Gegevensbescherming voor webmasters Nut en noodzaak van een bewerkersovereenkomst mr. C.H.M. Reijmers CIPP/E JUG010 bijeenkomst 15 mei 2017

Inhoud van mijn presentatie: Kort voorstellen Inhoud van mijn presentatie: Kennismaking met wet- en regelgeving rond de verwerking van persoonsgegevens Nut en noodzaak van een bewerkersovereenkomst Wat wordt er in de overeenkomst vastgelegd? De meldplicht datalekken De Algemene verordening gegevensbescherming /AVG Meer eisen aan de ‘verwerker’ Een eigen register van ‘verwerkingsactiviteiten’ Wellicht een ‘eigen’ interne toezichthouder aanwijzen Presentatie 15 mei 2017

Als politieagent begonnen in Rotterdam, avondstudie rechten EUR In projectgroep begonnen met Wet persoonsregistraties (gemeente Rotterdam) en Wet politieregisters. Eerste modelreglement voor politieregister ‘Multipol’ Gemeente Rotterdam, deelgemeente Delfshaven sector OOV naast zelfstandig adviesbureau op het terrein van gegevensbescherming Implementatietrajecten Wbp, docent politieonderwijs, Kmar en Bestuursacademie Consultant en betrokken bij bestuurlijke aanpak georganiseerde misdaad (RIEC, LIEC, woonfraude, Emergo), dienstverlening Hogescholen en overheid Lid expertpool privacy VNG/KING voor gegevensbescherming sociaal domein Gemeente Amsterdam, Kansspelautoriteit, NAM Legal Counsel Data Privacy Earthquake team en nu senior jurist privacy AVG bij ministerie van Economische Zaken Geassocieerd lid NGFG, lid IAPP en gecertificeerd Presentatie 15 mei 2017

Kennismaking met regelgeving rond de verwerking van persoonsgegevens Grondrecht, bescherming van de persoonlijke levenssfeer Wet bescherming persoonsgegevens (Wbp) als ‘kaderwet’ Centraal staat het zorgvuldig omgaan met persoonsgegevens Uitgangspunten: Verplichtingen van de ‘verantwoordelijke’ Rechten van de ‘betrokkene’ Presentatie 15 mei 2017

Kennismaking met regelgeving rond de verwerking van persoonsgegevens Begrippen in de Wbp: Verwerken van persoonsgegevens Verantwoordelijke Bewerker ( als ‘juridische’ term ) Betrokkene Autoriteit Persoonsgegevens als ‘toezichthouder’ Presentatie 15 mei 2017

Kennismaking met regelgeving rond de verwerking van persoonsgegevens Welke verplichtingen ‘verantwoordelijke’ ? Alleen gegevens verwerken bij belang/doel en grondslag Informatieplicht (actief en passief) Meldingsplicht (van de verwerkingen) Informatiebeveiligingsplicht (met meldplicht datalekken) Bij gebruik ‘bewerker’ een ‘bewerkersovereenkomst’ Welke rechten ‘betrokkenen’ ? Recht op informatie, ‘inzage’, verwijdering of verbetering en schadevergoeding Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Bij gebruik ‘bewerker’ een ‘bewerkersovereenkomst’ Wat leg je vast (tussen opdrachtgever en webmaster) ? Doeleinden van het gebruik van de gegevensverwerking Welke categorieën van personen en soorten van gegevens Wie is de ‘verantwoordelijke’ Overeengekomen ‘beveiligingsmaatregelen’ bewerker Melden van een ‘datalek’ (bij de ‘opdrachtgever’) Na beëindiging van het werk ‘overdragen’ van de gegevens Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Bij gebruik ‘bewerker’ een ‘bewerkersovereenkomst’ Wat leg je eventueel vast ? Bijzondere persoonsgegevens (zoals gezondheid) ´Gevoelige gegevens´ (zoals financiële gegevens) Boeteclausule ? Audits door de ‘opdrachtgever’ Afhandeling van verzoeken om ‘inzage’ door betrokkene Medewerking aan ‘opdrachtgever’ bij onderzoek door AP Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Bij gebruik ‘bewerker’ een ‘bewerkersovereenkomst’ Hou rekening met : Opslaglocatie (hou rekening met EU regelgeving) Ierland valt binnen EU (Ierland of Noord-Ierland) VS is geen veilig land, vandaar ´EU privacy Shield´ in plaats van ´Safe Harbour´ principe Anders gebruik maken ´modelovereenkomst´ Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Welke taken als ‘bewerker’ ? GEEN ! Alle taken zijn voor de ‘verantwoordelijke’ (opdrachtgever). Informatieplicht (actief, maakt bewerker bekend) Melding van de verwerking (eventueel vrijstelling) Informatieplicht (passief, dan medewerking verlenen) IB (maar aan welke vereisten voldoet webmaster) Datalekken (bij ontdekken verantwoordelijke informeren ) Bewaartermijnen (vaststellen taak verantwoordelijke) Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Welke ‘indirecte’ taken als ‘bewerker’ ? Niet meer gegevens gaan vastleggen dan binnen de afspraken met de ‘verantwoordelijke’, vastgelegd in de ‘overeenkomst’ In het geval van ‘datalek’ opdrachtgever informeren en onderzoek ondersteunen, helpen betrokkene te informeren Bij verzoek tot ‘kennisneming’ e.d. verantwoordelijke helpen met de benodigde persoonsgegevens Gegevens niet langer bewaren dan noodzakelijk Let op ‘verhaalsmogelijkheid’ van de opdrachtgever ingeval van foutief handelen door de webmaster / bewerker Presentatie 15 mei 2017

Nut en noodzaak van een bewerkersovereenkomst Wat is reeds beschikbaar aan documenten/formats ? Arvodi documenten (Rijksoverheid) VNG/KING voor gemeenten Surf documenten binnen Hogescholen/onderwijs Welke opbouw en welke samenhang met de bijlagen en met de meldplicht datalekken ? Dienstverlening 4Privacy aan de webmaster / opdrachtgever Presentatie 15 mei 2017

‘Meldplicht datalekken’ Wat is een ‘datalek’ ? Als bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of is een onrechtmatige verwerking niet uit te sluiten Wanneer moet een datalek gemeld worden bij de AP ? Als sprake is van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte gegevens Binnen welke termijn ? (binnen 72 uur !) Welke maatregelen zijn beoogd voor de betrokkene? Bij waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer moet betrokkene worden geïnformeerd Wiens verantwoordelijkheid ? Ligt bij de opdrachtgever / verantwoordelijke, wel verhaalsmogelijkheid Presentatie 15 mei 2017

Algemene verordening gegevensbescherming / AVG ‘Europese wetgeving’ vanaf 25 mei 2018/ vervangt Wbp ‘Verwerkingsverantwoordelijke moet maatregelen nemen en aantoonbaar handelen in overeenstemming AVG’ Andere terminologie bewerker wordt ‘verwerker’ Er worden meer eisen gesteld aan de ‘verwerker’ ‘Moet afdoende garanties bieden m.b.t. het toepassen van technische er organisatorische maatregelen opdat de verwerking voldoet aan de eisen van de AVG en de bescherming van de rechten van betrokkene is gewaarborgd’ (art. 28 AVG) Presentatie 15 mei 2017

Algemene verordening gegevensbescherming / AVG Noodzaak van een ‘verwerkersovereenkomst’ Uitsluitend op basis van een schriftelijke instructie, onder meer bij doorgifte van persoonsgegevens aan ‘derde’ landen Waarborgt dat ‘tot het verwerken gemachtigde personen’ de vertrouwelijkheid in acht nemen of daar wettelijk aan zijn gebonden Bijstand verleent bij uitoefening rechten door betrokkene Gegevens wist (vernietigd) of terug bezorgd (overdragen) Als ‘verwerker’ zelf gebruik maakt van ‘subverwerker’ zelfde taak voor verwerker. De eerste verwerker blijft aansprakelijk voor opdrachtgever Presentatie 15 mei 2017

Algemene verordening gegevensbescherming / AVG Verwerkingsverantwoordelijke legt ‘register’ aan van verwerkingsactiviteiten Verschillende elementen moeten worden vastgelegd: Doeleinden van de verwerking, categorieën van personen en soorten van gegevens, FG, verwerkingsverantwoordelijke en gebruik ´verwerker´ Verwerker legt ook ‘register’ aan, tenzij bij ‘verwerkingsverant- woordelijke´ minder dan 250 personen werkzaam zijn Als ‘verwerking’ wordt gedaan door een overheidsinstantie of overheidsorgaan, dan wijst ‘verwerker’ ook een FG aan! Presentatie 15 mei 2017

Verantwoordelijkheden (Taken) van de FG Bijdragen aan het zorgvuldig omgaan met gegevens door het uitoefenen van toezicht en het bieden van alternatieven voor ‘juiste wijze’ Betrouwbaarheid (onder meer geheimhoudingsplicht) en juistheid van de advisering Bijhouden eigen deskundigheid Verdedigen van ‘onafhankelijkheid’ of ‘onpartijdigheid’ Rekening houden met alle belangen, zowel vanuit oogpunt van bedrijfsvoering als vanuit het oogpunt van de medewerkers en betrokkenen Aanspreekpunt voor de ‘betrokkene’ Presentatie 15 mei 2017

Dank voor jullie aandacht! mr. C.H.M. Reijmers CIPP/E Email: chrisreijmers@outlook.com Telefoonnummer 06-14325418 Presentatie 15 mei 2017