeningbewegingen.

De bank moet deze gegevens gratis verstrekken. Iets anders zou alleen van toepassing zijn als de klant meerdere keren om één en dezelfde aanbieding vraagt ​​zonder dat daar een begrijpelijke reden voor is.

Er is echter geen recht op kopieën van “oude” rekeningafschriften

Het “maar” volgt echter direct: de bankcliënt kan niet eisen dat de bank een overzicht van rekeningtransacties in de vorm van rekeningafschriften aanlevert. In plaats daarvan kan ze een tabel met rekeningverplaatsingen voor hem achterlaten.

De motivatie:

  • Rekeningafschriften zijn een speciaal voorbereide vorm van rekeningverplaatsingen.
  • Het recht op informatie geeft een bankcliënt niet het recht om op deze manier opgestelde rekeninggegevens te ontvangen.
  • De bank heeft aan haar verplichting voldaan als zij de gegevens in een geordende vorm, zoals een spreadsheet, aan hem ter beschikking stelt.
  • Alles wat verder gaat is een dienst die niets te maken heeft met het recht op informatie onder de AVG.
  • Of de bank een dergelijke dienst überhaupt aanbiedt, is voor hen evenzeer een zaak als de vraag of zij er een speciale vergoeding voor vragen.

Geen trucs!

Alles moet echter eerlijk en zonder trucs zijn. De bank kan dus ook aan het informatierecht van de cliënt voldoen door hem kopieën van zijn “oude” rekeningafschriften te verstrekken. Zij mag dan echter geen kosten van hem verlangen. Het is daarom noodzakelijk om onderscheid te maken:

  • Als de bank uit eigen beweging informatie verstrekt door kopieën van “oude” rekeningafschriften aan de klant ter beschikking te stellen, kan zij daar niets voor terugvragen.
  • Als zij de gegevens echter daadwerkelijk in een andere vorm wil aanleveren, bijvoorbeeld als tabel, en vervolgens op uitdrukkelijk verzoek van de klant kopieën van de eerdere opgaven verstrekt, kan zij dit laten vergoeden.

De klant kan geen verwerking van gegevens vragen

Het is alleen belangrijk dat hij volledige informatie krijgt. Indien dit het geval is, kan hij geen bijzondere verwerking van die gegevens verlangen. De klant heeft dus geen recht op een door hem zelf bepaalde vorm/verwerking van informatie, als deze afwijkt van de verstrekte “basisvorm” van de te verstrekken informatie.


Wilt u hier meer over weten? Voor verdere informatie over dit item kunt u met mij gerust contact opnemen: stel uw vraag(en) en ik neem spoedig met u contact op.

026 / Privé PC’s als noodstrategie: homecomputer vs zaken laptop

Als de bedrijfscomputer opeens niet meer werkt: privé pc of laptop als noodstrategie?

De door de werkgever ter beschikking gestelde computer start niet op. Maar dringend projectwerk laat op zich wachten. De gedachte om het privé notebook te gebruiken komt al snel op. Het is een noodgeval. Maar is het AVG correct qua gegevensbescherming?

Wanneer er haast is

Hoe kan het anders zijn? Het concept zou om elf uur bij het afdelingshoofd moeten zijn, maar de pc die de werkgever voor het thuiswerken heeft voorzien start niet op. Nog maar twee uur tot de levering…

Het gebruik van privé-IT-apparaten bij het thuiswerken is eigenlijk niet toegestaan. De werkgever heeft daarom extra speciale pc’s aangeschaft en bij de werknemers thuis laten bezorgen. Maar nu is er een soort noodsituatie ontstaan: de bedrijfscomputer wil niet, dus je zou het privé apparaat kunnen gebruiken. Dat is tenminste het idee dat bij me opkomt. “Het privé notebook was tenslotte duur, het is zeer professioneel, moet ik zeggen…”

De pc-aanval en de gevolgen

Als je gewoon je eigen notebook gebruikt om het concept te voltooien, haal je misschien de deadline voor indiening, maar je overtreedt de richtlijnen die de werkgever heeft gesteld voor thuiswerken.

Ga er niet vanuit dat een “deadline” alle middelen rechtvaardigt. Het concept kan op tijd bij het afdelingshoofd zijn. Maar het vertrouwelijke concept met de klantgegevens kwam op een privéapparaat terecht. Ze hebben het daar bewerkt en vanaf daar gemaild.

De werkgever verbood het gebruik van het privétoestel niet zomaar. Daar zijn goede redenen voor. De werkgever heeft geen overzicht van:

  • of de privé notebook is voorzien van alle updates,
  • of de beveiligingssoftware voldoet aan de eisen,
  • of de e-mail beveiligd is verzonden,
  • of bijvoorbeeld de privé notebook zo is ingesteld dat alle bestanden erop automatisch worden overgebracht naar een cloud voor gegevensback-up, die niet voldoet aan de vereisten voor gegevensbescherming.

Vraag eerst en zorg voor bescherming

Iedereen die zonder overleg afwijkt van de veiligheidsrichtlijnen van de werkgever moet op problemen rekenen, ook als het een urgent begrip is en als je een uitzondering wilt maken voor een calamiteit.

Bescherm uzelf altijd en vraag uw leidinggevenden of u in uitzonderlijke gevallen uw privétoestel mag gebruiken. Maar denk dan ook eens aan het beveiligen van de data.

Zo mag de werkgever het zakelijk gebruik van eigen (home) apparatuur, ook wel BYOD (Bring-Your-Own-Device) genoemd, alleen goedkeuren als de beveiligings- en gegevensbeschermingsmaatregelen voor het apparaat correct zijn. Hetzelfde hoge beveiligingsniveau moet gelden als bij het gebruik van de bedrijfs-pc.

Als de werkgever de uitzondering goedkeurt, moeten alle beschermende maatregelen worden genomen om de toegang tot het bedrijfsnetwerk te beveiligen en ervoor te zorgen dat er geen bedrijfsgegevens achterblijven op privé-apparaten.

Als de uitzondering niet de regel is

Als de werkgever je eenmaal toestemming heeft gegeven om je privé apparaat te gebruiken, mag dit echter geen regel worden omdat je liever met bijvoorbeeld je privé-notebook werkt.

025 / Wie heeft een FG nodig?

Veel bedrijven stellen zichzelf deze vraag. Helaas is het antwoord niet 100% duidelijk, zelfs niet wanneer de juridische teksten worden geraadpleegd, althans niet in het geval van kleinere bedrijven. Ik doel hier uitsluitend op de regelgeving vanaf 25.5.2018 en niet-overheidsinstanties.

In het algemeen is het aanstellen van een functionaris gegevensbescherming gangbaar voor bedrijven die doorgaans* meer dan 20 personen in dienst hebben (inclusief uitzendkrachten) die betrokken* zijn bij het verzamelen, verwerken of gebruiken van (bijzondere categorie) persoonsgegevens (Art 9 van de AVG) in een geautomatiseerde (computer)verwerking. Bedenk: in veel personeelsdossiers worden juist die bijzondere categorieën persoonsgegevens verwerkt.

Als de verantwoordelijke of de verwerker een verwerking van persoonsgegevens uitvoert die onderworpen is aan een GEB (*zie onder) of als u persoonsgegevens commercieel verwerkt met het oog op doorgifte, anonieme verzending of met het oog op markt- of opinieonderzoek, heeft u een (functionaris) gegevensbeschermingsverklaring nodig, ongeacht het aantal werknemers. (AVG art. 37). M.a.w. u zult een Fg moeten aanstellen.

Wat betekent dat concreet?

Aangezien persoonsgegevens bijna overal in bedrijven worden verwerkt en in de meeste bedrijven alle werknemers toegang hebben tot computers, zou elk bedrijf met meer verwerkingen van persoonsgegevens een functionaris gegevensbescherming moeten aanstellen. Bedenk: zelfs een klantenkaart bevat gegevens zoals naam, adres, telefoonnummer en gedetailleerde informatie over projecten, vertegenwoordigt persoonlijke gegevens.

Maar hoe zit het met bedrijven met 2, 3 of 4 medewerkers?

Het antwoord ligt in de vraag of er in het bedrijf voorbereidende werkzaamheden op de loonadministratie worden verricht. Dit betekent dat er bijzondere persoonsgegevens van de werknemers zijn, die meestal worden doorgegeven aan de belastingadviseur of de salarisadministratie. In ieder geval zou een gegevensbeschermingseffectbeoordeling vereist zijn en daarom de aanstelling van een functionaris gegevensbescherming noodzakelijk.

Veel kleinere bedrijven zullen waarschijnlijk wachten tot de eerste boetes worden uitgedeeld. Experts vermoeden dat juist het uitblijven van de aanstelling van de functionaris voor gegevensbescherming de belangrijkste reden voor boetes zal zijn.

Twijfel: doe de AVG check

Als u niet zeker weet of u een functionaris gegevensbescherming voor uw bedrijf moet aanstellen, gebruik de AVG-check.

Klik hieronder en neem de test:


Een GEB | gegevensbeschermingseffectbeoordeling is een hulpmiddel om gegevensbeschermingsrisico’s te identificeren voordat persoonsgegevens worden verwerkt. Naar aanleiding van deze GEB kunnen vervolgens (aanvullende) maatregelen worden genomen om de gegevensbeschermingsrisico’s te verkleinen. In het Engels wordt een GEB een “Data Protection Impact Assessment” (DPIA) genoemd.

* Doorgaans: het is al voldoende als een persoon regelmatig (“niet incidenteel”) verwerkingstaken uitvoert die zich af en toe voordoen volgens hun functiebeschrijving of het organisatieplan van de verantwoordelijke instantie en deze taak niet vanaf het begin uitvoert voor een korte periode, bijvoorbeeld als vervanging voor vakantie .

* Wat betekend “betrokken bij” : doorslaggevend voor tewerkstelling in die zin, is dat de persoon taken uitvoert die verband houden met de verwerking van persoonsgegevens. Het gaat dus niet alleen om vaste medewerkers als onderdeel van het personeelsbestand, maar ook om uitzendkrachten, stagiaires, stagiaires, stagiaires, vrijwilligers of zelfs de directeur zelf.

024 / Wat is de AVG?

Afkorting AVG dat staat voor…?

De AVG | Algemene verordening gegevensbescherming is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Oorspronkelijk gepubliceerd op 27 April 2016. Van toepassing vanaf 25 mei 2018! In deze AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. (Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp)).

In het kort: De Algemene Verordening Gegevensbescherming is vastgesteld om natuurlijke personen te beschermen bij het verwerken van persoonsgegevens en om het vrije verkeer van persoonsgegevens te waarborgen (AVG / artikel 1, 2 en 3).

Wat zijn nu persoonsgegevens?

Lees hier wat er precies wordt bedoeld met “persoonsgegevens

De verwerking zelf is geregeld in artikel 2, eerste lid: “Volledig en gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgeslagen in een bestandssysteem of bestemd zijn om in een bestandssysteem te worden opgeslagen”.

(Dit suggereert nu dat de klassieke dossiers (bedrukt papier) hiervan uitgesloten zijn. Helaas is dat niet het geval.)

Dit zou in wezen duidelijk maken wat er op het spel staat, maar op wie heeft dit precies betrekking? Misschien is het makkelijker om te omschrijven voor wie het niet geldt:

  • Activiteiten die niet binnen het kader van de Unie vallen
  • Activiteiten van natuurlijke personen om uitsluitend persoonlijke of familiale activiteiten te verrichten
  • Autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of handhaving, met inbegrip van de bescherming tegen en het afwenden van bedreigingen voor de openbare veiligheid.

Concreet betekent dit dat strikte naleving van de AVG gevolgen heeft voor bedrijven, gemeenten, organisaties, commerciële personen, artsen en zelfs verenigingen.

Bijzondere categorieën “Persoonsgegevens”

Bijzonders streng zijn de voorschriften voor het hanteren van gegevens volgens AVG-artikel 9: het gaat daar specifiek om persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijkt, evenals de verwerking van genetische of biometrische gegevens, gezondheidsgegevens of gegevens over het seksleven of seksuele geaardheid).  Bedenk: als werkgever met werknemers, worden sommige van deze gegevenscategorieën in de verwerkingen toegepast.

Naar mijn mening zou elk bedrijf dat loongegevens en dergelijke beheert en verwerkt, gewoon moeten doen wat hen aan de “veilige kant” plaatst: een externe functionaris voor gegevensbescherming inschakelen om de vereisten (inclusief AVG-artikel 9) te controleren en uit te voeren. (Voor kleine bedrijven hoeft dit niet echt duur te zijn.)

Ik mijn volgende blog ga ik in op de vraag wie er nu een FG daadwerkelijk nodig heeft…


Verdere informatie kunt u vinden op de site van de Autoriteit Persoonsgegevens.

• Wat is het verschil tussen een wet en een verordening? Lees hier verder.

022 / Gezichtsherkenning, vingerscan & co.: handig, maar niet zonder risico

U moet wachtwoorden onthouden, niet uw vingerafdrukken.

Biometrische methoden zijn navenant populair bij het registreren voor apparaten en applicaties. Maar Autoriteit Persoonsgegevens waarschuwt ervoor dat biometrie niet te snel wordt ingevoerd. Waarom eigenlijk?

Zijn wachtwoorden straks overbodig?

Uit een Cisco-enquête onder 500 gebruikers bleek dat vingerafdrukken een populair alternatief zijn voor wachtwoorden. Meer dan de helft (55 procent) voelt zich op zijn gemak bij het gebruik van de vingerafdruk om toegang te krijgen tot een online account.
40 procent heeft niets tegen gezichtsherkenning. Sterker nog, bedrijven vervangen wachtwoordbeveiliging steeds vaker door andere beveiligingsmethoden. Dit geldt met name voor het gebruik van biometrie in de vorm van vingerafdrukken en gezichtsherkenning.

Smartphones en andere mobiele apparaten hebben functies voor inloggen via vingerafdruk of gezichtsherkenning direct aan boord. De registratie vindt dan ook frequent plaats wanneer medewerkers in het thuiskantoor zijn of onderweg werken.

Volgens een onderzoek van de FIDO Alliance onder 1.000 ondervraagde Europeanen, worden biometrische methoden niet alleen als handig beschouwd, maar ook als het veiligste type identiteitsverificatie. Veel studies gaan er dan ook van uit dat wachtwoorden nauwelijks een toekomst hebben; biometrie zal ze vervangen.

Zou de Dataprotectie daar niet blij mee moeten zijn als er zulke grote problemen zijn met voldoende sterke wachtwoorden? Ja en nee is het antwoord.

Wachtwoorden kunnen worden uitgewisseld, vingerafdrukken niet

Als bedrijven biometrische oplossingen willen gebruiken, vereist gegevensbescherming dat de risico’s zorgvuldig worden gecontroleerd. Daar zijn goede redenen voor: biometrische gegevens en hun analyse zijn zeer geschikt als identiteitsbewijs. Als biometrische gegevens echter in verkeerde handen vallen, kunnen deze worden gebruikt voor identiteitsdiefstal.

Als aanvallers wachtwoorden hebben gestolen, kunnen en moeten deze worden vervangen. Bij biometrische kenmerken zoals vingerafdrukken of het gezicht is het echter niet mogelijk om een ​​nieuwe, unieke identifier te kiezen. Je hebt maar één gezicht en een beperkt aantal vingertoppen.

Biometrische gegevens kunnen worden misbruikt

In tegenstelling tot een wachtwoord, dat, zoals bekend, niet aan de betreffende persoon mag worden gekoppeld, d.w.z. de naam bijvoorbeeld niet mag bevatten, hebben biometrische gegevens met de persoon te maken. Een gezichtsuitdrukking kan niet alleen worden gebruikt om een ​​persoon te identificeren. Verdere analyses zijn ook mogelijk, zo waarschuwt een studie van het EU-parlement. Dit zou het bijvoorbeeld gemakkelijker kunnen maken om de menselijke conditie van de persoon, zoals angst, vermoeidheid of ziekte, te identificeren, aldus het onderzoek.

Biometrie vereist een hoog beveiligingsniveau

Wilt u dus gebruik maken van het gemak van inloggen via gezichtsherkenning of vingerafdruk, dan moet u het proces extra goed beveiligen. Dit is wat de Autoriteit Persoonsgegevens wil waarborgen om misbruik te voorkomen. Om deze reden vereist Autoriteit Persoonsgegevens een controle voordat biometrie wordt ingevoerd – niet om wachtwoordproblemen te voorkomen, maar om de gegevens van de betrokken personen te beschermen.

Denkt u er daarom aan om, zelfs bij privégebruik van vingerscan en gezichtsherkenning, niet zomaar elke procedure uit te voeren. Als aanvallers uw biometrische monsters stelen, lopen uw particuliere en professionele toegangspunten gevaar als ze worden beschermd door biometrische gegevens.