Algemene Verordening Gegevensbescherming

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Waarom nieuwe privacy richtlijnen?
auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wet Bescherming Persoonsgegevens
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Gegevensbescherming voor webmasters
Meld plicht Datalekken
Datacenter versus Cloud
FHI Federatiecongres 20 april 2017.
28 september 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
GDPR General Data Protection Regulation
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Big Data.
In 7 stappen uw organisatie klaar voor AVG
Big Data.
De algemene verordening gegevensverwerking AVG
GDPR online GDPR sessie
Privacy, Law & Security Data Protection Impact assessment (DPIA)
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Presentatie ‘Privacy & CRM’
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Wet op de privacy.
Algemene verordening gegevensbescherming
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Privacy bij Vrijwilligersorganisaties
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
AVG, wat moet ik ermee?.
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
Wet op de privacy.
GDPR & niet-journalistieke doeleinden
Wet op de privacy.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
GDPR.
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

Algemene Verordening Gegevensbescherming AVG: wat verandert er en wat betekent dit voor mij?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Verschil AVG en WBP Het verschil tussen de AVG en WBP, is dat de AVG boven de al bestaande Wet Bescherming Persoonsgegevens zal komen te staan met strengere regels en hogere sancties.

In 10 stappen voorbereid op de AVG Stap 1: Bewustwording Stap 2: Rechten van betrokkenen Stap 3: Overzicht verwerkingen (register) Stap 4: Data protection impact assessment (DPIA) en Privacy impact assessment (PIA) Stap 5: Privacy by design & privacy by default Stap 6: Functionaris voor de gegevensbescherming Stap 7: Meldplicht datalekken Stap 8: Verwerkersovereenkomsten (voorheen bewerkersovereenkomst) Stap 9: Leidende toezichthouder Stap 10: Toestemming Stap 1: Bewustwording= Stap 2: Rechten van betrokkenen = bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering, nieuwe rechten, zoals het recht op dataportabiliteit. Stap 3: Overzicht verwerkingen= documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Stap 4: Data protection impact assessment (ook wel PIA genoemd)= instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen Stap 5: Privacy by design & privacy by default= Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel. Stap 6: Functionaris voor de gegevensbescherming = Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Stap 7: Meldplicht datalekken= Meldplicht Datalekken blijft onder AVG geldig. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Stap 8: Bewerkersovereenkomsten (in AVG= Verwerkersovereenkomsten)= als gegevens bewerkt middels een uitbesteding worden verwerkt bij een andere partij dan dient er een verwerkersovereenkomst te worden afgesloten met de verwerker. (eigenaar van de gegevens is de verwerkersverantwoordelijke) Stap 9: Leidende toezichthouder= is van toepassing als er sprake is van verwerking is in meer lidstaten (bijvoorbeeld ook vestiging in België). Een leidend toezichthouder met dan worden vastgesteld/aangewezen. Stap 10: Toestemming= De AVG stelt strengere eisen aan toestemming. U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

1. Bewustwording Bewustzijn creëren en actief voorlichting/informatie geven Op de hoogte zijn van de (nieuwe) privacyregels. Transparantie: kunnen uitleggen/aantonen wat je waarom doet met persoonsgegevens. Bewust zijn creëer je door met elkaar in gesprek te blijven. Jezelf altijd af te vragen, heeft iedereen dit wel van me nodig? Kan het ook met minder informatie? Kan ik eenvoudig uitleggen waarom, welke informatie ik nodig heb en wat ik met deze informatie ga doen om het doel te kunnen bereiken.

2. Rechten van betrokkenen Meer controle mogelijk door betrokkenen Recht op informatie Recht op inzage Recht op rectificatie Recht van verzet Recht op gegevensvergetelheid (wissen van gegevens) Beperking van de verwerking Recht op dataportabiliteit Recht niet onderworpen te worden aan geautomatiseerde besluitvorming Iedereen krijgen meer rechten als het om hun privacy gaat.

3a. Overzicht verwerkingen (register) Verantwoordingsplicht Opstellen van een register van verwerkingsactiviteiten In het register staat informatie over de persoonsgegevens die u verwerkt. Het register = bewijslast voor de verantwoordelijke gegevensverwerker (de verwerkersverantwoordelijke) Voorbeeld van een register kan worden aangeboden.

3b. Onderdelen in het register: Doel van de registratie: reden om deze gegevens te registreren Meerdere/andere doelen van registratie: andere doelen waarom gegevens geregistreerd worden Registratie van persoonsgegevens: welke gegevens worden geregistreerd Registratie van bijzondere persoonsgegevens: gegevens zijn o.a. BSN, herkomst, gezondheid, enz. Noodzaak van registratie: need to know of nice to know Registratiesysteem: in welk systeem of document Beveiligingsmaatregelingen: hoe beveiligd Verwerking persoonsgegevens: wie verwerkt, kan bij de gegevens Delen van persoonsgegevens: met wie worden gegevens intern en extern gedeeld Vorm delen persoonsgegevens: hoe worden gegevens gedeeld Toestemming van betrokkenen: heeft de betrokkene toestemming gegeven Bewaartermijn: hoe lang worden gegevens bewaard Verwerkersovereenkomsten: wie verwerkt de gegevens? Andere partij dan een overeenkomst. . Doel van de registratie: Met welke redenen worden bij deze dienstverlening/ondersteuning gegevens geregistreerd? Korte beschrijving over de reden van registratie. Bijvoorbeeld: doel registratie, t.b.v. juiste aanbieding dienstverlening. Snellere info/hulp kunnen bieden in de toekomst). Ondersteuning van de werkzaamheden enz. Meerdere/andere doelen van registratie: Worden deze persoonsgegevens ook gebruikt voor andere bedrijfsprocessen of doelen dan waar ze oorspronkelijk voor worden verzameld? Bijvoorbeeld: worden gegevens uit de registratie gebruikt voor eventuele (trend) analyses. Verantwoordingsgegevens richting subsidieverstrekker (tel en vertel) enz. Registratie van persoonsgegevens: Welke persoonsgegevens worden er geregistreerd? (NAW) persoonsgegevens kunnen zijn: Naam, adres, postcode, huisnummer, woonplaats, e-mailadres, telefoonnummer) Registratie van bijzondere persoonsgegevens: Worden er bijzondere gegevens geregistreerd? Bijzondere persoonsgegevens zijn gegevens over iemands: godsdienst of levensovertuiging; ras; politieke voorkeur; gezondheid; seksuele leven; lidmaatschap van een vakbond; strafrechtelijk verleden: BSN (Burgerservicenummer) Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Noodzaak van registratie: Zijn alle gegevens die momenteel geregistreerd worden nodig om het doel te kunnen bereiken? Welke gegevens zouden dan (eventueel) niet meer moeten worden geregistreerd? M.b.t. Need to know - Nice to know. Is het gebruik van de gegevens verenigbaar (in lijn) met het doel van het verzamelen? Registratiesysteem: Waarin wordt geregistreerd (systeem/document)? Systeem intern x, systeem van andere partij, app op de telefoon enz.. Document kan zijn Excel, notitieblok enz. Beveiligingsmaatregelingen: Hoe worden deze gegevens beschermd? Dit kan bijvoorbeeld zijn: Beschermmaatregelingen liggen bij de moederorganisatie. Beschermmaatregelingen liggen bij de/een externe partij. Opgeslagen in een afgesloten ruimte of kast. Medewerker bewaard de gegevens persoonlijk enz. Verwerking persoonsgegevens: Wie verwerkt/heeft toegang tot de gegevens in desbetreffende registratie? Met verwerken wordt bedoeld: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. LET OP! niet alleen vanuit intern benaderen maar ook vanuit extern bijvoorbeeld partij x heeft toegang tot de registratie enz. Delen van persoonsgegevens: Met wie worden persoonsgegevens gedeeld? Gegevens kunnen gedeeld worden met samenwerkingspartners, intern met collega’s of vrijwilligers, extern naar andere partijen zoals belastingdienst, arbodienst, gemeenten enz. Vorm delen persoonsgegevens: Hoe worden gegevens gedeeld met andere partijen/collega's/betrokkene? Denk hierbij aan mail, schriftelijk, mondeling, app. (zowel intern als extern benaderen). Toestemming van betrokkenen: Wordt er toestemming gevraagd m.b.t. de registratie en/of doorgeven van de gegevens aan derden? Zo ja, hoe is dit te controleren? Beschrijving van het hoe, wat en met wie. Bewaartermijn: Hoe lang worden persoonsgegevens bewaard? Vraag niet alleen richten op bewaartermijnen in registratiesystemen maar ook op hoe lang bewaar je bijvoorbeeld je persoonlijke notities. Verwerkersovereenkomsten: Is er sprake van een verwerkerovereenkomst/bewerkersovereenkomst? Let op! Vraag ook door of er eventueel SLA's of (samenwerkings) convenanten zijn afgesloten.

.4. Data protection impact assessment (DPIA) en Privacy impact assessment (PIA) Risico-inventarisaties en risicoanalyses: vooraf de privacy risico’s gegevensverwerking in kaart brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen en/of deze te kunnen voorkomen. DPIA = alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert. Voorbeeld: op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). PIA = proactief na te denken over vragen als “Wat is de impact van het beoogde project op de privacy van de betrokkenen? DPIA = alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie:systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). PIA = proactief na te denken over vragen als “Wat is de impact van het beoogde project op de privacy van de betrokkenen? Wat zijn de risico’s voor de betrokkenen en voor de organisatie?” Is een aanpak die minder gevolgen heeft voor de privacy ook mogelijk, gegeven de doelstellingen van het project? Na het uitvoeren van een PIA kan de ‘verantwoordelijke’ gerichte opdrachten geven aan degene die het product of de dienst verder ontwikkelt opdat maatwerk kan worden geleverd en wordt voorkomen dat in een later stadium kostbare aanpassingen nodig zijn.

Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig .5. Privacy by design & privacy by default Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig Privacy by design= tijdens de ontwikkeling van producten en diensten aandacht besteden aan doel, welke, noodzakelijke gegevens (dus al rekening houden met dataminimalisatie). Privacy by default: technische en organisatorische maatregelen nemen dat standaard alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel (beleidsmatig werken). Eerst nadenken over het waarom, het wat, waarmee. Dus niet zo maar doen. Need t Know, Nice to Know. Zorgdragen voor een veilige omgeving waarin gegevens worden bewaard.

6. Functionaris voor de gegevensbescherming Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen. Organisaties die vanuit hun kernactiviteiten op grote schaal mensen volgen. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waar dit een kernactiviteit is. Kan ook de functienaam Privacy Officer, beleidsmedewerker Privacy zijn.

7. Meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken Direct een melding bij de Autoriteit Persoonsgegevens zodra er een (ernstig) datalek is geconstateerd. (Soms) ook de datalek melden aan de betrokkenen van wie de persoonsgegevens zijn gelekt. AVG stelt strengere eisen aan de registratie. U moet alle datalekken documenteren. Data is niet alleen NAW gegevens maar kan ook zijn opgeslagen camerabeelden, IP-adressen, USB stick, Laptop, telefoon, notitieblok, bestanden met gegevens die naar personen te herleiden zijn.

8. Verwerkersovereenkomst Hiermee regel je dat een derde partij (een verwerker) zorgvuldig met de persoonsgegevens omgaat waar jij als verwerkersverantwoordelijke verantwoordelijk voor bent. De verwerker moet zich houden aan de afspraken die jij met de betrokkenen van de persoonsgegevens hebt gemaakt. Advies: laat een verwerkersovereenkomst (altijd) juridische toetsen. Samenwerkingsovereenkomsten, SLA’s enz. ook op juisheid controleren. Bijvoorbeeld: wat zijn de afspraken m.b.t. samenwerken (informatie delen, toegang tot systemen, enz, In SLA’s kunnen afspraken staan over bijvoorbeeld hoe er gehandeld wordt als data zoek raakt of gehackt wordt enz.

9. Leidende toezichthouder Organisaties die gegevens verwerken in meerdere EU landen moeten nog maar met één privacytoezichthouder zaken doen. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Juridisch laten toetsen/vastleggen.

10. Toestemming U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de AVG. Eén van die grondslagen is ‘toestemming’. De AVG stelt strengere eisen aan toestemming. U (de organisaties) moet kunnen aantonen dat er een geldige toestemming is verkregen. Betrokkenen moeten net zo makkelijk hun toestemming kunnen intrekken. Advies: Evalueer regelmatig de manier waarop toestemming wordt gevraagd, verkregen en geregistreerd. Rechstgeldige toestemming voldoet aan de volgende eisen: Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren. Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan. Geïnformeerd: u moet mensen informeren over: 1) de identiteit van u als organisatie; 2) het doel van elke verwerking waarvoor u toestemming vraagt; 3) welke persoonsgegevens u verzamelt en gebruikt; 4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken. Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen. Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. U moet kunnen aantonen dat u geldige toestemming heeft verkregen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken. Welke grondslagen zijn er? De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens: 1. Toestemming van de betrokken persoon. 2, De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. 3, De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. 4, De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. 5, De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. 6, De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.