Doelgroep
De wetgever zet in de AVG de betrokkene centraal door hem of haar de regie (terug) te geven over de eigen gegevens. Het gevolg is dat de verwerkingsverantwoordelijke de rechten van de betrokkene dient te faciliteren. Wij noemen dat de AVG-verplichtingen.
Een persoon heeft een verzameling eigenschappen of attributen. Voorbeelden van persoonlijke eigenschappen kunnen zijn: gedisciplineerd, gedreven, enthousiast, gestructureerd, flexibel, empathisch enzovoort. De eigenschappen veranderen naarmate een persoon ouder wordt of andere posities vervult in het maatschappelijk leven.
Als een verwerkingsverantwoordelijke de beschikking krijgt over de gegevens over de eigenschappen van een betrokkene dan heeft de verwerkingsverantwoordelijke de verplichting deze gegevens actueel te houden. De verwerkingsverantwoordelijke draagt ook de verplichting de vertrouwelijkheid van deze gegevens te borgen en de gegevens beschikbaar te houden. Zijn de gegevens niet meer nodig dan vernietigt de verwerkingsverantwoordelijke de gegevens. Hiermee hebben wij de fases van de lifecycle data protection management aangegeven.
Over de werking van de beheers- en beveiligingsmaatregel waarmee de persoonsgegevens effectief worden beschermd legt de verwerkingsverantwoordelijke verantwoording af.
Wij mogen verwachten dat een betrokkene zijn/ haar categorieën gegevens met behulp van een Personal Data Store (PDS) of een Persoonlijk identificeerbare informatie (PII) managet. De betrokken onderhoudt de eigen gegevens, maakt afspraken met de verwerkingsverantwoordelijke over het creëren, het opslaan, het gebruiken, het archiveren en het vernietigen van persoonsgegevens, ontvangt verantwoordingsinformatie over compliance met wettelijke en contractuele verplichtingen. Artikel 20 AVG, recht op overdraagbaarheid van gegevens of dataportabiliteit, zorgt ervoor dat de betrokkene probleemloos gegevens over eigenschappen met verschillende verwerkingsverantwoordelijken kan delen. Het komt erop neer dat niet de administratie van de verwerkingsverantwoordelijke centraal staat maar wel de administratie van de betrokkene.
De FG’s zien toe dat de rechten van betrokkenen in voldoende mate worden nagekomen.
Doelen
De Europese commissie heeft duidelijke doelen omschreven bij het aanbesteden van pilots voor PDS-infrastructuren waarmee betrokkenen lifecycle data protection management kunnen uitvoeren. Wij bespreken deze belangrijke pilots waarmee wij de deelnemers aan de cursus de intentie van de wetgever tonen.
Met behulp van lifecycle data protection management krijgt de betrokkene grip op de categorieën van gegevens met zijn of haar eigenschappen. Samengevat onderkennen wij de volgende fases van het gebruik van persoonsgegevens.
Wij bespreken de lifecycle en geven aan hoe de participatie van betrokkenen de kwaliteit van het verwerken van (persoons)gegevens kan verbeteren.
Er zijn inmiddels varianten van PDS/ PII ontwikkeld en operationeel beschikbaar gemaakt. Betrokkenen maken slechts op beperkte schaal gebruik van deze functionaliteiten.
Cursuscategorie organiseren van bedrijfsactiviteiten
Het in de cursus centraal zetten van de betrokkenen bij voeren van regie over persoonsgegevens vult een ander perspectief dan die van de verwerkingsverantwoordelijke. De betrokkenen managet de eigen categorieën van gegevens en maakt afspraken over het verwerken van de gegevens. De bedrijfsactiviteiten, bedrijfsprocessen en ondersteunende IT van de verwerkingsverantwoordelijke moet gereed zijn de betrokkene compliant met de eisen uit de AVG te bedienen.
De aard en omvang van de impact op bestaande processen en ondersteunende IT-systemen van verwerkingsverantwoordelijke als gevolg persoonsgedreven verwerkingen is omvangrijk.
