Wat is de top 5 van meest gemaakte fouten bij het verwerken van persoonsgegevens?

25 februari 2021

Bijna alle bedrijven en organisaties hebben te maken met het verwerken van persoonsgegevens. DataChecker ziet dat keer op keer dezelfde fouten worden gemaakt bij de verwerking van die gegevens. Veel bedrijven voldoen daarmee niet aan wetten zoals de AVG, de Wwft of de GDPR. Waarom worden die fouten gemaakt en wat kun je er aan doen om die te voorkomen? 

Wat zijn persoonsgegevens?

De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.

Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.

Goed om te weten; bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens. Tenzij je een persoonlijk mailadres gebruikt of als het postadres hetzelfde is als het bezoekadres en dit adres in het kadaster is opgeslagen op een persoonsnaam. Dan is het herleidbaar tot een persoon en dus een persoonsgegeven.

Bijzondere persoonsgegevens

Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.

Wanneer verwerk je persoonsgegevens?

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.

Dit is dus een zeer ruim begrip. Handelingen die er volgens de Algemene verordening gegevensbescherming (AVG) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens .

1. Mail een kopie van je ID bewijs

DataChecker ziet het dagelijks gebeuren: bedrijven en organisaties vragen hun klanten om een kopie van hun rijbewijs of identiteitsbewijs te mailen bij het onboarden van klanten. Veel van die bedrijven hebben helemaal geen wettelijke grond om een kopie of scan van een identiteisbewijs op te vragen bij hun klanten. Daarnaast wordt de mail op een onveilige manier verstuurd, blijft hij in de inbox van degene staan die hem heeft opgevraagd en wordt het bestand opgeslagen op een computer die niet goed beveiligd is. Met andere woorden: je kunt je paspoort net zo goed op straat laten liggen.

Wanneer mag het wel?

Financiële instellingen mogen een kopie van je identiteitsbewijs maken om te kunnen bewijzen dat zij aan de wettelijke identificatieplicht hebben voldaan.Ook mogen uitzendbureaus een kopie van je identiteitsbewijs maken om je identiteit te controleren als je je bij het uitzendbureau inschrijft.In sommige gevallen is een organisatie wettelijk verplicht om je burgerservicenummer (BSN) van je identiteitsbewijs over te nemen (noteren).De organisatie die een kopie of scan van je identiteitsbewijs wil maken, is verplicht om aan een klant toe te lichten waarom een kopie/scan noodzakelijk is. Of op basis van welke wettelijke verplichting de organisatie een volledige kopie/scan moet maken.

 

 2. Persoonlijke data kan niet worden teruggevonden

Een persoon blijft ten alle tijden eigenaar van zijn of haar persoonsgegevens. Dat is niet anders dan in de fysieke wereld. Wist je dat iemand die persoonsgegevens met je deelt, altijd het recht heeft om die in te zien? En het recht hebben om zelf hun gegevens te verwijderen? Talloze organisaties hebben hier geen proces voor ingericht.

Hoe ga je om met dit soort verzoeken? Laat je de gebruiker dit zelf doen of regel jij het voor ze? En hoe moet zo'n persoon zich kenbaar maken bij jou? In de privacyverklaring van een bedrijf of organisatie moet worden aangegeven hoe het bedrijf hiermee omgaat.  

3. Medewerkers zijn niet op de hoogte van het beleid

Een organisatie heeft veel tijd gestoken in een veilige opslag van gegevens. Er is geïnvesteerd in een software systeem met de hoogste mate van veiligheid. De organisatie heeft daarnaast  een uitgeschreven beleid op het gebied van privacy en persoonsgegevens. Alleen degene die de telefoon opneemt heeft nog nooit gehoord van de AVG of de GDPR. Dat betekent dat diegene gewoon namen en telefoonnummers doorgeeft via de telefoon aan derden.

Het lijkt erg voor de hand liggend, maar in de praktijk blijkt dit vaak één van de grootste zwaktes in een beleid. Denk bijvoorbeeld aan het opslaan van gegevens en wachtwoorden door werknemers. Een werknemer die zelf zijn wachtwoorden kan instellen en een slecht wachtwoord kiest, kan iedereen toegang geven tot alle persoonsgegevens die worden bewaard door een bedrijf. Een beleid kan alleen goed werken als het in de praktijk door de gehele organisatie wordt gedragen en uitgevoerd.

 4. Niet weten met wie de gegevens worden gedeeld

Heb jij een compleet beeld van welke gegevens door wie worden verwerkt en waar ze worden opgeslagen? Die persoonsgegevens kunnen ook worden gebruikt of verwerkt door mensen buiten je organisatie. Iemand als een boekhouder of ict’er kunnen allemaal bij deze gegevens. De AVG verplicht bedrijven en organisaties om een verwerkingsovereenkomst en geheimhoudingsverklaring af te sluiten met alle derden die toegang hebben tot de persoonsgegevens die je verwerkt. Deze overeenkomsten zorgen voor een veilige bescherming van de persoonsgegevens waar jij verantwoordelijk voor bent én blijft.

 5. Als het kalf verdronken is…

Misschien is het behandelen van persoonsgegevens een onderdeel van je bedrijfsproces. Het gaat al jaren goed, dus de behoefte om naar dat proces te kijken is er niet. Totdat het mis gaat. Het gebeurt van de GGD tot aan de grootste bedrijven ter wereld. Als persoonsgegevens op straat komen te liggen, door bijvoorbeeld een Datalek, dan kijkt men pas kritisch naar de processen. Heel veel bedrijven hebben enorme boetes van Nederlandse of Europese privacy waakhonden ontvangen voor het onveilig verwerken van persoonsgegevens.

Laat u adviseren door DataChecker

DataChecker voorziet in een unieke combinatie van geautomatiseerde soepele onboarding, advies op maat en pro-actieve support. Waarmee wij techniek en data samenvoegen en weten te verrijken, voor een betere usability, én verhoogde veiligheid. 

Vooruitlopend op wet- en regelgeving verifiëren we alle type identiteitsdocumenten en checken we consumentendata en bedrijfsdata op de financiële gesteldheid.

Bron: Wat is de top 5 van meest gemaakte fouten bij het verwerken van persoonsgegevens?