AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
Drivers: waarom nu?
Ik heb niets te verbergen, toch? Weet met wie je gister een afspraak had Zag hoe je daar kwam Hield bij hoe lang je er was Hoorde wat je er zei Wist al lang wat je van plan was (Martijn en Tokmetzis, 2017)
Each minute of every day the following happens on the internet: 455,000 tweets posted 400 hours of new YouTube video 4 million videos watched on YouTube 3 million Facebook posts 4 million likes on Facebook 3,6 million Google searches conducted 47k Instagram pictures posted 103 million spam emails sent 600 new Wikipedia pages 154k Skype calls made Amazon makes $260k in sales
AVG: Waarom nu? Het business model rond Internet
“If you’re not paying for the product, you are the product” (M. Hypponnen, F-Secure)
Wat is de AVG?
Wat horen we van onze cliënten over de AVG? BEWUST ONZEKER ONWETEND We snappen het We zijn ISO Compliant, dat is voldoende toch? We weten niet of het voor ons ook geldt We hebben de juiste experts ingeschakeld Raakt dit mijn buitenlandse kantoren? Ja, van gehoord. Komt wel goed. We zijn een jaar geleden begonnen We gaan ervan uit dat IT dit regelt Wat?
Het verbeteren van privacyrechten van natuurlijke personen Wat regelt de AVG? In hoofdlijnen 2 zaken: Het verbeteren van privacyrechten van natuurlijke personen Verantwoordelijkheid van organisaties om deze te waarborgen 2 begrippen centraal: Privacy Persoonsgegevens
PRIVACY FUNDAMENTELS GW 10, lid 1: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Ofwel: privacy = het recht met rust gelaten te worden. 1995 Europese Privacy Richtlijn 2001 WBP 2015 Einde Safe Harbor 2016 Meldplicht Datalekken 2018 Algemene Verordening Gegevensbescherming
PRIVACY FUNDAMENTALS Persoonsgegevens Direct Indirect
PRIVACY FUNDAMENTALS Bijzondere persoonsgegevens:
PRIVACY FUNDAMENTALS Wat zegt de AVG over verwerken Bijzondere Persoonsgegevens? Tenzij de AVG een uitzondering maakt, en dan alleen binnen de grenzen van die uitzondering
Gevoelige Persoonsgegevens
Verschillende rollen binnen de gegevensverwerking degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt degene die ten behoeven van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Verantwoordelijke (controller) Verwerker (processor) Betrokkene (data subject) degene(n) op wie de persoonsgegevens betrekking hebben
Waar moet je nou op letten met gegevensverwerking? De “drie-eenheid” van gegevensverwerking Rechtmatig Behoorlijk Transparant verwerking doelbinding Welbepaald Uitdrukkelijk omschreven Gerechtvaardigd proportionaliteit subsidiariteit grondslag De “lijst van 6”
Grondslagen gegevensverwerking Toestemming Uitvoeren overeenkomst Wettelijke plicht Vitaal belang Publieke taak Gerechtvaardigd belang
Betrokkenheid management Aanpak: hoe? Betrokkenheid management Definieer een project Betrek specialisten Reserveer tijd Integreer bedrijfsvoering Wordt ‘agile’
Verschillende invalshoeken “Transparantie en verantwoording. Boeterisico of zelfs voorziening?” “Privacy en data protectie als vast element in de operatie” “Privacy wordt meer en meer een business requirement. No privacy = no business Strategisch voordeel of Selling Point” “Naleving wetgeving. Elke organisatie in de EU moet voldoen”
Welke onderdelen zijn belangrijk? Record of processing activities (art 30) Transfer of Personal Data outside the EU (art 44 -49) Data Protection Officer (art 38-39) Rights of data subjects (art 15-22) Privacy / Data Protection Policy (art 32) Purpose limitation and Lawfulness (art 5-6) Personal Data Breach Protocol (art 33-34) Data processors and Data Processing Agreements (art 28) Data retention and minimisation (art 5) Privacy by Design and by Default (art 25)
AVG minimum requirements / baseline Organisaties die (gevoelige/bijzondere) persoonsgegevens verwerken dienen minimaal te beschikken over: Een inventarisatie / register van verwerkingen Een privacy officer / FG Een privacy statement / verklaring Een bewaartermijnen beleid Adequate IT security Een protocol datalekken Verwerkersovereenkomsten Kennis over gegevensoverdracht buiten de EER
Risico’s non-compliance? RISKS Privacy Autoriteit Stakeholders Onderzoek Waarschuwing Maatregel Staken verwerking Boetes Klachten Reputatie Klanten Personeel Datalek Onrechtmatige verwerking Geen geschikte bewaartermijnen Onvoldoende security Onvoldoende transparantie etc
Sectoren met een hoog risico profiel
AVG: 9 wijsheden… Geef aan wat je verzamelt, met welk doel en wie gegevens ontvangen Vernietig gegevens na verwerking, tenzij… Registreer wat je verzamelt Verzamel alleen wat je echt nodig hebt Beveilig gegevens adequaat, fysiek en digitaal Maak heldere instructies voor verwerkers Zorg dat alle IT systemen het uitvoeren van rechten van betrokkenen faciliteren Maak een noodplan indien het toch misgaat. Test dit plan. Zorg dat je te allen tijde volledig inzage kan geven aan de Autoriteit
Let op
Afsluiting Dank voor uw aandacht!