GDPR/AVG General Data Protection Regulation / Algemene Verordening Gegevensverwerking Van kracht op 25 mei 2018 (tot dan WPB) Gaby Wilgenhof–Common Sense-15/11/2017

Sectoren 3e kwartaal 2017 (publicatie AP) Van juli tot en met september 2017 zijn er +/- 2500 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Daarmee komt het totale aantal gemelde datalekken in de eerste drie kwartalen van 2017 op 7222. Dit is bijna een verdubbeling ten opzichte van de dezelfde periode in 2016 (3793). meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (46% van de meldingen). Het kwijtraken of de diefstal van een gegevensdrager zoals een laptop of usb-stick (14%) is daarna het meest voorkomende type datalek. De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, BSN en financiële gegevens. In totaal werden in dit kwartaal 19 datalekken gemeld waarbij het aantal betrokken mogelijk groter was dan 100.000. Bij het datalek met de meeste mogelijke betrokkenen ging het om circa 700.000 personen.

Doel GDPR Verordening – Voor alle lidstaten binnen de EU van toepassing. Versterkt de positie van de betrokkenen (de natuurlijke personen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden versterkt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen (verantwoordelijkheid van de organisaties om aan te tonen dat zij zich aan de wet houden).

1. Versterking en uitbreiding rechten van natuurlijke personen door hanteren basisprincipes (1) Transparantie – De natuurlijke persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten o.a.: ->Recht op inzage ->Recht op correctie ->Recht op bezwaar (bijv. tegen profiling of andere gegevensverwerking) ->Recht op dataportabiliteit (gegevens doorgeven aan andere organisatie) ->Recht om vergeten/verwijderd te worden. Data beperking - De persoonsgegevens worden voor een bepaald doel verzameld, en mogen niet voor andere zaken gebruikt worden.

1. Versterking en uitbreiding rechten van natuurlijke personen door hanteren basisprincipes (2) Juistheid – De persoonsgegevens moeten correct zijn en blijven. Gegevensbeperking – Alleen de noodzakelijke gegevens die voor het beoogde doel nodig zijn, mogen worden verzameld. Bewaarbeperking – De persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel. Integriteit & vertrouwelijkheid – De persoonsgegevens moeten worden beschermd tegen toegang door onbevoegden, verlies of vernietiging. (zie ook sheet Wet Meldplicht Datalekken/ GDPR)

2. Verantwoordelijkheden organisaties (1) Gegevensverwerking in kaart brengen. Welke persoonsgegevens, welk doel, waar komen de gegevens vandaan en met wie ze worden gedeeld (documentatieplicht). Vastleggen hoe de persoonsgegevens die worden verwerkt, worden beveiligd. Voor projecten waarbij wordt gewerkt met gegevensverwerking die een hoog privacy risico met zich meebrengt –Een DPIA (Data Privacy Impact Analyse) uitvoeren. Verplicht om maatregelen te nemen om risico’s te verkleinen. Voor sommige organisatie is het verplicht om een functionaris voor de gegevensbescherming (FG/DPO) aan te stellen.

2. Verantwoordelijkheden organisaties (2) Privacy by design – Bij het ontwerpen van producten en diensten ervoor zorgen dat persoonsgegevens goed worden beschermd. Privacy by default – technische en organisatorische maatregelen nemen om ervoor te zorgen dat alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie wil bereiken. -> een app die de organisatie aanbiedt niet de locatie van de gebruikers laten registeren. -> Op de website niet vooraf ingevulde vinkjes zetten als er een keus is om iets aan te vinken. (actieve handeling van de klant)

3. Stevige positie toezichthouder (AP) Hoge administratieve boetes – Op sommige overtredingen staat: -> boete van €20 mio of 4% van de totale omzet (overtredingen cross border data transfers, niet naleven aanwijzing AP). -> Boete van €10 mio of 2% van de total omzet (geen FG/DPO, geen DPIA opgesteld, geen verwerkingsovereenkomst.) Corrigerende maatregelen – De Autoriteit Persoonsgegevens kan organisaties berispen, verbieden om verwerking uit te voeren of straffen door certificering in te trekken. Negatieve aandacht – Pers

4. Overig Cross border data transfers Kinderen (aparte regels voor)

5. Privacy Control Frame Work Beleid/processen Verantwoordelijk management benoemen Monitoring/audit Trainingen/Awarenes Incidentenmanagement proces Disciplinaire maatregelen (medewerkers/Vendors) Expert advice Redress. Opgesteld voor alle kolommen (HR, Communicatie, Klant etc).

6. Wet Meldplicht Datalekken/ GDPR 1. Incident - Ja 2. Persoonsgegevens (NAW, identificatiegegevens, BSN, Paspoort kopieën, geslacht/geboortedatum/leeftijd, bijzondere persoonsgegevens (ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksueel leven, medische gegevens) - Ja 3. Datalek leidt tot redelijkerwijs een risico voor de betrokkenen (stigmatisering, schade aan gezondheid, blootstelling aan ID fraude, blootstelling aan spam of phishing)– Ja 72 uur voor het opstellen van- (High pressure) PIA – Ja een risico dan melden bij AP. Nee dan documenteren. 4. Afhankelijk van het risico melden aan de betrokkenen.