De verantwoordelijkheden van de Functionaris Gegevensbescherming – Data Protection Officer

Onder de AVG zijn bepaalde verwerkingsverantwoordelijken en verwerkers verplicht een Functionaris Gegevensbescherming – Data Protection Officer aan te wijzen. Dit geldt voor overheidsinstanties en -organen (ongeacht de door hen verwerkte gegevens) en voor andere organisaties die – als een van hun kerntaken – stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken.

Wat is de rol van de functionaris gegevensbescherming – data protection officer?

De Functionaris Gegevensbescherming /Data Protection Officer is de persoon die binnen jouw organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). De Functionaris Gegevensbescherming/Data Protection Officeris niet persoonlijk verantwoordelijk wanneer de AVG niet nageleefd wordt. Het is de organisatie die erop toe dient te zien en moet kunnen aantonen dat de verwerking aan de voorwaarden voldoet. Naleving van regels op het gebied van gegevensbescherming is de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker.

ONline training van AVG

Wat zijn de taken van de functionaris gegevensbescherming – data protection officer?

De kerntaak van de Functionaris Gegevens Bescherming – Data Protection Officer is erop toe te zien dat jouw organisatie de AVG naleeft. In dit kader behoren de volgende taken tot zijn/haar werkzaamheden:

  • Opdrachtgever en de werknemers die persoonsgegevens verwerken informeren en adviseren over hun verplichtingen uit hoofde van de AVG en andere gegevensbeschermingsbepalingen;
  • toezien op naleving van de AVG of andere gegevensbeschermingsbepalingen en van het beleid van Opdrachtgever met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken werknemers en de betreffende audits;
  • desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling (PIA) en toezien op de uitvoering daarvan in overeenstemming met de AVG;
  • met de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, hierna te noemen “AP”, of enige andere bevoegde autoriteit, samenwerken;
  • optreden als contactpunt voor de AP inzake met de verwerking van persoonsgegevens verband houdende aangelegenheden.

https://avg-compleet.nl/blog/verantwoordelijkheden-van-de-functionaris-gegevensbescherming/

Gevaren van Wifi. Wifi is kwetsbaarder dan je denkt

Heeft je bedrijf een wifi-netwerk? Of werk je thuis op wifi? Gebruik je weleens wifi als je onderweg bent of in een koffietentje zit? Dan ben je er waarschijnlijk niet van bewust hoe kwetsbaar je bent. Het hacken van een wifi-netwerk blijkt kinderlijk eenvoudig, waardoor gevoelige bestanden of persoonlijke gegevens zomaar in de handen van ongewenste vreemdelingen kunnen vallen. Lees verder over de gevaren van Wifi.

,,Zelfs iemand zonder kennis kan zo een wifi-netwerk hacken’’, zegt Finn (20), die zich als beginnend ‘ethisch hacker’ heeft verdiept in de broosheid van draadloze computernetwerken. Het draait om een apparaat met de naam ‘WiFi Pineapple’, dat eruitziet als een internetmodem. Met dit apparaat kun je illegaal inbreken op pc’s netwerken en smartphones. Het is gewoon via internet te koop, vanaf zo’n € 80.

Ben je bewust van de gevaren van Wifi, aldus Finn

Je hoeft geen ervaren hacker of computerprogrammeur te zijn om de WiFi Pineapple te gebruiken. Volgens Finn is het eigenlijk kinderspel. ,,Het wordt kant-en-klaar aangeleverd, met het juiste programma erbij. Op internet zijn websites te vinden waarop in kindertaal wordt uitgelegd hoe je kunt hacken met het apparaat.’’

Tot zijn eigen schrik en verbazing zag Finn hoe makkelijk het ging. ,,Na een kwartiertje was ik klaar met het opstarten. Na een uur had ik de netwerken in de buurt gescand. En binnen een dag kon ik al informatie ophalen van de buren.’’ Zo zag hij e-mailadressen en IP-adressen, waardoor een kwaadwillende ‘phishing mails’ kan versturen. Dit zijn nep-berichten die zogenaamd worden verstuurd vanaf een bank of andere instelling, met een linkje naar een nagebootste website die er als echt uitziet. Internetcriminelen gebruiken deze methode om inloggegevens te ontfutselen, om zo een bankrekening te plunderen.

Met de Wifi Pineapple kan iedereen inbreken

Met de WiFi Pineapple kan iemand de beveiliging van een modem passeren en zonder wachtwoord inbreken op een netwerk. Een kwaadwillende kan meekijken wat iemand op het internet doet en foute bestanden installeren op een pc, dat Finn overigens niet heeft uitgeprobeerd. De WiFi Pineapple dringt zich ertussen en vermomt zich als een modemkastje of wifi netwerk. Het presenteert zich als het ‘ware’ netwerk, zonder dat de gebruiker dit in de gaten heeft. ,,Met dit apparaat kun je bijvoorbeeld ook de KPN-hotspot op het Centraal Station van Amsterdam overnemen’’, zegt Finn. ,,Je geeft het dezelfde netwerknaam en de gebruiker heeft niet in de gaten dat hij op een verkeerd netwerk zit.’’

Lees verder op AVG Compleet

AVG bewustwording is een must op de werkvloer

Bewustwording over de AVG onder medewerkers is misschien wel de belangrijkste troef voor de bescherming van persoonsgegevens. Medewerkers moeten ervan doordrongen zijn dat zij altijd en overal zorgvuldig omgaan met privacygevoelige gegevens. Alleen kennis bijspijkeren is niet genoeg. Het is een continu proces, om de aandacht niet te laten verslappen.

AVG bewustwording begint bij de medewerkers

,,Organisaties en bedrijven moeten natuurlijk in de eerste plaats de regels opvolgen van de AVG’’, zegt jurist Rino de Vos, die als Functionaris Gegevensbescherming talloze zorgorganisaties en gemeentelijke overheden bijstaat. ,,Ze moeten het technisch en juridisch goed voor elkaar hebben en ze moeten een verwerkingsregister bijhouden. Maar de vertaling naar de werkvloer is essentieel. Als werknemers niet zorgvuldig omgaan met persoonsgegevens, kan dat grote gevolgen hebben. Je ziet het aan datalekken of gegevens die per ongeluk openbaar worden gemaakt. Dat komt meestal door slordigheden van medewerkers.’’

Bijzonder nuttig als je verantwoordelijk bent voor privacybescherming.  

Het management gaat voor in AVG bewustwording creëren

Het creëren van bewustwording over de AVG begint bij het management zelf, zegt De Vos. ,,De leiding van een organisatie moet erachter staan en het uitventen. Daarna is het geven van trainingen de meest geëigende manier. Maar je merkt wel dat er in sommige organisaties een trainingsmoeheid bestaat, vooral als ze veel andere projecten onder handen hebben. Het effect van een training is ook kortdurend: mensen zijn er eerst vol van, maar daarna ebt de kennis snel weg.’’

Veel erover praten draagt eraan bij 

De Vos zelf ziet vooral bewustwording ontstaan door er veel over te praten. ,,Ik zorg dat ik er veel ben, luister goed en stel af en toe een kritische vraag. Zo kun je een oplossing bieden die in de praktijk goed werkt. Het is arbeidsintensief, maar het werkt beter.’’ Een nog grotere uitdaging is de aandacht voor de AVG vast te houden onder medewerkers. ,,Dat kun je leuk en luchtig houden. Zo ken ik een organisatie waar werknemers elke week een vraag over de AVG in hun mailbox krijgen. Als ze die vraag goed beantwoorden, krijgen ze een beloning en gaan ze naar het volgende level. Als een soort game. Het management krijgt er een verslag van en weet welke medewerkers vragen nooit beantwoorden. Die kunnen daarop worden aangesproken.’’

“Goed opzetten van je privacybescherming, vraagt om veel details.” 

Lees verder op AVG Compleet

Verwerkersovereenkomst: nodig of niet?

Regelmatig sluiten bedrijven of organisaties een overeenkomst met een derde partij voor het verwerken van persoonsgegevens. Zo kan een bedrijf de salarisadministratie uitbesteden aan een onderneming die hierin gespecialiseerd is. Of een organisatie kan persoonlijke en privacygevoelige gegevens onderbrengen bij een clouddienst. In veel gevallen is dan een verwerkersovereenkomst nodig.

Het opstellen van een verwerkersovereenkomst 

Het opstellen van een verwerkersovereenkomst is een van de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hiervan is sprake als een andere partij specifiek is ingehuurd voor het verwerken van persoonsgegevens en zodoende ten behoeve van de opdrachtgever en onder diens verantwoordelijkheid persoonsgegevens verwerkt.

,,Je hebt dan de verwerkingsverantwoordelijke en de verwerker’’, legt privacy-advocaat Hylke Klasens uit. ,,De verwerkingsverantwoordelijke bepaalt voor welk doel de persoonsgegevens worden gebruikt en bewaard, en met welke middelen. De verwerker verwerkt de persoonsgegevens conform de instructies van de verwerkingsverantwoordelijke, onder diens toezicht.’’

De verwerkersovereenkomst is verplicht

Zo is een bedrijf dat alleen de loonadministratie bijhoudt voor anderen en daarbij persoonsgegevens verwerkt, een verwerker. Als een organisatie persoonlijke data opslaat in de cloud, is de clouddienstverlener ook een verwerker. Deze dienst wordt specifiek ingehuurd voor de opslag van data, maar de verwerkingsverantwoordelijke bepaalt welke gegevens worden opgeslagen en voor hoe lang.

In beide voorbeelden is een verwerkersovereenkomst verplicht. Toch kan het lastig zijn om te bepalen of zo’n overeenkomst nodig is. ,,Soms hebben dienstverleners persoonsgegevens nodig om hun werk te kunnen doen’’, zegt Klasens. ,,Denk bijvoorbeeld aan een accountant, notaris of advocaat. Het verwerken van persoonsgegevens is niet het primaire doel. In die gevallen is geen verwerkersovereenkomst verplicht.’’ 

Dat geldt evenmin voor de bloemist die bloemetjes bezorgt bij zieke mensen. Hij heeft geen doel om een verzuimdossier bij te houden, maar gebruikt de persoonsgegevens alleen om de bloemen te bezorgen. 

Lees verder op AVG Compleet