Voordat je het weet, veroorzaak je een datalek

De ins & outs van de nieuwe privacywetgeving (AVG)

‘Moet ik nu in de operatie burgers om toestemming vragen voor het vrijgeven van hun persoonsgegevens?’ Het is een veelgestelde vraag sinds de nieuwe privacywetgeving van kracht is. Wat houdt die Algemene Verordening Gegevensbescherming (AVG) nou precies in en wat betekent het voor jou? KMarMagazine zocht het uit en ging in gesprek met AVG-coördinator KMar Annelore en P&O’er Jeroen.

De AVG op hoofdlijnen

De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 de nieuwe privacywet voor alle lidstaten van de Europese Unie. Tot die tijd had ieder land zijn eigen privacywet. Zo vervangt de AVG in Nederland de Wet bescherming persoonsgegevens (Wbp).

De AVG zorgt dat persoonsgegevens van individuen beter beschermd zijn door het versterken en uitbreiden van de privacyrechten. Organisaties die dit soort gegevens verwerken krijgen meer verplichtingen. “Zo moeten ze te allen tijde kunnen aantonen welke persoonsgegevens ze hebben, waarom, hoe en wanneer ze de gegevens hebben verkregen, aan wie ze verstrekt zijn en hoe lang en waar ze deze bewaren”, legt AVG-coördinator Annelore uit. Uiteraard moeten de persoonsgegevens beveiligd zijn opgeslagen. “En de hoofdregel is”, voegt ze toe, “heb je de gegevens niet langer nodig voor het doel waarvoor je ze verzameld hebt, dan moet je ze vernietigen”. Hierop is scherp toezicht en de boetes zijn hoog als de wet niet wordt nageleefd. Anders dan voorheen geldt nu ook voor verwerkingen van persoonsgegevens in de vreemdelingenketen een meldplicht voor datalekken.

De AVG in gebruik tijdens de operatie

Moet je nu bijvoorbeeld aan de grens steeds om toestemming vragen als je om persoonsgegevens vraagt? Nee, stelt Annelore. “Als KMar-medewerker mag je in het kader van je taakuitvoering, waarmee je een ‘algemeen belang’ of ‘wettelijke verplichting’ dient, naar persoonsgegevens vragen zonder toestemming van de persoon in kwestie. Daarin is niets veranderd.” Het zijn 2 van de 6 grondslagen op basis waarvan je persoonsgegevens mag verzamelen en verwerken (zie ook onderstaande infographic). Ze verduidelijkt: “Je bevoegdheid haal je uit de onderliggende wetgeving, zoals de vreemdelingenwet, paspoortwet, paspoortuitvoeringsregeling KMar of de Schengengrenscode. De manier waarop je omgaat met de persoonsgegevens staat beschreven in de AVG. Maar altijd geldt: verzamel niet meer dan nodig voor je doel.” Overigens vallen alle verwerkingen in de vreemdelingenketen voortaan onder de AVG en niet meer onder de wet politiegegevens.

Inzage
In hoeverre personen aanspraak kunnen maken op het recht gegevens over zichzelf in te zien, te wijzigen of te laten verwijderen, verschilt per situatie. Zo mag men ter plekke geen inzage eisen. Daarvoor kunnen mensen een verzoek indienen op www.defensie.nl [https://www.defensie.nl/privacy]. De AVG-coördinator beoordeelt dit en handelt dit verzoek vervolgens af. Annelore: “Niet alle verzoeken worden zomaar gehonoreerd. Als iemand bijvoorbeeld asiel aanvraagt, moeten we die gegevens in principe bewaren. Hij of zij heeft dan niet zomaar het recht om die gegevens te laten verwijderen.”

De AVG, jouw rechten als medewerker

Ook jouw persoonsgegevens worden beveiligd opgeslagen bij Defensie. Voor de systemen die bijvoorbeeld P&O gebruikt, was dat altijd al zo. En net als ‘vroeger’ kun je te allen tijde een verzoek indienen om jouw gegevens in te zien, maar wijzigen of verwijderen kan niet altijd. “Sommige personeelsgegevens, zoals dienstverleden en salariëring hebben een wettelijke bewaartermijn die bijvoorbeeld in de belastingwet of archiefwet is vastgelegd, daar mogen we dus niet aankomen”, legt P&O-adviseur Jeroen uit. “Maar sta je ingeschreven bij een personeelsvereniging of op een bezoekerslijst van een familiedag, dan kun je die gegevens laten verwijderen. Je maakt dan gebruik van je recht op vergetelheid.”

“Alle officiële systemen en databases die persoonsgegevens bevatten staan geregistreerd in het AVG-verwerkingenregister”, vertelt Annelore. “Maar afdelingen hebben vaak ook hun eigen bestanden, denk aan personeelsplanningen of zelfgemaakte overzichten met contactgegevens van alle medewerkers. Al die documenten probeer ik ook te achterhalen en te toetsen op de AVG. Ze gaan dan het register in, maar soms vraag ik ook het bestand te vernietigen.”

De AVG, hoe ga jij ermee om?

Voordat je het weet, veroorzaak je zelf een datalek. Daar zijn geen grote illegale praktijken voor nodig. “Denk aan het kwijtraken van een telefoon, defensiepas of USB-stick met persoonsgegevens”, begint Jeroen zijn opsomming. “Maar ook iemand anders ‘even’ op je account laten werken, je computer niet vergrendelen, het niet actueel houden van een autorisatielijst van de N- of Q-schijf, een documentje met contactgegevens van collega’s of mailtjes met persoonsgegevens doorsturen naar je privémail. Het zijn allemaal momenten waarop je niet zorgvuldig omgaat met persoonsgegevens van anderen.”

“Maak voor het delen van bestanden met persoonsgegevens gebruik van een gesloten schijf of gesloten Sharepointbibliotheek”, raadt Annelore aan. “Zo blijven documenten in een veilige omgeving waar niet iedereen zomaar bij kan. Je voorkomt dat er eindeloos veel kopietjes worden verspreid via de mail en bovendien heb je dan altijd de laatste versie van iets, dat is een fijn bijkomend voordeel. Maar let wel op: als de gegevens op een open Sharepointbibliotheek staan, zijn ze voor iedereen binnen Defensie inzichtelijk en veroorzaak je daarmee mogelijk weer een datalek.”

Misbruik van systemen met persoonsgegevens werd en wordt bestraft. “Als KMar-medewerker heb je vaak toegang tot systemen met gevoelige informatie”, weet de P&O’er. “Weet dat het gebruik ervan wordt gelogd. Oftewel, alles wat je erin uitvoert, wordt geregistreerd. ‘Zomaar’ mensen natrekken, mag dus niet.”

Tekst: Jopke Rozenberg-van Lisdonk   I   Foto: Valerie Kuypers