Foto boven: Rob Gieling
Nieuwe Europese wet dwingt zorgvuldig met persoonsgegevens omgaan
Geboortedata, adresgegevens, geloofsovertuigingen en sportresultaten, het is slechts een greep uit de tal van persoonsgegevens die Defensie verzamelt. Vanaf 25 mei gaat de nieuwe Europese privacywet in werking: de AVG. Bedrijven en overheden hebben dan een veel grotere plicht om zorgvuldig met persoonsgegevens om te gaan. Wat betekent dit in de praktijk? 5 vragen en antwoorden over de AVG.
AVG? Waar komt dat vandaan?
Elke lidstaat van de EU had tot voor kort een eigen privacywet. Zo kende Nederland de Wet bescherming persoonsgegevens (Wbp). De Algemene Verordening Gegevensbescherming, kortweg AVG dus, is de opvolger en geldt voor alle lidstaten van de EU.
‘De AVG dwingt ons veel actiever met gegevensbescherming bezig te zijn’
Wat betekent deze wet voor Defensie?
Op elk moment moet een bedrijf of organisatie kunnen aantonen dat zij gegevens op de juiste manier verwerkt, zowel technisch als organisatorisch. Lukt dat niet? Dan kunnen hoge boetes volgen. “De AVG dwingt ons veel actiever met gegevensbescherming bezig te zijn”, zegt projectleider AVG binnen het CLSK luitenant-kolonel Sander Niekamp. “Vooraf moet bijvoorbeeld voor alle gegevens zijn vastgelegd met welk doel deze zijn opgeslagen, hoe lang we ze bewaren en wie hierbij kan.”
De systemen waarin persoonsgegevens worden opgeslagen of verwerkt moeten voldoen aan beveiligingseisen. “Alles wat we defensiebreed gebruiken zoals Peoplesoft, is dichtgetimmerd. Deze systemen voldoen aan de AVG-wetgeving”, zegt Niekamp. “Maar er zijn nog honderden andere plekken binnen de luchtmacht waar gegevensverwerking plaatsvindt. Denk bijvoorbeeld aan een manager die een managementrapportage schrijft vol persoonsgegevens. In totaal hebben we nu zo’n 500 van dit soort verschillende verwerkingen onder de loep genomen en indien nodig extra beveiligingsmaatregelen getroffen. Maar dit proces gaat door. Er zijn meer collega’s die persoonsgegevens verwerken. Daarom de oproep: Verzamel jij functioneel gegevens? Meld je bij de AVG-coördinator (coordinator.AVG.CLSK@mindef.nl, red.).”
‘Gegevens verzamelen voor een specifiek doel mag, maar denk vervolgens niet: handig voor een verjaardagskalender’
Wat betekent de AVG voor medewerkers van de luchtmacht?
Zolang medewerkers de goedgekeurde systemen gebruiken voor gegevensverwerking (zie vorige vraag), houden zij zich automatisch aan de wet. Is het nodig om een nieuwe lijst met persoonsgegevens te maken, dan is het volgens Niekamp belangrijk dat degene die deze lijst maakt zich bewust is van de privacywetgeving. “Niet omdat hij geen gegevens mag verzamelen, maar omdat we het hoe en waarom inzichtelijk moeten houden.” Belangrijkste vragen die hij of zij zichzelf moet stellen zijn: voor welk doel heb ik deze gegevens? Gebruik ik ze ook echt alleen voor dat doel? En wat doe ik als het doel bereikt is?
Als voorbeeld noemt Niekamp een sleutellijst. Een lijst met namen en geboortedata van wie toegang heeft tot welk gebouw. “Gegevens verzamelen specifiek voor deze sleutellijst mag, omdat dit functioneel is. Maar denk je vervolgens: handig zo’n lijst, ik maak er een verjaardagskalender van, dan mag dat dus niet”, legt Niekamp uit. “Ook moet vooraf bedacht zijn hoe en hoe lang je de gegevens bewaart. Een eigen Excel-bestand op je bureaublad is geen goed idee. Een van de geaccrediteerde systemen binnen Defensie wel.”
Hoe lang mogen gegevens bewaard blijven?
Daar is geen wettelijke termijn voor. Wel heeft Defensie een algemene lijst gemaakt waar de bewaartermijn voor een aantal gegevens opstaat. Een van de hoofdregels van de AVG is dat ‘het verwerken van gegevens moet stoppen als dit niet meer nodig is voor het doel waarvoor ze verzameld zijn.’ Oftewel: niet langer bewaren dan noodzakelijk. Per geval moet vooraf vastgelegd zijn hoe lang dat is. “In bovenstaand voorbeeld van de sleutellijst, moet de lijst vernietigd worden als bijvoorbeeld de toegang tot de gebouwen is verlopen”, zegt Niekamp.
‘Wil iemand niet dat zijn gegevens worden verwerkt, dan heeft hij of zij soms recht op vergetelheid’
Hoe zit het met vooraf toestemming vragen om gegevens te mogen verwerken?
Persoonsgegevens mogen voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Die doeleinden moeten kenbaar zijn gemaakt. “Aanmeldingen voor een familiedag opslaan, zodat je deze mensen een jaar later weer kunt benaderen, mag. Maar dit moet wel kenbaar zijn gemaakt”, zegt Niekamp. “Je zou een mededeling op de uitnodiging kunnen zetten.” Uiteraard moet de gegevensverwerking dan ook voldoen aan de overige AVG-eisen. Denk aan het veilig opslaan in het juiste systeem. En wil iemand niet dat zijn gegevens worden verwerkt? Dan heeft hij of zij soms ‘recht op vergetelheid’. Bijvoorbeeld bij een aanmelding van een familiedag, maar dit recht geldt niet voor de, wettelijke vereiste, personeels- en salarisadministratie.
Tekst: ritmeester Bianca Brasser