De AVG kent zeven kernrechten voor betrokkenen: informatie, inzage, rectificatie, gegevenswissing, beperking, dataportabiliteit en bezwaar. Een recht dat niet direct tot de formele AVG-rechten behoort, is het recht op schadevergoeding (hoewel wel geregeld in de AVG, is dit een juridisch gevolg, geen actieve privacyrechten-optie zoals inzage) of rechten uit andere specifieke wetten. Autoriteit Persoonsgegevens +2
Uitzondering: bijzondere en strafrechtelijke gegevens
Bijvoorbeeld gegevens over iemands gezondheid of politieke voorkeur. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG. Strafrechtelijke gegevens zijn gegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten.
Onder de AVG mag je niet zomaar alle persoonsgegevens delen; dit geldt vooral voor bijzondere persoonsgegevens (ras, religie, gezondheid, politieke voorkeur) en foto's/video's waarop mensen herkenbaar zijn, waarvoor je altijd expliciete toestemming nodig hebt. Algemene persoonsgegevens (naam, adres, e-mail) mogen ook alleen gedeeld worden als er een geldige reden is, zoals een wettelijke plicht, toestemming, of als het binnen het oorspronkelijke doel van de verzameling valt, wat vaak strenge eisen stelt aan het doorgeven.
U heeft privacyrechten. Zoals het recht om uw persoonsgegevens in te zien, te laten wijzigen of te laten verwijderen. U kunt bijvoorbeeld aan een organisatie vragen om u inzage te geven in uw persoonsgegevens. De organisatie moet in beginsel binnen 1 maand reageren op uw verzoek.
Degenen van wie persoonsgegevens worden verwerkt (betrokkenen) hebben de volgende rechten:
De 6 AVG-beginselen zijn:
Je mag geen bijzondere persoonsgegevens delen, zoals informatie over ras, religie, gezondheid, seksuele geaardheid of politieke voorkeur, tenzij er een strikte wettelijke uitzondering is. Ook gewone persoonsgegevens (naam, adres, BSN, klantnummers, foto's) mag je niet zomaar delen; dit mag alleen als er een geldige grondslag is, zoals toestemming of een wettelijke plicht, en de verwerking verenigbaar is met het oorspronkelijke doel. Zelfs bij het afgeven van een identiteitsbewijs moet je het BSN afschermen om fraude te voorkomen.
De AVG ziet deze persoonsgegevens als bijzondere persoonsgegevens: Persoonsgegevens waaruit iemands ras of etnische afkomst blijkt. Persoonsgegevens waaruit iemands politieke opvattingen blijken. Persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken.
De 3 basisprincipes van informatiebeveiliging zijn Vertrouwelijkheid, Integriteit en Beschikbaarheid (vaak afgekort als BIV). Ze zorgen ervoor dat informatie alleen toegankelijk is voor geautoriseerde personen (vertrouwelijkheid), accuraat en volledig blijft (integriteit), en beschikbaar is wanneer nodig (beschikbaarheid).
De AVG is van dwingend recht en het uitsluiten van aansprakelijkheid is niet toegestaan.
AVG risico 5: Boetes en imagoschade
Wanneer je organisatie niet voldoet aan de maatstaven van de AVG, kan je dit een boete opleveren van maar liefst 4 procent van je wereldwijde jaaromzet. Wat je echter ook zeker niet mag onderschatten, is de mogelijke imagoschade die je bedrijf op kan lopen.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Een privacy-schending is elke ongeoorloofde handeling die inbreuk maakt op iemands recht op privacy, zoals het onrechtmatig inzien, delen, gebruiken of openbaar maken van persoonlijke gegevens zonder toestemming, vaak in strijd met de AVG (Algemene Verordening Gegevensbescherming). Dit kan variëren van datalekken en het hacken van systemen tot het verborgen bespieden of het publiceren van iemands adres of foto's online. Het gaat om een inbreuk op de persoonlijke levenssfeer of het vertrouwelijk omgaan met persoonsgegevens.
Onder de AVG mag je geen gevoelige "bijzondere persoonsgegevens" delen zonder strikte voorwaarden, zoals gegevens over iemands ras, politieke voorkeur, gezondheid, seksuele gerichtheid, en genetische of biometrische gegevens, tenzij er een wettelijke uitzondering is, zoals voor zorgverlening. Ook strafrechtelijke gegevens over veroordelingen en feiten zijn verboden te delen. Algemene persoonsgegevens (naam, adres, etc.) mogen alleen gedeeld worden als dit past bij het oorspronkelijke doel waarvoor ze verzameld zijn, of met duidelijke, actieve toestemming van de betrokkene.
De AVG is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Gegevens over organisaties (ondernemingen en dergelijke) zijn géén persoonsgegevens, omdat deze geen betrekking hebben op een natuurlijke persoon.
Controle over eigen persoonsgegevens
Daarom heeft iedereen het recht op: Inzage: u kunt de gegevens bekijken die van u verzameld zijn. Correctie: u kunt gegevens die niet kloppen, laten aanpassen. Verwijdering: u heeft het recht gegevens die niet (meer) van belang zijn, te laten wissen.
De 3 R's in bedrijfsbeveiliging staan voor Roteren, Herstellen en Repareren . Dit zijn strategieën die zijn ontworpen om de beveiliging te verbeteren door inloggegevens regelmatig te roteren, systemen te herstellen vanuit een bekende, veilige staat en kwetsbaarheden snel te repareren. Waarom is het roteren van inloggegevens belangrijk?
Heel kort gesteld gaat gegevensbescherming over de privacy van mensen, terwijl informatiebeveiliging gaat over de bescherming van informatie van organisaties. Gegevensbescherming gaat vooral over het beschermen van gegevens over mensen. Onze rechten en vrijheden zijn vastgelegd in verdragen en in de Grondwet.
Het doel van de Gouden Veiligheidsregels is een gedragen afspraak te maken over wat de organisatie als veilig en onveilig gedrag bestempelt. Gouden Veiligheidsregels passen op een half A4-tje en vormen de basis voor een sterke veiligheidscultuur.
Gegevens die buiten de AVG vallen zijn onder andere volledig geanonimiseerde informatie, bedrijfsgegevens zonder persoonlijke component, gegevens van overleden personen en bepaalde verwerkingen door natuurlijke personen voor persoonlijke doeleinden.
De AVG bevat een hoofdstuk over de rechten van de betrokkene (individuen), waaronder het recht op inzage, het recht op rectificatie, het recht op verwijdering, het recht om de verwerking te beperken, het recht op gegevensoverdracht, het recht om bezwaar te maken en het recht om niet onderworpen te worden aan een besluit dat uitsluitend gebaseerd is op geautomatiseerde gegevensverwerking.
Als we terugkijken naar de definitie in de AVG, zien we een lijst met verschillende soorten identificatoren: " een naam, een identificatienummer, locatiegegevens, een online identificator ". Biometrische gegevens, zoals vingerafdrukken, verdienen ook speciale aandacht, omdat deze eveneens als identificator kunnen fungeren.
Het delen van gevoelige informatie zoals uw adres, telefoonnummer, namen van familieleden, autogegevens, wachtwoorden, arbeidsverleden, kredietstatus, burgerservicenummer, geboortedatum, schoolnamen, paspoortgegevens, rijbewijsnummers, verzekeringspolisnummers, leningnummers, creditcard-/betaalpasnummers, pincodes, enz.
In Nederland is het maken en delen van screenshots van privégesprekken zonder toestemming van de betrokken partijen meestal een schending van de privacy. Dit valt onder de Algemene Verordening Gegevensbescherming (AVG) en kan als onrechtmatige daad worden gezien.
Gevoelige gegevens