GEGEVENSBESCHERMING AVG

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
De Bouwplaats-ID, een goed idee?
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Open data en Wet hergebruik overheidsinformatie Utrecht 29 oktober 2015 Tjeerd Schiphof /
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gegevensbescherming voor webmasters
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
Datacenter versus Cloud
FHI Federatiecongres 20 april 2017.
28 september 2017.
Privacy binnen de Drechtsteden
Gebruikersbijeenkomst data.overheid.nl
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Het nieuwe Europese raamwerk “bescherming persoonsgegevens” in Europa en België/Vlaanderen… Willem Debeuckelaere De Privacyproef – deJuristen Gent 1 juni.
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Algemene Verordening Gegevensbescherming
Welkom Wim Behage Commercieel Directeur Accent Automatisering 50 jaar
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
HET SURINAAMS PERSPECTIEF
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
AVG, wat moet ik ermee?.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
GDPR & niet-journalistieke doeleinden
Wet op de privacy.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
KBO en omgaan met privacy
Handleiding VVLE template verwerkingsregister
Functionaris Gegevensbescherming a.i Gemeente Katwijk
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

GEGEVENSBESCHERMING AVG ALGEMENE VERORDENING GEGEVENSBESCHERMING AVG 23-4-2018 Arnhem

PROGRAMMA 19.00 uur Opening KvK, Remco Verhaaf 19.05 uur Algemene Verordening Gegevensbescherming (AVG) Marloes Horstman, JPR Advocaten 19.45 uur AVG en impact op uw ICT Olaf Nijeboer, Data Protection Support 20.30 uur Vragenronde 20.45 uur Afsluiting , drankje/napraten 21.00 uur Einde

Kennissessie Algemene Verordening Gegevensbescherming ADVOCATEN Kennissessie Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming 25 mei 2018 in werking – niet voldoende tijd gehad om te implementeren? Vanaf dat moment voldoen: accountabilityprincipe. Niet naleving AVG op straffe van hoge boetes Directe handhaving?

127.0.0.1 Wat zijn persoonsgegevens? Persoonsgegevens Directe persoonsgegevens Indirecte persoonsgegevens 127.0.0.1 Bijzondere persoonsgegevens Hoe zit het met rasgegevens? Smoelenboek Geen B2B, maar hoe zit het met eenmanszaken?

Algemene Verordening Gegevensbescherming Wijzigingen ten opzichte van de Wbp? - Accountability en documentatieplicht - Invoering Functionaris Gegevensbescherming - Invoering Meldplicht Datalekken op EU-niveau - Meer rechten betrokkenen

Stelling: Bedrijven met minder dan 250 werknemers hoeven niet aan de documentatieplicht te voldoen

Documentatieplicht In beginsel correct, maar…. Let op accountability Let op verwerking bijzondere persoonsgegevens Let op impact rechten van betrokkenen

Europese Privacyverordening De 6 beginselen van het verwerken van persoonsgegevens: Rechtmatigheid; behoorlijkheid; transparantie Doelbindingsprincipe Dataminimalisatie Juistheid Opslagbeperking Integriteit en vertrouwelijkheid

Europese Privacyverordening De grondslagen: Wettelijke plicht Gerechtvaardigd belang Publiek taak of algemeen belang Uitvoering overeenkomst Toestemming

Verwerkingsregister Het registreren van alle relevante informatie ten aanzien van persoonsgegevensverwerking wordt gedaan in het verwerkingsregister. Een Excel-bestand is in veel gevallen niet geschikt als verwerkingsregister! 1. Rollen en verantwoordelijkheden Welke afdeling verwerkt de persoonsgegevens (bv. Marketing)? Welke rol is verantwoordelijk voor de verwerking (bv. Directeur Marketing)? Waar komt de informatie vandaan, de bron (bv. Betrokkene)? Waar hebben de persoonsgegevens betrekking op (bv. Klanten)? Contactgegevens van de FG (Naam, adres, E-mail, telefoonnummer) 2. Persoonsgegevens Soort (bv. Regulier en bijzonder)? Specificatie (bv. Naam, Adres, Telefoonnummer) Grondslag van verwerking (bv. Toestemming) Doel van verwerking (bv. Marketingdoeleinden) Ontvangers van de persoonsgegevens (bv. Verwerker) Uitvoer (bv. Binnen Europa of Derde landen) Bewaartermijn (bv. 7 jaar) 3. Beveiliging en techniek Veiligheidsmaatregelen (bv. versleuteling of autorisaties)? Waar is de informatie opgeslagen (bv. server001 of database001)?

Bewaartermijnen Wettelijke bewaartermijnen Hoe zelf een bewaartermijn kiezen? Strijdigheid: enerzijds dossiervorming, anderzijds opslagbeperking

Verwerkersovereenkomst Breng binnen de organisatie in kaart met wie gegevens worden gedeeld! Verwerkersovereenkomst met: Accountant? Softwareleverancier? Waarom een Verwerkersovereenkomst? Inhoud van een Verwerkersovereenkomst: Categorieën van persoonsgegevens die aan de verantwoordelijke verstrekt worden; Verstrekte gegevens uitsluitend voor de uitvoering van de overeenkomst gebruikt mogen worden; Het bepaalde bij of krachtens de Wbp, AVG en eventuele andere wetgeving inzake persoonsgegevens stipt naleeft; De eis van een schriftelijk privacy-beleid; Gegevens louter binnen de EER verwerkt mogen worden; vertrouwelijkheid; Verstrekking van persoonsgegevens aan derden en eventuele sub-verwerkers; Passende technische en organisatorische beveiligingsmaatregelen treft en in stand houdt, een en ander zoveel mogelijk gespecificeerd

Rechten van betrokkenen Transparantie Recht van inzage Recht op rectificatie Recht om vergeten te worden (niet bij sub f) Nieuw: recht op dataportabiliteit Identificatie, is iemand wie hij zegt die hij is? hoe ga je om met wettelijke archivering? Hoe zit dat met back-up etc. dataclassificatie enop persoonsniveau gegevens ophalen. kan dossier bijhouden, staat in datacenter X beschouwen als verwijderd etc. Verzoek kost veel tijd. binnen 4 weken behandelen.

Hoe nu verder? Formeer een werkgroep die verantwoordelijk is voor de implementatie van de AVG; Breng de processen in kaart; Creëer awareness onder het personeel; Maak een start met het verwerkersregister; Breng alle verwerkers in kaart.

Vragen

Algemene Verordening Gegevensbescherming Informatiesessie KvK Algemene Verordening Gegevensbescherming

De oudste bekende regel rond privacy Eed van Hippocrates Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren

Europees Verdrag voor de Rechten van de Mens (EVRM) - 1950 Article 8. - Right to respect for private and family life 1 Everyone has the right to respect for his private and family life, his home and his correspondence. 2 There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Databeschermingsrichtlijn -1995 Conventie van Raad van Europa Richtlijn 95/46/EG Aanvullend protocol

Nederlandse Grondwet - 1983 artikel 94 Grondwet Binnen het Koninkrijk geldende wettelijke voorschriften vinden geen toepassing, indien deze toepassing niet verenigbaar is met een ieder verbindende bepalingen van verdragen en van besluiten van volkenrechtelijke organisaties.

Nederlandse Grondwet art 10 t/m 13 - 1983 Eerbiedigen persoonlijke levenssfeer Onaantastbaarheid van zijn lichaam Binnentreden in een woning niet zomaar Briefgeheim

Wet Bescherming Persoonsgegevens - 2001 Wet Bescherming Persoonsgegevens (Wbp) Ook elementen in andere wetten waaronder: Telecomwet Wet Financieel Toezicht Wet aanvullende bepaling verwerking persoonsgegevens in de zorg

Burger rechten vanuit Wbp Recht om te weten wat er met persoonsgegevens gebeurt Inzage recht in vastgelegde persoonsgegevens Recht op correctie Recht op bezwaar verwerking

Plichten voor verwerking vanuit Wbp Alleen bij welbepaalde en uitdrukkelijk omschreven doelen Alleen bij rechtvaardiging Informatieplicht Nemen van passende organisatorische en technische maatregelen ter bescherming van de gegevens Meldplicht Verwerking tenzij opgenomen in vrijstellingsbesluit Sinds 1 januari 2016 Meldplicht Datalekken

Passende organisatorische en technische maatregelen Rekening houden met stand van techniek Uitvoeringskosten Aard, omvang, context en doeleinden van verwerking Waarschijnlijkheid en ernst van risico’s voor rechten en vrijheden Procedure voor beoordelen en evalueren van doeltreffendheid

Privacy-by-Design (art. 25-1) Zowel bij het voorbereiden op een verwerking als tijdens het verwerken moeten passende technische en organisatorische maatregelen toegepast worden. Rekening houden met: Beschikbaarheid Integriteit Vertrouwelijkheid Proportionaliteit

Privacy-by-Default (art. 25-2) Alleen persoonsgegevens die noodzakelijk voor elk specifiek doel. Die verplichting geldt voor: de hoeveelheid verzamelde persoonsgegevens de mate waarin zij worden verwerkt de termijn waarvoor zij worden opgeslagen de toegankelijkheid daarvan Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

CIA en BIV Confidentiality Beschikbaarheid Integrity Integriteit Availability Vertrouwelijkheid

Fysieke beveiliging Wie kan er bij informatie? Kasten afsluitbaar? Schoonmaker Andere ondernemers of verhuurder Kasten afsluitbaar? Computer makkelijk mee te nemen?

Logische toegangsbeveiliging Wachtwoord op computer? Wachtwoord op applicaties? Two-way-authentification? Wie mag waarbij?

Transport van persoonsgegevens Email beveiligd? USB sticks? Computer in de auto? Wat zou ik kunnen zien via uw mobiel?

Gebruik randapparatuur WIFI netwerknaam gewijzigd? Printer beveiligd? Externe harde schijven/ NAS? Modem/router hernoemd en nieuw wachtwoord?

Opslag van persoonsgegevens Encryptie? In de cloud maar waar dan? Geprint in de map? Oude data verwijderd?

Externe partijen Verwerkersovereenkomsten? Wat kan wie zien? Geopolitiek?

Personeel/werknemers Clear screen en desk? Papierbak? Schrijfblokken? Social engineering?

ICT ontwikkeling en onderhoud Updates? Externe toegang geven? Virusscan en firewall? Gescheiden omgevingen ontwikkelen/testen/acceptatie/productie

Continuïteit Backups? Stroomuitval? Cryptoware? Ziekte of overlijden?

Incidenten Bewijsmateriaal? Procedure? Rootcause? Verantwoordelijkheid

Certificeren voor AVG Enisa (Europees Agentschap voor Netwerk- en Informatiebeveiliging) Geen enkel certificeringsmechanisme voldoet op dit moment (nov 2017) Wel certificeringen die aantonen dat Informatiebeveiliging op orde is zoals ISO 27001

Hoe dan zorgen voor compliancy? Aanmelden seminar AVG voor SOHO Via DataProtection.Support 46 vragen beantwoorden Vastleggen welke keuzes u heeft gemaakt Zorg dat u kunt aantonen wat u doet Laat u adviseren en controleren Maak uw organisatie bewust!

Belangrijk Wat moeten uw medewerkers of uw systemen doen? Hoe weten uw medewerkers wat ze moeten doen of hoe heeft u uw systemen ingericht? Hoe weet u dat uw medewerkers en uw systemen doen wat ze moeten doen? Wat doet u als uw medewerkers of systemen niet doen wat ze moeten doen?

SUCCES MET ONDERNEMEN!