de avg in een notendop: wie doet (én moet) wat?

-

Hoe vaak heb jij de afgelopen maanden ergens online je gegevens ingevuld? Ik gok: meer dan één keer. En hoeveel accounts heb je, je long forgotten Hyvespagina inbegrepen? Schrik niet, iederéén verspreidt online meer persoonlijke gegevens dan ‘ie denkt. Zeker nu onze smartphones ook nog eens constant verraden waar we ons op de aardbol bevinden, en wat we daar zoal doen. En dat is niet erg, zolang die data maar veilig wordt opgeslagen en integer gebruikt.

Op 25 mei treedt er een nieuwe wet in werking: de AVG. Die moet ervoor zorgen dat organisaties bewuster omgaan met persoonsgegevens, zodat de kans kleiner wordt dat bijvoorbeeld jouw naam en geüploade pasfoto in verkeerde handen vallen. In deze blog leg ik kort uit wat de AVG is, wat organisaties ermee moeten en welke rol we hier als dataspecialist in kunnen vervullen.

het werd ‘es tijd

AVG staat voor Algemene Verordening Gegevensbescherming. Het is de Nederlandse doorvertaling van een Europese privacyrichtlijn, de GDPR. En die is weer een update van de oude privacywet, die nog uit 1995 stamt. Voor je beeld: in dat jaar was de eerste uitzending van TMF, boekte Ajax nog buitenlands succes en zag je beginscherm er zo uit:

screenshot-windows-95

burgers worden baas over eigen data

Je snapt: de oude privacywet is verouderd, al zijn er tussentijds natuurlijk wel updates geweest. Bovendien kennen we in Nederland bijvoorbeeld de Wet bescherming persoonsgegevens uit 2001 en de cookiewet uit 2012. Toch is het tijd voor een upgrade. De belangrijkste verandering die eraan komt, is dat je als burger meer zeggenschap over je eigen data krijgt. Zo zijn organisaties verplicht om jouw gegevens te verwijderen als jij daarom vraagt. Ze moeten zelfs alle partners met wie ze je data hebben gedeeld, vragen om óók de ‘delete’-knop in te drukken. Je krijgt dus het recht om (digitaal) vergeten te worden. Waar je ook recht op hebt: ‘dataportabiliteit’. Dit betekent dat je je persoonsgegevens in een standaardformaat mag opvragen, zodat je ze makkelijk kunt doorgeven aan een andere leverancier van dezelfde soort dienst. Inderdaad, aan een concurrent dus.

dit moeten organisaties doen

Op organisaties die data verzamelen, beheren of gebruiken, heeft de AVG veel impact. Ze moeten niet alleen snel de persoonsgegevens van klanten kunnen optrommelen en eventueel verwijderen, maar ook bewuster omgaan met die data. In een formulier vragen naar leeftijd en geslacht, terwijl eigenlijk alleen het e-mailadres nodig is? Dat mag straks niet meer, want organisaties moeten voortaan kunnen verantwoorden waaróm ze bepaalde data bijhouden. Ook mogen gegevens niet langer worden bewaard dan nodig. Na een tijdje moeten ze worden vernietigd. In a nutshell: de AVG draait helemaal om een hogere privacy- en security-awareness bij datagedreven organisaties.

de rol van incentro

De AVG heeft ook invloed op Incentro. Want als IT-bedrijf met specialisaties in onder andere data warehousing, data analytics en data science, werken we met flinke bakken gegevens, afkomstig van uiteenlopende klanten. In principe zijn zij zelf verantwoordelijk voor de AVG-compliancy daarvan, maar we vinden het wel onze taak om kritisch en constructief mee te denken. Daarom spreken we duidelijk met onze klanten af welke gegevens we verzamelen en waarom, en wat een redelijke bewaartermijn is. Ook kunnen we regelen dat data na verloop van tijd automatisch vernietigd wordt. Daar bestaan allerlei handige software-oplossingen voor.

laatste loodjes

Ondertussen zijn we ook zelf hard bezig om straks 100% AVG-compliant te zijn. Gelukkig hoeven we ons privacy-roer er niet radicaal voor om te gooien, want de awareness waar de AVG om vraagt, zit zo’n beetje in ons DNA. We kennen de risico’s van dataopslag, en hebben hier heldere gedragscodes voor. Toch moeten we nog een aantal aanpassingen doen, net als de meeste andere bedrijven die veel met data in aanraking komen. Details, maar toch. Heb je vragen over ons avg-beleid? Stel ze gerust, we vertellen je graag waar we mee bezig zijn!