Blijk van goede intentie voorkomt problemen met AVG

21 november 2018

De AVG, algemene verordening gegevenbescherming, is vanaf 25 mei 2018 van kracht. De AVG is het EU-antwoord op de ongebreidelde dataverzameling van grote bedrijven en het beschermen van de persoonlijke gegevens van de EU-burger. Kleine organisaties krijgen te maken met de AVG. Niet altijd is even duidelijk wie voor wat een verantwoordelijkheid draagt wanneer het gaat om gegevensbescherming. Voorlichting is dan nodig.

De AVG leidde voor kleine organisaties als Mira Media tot het niet doorgaan van mediaprojecten. 18nov-avgOuders moesten bijvoorbeeld een AVG-formulier ondertekenen waarmee ze toestemming gaven om het beeldmateriaal te gebruiken voor specifieke doeleinden. Toch schrok een aantal ouders daarvoor terug en ouders besloten niet het formulier te onderteken. Een andere organisatie verzamelt via vragenlijsten data van jongeren.
Hoe krijg je de persoonlijke gegevens privé? Philippine Waisvisz is promotie-onderzoeker en consultant en geeft voorlichting over het gebruik van de AVG: 'Het uitgangspunt is dat je als verantwoordelijke organisatie geen problemen wilt veroorzaken voor een ander, de gewone meneer of mevrouw. Je moet hun gegevens beschermen tegen commerciële mensen of hackers die met data aan de slag gaan.'

Overbodige dataverzameling
De basis van de AVG is het beschermen van de EU-burger, aldus Waisvisz. De achtergrond van de AVG is: pak luie en foute bedrijven aan. Beperk de datahonger van bedrijven want alle bedrijven worden gehackt. Stel dat je als organisatie gehackt wordt en je hebt allerlei gegevens die je niet eens nodig had, en waardoor je hierdoor andere mensen nu in problemen hebt gebracht? Overbodige data kan om iets simpels gaan als het opslaan van een verjaardagsdatum. Vraag je als organisatie af hoe noodzakelijk het hebben van de verjaardagsdatum is voor je onderzoek of je project?
Grote bedrijven als ING en AH werden geconfronteerd met inefficiënte datahonger, vertelt Waisvisz. In 2013 bijvoorbeeld was de database van AH niet goed beschermd en bleek hij te veel onnodige data te bevatten. Een nieuwe database moest uiteindelijk worden opgezet en een nieuwe bonuskaart ingevoerd. De informatie die het gebruik van de bonuskaart genereert kan ver gaan. Zo bleek dat als de pampers in de bonus zijn, er meer Hoegaarden wordt gekocht ... Waarom? Omdat de vaders op stap worden gestuurd om de pampers te kopen, en zij en passant bier kopen.

Ongeparfumeerde bodylotion
Waisvisz geeft nog een voorbeeld van vergaande gecombineerde data en een ongewenste onthulling. 18nov-avgpriveEen tienerdochter kreeg een aanbieding voor luiers. De ouders vonden dit vreemd. Waarom krijgt hun dochter zo'n aanbieding? De tienerdochter bleek altijd bodylotion bij dat bedrijf te kopen, maar deze keer ongeparfumeerde bodylotion. Dit gebeurt echter meestal als een vrouw zwanger is. De data vermoedden dus een zwangerschap. Data kunnen tot voorbarige conclusies leiden en soms met verstrekkende gevolgen: bijvoorbeeld niet in aanmerking komen voor een hypotheek omdat je volgens data misschien homo bent of in de verkeerde, arme wijk woont.
Databases mogen overigens niet zo maar gekoppeld worden: gegevens van scholieren combineren met een database over T-shirts mag niet. Beide databases hebben een eigen doel waarvoor ze zijn opgezet en daar mogen ze alleen voor gebruikt worden.

Tips & trics
Pseudonimiseren en anonimiseren zijn manieren om de persoonlijke gegevens te beschermen, aldus Waisvisz. Gegevens moeten in principe niet teruggeleid kunnen worden naar een individu, zeker niet een minderjarig individu. Bij pseudonimiseren heeft één persoon de sleutel van de gegevens: nummer 123 is gekoppeld aan een specifiek persoon. Let op waar je je data opslaat. Er bestaan wel behoorlijk veilige cloud-aanbieders. Het grote risico ligt vooral bij online data-opslag bij platforms als Dropbox, Evernote waar kleinere organisaties juist gebruik van maken. Voor het beschermen van je data is verder een goed wachtwoord nodig: een goed wachtwoord is lang, bijvoorbeeld de eerste zin van een kinderliedje.

Waisvisz noemt 'privacy by design' als manier om verantwoord een datasysteem op te zetten met in 18nov-avgbedrijfachtneming van de privacy. Het betekent dat je alle stappen tijdens het opslaan van gegevens goed doorloopt. Welke stappen doe je, waarom en bij elke stap moet je zo min mogelijk datarisico lopen. 'Het beschermen van privégegevens moet je vanaf het begin van de bouw van een datasysteem in de gaten houden.' Het gaat dan niet over bijvoorbeeld het opslaan van gegevens van bedrijven, maar wel over bijvoorbeeld de verjaardag van de directeur. Daar moet je dan toestemming voor vragen als je die wilt opnemen. Bij een zakelijke bemiddeling geldt de AVG overigens niet. Dus je kunt het 06-nummer van een school doorgeven aan een bedrijf.

De AVG geldt voor de EU-burger ook over de EU-grenzen heen en gaat om burgers te beschermen tegen bedrijven. Waisvisz: 'Belangrijk bij de AVG is de blijk van goede intentie. Als je goed gedocumenteerd hebt waarom je bepaalde data hebt verzameld en je hebt je laptop c.q. computer goed beveiligd, je informatie heeft encryptie, en je kunt aantonen hoe jij je best hebt gedaan om veilig te werken, dan voorkom je veel problemen.'

Meer info: autoriteitpersoonsgegevens.nl

« terug