Lees meer over: Privacy


Privacy begrippen voor dummies

Er is niets mis met dummy zijn! Hoog tijd dat we privacy begrippen simpel en overzichtelijk opschrijven. Voor puristen misschien niet volledig of 100% juist, maar voor dummies wel begrijpelijk en (hopelijk) behulpzaam. Soms een beetje ludiek en met een knipoog, maar dan blijft het beter hangen 😉.

Algemene Verordening Gegevensbescherming (AVG) – Feitelijk: de privacywet waar bedrijfsleven en overheid aan moet voldoen. Waarom heet het dan een ‘verordening’, dit is de term die juristen gebruiken om aan te geven dat het een wet is, die in Europa is gemaakt en geldig is voor alle lidstaten. De AVG (Europese wet) verving in 2018 de Nederlandse voorganger, de Wet Bescherming Persoonsgegevens (de WBP). De AVG is de Nederlandse term voor GDPR (zie elders).

General Data Protection Regulation (GDPR) – Hetzelfde als de AVG. Mensen die GDPR zeggen werken in een internationaal bedrijf of vinden het simpelweg leuker om GDPR te zeggen dan AVG.

Persoonsgegevens – Ieder gegeven dat tot een identificeerbaar persoon kan worden herleid. Dat is relatief makkelijk bij een direct herleidbaar persoonsgegeven (zoals een naam, woonadres, BSN). Maar er zijn ook indirect herleidbare persoonsgegevens, die samen kunnen herleidbaar kunnen worden. Een voorbeeld: alle blogschrijvers op de website van VKA die schrijven over privacy begrippen. Allemaal indirect herleidbare gegevens die in deze samenhang ineens …

Autoriteit Persoonsgegevens (AP) – De privacy toezichthouder in Nederland, of waakhond, zo je wilt. Het is altijd lastig om te bepalen hoeveel toezichthouder je wilt. Met te veel budget ‘gaan ze zich overal mee bemoeien’, met te weinig budget ‘kunnen ze die datagraaiers en grote overheden niet aanpakken’. Ze doen hun best en proberen met zo min mogelijk middelen een zo groot mogelijk effect te hebben. Dus moeten we respect hebben voor hun werkwijze. In de media zijn ze soms kritisch en soms gedwongen om minder populaire standpunten in te nemen. De AP laveert daarmee voortdurend tussen ‘dapper’ en ‘Don Quichot’.

Wet politiegegevens (Wpg) – De privacywetgeving voor de politie. Is een Nederlandse wet en geen Europese verordening. Is nodig omdat de politie in het kader van haar taken ook andere bevoegdheden moet hebben. Nadeel is dat de politie én op een aantal punten moet voldoen aan de WPG én op andere punten aan de AVG. Pittig.

Privacy Impact Assessment (PIA) – Een soms wettelijk verplichte risico-analyse op privacy. Deze moet je uitvoeren als je ‘bijzondere persoonsgegevens’ verwerkt, nieuwe technologieen gebruikt of stelselmatig camera’s inzet. Een PIA is slim om te doen als je persoonsgegevens verwerkt waar mensen zich zorgen over maken (bijvoorbeeld hun salaris). In de privacywet staat op hoofdlijnen op welke punten een PIA antwoord moet geven, maar hoe je een PIA doet is aan jou. Wij hebben zelf daarom een gebruiksvriendelijke manier gemaakt, namelijk dit boekje. De term PIA is (om voor dummies totaal irrelevante redenen) een paar jaar geleden ineens veranderd in DPIA.

Data Protection Impact Assessment (DPIA) – Wettelijk verplichte risico-analyse op privacy. Deze moet je uitvoeren als je ‘bijzondere persoonsgegevens’ verwerkt, nieuwe technologieën gebruikt of stelselmatig camera’s inzet. Een DPIA is slim om te doen als je persoonsgegevens verwerkt waar mensen zich zorgen over maken (bijvoorbeeld hun salaris). In de privacywet staat op hoofdlijnen op welke punten een DPIA antwoord moet geven, maar hoe je een DPIA doet is aan jou. Wij hebben zelf daarom maar een gebruiksvriendelijke manier gemaakt zie hier. De term DPIA is (om voor dummies totaal irrelevante redenen) een paar jaar geleden veranderd. Eerder noemde men het een PIA. Mensen die een hekel hebben aan de verengelsing van de Nederlandse taal (en Vlamingen) noemen gebruiken de term Gegevensbeschermingseffectbeoordeling (GBEB of GEB) als ze het over een DPIA hebben.

Privacy by Design / Privacy by Default – Mooie termen om te gebruiken als je tegen iemand wilt zeggen dat ze privacy vriendelijker moeten gaan werken, zonder dat jij (of zij) precies weten wat er dan moet gebeuren. Het drukt een idee of concept uit, waarmee je op de werkvloer met open mond wordt aangegaapt. Gebruik deze term alleen als je geleerd wilt overkomen of als je erna enkele concrete tips kunt geven, zoals in dit boekje.

Privacy enhancing technologies (PET) – Technologie waarmee persoonsgegevens worden beschermd. Het drukt een idee of concept uit, waarmee je op de werkvloer met open mond wordt aangegaapt. Gebruik deze term alleen als je geleerd wilt overkomen of als je erna enkele concrete tips kunt geven, zoals in dit boekje.

Verwerken – Normale mensen ‘verwerken’ tegenslag, gelukkig is dat hier niet het geval. De privacywet bedoelt met een verwerking alles wat je met digitale of fysieke gegevens kunt doen. Inzien, opslaan, aanvullen, kopiëren, doorsturen, verwijderen …

Functionaris Gegevensbescherming (FG) – iemand die onafhankelijk toezichthouder is op de naleving van de privacywetgeving. Voor sommige organisaties is het aanstellen van een FG verplicht, voor anderen niet. Stelregel: als je overheid bent of bijzondere persoonsgegevens verwerkt dan wel. Ben je geen overheid of heb je geen idee wat persoonsgegevens zijn, dan (hopelijk) niet. Een FG houdt toezicht en stelt kritische vragen, aan wie hij wil. De FG mag zich vanuit zijn rol zich niet laten meeslepen in de uitvoering en het advies. Nederlanders houden niet zo van toezichthouders dus het is niet altijd makkelijk en soms zelfs wat eenzaam om FG te zijn. Dus ben een beetje vriendelijk voor de FG, dat verdienen ze wel. Wordt ook wel eens Data Protection Officer (DPO) genoemd. Mensen die DPO zeggen werken in een internationaal bedrijf of vinden het simpelweg leuker om DPO te zeggen dan FG.

Data Protection Officer (DPO) – hetzelfde als de Functionaris Gegevensbescherming. Mensen die DPO zeggen werken in een internationaal bedrijf of vinden het simpelweg leuker om DPO te zeggen dan FG. Of hebben heel veel betaald voor een dure opleiding om zich DPO te mogen noemen.

Privacy Officer (PO) – heeft net zoveel verstand van privacy als de Functionaris Gegevensbescherming, maar mag wel meedenken en adviseren. Dat vinden Nederlanders dan wél weer fijn, collega’s die (als ze kritische vragen stellen) ook helpen bij de oplossingen.

Verantwoordelijke – of nog specifieker verwerkingsverantwoordelijke. Een ongelukkig gekozen term in de privacywetgeving. In de praktijk soms net zo lastig als het uitleggen van buitenspel aan iemand die niet van voetbal houdt. Betekent vooral dat als jouw organisatie ‘verantwoordelijke’ is, dat jij goed moet weten hoe de privacy is geborgd. Of je nu zelf met de persoonsgegevens werkt, of dat dit helemaal buiten jouw beeld om is. Bijvoorbeeld bij IT, een andere afdeling or een andere organisatie. De dagelijkse verantwoordelijkheid voor de kwaliteit van de privacybeschermende maatregelen kan je namelijk wel delegeren bij anderen. Maar de ‘AVG verantwoordelijkheid’ niet. Dus als jouw organisatie ‘AVG verantwoordelijke’ is en er gaat iets fout bij een ander die namens jullie ‘verwerkt’ (zie hierna), dan is de verantwoordelijke degene die door de toezichthouder (de AP) en de betrokkene (de burger of de consument) wordt aangesproken. En hoe jij dat dan weer regelt met de verwerker is aan jou.

Verwerker – ongelukkig gekozen term in de privacywetgeving. Eerder is al toegelicht wat ‘verwerken’ is. Je bent verwerker als je met persoonsgegevens (zie eerder) doet waarvoor je opdracht hebt gekregen door de verantwoordelijke. Daarbij moet je je houden aan de eisen die de verantwoordelijke stelt aan de bescherming van persoonsgegevens.

Register van verwerkingen – Bedoeld om zicht te hebben op de persoonsgegevens die in een organisatie worden verwerkt. Meer specifiek: welke persoonsgegevens hebben we en van wie, hoelang bewaren we deze gegevens, met wie delen we deze gegevens. En vaak komt het neer op de kernvraag: wat doen we eigenlijk met persoonsgegevens binnen deze organisatie. En hoe simpel als deze vraag ook klinkt, zo veel moeite kost het om dit allemaal in beeld te hebben. Neem dat ‘register’ overigens niet te letterlijk. Een register kan vele vormen hebben, zoals een spreadsheet, perkament en ganzenveer of een fancy tool. Maar de vorm is eigenlijk niet belangrijk, het gaat over de kwaliteit van de inhoud. Het feitelijke inzicht dus. Wordt ook wel ook wel register van verwerkingsactiviteiten genoemd.

Betrokkene – Klinische term die aan moet geven wiens persoonsgegevens je eigenlijk moet beschermen als organisatie. Je klant, je burger, de reden waarom jij het werk doet dat je doet. Dus ook al zie je de term betrokkene, denk er dan alsjeblieft echte mensen bij.

Datalek – Beetje rare term waarmee wordt bedoeld dat er iets fout is gegaan, waarbij mogelijk persoonsgegevens zijn betrokken. Misschien heb je ze niet meer, misschien kloppen ze niet meer of misschien zijn ze ingezien door personen die dit niet zouden hoeven. Een voorbeeld datalek: als je onbeveiligd iets gevoeligs hebt verstuurd kan dit zomaar een datalek zijn. Een voorbeeld datalek is ook als je een fysiek dossier bent verloren, of je telefoon waarop de mail van je werk staat. Het beoordelen of iets een datalek is, is vaak een werkje voor specialisten. Betrek hen (de privacy officer of de functionaris gegevensbescherming, zie eerder) er dan ook bij als je denkt dat er iets fout is gegaan.

Meldplicht Datalek – Begrip dat eigenlijk niet bij de Nederlandse cultuur past. Wij houden niet van ‘plichten’, we houden niet van ‘melden’ en al dan helemaal niet van ‘meldplicht’. Begrip heeft drie mogelijke betekenissen. Optie 1 – als er iets fout is gegaan met persoonsgegevens (een mogelijk datalek) meld je dit bij de privacy officer of de Functionaris Gegevensbescherming. Deze pakken het verder op. Optie 2 – de privacy officer of Functionaris Gegevensbescherming beoordelen een mogelijk datalek en beoordelen of de meldplicht bij de toezichthouder, de Autoriteit Persoonsgegevens van toepassing is. Optie 3 – de privacy officer of Functionaris Gegevensbescherming beoordelen of er een meldplicht geldt, waarbij de betrokkenen moeten worden geïnformeerd over het feit dat iets met hun persoonsgegevens fout is gegaan.