Belang van AVG: verantwoordelijkheid bij bedrijven

Deze week kwam er na de uitzending van Arjen Lubach, een meer kwalijke privacy kwestie boven water, dat het belang van de AVG wetgeving aantoonde.

Medische data: kwalijke zaak

Indien je overtuiging is dat wanneer je niet te persoonlijke gegevens op Facebook zet, er niets aan de hand is, kun je op basis van de vorige berichtgeving omtrent Facebook en privacy concluderen dat daarmee de plank mis wordt geslagen. Ook websites van zorgverzekeringen en zorginstellingen lijken namelijk Facebook pixels te gebruiken, en daar zit nou juist de pijnpunt.

Wanneer je bezoek-gedrag wordt doorgegeven aan Facebook, is Facebook ook perfect in staat om een vermoedelijk medisch dossier van je bij te houden. Wanneer je lichamelijke klachten hebt of krijgt, en daarover informatie zoekt op het internet, kan dat soort data in handen komen van Facebook.

Medische data delen

Facebook ging daarin verder en stuurde iemand op pad om medische data van ziekenhuizen te kunnen verkrijgen om te kunnen combineren met eigen data. Alhoewel niet van de grond gekomen, was het idee om betere zorg te kunnen leveren, en gebruikers hierover te informeren.

Echter, de tegenstelde weg zou daarmee ook bewandeld kunnen worden: Instellingen, waaronder niet alleen Facebook, maar ook zorginstellingen, hypotheekverstrekkers, kunnen je actief weigeren bij het indienen van een aanvraag. Dit zou bijvoorbeeld gedaan kunnen worden omdat te achterhalen valt dat je ooit last van je rug had en wellicht rondloopt met een hernia die men niet wil verzekeren.

Belang van AVG en bescherming persoonsgegevens

Alhoewel Mark Zuckerberg namens Facebook op het matje werd geroepen en ook enkele websites van zorginstellingen de Facebook pixel in de ban hebben gedaan, is dit uiteraard nog slechts het topje van de ijsberg en valt er nog veel te winnen. De uitzending van Arjen Lubach geeft goed weer dat meerendeel van de consumenten als ook ook mediadeskundigen niet in staat is om de werkelijke gevolgen van bepaalde diensten in te schatten, waardoor deze verantwoordelijkheid door Europa terecht bij de bedrijven neer legt.

AVG: Verantwoordelijkheid bij bedrijven

Eén van de eerste stappen, is awareness creeëren binnen een organisatie en de stand van zaken in kaart te brengen. Het in kaart brengen, gebeurt via een verwerkingsregister. Aanvullend kan er een verwerkers­overeenkomst tussen een AVG verantwoordelijke en AVG verwerker worden aangegaan, om specifieke afspraken op papier te zetten. Zo een overeenkomst kan erg verschillen, afhankelijk van de betrokken diensten en verstandhouding tussen bedrijven.

Omtrent de AVG verwerkingsregister, dient er onder meer gedocumenteerd te worden van welk (type) persoonsgegevens sprake is en welke maatregelen getroffen zijn. Daarbij dient overwogen te worden om aanvullende maatregelen toe te passen, bijvoorbeeld wanneer er sprake is van bijzondere of gevoelige persoonsgegevens.

Wordt je hierbij liever bij de hand genomen? Gebruik dan de AVG Cloud Register, om tot een juridisch beproefd document te komen, dat overhandig kan worden in het geval van recht op inzage door consumenten of Autoriteit Persoonsgegevens.