Specialize me -Privacy

Vooraf aan de les van privacy is ons aangeraden om het boek “Design My Privacy” van Tijmen Schep te lezen. Daarnaast moesten we ons ook inlezen over het onderwerp AVG. Het volgende is aan bod gekomen tijden de les privacy.

AVG
AVG staat voor Algemene verordening gegevensbescherming, sinds 25 mei 2018 is de AVG van toepassing door de hele Europese Unie.

De nieuwe AVG-wethouding zorgt ervoor dat de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier is geregeld. Alleen op basis van de volgende gronden mag je persoonsgegevens verzamelen:

  • Toestemming van de gebruiker
  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomt
  • Algemeen belang

10 stappen naar AVG
Om organisaties te helpen is er een rijtje met 10 belangrijke stappen gemaakt, die helpen met de voorbereiding op de AVG.
Stap 1: Bewustwording
Relevante mensen binnen een organisatie moeten op de hoogte worden gesteld van de nieuwe privacyregels.
Stap 2: Rechten van betrokkenen
Onder de AVG wet valt ook de “rechten van betrokkenen”, dit houdt in dat mensen meer mogelijkheid krijgen over hun eigen verwerkte persoonsgegevens. Volgens de wet moeten mensen op de volgende manier controle kunnen uitoefenen:

  • Het recht om je eigen gegevens in te zien
  • Het recht om je eigen gegevens te wijzigen
  • Het recht om vergeten te worden, het verwijderen van je gegevens
  • Het recht om gegevens over te dragen
  • Het recht op informatie

Stap 3: Overzicht verwerkingen
Volgens de AVG is het verplicht om gegevensverwerking in kaart te brengen. Er moet gedocumenteerd worden welke persoonsgegevens er verwerkt zijn en met welk doel, waar komen ze vandaan en met wie worden ze gedeeld?
Stap 4: Privacy impact assessment
Voor sommigen bedrijven en organisaties is het verplicht om een “Data Protection Impact Assesment” (DPIA) uit te voeren. Dit houdt in dat je vooraf de privacy risico’s van gegevensverwerking in kaart brengt, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Stap 5: Privacy by design & privacy by default
Privacy bij design houdt in dat je rekening houdt met het beschermen van de persoonsgegevens tijdens het ontwerpen van een product, vanaf de tekentafel. Dit is ook iets dat naar voren kwam tijdens het lezen van het boek “Design My Privacy”. Wij als creatieve technologen moeten, tot zekere hoogte, nadenken over hedendaagse privacyvraagstukken en hoe wij deze gegevens kunnen beschermen. In het boek beschrijft Tijmen Schep 8 principes voor een beter privacy design.

  1. Privacy first
  2. Denk eens ondeugend
  3. Verzamel zo min mogelijk data
  4. Bescherm je data
  5. Begrijp je data
  6. Open de black box
  7. Maak de gebruiker ontwerper
  8. Technologie is neutraal

Stap 6: Functionaris voor de gegevensbescherming
Onder de nieuwe wetgeving zijn sommigen organisaties verplicht om een functionaris voor de gegevensverwerking aan te stellen.
Stap 7: Meldplicht datalekken
Het is verplicht om datalekken te melden. Verder moeten datalekken gedocumenteerd worden, zodat er gecontroleerd kan worden of er aan de meldplicht voldaan is.
Stap 8: Bewerkersovereenkomsten
Wanneer een organisatie persoonsgegevens uitbesteedt aan een derde partij, dan moet er volgens de wetgeving een verwerkingsovereenkomst worden opgesteld. In de overeenkomst staan duidelijke afspraken tussen jou en de 3e partij die de gegevens verwerkt.
Stap 9: Leidende toezichthouder
Als een organisatie in meerdere EU-staten vestigingen heeft. Of gegevens verwerken die in meerdere lidstaten impact hebben. Dan hoeft er, volgens het AVG, nog maar met één privacy toezichthouder zaken gedaan te worden.
Stap 10: Toestemming Het is verplicht om nieuwe en bestaande klanten/ gebruikers op de hoogte te stellen van wat er gebeurt met hun persoonsgegevens. Dit wordt voornamelijk gedaan door een online privacyverklaring.

Na de les over “privacy” hebben we ook nog een workshop AVG gehad, waarbij we een privacyverklaring voor het bedrijf van onze opdrachtgever hebben gemaakt. En een privacyverklaring in het kader van de individuele TLE-projecten.

Na deze les over privacy heb ik onze interviewvoorbereidingen en testopzetten aangepast. Terugkijkend naar de interviewvragen zouden er onnodig veel persoonsgegevens verzameld worden, die niet relevant zijn voor ons project. Wij verzamelen met ons project geen persoonsgegevens, dit is een van de redenen waarom ik geen privacyverklaring heb opgesteld.