Organisaties en bedrijven die persoonsgegevens hebben, moeten daar voorzichtig mee zijn. Zo moeten zij het melden als er persoonsgegevens gestolen zijn of per ongeluk openbaar gemaakt. Iedereen kan organisaties erop wijzen dat zij zich aan de Algemene verordening gegevensbescherming (AVG) moeten houden.
Deze term omvat elke entiteit die betrokken is bij economische activiteiten, ongeacht de juridische status of financiering. Het omvat overtredingen zoals: Het niet implementeren van controles en organisatorische maatregelen . Het niet naleven van verplichtingen inzake datalekken. Het niet aanstellen van een functionaris voor gegevensbescherming.
Vooral over misbruik van hun identiteitsbewijs, het volgen van hun online zoekgedrag en wifitracking. Bij persoonsgegevens gaat het om informatie die ofwel direct over iemand gaat, ofwel indirect naar deze persoon te herleiden is. Bijvoorbeeld door meerdere persoonsgegevens met elkaar te combineren.
U wilt een tip of klacht indienen bij de Autoriteit Persoonsgegevens (AP). Dat betekent dat u iets heeft meegemaakt of dat u vermoedt dat een persoon of organisatie zich niet aan de privacywetgeving houdt. Goed dat u hier iets aan wilt doen.
De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Deze regels gelden in de hele Europese Economische Ruimte (EER).
De AVG gaat over 'persoonsgegevens'. Alle gegevens die tot een persoon herleidbaar zijn, vallen in de categorie persoonsgegevens. Gecodeerde of gepseudonimiseerde persoonsgegevens zijn ook persoonsgegevens en vallen onder de AVG.
Persoonsgegevens waaruit ras of etnische afkomst blijkt; Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken; Gegevens over gezondheid; Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Voor bijzonder ernstige overtredingen, opgesomd in art. 83(5) AVG, kan het boetekader oplopen tot 20 miljoen euro of, in het geval van een onderneming, tot 4% van de totale wereldwijde omzet van het voorafgaande boekjaar, afhankelijk van welk bedrag het hoogst is .
De regels liggen vast in de Algemene verordening gegevensbescherming (AVG). Wie die regels overtreedt, kan een boete krijgen. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.
Als u er samen met de organisatie niet uitkomt, kunt u een klacht indienen bij het Informatie- en Meldpunt Privacy van de Autoriteit Persoonsgegevens (AP). U kunt er ook voor kiezen de AP te informeren (te tippen) over een vermoeden van privacyschending.
Voorbeelden: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken en IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens. Het term datasubject wordt gebruikt voor de persoon van wie gegevens worden verzameld, bewerkt, gebruikt en verspreid.
Op niet-naleving van de meldplicht staat een maximale boete van 10 miljoen euro (of 2% van de wereldwijde jaaromzet). Een datalek dat ten onrechte niet gemeld wordt aan de toezichthouder én niet gemeld wordt aan de betrokkenen terwijl dat wel had gemoeten, kan twee overtredingen (boetes) opleveren.
Kan een individu een boete krijgen onder de AVG? Ja . De AVG is van toepassing op de verwerking van persoonsgegevens “geheel of gedeeltelijk met geautomatiseerde middelen en op de verwerking anders dan met geautomatiseerde middelen van persoonsgegevens die deel uitmaken van een bestand of die bestemd zijn om deel uit te maken van een bestand”.
Volgens de wet moet u een inbreuk op persoonlijke gegevens zonder onnodige vertraging (als het de drempel voor melding haalt) en binnen 72 uur melden bij de ICO . U hoeft het misschien niet te melden, maar u kunt toch een logboek bijhouden om vast te leggen wat er is gebeurd, wie erbij betrokken is en wat u eraan doet.
De AVG kent betrokkenen een aantal rechten toe, zoals het recht op inzage en het recht op verwijdering. Bij een privacy schending kunnen betrokkenen deze rechten uitoefenen (bijvoorbeeld onrechtmatige gegevensverwerking door een bedrijf of overheid), maar soms ook als de privacy niet is geschonden.
Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd. Inbreuk op de integriteit: persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is.
In de Algemene verordening gegevensbescherming (AVG) staat als definitie voor persoonsgegevens: 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon'. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Anonieme gegevens zijn geen persoonsgegevens en vallen niet onder het toepassingsgebied van de AVG. Opgelet: zelfs als je enkel anonieme gegevens verwerkt, is het nog steeds belangrijk om de ethische aspecten omtrent het verzamelen of verwerken van die gegevens te evalueren.
Zolang de Britse AVG van toepassing is op de informatie zelf, kan elke vorm van openbaarmaking – inclusief het vertellen aan iemand anders – een inbreuk op de persoonsgegevens zijn .
De risico's van GDPR-non-compliance omvatten financiële boetes tot € 20 miljoen of 4% van de wereldwijde omzet , afhankelijk van de ernst van de overtreding. Reputatieschade kan ontstaan door negatieve publiciteit en verlies van vertrouwen van klanten, met name als de rechten van betrokkenen worden geschonden.
Het delen van gevoelige informatie, zoals uw adres, telefoonnummer, namen van familieleden, auto-informatie, wachtwoorden, werkgeschiedenis, kredietstatus, burgerservicenummers, geboortedatum, schoolnamen, paspoortgegevens, rijbewijsnummers, verzekeringspolisnummers, leningnummers, creditcard-/betaalpasnummers, pincodes ...
Doxing is het verzamelen of openbaar maken van persoonsgegevens van iemand anders, met het doel om diegene bang te maken of lastig te vallen. Bijvoorbeeld door een woonadres of telefoonnummer online te plaatsen. Doxing is strafbaar.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.