Voordat we onze persoonsgegevens delen met andere bedrijven, organisaties, en overheden vooral buiten de EER, moet we even stilstaan bij de regels van de AVG.
8 Tips voor het delen van AVG-gegevens
Het delen van persoonsgegevens door organisaties binnen Europa valt onder de Algemene Verordening Gegevensbescherming (AVG). Het delen van gegevens is niet verkeerd. Er zijn legitieme redenen voor organisaties, overheden en bedrijven om persoonlijke informatie te delen.
Gerechtvaardigde redenen voor het delen van gegevens onder de AVG
Winkeliers kunnen klantadressen delen met een koerier voor bezorging.
Reisbureaus kunnen persoonlijke informatie met betrekking tot een boeking doorgeven aan een hotel.
Zorgverleners moeten de medische geschiedenis van een patiënt delen met een consulent die gereed is voor een operatie.
Een financieringsmaatschappij kan persoonsgegevens delen met een ratingbureau om de kredietwaardigheid vast te stellen.
Voordat u persoonlijke informatie deelt, is het van cruciaal belang ervoor te zorgen dat er een legitieme reden is om dit te doen, dat de beveiligingen adequaat zijn en dat er passende waarborgen zijn getroffen.
Er is veel veranderd sinds de invoering van de AVG, niet in de laatste plaats het Britse Brexit-referendum. Daarom is het de moeite waard om met een frisse blik te kijken hoe u compliant kunt blijven bij het delen van gegevens onder de AVG.
Tips voor het delen van AVG-gegevens
1. Overweeg legitimiteit
Waarom deel je in de eerste plaats gegevens? Wat is de wettelijke basis hiervoor? Wat hoop je te bereiken? Is het gerechtvaardigd? Is het delen van gegevens proportioneel? Welke en hoeveel gegevens worden er gedeeld? Met wie?
2. Weeg voordelen af tegen risico’s
Wat zijn de voordelen en risico’s van het wel of niet delen van de informatie? Onthoud dat als er een hoog risico bestaat voor de rechten en vrijheden van betrokkenen, een gegevensbeschermings- of privacyeffectbeoordeling moet worden uitgevoerd.
3. Ga na of je het recht hebt om informatie te delen
Voor welk type organisatie werkt u bijvoorbeeld, welke relevante bevoegdheden of functies heeft zij, wat is de aard van de informatie die u van plan bent te delen (bijvoorbeeld is deze vertrouwelijk, bijzonder gevoelig, enz.), en is er een wettelijke verplichting (zoals een wettelijke verplichting, een gerechtelijk bevel, een bewaarplicht, enz.)?
4. Overweeg waar de gegevensoverdracht zich tussen bevindt:
Is het naar een land buiten de EER? Zo ja, valt de doorgifte dan onder een adequaatheidsbesluit dat de rechten en vrijheden van personen waarborgt?
Roadmap voor AVG-naleving
5. Wat te doen als er geen ‘adequaatheidsbesluit’ is?
Overweeg of andere waarborgen van toepassing zijn op de overdracht – bijvoorbeeld bindende bedrijfsregels (BCR’s), standaardcontractbepalingen (SCC’s) die zijn goedgekeurd door de Commissie, enz.
6. Controleer of een uitzondering de gegevensoverdracht dekt
Wat kunt u doen als u geen beschikking heeft over ’toereikendheid’ en geen passende waarborgen heeft? Wel, of u nu wel of niet de uitdrukkelijke toestemming van de persoon hebt, er zijn enkele uitzonderingen waarop u kunt vertrouwen.
Voorbeelden van uitzonderingen zijn:
Als u een contract heeft met de persoon;
Indien de doorgifte noodzakelijk is om redenen van algemeen belang;
Als de overdracht noodzakelijk is voor een rechtsvordering of;
Als de doorgifte noodzakelijk is ter bescherming van vitale belangen.
7. Ontwikkel protocollen en overeenkomsten voor het delen van gegevens
Zijn er momenteel deelprotocollen of overeenkomsten met de derde partij? Hoe vaak wordt informatie met hen gedeeld? Welke informatie geeft u hierover aan betrokkenen? Wanneer en hoe wordt dit gecommuniceerd? Welke specifieke maatregelen zijn er om de veiligheid te handhaven (bijvoorbeeld encryptie)?
8. Houd gegevens up-to-date en nauwkeurig
Hoe zorgt u ervoor dat de gegevens die u hebt gedeeld up-to-date en accuraat blijven? Wie is hiervoor verantwoordelijk (het bedrijf dat het delen doet of het ontvangende bedrijf)? Welke afspraken zijn er als betrokkenen er toegang toe willen hebben? Hoe lang moet elke partij gegevens bewaren en welke processen zijn nodig om ervoor te zorgen dat deze door alle partijen worden verwijderd wanneer ze niet langer nodig zijn?