INTRO De nieuwe privacy verordening & ons kantoor
ONDERWERPEN De Autoriteit Persoonsgegevens De Wet Bescherming Persoonsgegevens Aanvulling sinds 2016: Meldplicht Datalekken Aanvulling vanaf 2018: Algemene Verordening Gegevensbescherming Aandachtspunten rond onze website
“ De voorzitter van de AP De Autoriteit Persoonsgegevens (AP) We leggen nu pas boetes op als bij opzet of grove schuld informatie op straat is komen te liggen. Volgend jaar veranderen er drie dingen: instanties moeten sneller melden, de boetes worden draconisch hoger én de drempel van opzet of grove schuld komt te vervallen. Ik denk dat 90 procent van alle bedrijven en gemeenten hier nog geen weet van heeft. Aleid Wolfsen, Algemeen Dagblad, 15 april 2017
AP: taken en bevoegdheden De AP is de onafhankelijke toezichthouder op de naleving van de privacywetgeving: Toezicht: Onderzoek en handhaving Advisering: Regering, parlement en ministerie van V&J Voorlichting, informatieverstrekking & verantwoording: Beleidsregels, zienswijzen, spreekuur en jaarverslag Internationale taken: Europese samenwerkingsverbanden privacytoezichthouders
AP: stevige toezichthouder De Meldplicht datalekken in 2016 introduceert: Nieuwe naam met uitstraling Verhoging van de boete bedragen en uitbreiding van de boetebevoegdheid Nieuwe verplichtingen Nieuw leiderschap (Aleid Wolfsen vervangt Jacob Kohnstamm per 1 augustus 2016) Alle ingrediënten aanwezig voor intensivering van de handhaving.
Belangrijke begrippen Wbp Persoonsgegeven: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon Verantwoordelijke: Bepaalt welke verwerking plaatsvindt van welke persoonsgegevens, voor welk doel en op welke wijze. Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Betrokkene: De mensen van wie de persoonsgegevens worden verwerkt.
Wet Bescherming Persoonsgegevens Al geruime tijd van kracht! Wanneer van toepassing: Bij verwerking van persoonsgegevens, met nadruk op geautomatiseerde verwerking. Uitzondering voor persoonlijke of huishoudelijke doeleinden. Onze opdrachtbevestiging geeft een grondslag (toestemming) voor verwerking. Toestemming voor verzamelen van websitestatistieken kan doordat er een gerechtvaardigd belang is.
Wet Bescherming Persoonsgegevens Informatieplicht Klanten hebben uitgebreide rechten! Opletten bij bijzondere persoonsgegevens: Godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakbond. Opletten bij verwerking of delen gegevens buiten de Europese Unie: ook via online tools Wie is verantwoordelijk als we niet alles zelf doen?
Meldplicht datalekken Aanpassing van de bestaande Wbp per 1 januari 2016 Overgrote deel van de Wbp tekst is ongewijzigd Belangrijkste aanpassingen: Rol van bewerker bij melding en aanpassing bewerkersovereenkomst Uitwerking meldplicht datalekken (art 34A: verderop meer hierover) Naamswijziging CBP: Autoriteit persoonsgegevens Uitbreiding van de boetebevoegdheid
Voorbeelden mogelijk datalek Gestolen laptop of verloren telefoon Calamiteit zoals brand in datacentrum Inbraak door een hacker of besmetting met ransomware E-mail mailing met cc i.p.v. bcc Wachtwoord op briefje Onbeveiligde Wifi Kopie van bestand naar onbeveiligde privé opslag Niet vernietigde papieren dossiers bij het afval
Art 34a Meldplicht datalekken Verantwoordelijke zorgt voor melding inbreuk op de beveiliging aan toezichthouder Alleen bij (aanzienlijke kans op) “ernstige nadelige gevolgen voor de bescherming van persoonsgegevens” De melding dient zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek te worden gedaan Betrokkenen informeren “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”
Art 34a Meldplicht datalekken Uitzondering op melding aan betrokkenen indien passende technische maatregelen zijn genomen om de persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor onbevoegden. Verantwoordelijke houdt overzicht bij van iedere inbreuk met (aanzienlijke kans op) “ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”.
Bewaarplicht datalekken Verplicht overzicht bijhouden van alle datalekken die onder de meldplicht vallen Per datalek in ieder geval de feiten en gegevens omtrent de aard van de inbreuk. Als het datalek is gemeld aan de betrokkene, dan ook deze tekst. Ga uit van een bewaartermijn van minimaal een jaar en drie jaar indien een melding aan betrokkene achterwege is gebleven o.b.v. encryptie of zwaarwegende redenen. Overzicht hoeft niet openbaar gemaakt te worden
Voorbereiden op meldplicht Bewerkersovereenkomsten afsluiten Onze verwerkingen van gegevens in kaart brengen Zorgen dat we genoeg informatie en kennis hebben om een melding te doen als nodig Zorgen dat we afspreken wie dit regelt en waar we dit vastleggen
Europese Privacyverordening Algemene Verordening Gegevensbescherming (AVG) AVG al in werking sinds 25 mei 2016: overgangstermijn van twee jaar tot 25 mei 2018 De AVG vult de Wbp aan, legt nadruk op verantwoordingsplicht en kent meer gedetailleerde voorschriften
AVG Opvallende punten Art 83: Maximale geldboete €20.000.000 of 4% wereldwijde jaaromzet. Art 5: Verantwoordingsplicht voor beginselen van verwerking: Rechtmatigheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid Art 7: Aantonen toestemming van betrokkene Art 7: Toestemming intrekken moet net zo makkelijk zijn als het geven ervan.
AVG Opvallende punten Art 17: Recht op gegevenswissing Art 20: Recht op overdraagbaarheid van gegevens Art 24: Verplichting aantoonbaar passende maatregelen te nemen voor verwerking en deze te evalueren en indien nodig te actualiseren. Art 25: Privacy by design and default Art 35: Gegevensbeschermingseffectbeoordeling (PIA) Art 37: Aanwijzen functionaris voor gegevensbescherming
AVG Opvallende punten Art 28: Extra eisen aan bewerkersovereenkomsten Bij inzet sub-bewerker -voorafgaande schriftelijke toestemming van verantwoordelijke -minimaal dezelfde verplichtingen inzake bescherming persoonsgegevens Art 30: Verplicht register van verwerkingsactiviteiten Art 33: Documenteren van alle inbreuken in verband met persoonsgegevens.
AP: In 10 stappen voorbereid op de AVG
Website privacyproof Een website is ons online visitekaartje waarmee we ons in de etalage plaatsen, toegankelijk en zichtbaar voor iedereen. Als daar al niet aan de wet wordt voldaan, hoe zit het dan met de bescherming van persoonsgegevens in de rest van de ons kantoor?
Website privacyproof Passende beveiliging: De AP vereist dat encryptie (versleuteling) wordt toegepast bij verzending van persoonsgegevens via het internet. (HTTPS) Privacyverklaring: In duidelijke en begrijpelijke taal, rekening houdend met doelgroep. Eenvoudig toegankelijk op ieder onderdeel van de website Hebben we cookies? Gebruiken we Google Analytics? Hoe zijn de afspraken met onze webbouwer/webhoster? Is er een (bewerkers)overeenkomst?
Doorgifte buiten de EU De doorgifte van persoonsgegevens buiten de EU is verboden tenzij: het land van bestemming een passend beschermingsniveau waarborgt er passende waarborgen zijn genomen er sprake is van een wettelijke uitzondering Landen met een passend niveau van bescherming: Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Switzerland en Uruguay Passende waarborg: EU/US-privacy shield: zijn onze tools compliant?
IN GESPREK Hoe gaan wij om met privacy? Wie pakt welke taken op?