Je hebt vast gehoord over de Algemene Verordening Gegevensbescherming (AVG), die geldt vanaf 25 mei 2018. Deze wet gaat over de bescherming van persoonsgegevens. In CrisisConnect verwerken we namens organisaties persoonsgegevens. Denk hierbij aan de gegevens van gebruikers en contactpersonen. Deze wet heeft daarom invloed op onze relaties en op ons. Binnen CrisisConnect helpen we organisaties om aan de verplichtingen te voldoen. Benieuwd hoe het zit, de AVG in combinatie met een crisis app? Je leest het in dit artikel.

Rollen binnen AVG

Eerst een korte uitleg over de rollen. In de AVG hebben de betrokken partijen verschillende rollen. Deze zijn als volgt:

  • De betrokkene: de persoon van wie gegevens worden vastgelegd.
  • De verwerkingsverantwoordelijke of verantwoordelijke: het bedrijf dat het doel en de middelen van de verwerking bepaalt en de persoonsgegevens beheert en vastlegt.
  • De verwerker: het bedrijf dat de gegevens verwerkt namens de verantwoordelijke.

In ons geval betekent dit:

  • Betrokkenen: de gebruikers en contactpersonen die toegevoegd zijn in de CrisisConnect beheeromgeving.
  • Verwerkingsverantwoordelijke: organisaties vanwege de persoonsgegevens die zij in CrisisConnect verzamelen, vastleggen en beheren.
  • Verwerker: dat zijn wij, CrisisConnect.

Belangrijkste aandachtspunten AVG

We leggen uit wat de rechten van de betrokken personen (toegevoegde gebruikers en contactpersonen) zijn en de verplichtingen die je als bedrijf hebt. Hierbij geven we aan hoe CrisisConnect helpt hieraan te voldoen.

Recht om vergeten te worden
Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden.

Een beheerder kan in de CrisisConnect beheeromgeving persoonsgegevens verwijderen van een gebruiker of contactpersoon. Als deze actie wordt uitgevoerd, worden de gegevens nog tot maximaal 35 dagen in de back-ups bewaard en vervolgens volledig verwijderd.

De mogelijkheid voor een gebruiker om zelf zijn account te wissen in de CrisisConnect app wordt toegevoegd.

Recht op dataportabiliteit
Een betrokkene heeft het recht om zijn of haar gegevens te exporteren zodat deze in andere situaties weer kunnen worden gebruikt.

Een beheerder kan alle gegevens van contactpersonen en gebruikers exporteren naar Excel. Dit is toereikend om aan de wet te voldoen.

Recht op inzage van gegevens
Een betrokkene heeft het recht om zijn of haar vastgelegde gegevens in te zien en op te vragen.

Een beheerder kan alle gebruikers en contactpersonen openen in de beheeromgeving. Hierbij is direct inzichtelijk welke persoonsgegevens zijn vastgelegd. Deze gegevens kunnen gedeeld worden met de persoon die om inzage vraagt. De persoonsgegevens kunnen altijd gewijzigd worden.

Gegevens moeten niet langer worden bewaard dan nodig
Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk.

Er is op grond van de wet geen concrete bewaartermijn voor persoonsgegevens. Deze schrijft voor: als ze niet meer nodig zijn, moeten ze verwijderd worden. Beheerders kunnen zelf persoonsgegevens van gebruikers en contactpersonen verwijderen.

We voegen een datumveld toe in de beheeromgeving waarmee je een bewaartermijn kunt registreren. Beheerders kunnen hierop filteren om een overzicht te krijgen van gegevens buiten de bewaartermijn.

Je hebt een grondslag voor verwerking nodig
Je moet voor ieder persoonsgegeven dat je verwerkt een zogenaamde grondslag hebben. Dit kan bijvoorbeeld zijn omdat je een contractuele verplichting hebt en de gegevens nodig hebt voor het uitvoeren van de overeenkomst. Een ander voorbeeld van een grondslag is dat de persoon actief toestemming heeft gegeven voor verwerking.

Hiervoor voegen we in de beheeromgeving een extra veld toe. Zodat je bij gebruikers en contactpersonen de grondslag (de reden dat je deze gegevens verwerkt) kunt vastleggen. Vervolgens kun je hierop filteren, om te zien van wie de grondslag nog niet is vastgelegd.

Meldplicht datalek
Gegevens moeten zo verwerkt worden dat gepaste beveiliging van persoonsgegevens is gewaarborgd. Op deze manier moeten persoonsgegevens beschermd zijn tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Hoewel datalekken vaak vooral alleen vanuit een technisch risico worden gezien kunnen datalekken ook op andere manieren ontstaan, bijvoorbeeld:

  • Een medewerker maakt een export van persoonsgegevens en mailt deze naar een externe partij.

Bedrijven zijn verplicht binnen 72 uur na constatering een datalek te melden bij de Autoriteit Persoonsgegevens, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.


Functionaris voor de gegevensbescherming (FG)
Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Voor CrisisConnect is dit niet verplicht. Wel hebben we vrijwillig een functionaris voor gegevensbescherming geregistreerd bij de Autoriteit Persoonsgegevens.

Beveiliging en veiligheid
Beveiliging en privacy zijn onze prioriteit. Hiervoor hebben wij verschillende maatregelen genomen. Zo loopt al het dataverkeer via versleutelde verbindingen. Back-ups worden versleuteld en fysiek gescheiden opgeslagen. Ook leggen we via audit logs vast welke informatie er op welk moment opgevraagd wordt.

Er is een aparte autorisatieserver waarbij gecontroleerd wordt of de gebruiker toegang heeft tot de applicatie. Alleen als beheerder aangemerkte gebruikers hebben toegang tot de beheeromgeving. Andere gebruikers hebben enkel toegang tot de mobiele applicaties, waar alleen data uitgelezen kan worden.

In de beheeromgeving is per gebruiker inzichtelijk of deze toegang heeft tot de beheeromgeving (beheerderrechten). Op deze manier is er inzage in wie exports van persoonsgegevens kan maken.

Lees hier al onze maatregelen voor beveiliging en privacy.


De verwerkersovereenkomst

Als verwerker van de persoonsgegevens die organisaties verzamelen, vastleggen en beheren sluiten wij een overeenkomst. Dit heet de verwerkersovereenkomst. Onze overeenkomst is opgesteld door ICT Recht, zij zijn juridisch gespecialiseerd in ICT.

Toevoegingen in CrisisConnect

In het kader van de AVG worden er een aantal aanpassingen gedaan in CrisisConnect:

– Er komt bij gebruikers en contactpersonen een datumveld waar je een bewaartermijn kunt aangeven.
– We voegen bij gebruikers en contactpersonen een veld toe waarin je de grondslag aangeeft.
– Het wordt voor de gebruiker mogelijk om zelf zijn profiel te verwijderen.

De update wordt voor 25 mei 2018 uitgevoerd.