Wet Bescherming Persoonsgegevens

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Introductie: privacywet
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Schade-expertisebureaus en de Wet bescherming persoonsgegevens
Wie beschermt onze privacy?
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Privacy en ledenadministratie
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
De eerste 10 Nederlandse grondrechten (bron: Schooltv)
Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden
Personeelsadministratie
Aanstaande privacywetgeving
Zorgbehoevenden en woonoverlast Verplicht medicijngebruik en andere mogelijkheden.
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Privacy en financiële instellingen VCO 5 juni 2007.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Gegevensbescherming voor webmasters
Meld plicht Datalekken
Datacenter versus Cloud
Klachtenregeling Actan adviseurs & accountants
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
De algemene verordening gegevensverwerking AVG
Privacy in wetgeving: wat mag wel en wat mag niet
Algemene Verordening Gegevensbescherming
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
Gegevensbescherming door ondernemers
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Algemene verordening gegevensbescherming
Hergebruik van overheidsinformatie
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Privacy bij Vrijwilligersorganisaties
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
7 december 2017 Bedrijfsgeheimen en andere vertrouwelijke informatie in de civiele procedure Vereniging Corporate Litigation – 31 mei 2018 Ruud Hermans.
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
GDPR.
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Transcript van de presentatie:

Wet Bescherming Persoonsgegevens Meldplicht Datalekken juni 2016

Nieuwsberichten ‘Dieven stelen gegevens kankerpatiënten Antoni van Leeuwenhoek’ (DMCC, 3 maart 2016) ‘Dieven hebben een onbeveiligde harde schijf gestolen met de gegevens van 781 kankerpatiënten van het Antoni van Leeuwenhoek Ziekenhuis. De schijf is in december uit de kofferbak van de auto van een onderzoeker gestolen, maakte het Amsterdamse ziekenhuis donderdag bekend.’  ‘Transportbedrijf stopt filmen chauffeurs na onderzoek Autoriteit Persoonsgegevens’ (AP, 16 februari 2016). ‘Volgens de AP is het voor dit doel echter niet proportioneel om de chauffeurs gedurende hun werktijd onafgebroken te filmen. De chauffeurs staan hierdoor continu onder toezicht. Camera’s op de werkvloer mag alleen als het cameratoezicht noodzakelijk is. Dat wil zeggen dat de werkgever het doel, bijvoorbeeld fraudebestrijding of verbetering rijvaardigheid, niet op een andere manier kan bereiken.’ 2 juni 2016

WIFI-tracking rond winkels in strijd met de wet (AP, 1 December 2015) Nieuwsberichten WIFI-tracking rond winkels in strijd met de wet (AP, 1 December 2015) ‘Het volgen van mensen in en rond winkels via de wifi-signalen van hun mobiele apparaten zonder hen hierover te informeren, is in strijd met de wet. Dit benadrukt het College bescherming persoonsgegevens (CBP) na onderzoek bij het bedrijf Bluetrace. Vtech, ING-bank, etc. Bent u de volgende die in het nieuws staat? 2 juni 2016

Gevolgen niet voldoen aan WBP Tot eind 2015: Wet bescherming Persoonsgegevens, artikel 66: Bestuurlijke boete € 4.500 bij overtreding artikel 27-28. Conclusie: Geen afdoende toezicht, bedrijfs- economisch niet verantwoord, alleen ter voorkoming imagoschade. Inspanningsverplichting: ‘Ik doe mijn best’. Juni 2016

Gevolgen niet voldoen aan WBP Vanaf 1 januari 2016: Artikel 66 lid: Bindende aanwijzing; Geldboete tot maximal € 820.000; Geldboete art. 23 lid 7 (10% jaaromzet) Introductie medepleger (feitelijke leiding- gevende). Conclusie: Resultaatverplichting: ‘Van tell-me naar show me’. Juni 2016

Gevolgen niet voldoen aan WBP Aansprakelijkheden: Bestuursrechtelijk: Bestuurlijke boete Last onder dwangsom Bindende aanwijzing Strafrechtelijk: Opzet of nalatigheid Civielrechtelijk: Door betrokkene Juni 2016

Grondslag verwerking persoonsgegevens Artikel 8 WBP: Persoonsgegevens mogen slechts verwerkt worden indien: Ondubbelzinnig toestemming is verleend: Noodzakelijk voor de uitvoering van een overeenkomst (of pre-contractueel); Noodzakelijk voor een wettelijke verplichting; Noodzakelijk voor vitaal belang; Noodzakelijk voor een goede vervulling publiekrechtelijke taak; Noodzakelijk voor een gerechtvaardigd belang Juni 2016

Ras (denk aan schoolfoto!) Persoonsgegevens? Direct Geboortedatum Naam Adres, woonplaats Burgerservicenummer Geslacht IQ Email adres Bijzonder Kind gegevens Ras (denk aan schoolfoto!) Godsdienst of levensovertuiging Politieke gezindheid Gezondheid Strafrechtelijke verleden Seksuele leven Lidmaatschap van een vakvereniging Indirect Gegevens welke zijn te herleiden tot een natuurlijk persoon Biometrische gegevens Video-opname van personen Iemands telefoon - of computergebruik Het kentekennummer van een leaseauto Iemands ziekteverzuim en de redenen daarvan Carrière gegevens Juni 2016

Verwerkingen? Smoelenboek Kerstwens lijst Koppenkaart e-mail adres groepen Personeel systeem Salarisverwerking Exact Video opnamen Kenteken Biometrische data Paspoort AFAS Koppenkaart Personeels bestand File server Printers Copiers Receptie Test omgeving Back-up’s Verzamelen Ordenen Wijzigen Vastleggen Bewaren Bijwerken Opvragen Gebruiken Verstrekken Verspreiden Koppelen Afschermen Wissen Vernietigen Persoonsgegevens Juni 2016

Externe software leverancier; Wie regelt de Back-up; Etc. Gedefinieerde rollen Rollen: Verantwoordelijke: Leiding van de entiteit die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Externe software leverancier; Wie regelt de Back-up; Etc. Juni 2016

Degene op wie een persoonsgegevens betrekking heeft. Medewerkers; Gedefinieerde rollen Rollen: Betrokkene: Degene op wie een persoonsgegevens betrekking heeft. Medewerkers; Leveranciers; Klantgegevens; Etc. Juni 2016

Verplichtingen verantwoordelijke Verplichtingen van verantwoordelijke: Documentatieplicht (artikel 27,28 en 30): Documenteren van alle verwerkingen van (persoons)gegevens; Informatieplicht (artikel 33 en 34): Informeren van betrokkenen zodat sprake is van een eerlijke verwerking; Faciliteren rechten betrokkene plicht (artikel 35, 36, 37, 38 en 40); Beveilgingsplicht (artikel 13 en 14): Er is sprake van een adequaat beveiligingsniveau van verwerking van persoonsgegevens; Meldingsplicht (WBP-mdp artikel 14 en 34a): Meldplicht data-lekken. Juni 2016

Naam en adres verantwoordelijke; Doel of doeleinden van verwerking; Documentatieplicht Alle verwerkingen dienen te worden gemeld bij de Autoriteit Persoonsgegevens dan wel de Fuctionaris Gegevensbescherming: Naam en adres verantwoordelijke; Doel of doeleinden van verwerking; Categorieën van betrokkenen; Categorieën van gegevens; Ontvangers of categorieën ontvangers; Voorgenomen doorgifte naar 3e landen (Landen buiten de EER); Vrijstelling melding Autoriteit Persoonsgegevens: zie ‘Handreiking Vrijstellingsbesluit’. Algemene beschrijving gepastheid maatregelen: Artikel 13 en 14: De beveiliging van de verwerking. Juni 2016

VOORAF: Betrokkene informeren dat zijn gegevens worden verwerkt Informatieplicht VOORAF: Betrokkene informeren dat zijn gegevens worden verwerkt Identiteit verantwoordelijke Doel of doeleinden van de verwerking Aard gegevens en omstandigheden van verkrijging Aard en omstandigheden van gebruik Behoorlijke en zorgvuldige verwerking waarborgen. Juni 2016

Informatieplicht: Hoe? Transparantie creëren: Privacy verklaring (website) Contactgegevens organisatie/FunctionarisGegevensbescherming Verwijzing naar melding AP Doel gegevensverwerking Herkomst gegevens Rechten van betrokkene Geheimhouding Beschrijving over beveiliging Doorgifte aan derden. Informatie register vastleggen. Juni 2016

Rechten van betrokkenen Inzage (artikel 35); Correctie (artikel 36); Rechten betrokkene Rechten van betrokkenen Inzage (artikel 35); Correctie (artikel 36); Vernietiging (artikel 36); Doorgeven van correcties aan derden (artikel 38); Verzet (artikel 40). Juni 2016

Faciliteren rechten betrokkene Instellen procedures ten behoeve van: Recht op inzage; Recht op correctie of vernietiging; Doorgeven correcties aan derden; Recht op verzet (algemeen of marketingactiviteiten). Datavernietiging Juni 2016

Faciliteren rechten betrokkene Werkwijze faciliteren rechten betrokkene: Op inzage verzoeken ingaan: Binnen 4 weken; Doel van de verwerking; Categorieën gegevens; Informatie omtrent doorgiftes; Herkomst gegevens. Op wijziging/verwijder verzoeken ingaan: Eigen verwerkingen; Ontvangers Vastleggen in een register. Juni 2016

Tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig Beveiligingsplicht Passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens: Tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig Tegen verlies Om andere vormen van onrechtmatige verwerking te voorkomen m.n. ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens. Hieraan gaat vooraf een evaluatie van de risico’s Indien bewerker Wbp, artikel 14: Ook hier passende maatregelen Bewerkingsovereenkomst verplicht. Juni 2016

Vastleggen passende technische en organisatorische maatregelen; Beveiligingsplicht Registratie: Vastleggen passende technische en organisatorische maatregelen; Vastleggen transparantie; Vastleggen bewijs van effectieve werking. Doel: Vaststellen risico’s ‘Proof of the pudding’ voor toezichthouder Bepalen som van aansprakelijkheden Bewijslast in juridische procedures. Juni 2016

Meldplicht Data-lekken Onverwijld melden van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (Wbp, artikel 34a) Melding bij AP/veel gevallen ook bij betrokkene Wat en wanneer melden, Binnen 72 uur melden (Let op: in de praktijk is dit een beperkte tijd). Specifieke eisen inhoud melding: zie Richtsnoeren AP. Verplicht om een datalek register bij te houden. Geadviseerd wordt om een Datalek Crisis Team op te richten. Juni 2016

Meldplicht Data-lekken Meldplicht geldt ook voor datalekken die ontstaan bij (sub)bewerker (WBPmdp, artikel 14): Alle incidenten melden aan verantwoordelijke; Register aanleggen; Aansprakelijkheid. Juni 2016

Bewerkersovereenkomst Afspraken over: Verantwoordelijkheden Aansprakelijkheden Verantwoording Meldplicht datalekken Kettingbeding (nieuwe eigenaar neemt het over) Rechten van betrokkene Beveiligingsniveau Geheimhouding Etc. Juni 2016

Oorzaak datalekken Juni 2016

Zeer omvangrijke eisen die nagenoeg iedere organisatie raakt: Conclusie Zeer omvangrijke eisen die nagenoeg iedere organisatie raakt: Documentatie: Zijn verwerkingen voldoende gedocumenteerd? Is er een registratie van datalekken? Zijn de expliciete toestemmingen van betrokkenen vastgelegd? Informatie: Is de autoriteit geïnformeerd over verwerkingen? Zijn betrokkenen geïnformeerd? Maatregelen: Zijn er voldoende passende organisatorische en technische maatregelen genomen om de persoonsgegevens te beschermen? Inzage: Kunnen betrokkenen ten aanzien van de verwerkingen inzage krijgen? Kan hun recht op verzet, rectificatie en/of vernietiging worden gehonoreerd? Melden data-lek: Kunnen in het geval van een data-lek de autoriteit en of betrokkenen binnen vastgestelde termijn worden geïnformeerd? Juni 2016

Gevolgen bij niet naleving: Conclusie Gevolgen bij niet naleving: Zware boetes (max. € 820.000, of 10% jaaromzet i.p.v. € 4.500); Bestuurdersaansprakelijkheid; Continuïteit onderneming? Grijs gebied: ‘Passende organisatorische en technische maatregelen’. Voldoet uw organisatie aan de WBP? Juni 2016

Inventariseren persoonsgegevens (welke, waar, etc.) Waar kan je mee starten Inventariseren persoonsgegevens (welke, waar, etc.) Aanmelden verwerking bij Autoriteit Persoonsgegevens Train personeel op privacy awareness en melden incidenten Documenteer het volgende: Alle verwerkingen persoonsgegevens; Stel bewerkingsovereenkomsten op; Stel privacy-verklaring op. Datalekken. Interne maatregelen: Opstellen procedures ‘Inzage-recht’; Opstellen procedures en ‘crisisteam’ melding datalekken. Neem toereikende beveiligingsmaatregelen en opstellen informatiebeveiligingsbeleid. Juni 2016

Heeft u hulp nodig? Lentink Accountants heeft deskundigen in dienst die alles weten over de Wbp en het melden van datalekken. Voor ondersteuning kunt u contact opnemen met: Juni 2016

Afronding Juni 2016