GEGEVENSBESCHERMING AVG ALGEMENE VERORDENING GEGEVENSBESCHERMING AVG 23-4-2018 Arnhem
PROGRAMMA 19.00 uur Opening KvK, Remco Verhaaf 19.05 uur Algemene Verordening Gegevensbescherming (AVG) Marloes Horstman, JPR Advocaten 19.45 uur AVG en impact op uw ICT Olaf Nijeboer, Data Protection Support 20.30 uur Vragenronde 20.45 uur Afsluiting , drankje/napraten 21.00 uur Einde
Kennissessie Algemene Verordening Gegevensbescherming ADVOCATEN Kennissessie Algemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming 25 mei 2018 in werking – niet voldoende tijd gehad om te implementeren? Vanaf dat moment voldoen: accountabilityprincipe. Niet naleving AVG op straffe van hoge boetes Directe handhaving?
127.0.0.1 Wat zijn persoonsgegevens? Persoonsgegevens Directe persoonsgegevens Indirecte persoonsgegevens 127.0.0.1 Bijzondere persoonsgegevens Hoe zit het met rasgegevens? Smoelenboek Geen B2B, maar hoe zit het met eenmanszaken?
Algemene Verordening Gegevensbescherming Wijzigingen ten opzichte van de Wbp? - Accountability en documentatieplicht - Invoering Functionaris Gegevensbescherming - Invoering Meldplicht Datalekken op EU-niveau - Meer rechten betrokkenen
Stelling: Bedrijven met minder dan 250 werknemers hoeven niet aan de documentatieplicht te voldoen
Documentatieplicht In beginsel correct, maar…. Let op accountability Let op verwerking bijzondere persoonsgegevens Let op impact rechten van betrokkenen
Europese Privacyverordening De 6 beginselen van het verwerken van persoonsgegevens: Rechtmatigheid; behoorlijkheid; transparantie Doelbindingsprincipe Dataminimalisatie Juistheid Opslagbeperking Integriteit en vertrouwelijkheid
Europese Privacyverordening De grondslagen: Wettelijke plicht Gerechtvaardigd belang Publiek taak of algemeen belang Uitvoering overeenkomst Toestemming
Verwerkingsregister Het registreren van alle relevante informatie ten aanzien van persoonsgegevensverwerking wordt gedaan in het verwerkingsregister. Een Excel-bestand is in veel gevallen niet geschikt als verwerkingsregister! 1. Rollen en verantwoordelijkheden Welke afdeling verwerkt de persoonsgegevens (bv. Marketing)? Welke rol is verantwoordelijk voor de verwerking (bv. Directeur Marketing)? Waar komt de informatie vandaan, de bron (bv. Betrokkene)? Waar hebben de persoonsgegevens betrekking op (bv. Klanten)? Contactgegevens van de FG (Naam, adres, E-mail, telefoonnummer) 2. Persoonsgegevens Soort (bv. Regulier en bijzonder)? Specificatie (bv. Naam, Adres, Telefoonnummer) Grondslag van verwerking (bv. Toestemming) Doel van verwerking (bv. Marketingdoeleinden) Ontvangers van de persoonsgegevens (bv. Verwerker) Uitvoer (bv. Binnen Europa of Derde landen) Bewaartermijn (bv. 7 jaar) 3. Beveiliging en techniek Veiligheidsmaatregelen (bv. versleuteling of autorisaties)? Waar is de informatie opgeslagen (bv. server001 of database001)?
Bewaartermijnen Wettelijke bewaartermijnen Hoe zelf een bewaartermijn kiezen? Strijdigheid: enerzijds dossiervorming, anderzijds opslagbeperking
Verwerkersovereenkomst Breng binnen de organisatie in kaart met wie gegevens worden gedeeld! Verwerkersovereenkomst met: Accountant? Softwareleverancier? Waarom een Verwerkersovereenkomst? Inhoud van een Verwerkersovereenkomst: Categorieën van persoonsgegevens die aan de verantwoordelijke verstrekt worden; Verstrekte gegevens uitsluitend voor de uitvoering van de overeenkomst gebruikt mogen worden; Het bepaalde bij of krachtens de Wbp, AVG en eventuele andere wetgeving inzake persoonsgegevens stipt naleeft; De eis van een schriftelijk privacy-beleid; Gegevens louter binnen de EER verwerkt mogen worden; vertrouwelijkheid; Verstrekking van persoonsgegevens aan derden en eventuele sub-verwerkers; Passende technische en organisatorische beveiligingsmaatregelen treft en in stand houdt, een en ander zoveel mogelijk gespecificeerd
Rechten van betrokkenen Transparantie Recht van inzage Recht op rectificatie Recht om vergeten te worden (niet bij sub f) Nieuw: recht op dataportabiliteit Identificatie, is iemand wie hij zegt die hij is? hoe ga je om met wettelijke archivering? Hoe zit dat met back-up etc. dataclassificatie enop persoonsniveau gegevens ophalen. kan dossier bijhouden, staat in datacenter X beschouwen als verwijderd etc. Verzoek kost veel tijd. binnen 4 weken behandelen.
Hoe nu verder? Formeer een werkgroep die verantwoordelijk is voor de implementatie van de AVG; Breng de processen in kaart; Creëer awareness onder het personeel; Maak een start met het verwerkersregister; Breng alle verwerkers in kaart.
Vragen
Algemene Verordening Gegevensbescherming Informatiesessie KvK Algemene Verordening Gegevensbescherming
De oudste bekende regel rond privacy Eed van Hippocrates Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren
Europees Verdrag voor de Rechten van de Mens (EVRM) - 1950 Article 8. - Right to respect for private and family life 1 Everyone has the right to respect for his private and family life, his home and his correspondence. 2 There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.
Databeschermingsrichtlijn -1995 Conventie van Raad van Europa Richtlijn 95/46/EG Aanvullend protocol
Nederlandse Grondwet - 1983 artikel 94 Grondwet Binnen het Koninkrijk geldende wettelijke voorschriften vinden geen toepassing, indien deze toepassing niet verenigbaar is met een ieder verbindende bepalingen van verdragen en van besluiten van volkenrechtelijke organisaties.
Nederlandse Grondwet art 10 t/m 13 - 1983 Eerbiedigen persoonlijke levenssfeer Onaantastbaarheid van zijn lichaam Binnentreden in een woning niet zomaar Briefgeheim
Wet Bescherming Persoonsgegevens - 2001 Wet Bescherming Persoonsgegevens (Wbp) Ook elementen in andere wetten waaronder: Telecomwet Wet Financieel Toezicht Wet aanvullende bepaling verwerking persoonsgegevens in de zorg
Burger rechten vanuit Wbp Recht om te weten wat er met persoonsgegevens gebeurt Inzage recht in vastgelegde persoonsgegevens Recht op correctie Recht op bezwaar verwerking
Plichten voor verwerking vanuit Wbp Alleen bij welbepaalde en uitdrukkelijk omschreven doelen Alleen bij rechtvaardiging Informatieplicht Nemen van passende organisatorische en technische maatregelen ter bescherming van de gegevens Meldplicht Verwerking tenzij opgenomen in vrijstellingsbesluit Sinds 1 januari 2016 Meldplicht Datalekken
Passende organisatorische en technische maatregelen Rekening houden met stand van techniek Uitvoeringskosten Aard, omvang, context en doeleinden van verwerking Waarschijnlijkheid en ernst van risico’s voor rechten en vrijheden Procedure voor beoordelen en evalueren van doeltreffendheid
Privacy-by-Design (art. 25-1) Zowel bij het voorbereiden op een verwerking als tijdens het verwerken moeten passende technische en organisatorische maatregelen toegepast worden. Rekening houden met: Beschikbaarheid Integriteit Vertrouwelijkheid Proportionaliteit
Privacy-by-Default (art. 25-2) Alleen persoonsgegevens die noodzakelijk voor elk specifiek doel. Die verplichting geldt voor: de hoeveelheid verzamelde persoonsgegevens de mate waarin zij worden verwerkt de termijn waarvoor zij worden opgeslagen de toegankelijkheid daarvan Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
CIA en BIV Confidentiality Beschikbaarheid Integrity Integriteit Availability Vertrouwelijkheid
Fysieke beveiliging Wie kan er bij informatie? Kasten afsluitbaar? Schoonmaker Andere ondernemers of verhuurder Kasten afsluitbaar? Computer makkelijk mee te nemen?
Logische toegangsbeveiliging Wachtwoord op computer? Wachtwoord op applicaties? Two-way-authentification? Wie mag waarbij?
Transport van persoonsgegevens Email beveiligd? USB sticks? Computer in de auto? Wat zou ik kunnen zien via uw mobiel?
Gebruik randapparatuur WIFI netwerknaam gewijzigd? Printer beveiligd? Externe harde schijven/ NAS? Modem/router hernoemd en nieuw wachtwoord?
Opslag van persoonsgegevens Encryptie? In de cloud maar waar dan? Geprint in de map? Oude data verwijderd?
Externe partijen Verwerkersovereenkomsten? Wat kan wie zien? Geopolitiek?
Personeel/werknemers Clear screen en desk? Papierbak? Schrijfblokken? Social engineering?
ICT ontwikkeling en onderhoud Updates? Externe toegang geven? Virusscan en firewall? Gescheiden omgevingen ontwikkelen/testen/acceptatie/productie
Continuïteit Backups? Stroomuitval? Cryptoware? Ziekte of overlijden?
Incidenten Bewijsmateriaal? Procedure? Rootcause? Verantwoordelijkheid
Certificeren voor AVG Enisa (Europees Agentschap voor Netwerk- en Informatiebeveiliging) Geen enkel certificeringsmechanisme voldoet op dit moment (nov 2017) Wel certificeringen die aantonen dat Informatiebeveiliging op orde is zoals ISO 27001
Hoe dan zorgen voor compliancy? Aanmelden seminar AVG voor SOHO Via DataProtection.Support 46 vragen beantwoorden Vastleggen welke keuzes u heeft gemaakt Zorg dat u kunt aantonen wat u doet Laat u adviseren en controleren Maak uw organisatie bewust!
Belangrijk Wat moeten uw medewerkers of uw systemen doen? Hoe weten uw medewerkers wat ze moeten doen of hoe heeft u uw systemen ingericht? Hoe weet u dat uw medewerkers en uw systemen doen wat ze moeten doen? Wat doet u als uw medewerkers of systemen niet doen wat ze moeten doen?
SUCCES MET ONDERNEMEN!