Gegevensbescherming door ondernemers bewustwording mr. C.H.M. Reijmers CIPP/E

Inhoud van mijn presentatie: Kort voorstellen Inhoud van mijn presentatie: Bewustwording waar gaat ‘privacybescherming’ over 2. Wat is de Algemene verordening gegevensbescherming (AVG) 3. Wat betekent dit voor bedrijven - ondernemers 4. Welke aandachtspunten en risico’s Presentatie OVZ 3 april 2018

Begonnen als politieagent, avondstudie rechten EUR Deelgemeente Delfshaven sector OOV, combi zelfstandig adviesbureau op het terrein van gegevensbescherming Implementatietrajecten Wbp, docent politieonderwijs, Kmar en Bestuursacademie Consultant en betrokken bij bestuurlijke aanpak georganiseerde misdaad (RIEC, LIEC, woonfraude, Emergo), dienstverlening Hogescholen en overheid Lid expertpool privacy VNG/KING voor gegevensbescherming sociaal domein Gemeente Amsterdam, Kansspelautoriteit, NAM Legal Counsel Data Privacy Earthquake team, senior jurist privacy AVG bij ministerie van Economische Zaken en nu projectleider AVG bij ministerie van Algemene Zaken Docent NCOI, verzorg van trainingen en lunchbijeenkomsten Geassocieerd lid NGFG, lid IAPP en gecertificeerd Presentatie OVZ 3 april 2018

Grondrecht, bescherming van de persoonlijke levenssfeer Kennismaking met regelgeving rond de verwerking van persoonsgegevens Grondrecht, bescherming van de persoonlijke levenssfeer Algemene verordening gegevensbescherming (AVG) als Europese ‘kaderwet’ Centraal staat het zorgvuldig omgaan met persoonsgegevens Uitgangspunt: Transparantie Verplichtingen voor de ‘verwerkingsverantwoordelijke’ Rechten van de ‘betrokkene’ Presentatie OVZ 3 april 2018

Privacybescherming volop in het nieuws Kennismaking met regelgeving rond de verwerking van persoonsgegevens Privacybescherming volop in het nieuws Wat weten jullie er eigenlijk van? Wat heb je als ondernemer tot nu toe gedaan? Welke risico’s zijn er aan verbonden? Presentatie OVZ 3 april 2018

In hoeveel bestanden staan uw gegevens geregistreerd Kennismaking met regelgeving rond de verwerking van persoonsgegevens In hoeveel bestanden staan uw gegevens geregistreerd A. Tot ongeveer 250 zelfstandige bestanden B. Tot ongeveer 750 zelfstandige bestanden C. In meer dan 1250 zelfstandige bestanden De geldwaarde van persoonsgegevens Kosten ‘naam, adres en e-mailadres’ binnen de direct marketing Hoeveel burgers vragen inzage in hun eigen gegevens bij de BKR? A. Slechts enkele geïnteresseerden op jaarbasis. B. Ongeveer 45.000 betrokkenen op jaarbasis. C. Meer dan 75.000 betrokkenen op jaarbasis. Presentatie OVZ 3 april 2018

Vraag 1 Als u een auto voor een proefrit mee geeft aan een potentiële koper maakt u snel een kopie van het paspoort van de betrokkene. Mag dat? Gaan staan: Ja, dit mag. Zitten blijven: Nee, dit mag niet. Presentatie OVZ 3 april 2018

Nee, dit mag niet. (de zittende mensen) Antwoord vraag 1 Nee, dit mag niet. (de zittende mensen) Een kopie van een paspoort bevat het BSN. U mag als ondernemer dit BSN slechts voor bepaalde situaties vastleggen (denk aan de salarisadministratie), maar niet van een potentiële koper. U handelt in strijd met de AVG en de Uitvoeringswet/Wabb. Presentatie OVZ 3 april 2018

Vraag 2 U heeft een vacature en ontvangt van sollicitanten de ‘sollicitatiebrief’. U bewaart deze schriftelijke stukken van alle kandidaten 5 jaar. Mag dat? Gaan staan: Ja, dit mag. Ik bepaal de termijn namelijk zelf. Zitten blijven: Nee, dit mag niet. Presentatie OVZ 3 april 2018

Nee, dit mag niet. (zittende mensen) Antwoord vraag 2 Nee, dit mag niet. (zittende mensen) De bewaartermijn is veel te lang voor alle kandidaten. Dit betekent dat u dan geen ‘gerechtvaardigd belang’ heeft. Een termijn van 3 maanden na afhandeling van de procedure is acceptabel. Wilt u gegevens van bepaalde personen langer bewaren, dan moet u de betrokkene goed informeren over het ‘gebruik’ van zijn gegevens. En een voldoende ‘gerechtvaardigd belang’ kunnen aantonen. Presentatie OVZ 3 april 2018

Vraag 3 U bekijkt en gebruikt gegevens van social media zoals LinkedIn, facebook en Instagram voor de geschiktheid van een sollicitant bij de afhandeling van een sollicitatieprocedure. Mag dat? Gaan staan: Ja, dit mag. Zitten blijven: Nee, dit mag niet. Presentatie OVZ 3 april 2018

Vraag 3 Ja, dit mag. (staande mensen) Maar let op! U mag die gegevens bekijken, maar ook het ‘raadplegen’ van die gegevens raakt aan de AVG. Van belang is wat u er mee gaat doen. Toelichting Betrokkene zet zelf zijn persoonsgegevens op social media. Raadplegen valt ook onder AVG en gegevensbescherming komt in beeld als u als werkgever de persoonsgegevens daadwerkelijk gaat gebruiken. U heeft als werkgever een actieve informatieverplichting, dus dan vermelden en kenbaar maken gedurende het sollicitatieproces Overtreding hiervan kent een boete van (maximaal) € 820.000. Presentatie OVZ 3 april 2018

Is dit een datalek? Vraag 4 Een personeelslid stuurt een mail met een bijlage (een document dat gegevens bevat zoals naam, adres, de datum indiensttreding en het afgesproken salaris) naar een verkeerd geadresseerde binnen uw bedrijf. Is dit een datalek? Gaan staan: Ja, dit is een datalek. Zitten blijven: Nee, dit is geen datalek. Presentatie OVZ 3 april 2018

Ja, dit is een datalek (staande mensen) Antwoord vraag 4 Ja, dit is een datalek (staande mensen) Toelichting Datalek is een beveiligingsincident waarbij persoonsgegevens betrokken zijn. Persoonsgegevens komen onbedoeld/ongewenst bij derden terecht. Dit kan leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. AVG artikel beschrijft meldplicht datalekken Presentatie OVZ 3 april 2018

Een personeelslid stuurt een mail met een bijlage (een document dat Vraag 5 Een personeelslid stuurt een mail met een bijlage (een document dat persoonsgegevens bevat zoals naam, adres, BSN , de datum indiensttreding en het afgesproken salaris) naar een gekeerd geadresseerde buiten uw bedrijf. Moet dit gemeld worden bij de Autoriteit persoonsgegevens? Gaan staan: Ja, dit moet bij de AP worden gemeld. Zitten blijven: Nee, dit hoeft niet te worden gemeld. Ik moet alleen de betrokkene gaan informeren. Presentatie OVZ 3 april 2018

Ja, dit moet bij de AP worden gemeld. (staande mensen) Antwoord vraag 5 Ja, dit moet bij de AP worden gemeld. (staande mensen) Toelichting Dit datalek leidt tot (de kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er moet dus worden gemeld aan de AP. Artikel 34a, tweede lid, van de AVG: de verwerkingsverantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De inbreuk kan ongunstige gevolgen voor de levenssfeer van de betrokkene. Betrokkene moet eveneens in kennis worden gesteld. Presentatie OVZ 3 april 2018

Uw dochter bezoekt regelmatig de sauna en ook haar camerabeelden Vraag 6 Uw dochter bezoekt regelmatig de sauna en ook haar camerabeelden zijn op internet terecht gekomen. Zij besluit om aangifte te gaan doen bij de politie. Is dit de enige mogelijkheid om hier iets tegen te doen? Gaan staan: Ja, dit vereist altijd een optreden van de politie. Zitten blijven: Nee, uw dochter kan ook zelf actie ondernemen. Presentatie OVZ 3 april 2018

Nee, uw dochter kan ook zelf actie ondernemen (zittende mensen) Antwoord vraag 6 Nee, uw dochter kan ook zelf actie ondernemen (zittende mensen) De ondernemer aansprakelijk stellen voor de ‘schade’, als gevolg van de inbreuk op de persoonlijke levenssfeer. Twee fouten: gebruik camera’s in sauna’s in strijd met Wbp/ AVG en onvoldoende beveiligingsmaatregelen genomen om ‘hacken’ of onjuist gebruik van de gegevens tegen te gaan. Enkel discussie over de hoogte van de schadevergoeding. Presentatie OVZ 3 april 2018

Algemene verordening gegevensbescherming / AVG Kennismaking met regelgeving rond de verwerking van persoonsgegevens Algemene verordening gegevensbescherming / AVG ‘Europese wetgeving’ vanaf 25 mei 2018 (vervangt Wbp) ‘Verwerkingsverantwoordelijke moet maatregelen nemen en aantoonbaar handelen in overeenstemming AVG’ Presentatie OVZ 3 april 2018

Welke verplichtingen ‘verwerkingsverantwoordelijke’ ? Kennismaking met regelgeving rond de verwerking van persoonsgegevens Welke verplichtingen ‘verwerkingsverantwoordelijke’ ? Aantoonbaar zorgvuldig omgaan met persoonsgegevens !! Beleg gegevensbescherming ‘ergens’ in de organisatie Communiceer met de klant en het personeel Presentatie OVZ 3 april 2018

privacybescherming borgen in organisatie Kennismaking met regelgeving rond de verwerking van persoonsgegevens Beleid en governance privacybescherming borgen in organisatie Alleen gegevens verwerken bij belang en grondslag Informatieplicht betrokkenen informeren over gebruik gegevens met ‘eenvoudig taalgebruik’ afhandeling verzoeken van betrokkenen Registerplicht bijna geen gebruik uitzonderingen mogelijk Informatiebeveiligingsplicht Bij gebruik ‘verwerker’ verplicht een ‘verwerkersovereenkomst’ Meldplicht datalekken Presentatie OVZ 3 april 2018

Welke rechten ‘betrokkenen’ ? Kennismaking met regelgeving rond de verwerking van persoonsgegevens Welke rechten ‘betrokkenen’ ? Recht op informatie, ‘inzage’, verwijdering of verbetering en schadevergoeding (in het geval er sprake is van onzorgvuldig omgaan met persoonsgegevens, bijvoorbeeld met een datalek) Presentatie OVZ 3 april 2018

Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Nut en noodzaak van een verwerkersovereenkomst Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Wat leg je vast (met de opdrachtnemer) ? Doeleinden van het gebruik van de verwerkingsactiviteiten Welke categorieën van personen en soorten van gegevens Wie is de ‘verwerkingsverantwoordelijke’ Overeengekomen ‘beveiligingsmaatregelen’ verwerker Melden van een ‘datalek’ (bij de ‘opdrachtgever’) Na beëindiging van het werk ‘overdragen’ van de persoonsgegevens Presentatie OVZ 3 april 2018

Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Nut en noodzaak van een verwerkersovereenkomst Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Wat wordt er eventueel vastgelegd? Bijzondere persoonsgegevens (zoals gezondheid) ´Gevoelige gegevens´ (zoals financiële gegevens) Boeteclausule bij onrechtmatig handelen Audits door de ‘opdrachtgever’ Afhandeling van verzoeken om ‘inzage’ door betrokkene Medewerking aan ‘opdrachtgever’ bij onderzoek door AP Presentatie OVZ 3 april 2018

Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Nut en noodzaak van een verwerkersovereenkomst Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’ Hou rekening met : Opslaglocatie (hou rekening met EU regelgeving) Ierland valt binnen EU (Ierland of Noord-Ierland) VS is geen veilig land, vandaar ´EU privacy Shield´ Presentatie OVZ 3 april 2018

Welke taken als ‘verwerker’ ? Enkele ! Nut en noodzaak van een bewerkersovereenkomst Welke taken als ‘verwerker’ ? Enkele ! Alle taken zijn voor de ‘verantwoordelijke’ (opdrachtgever). Informatieplicht (actief, maakt bewerker bekend) Melding van de verwerking (eventueel vrijstelling) Informatieplicht (passief, dan medewerking verlenen) IB (maar aan welke vereisten voldoet webmaster) Datalekken (bij ontdekken verantwoordelijke informeren ) Bewaartermijnen (vaststellen taak verantwoordelijke) Presentatie OVZ 3 april 2018

Welke ‘indirecte’ taken als ‘bewerker’ ? Nut en noodzaak van een bewerkersovereenkomst Welke ‘indirecte’ taken als ‘bewerker’ ? Niet meer gegevens gaan vastleggen dan binnen de afspraken met de ‘verantwoordelijke’, vastgelegd in de ‘overeenkomst’ In het geval van ‘datalek’ opdrachtgever informeren en onderzoek ondersteunen, helpen betrokkene te informeren Bij verzoek tot ‘kennisneming’ e.d. verantwoordelijke helpen met de benodigde persoonsgegevens Gegevens niet langer bewaren dan noodzakelijk Let op ‘verhaalsmogelijkheid’ van de opdrachtgever ingeval van foutief handelen door de webmaster / bewerker Presentatie OVZ 3 april 2018

Wanneer moet een datalek gemeld worden bij de AP ? Meldplicht datalekken Wat is een ‘datalek’ ? Als bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of is een onrechtmatige verwerking niet uit te sluiten Wanneer moet een datalek gemeld worden bij de AP ? Als sprake is van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte gegevens Binnen welke termijn ? (binnen 72 uur !) Welke maatregelen zijn beoogd voor de betrokkene? Bij waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer moet betrokkene worden geïnformeerd Wiens verantwoordelijkheid ? Ligt bij de opdrachtgever / verwerkingsverantwoordelijke, wel verhaalsmogelijkheid Presentatie OVZ 3 april 2018

Dank voor jullie aandacht! mr. C.H.M. Reijmers CIPP/E Email: chrisreijmers@outlook.com Telefoonnummer 06-14325418 www.4privacy.nl Presentatie OVZ 3 april 2018