Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdWilhelmine Fuhrmann Laatst gewijzigd meer dan 6 jaar geleden
1
De algemene verordening gegevensverwerking AVG
AVG Workshop Sportbedrijf Arnhem d.d. 16 april 2018 Bijdrage Claudine Hermesdorf De Kempenaer Advocaten
2
Wat is de AVG? Nu: Wet Bescherming Persoonsgegevens (Wbp), grondwet en andere wetgeving Per 25 mei 2018: geldt binnen de EU de General Data Protection Regulation (GDPR) ./. de Algemene Verordening Gegevensbescherming (AVG) Versterking bescherming persoonsgegevens ./. Misbruik tegengaan 13 november 2018 Titel presentatie
3
Vrijstellingsbesluit Wbp vervalt
Verenigingen hoefden de verwerking van persoonsgegevens van hun leden of begunstigers niet te melden als aan bepaalde voorwaarden werd voldaan. 13 november 2018 AVG voor het sportbedrijf
4
AVG voor het sportbedrijf
Sportverenigingen? Ook sportverenigingen verzamelen en gebruiken persoonsgegevens van hun leden en vallen onder de werking van de AVG Echter: duizenden-sportclubs-niet-klaar-voor-nieuwe-privacywet 13 november 2018 AVG voor het sportbedrijf
5
Sancties Niet naleving zware sancties
Boetes tot € ,-- of (indien hoger) 4% van de wereldwijde jaaromzet Aansprakelijkheid bestuurders 13 november 2018 Titel presentatie
6
AVG voor het sportbedrijf
Wat bespreken we? Een aantal begrippen Een aantal uitgangspunten De verplichtingen Rechten betrokkenen Privacy compliance – stappenplan Thema’s sportverenigingen 13 november 2018 AVG voor het sportbedrijf
7
Een aantal begrippen Persoonsgegevens Verwerking Betrokkene
Verwerkingsverantwoordelijke Functionaris gegevensverwerking Verwerker
8
Een aantal begrippen Persoonsgegevens Verwerking Betrokkene
Verwerkingsverantwoordelijke Functionaris gegevensverwerking Verwerker
9
Persoonsgegevens (art. 4 lid 1)
Artikel 4 lid 1 "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; Dus alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon 13 november 2018 Titel presentatie
10
Gewone en bijzondere Gewone persoonsgegevens: NAW, telefoonnummer, adressen, geboortedatum, opleiding, financiële gegevens, kenteken, locatiegegevens, sociale media, inloggegevens et cetera Bijzondere persoonsgegevens: etnische afkomst, politieke voorkeur, religieuze opvatting, unieke identificatie (irisscan, vingerafdruk), medische gegevens, seksuele geaardheid et cetera Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven. Maar er komen waarschijnlijk wel speciale regels voor. De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is. 13 november 2018 Titel presentatie
11
Verwerking (art. 4 lid 2) een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens Feitelijk is elke handeling met betrekking tot persoonsgegevens een verwerking De AVG is van toepassing als er sprake is van een zakelijke verwerking 13 november 2018 Titel presentatie
12
Betrokkene (artikel 4 lid 1)
een geïdentificeerde of identificeerbare natuurlijke persoon van wie de persoonsgegevens worden verwerkt betrekking hebben 13 november 2018 Titel presentatie
13
Verwerkingsverantwoordelijke (art. 4 lid 7)
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; (…) De verwerkingsverantwoordelijke is verantwoordelijk voor de juiste verwerking 13 november 2018 Titel presentatie
14
Functionaris gegevensbescherming (art. 37)
Houdt toezicht op de toepassing en naleving van de AVG In drie situaties verplicht: Persoonsgegevensoverheden en bepaalde publieke organisaties indien de kernactiviteit het op grote schaal volgen van individuen betreft op grote schaal verwerken van bijzondere persoonsgegevens 13 november 2018 Titel presentatie
15
Verwerker (art. 4 lid 8) een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt 13 november 2018 Titel presentatie
16
Beginselen AVG Dataminimalisatie Opslagbeperking Doelbinding
Grondslagen Voorwaarden toestemming Verwerking bijzondere persoonsgegevens Delen gegevens
17
Verwerking persoonsgegeven – artikel 5
Rechtmatige, behoorlijke en transparante verwerking Gerechtvaardigde doeleinden (doelbinding)* Minimale gegevensverwerking* Juist en actueel zijn Opslag moet beperkt worden* Passende technische of organisatorische maatregelen ter beveiliging 13 november 2018 Titel presentatie
18
Dataminimalisatie – art. 5 lid 1c
U mag niet meer persoonsgegevens hebben dan strikt nodig is voor het doel waarvoor deze zijn gevraagd Is er geen grond meer voor verwerking overeenkomstig het doel dan dient u het persoonsgegeven te vernietigen 13 november 2018 Titel presentatie
19
Opslagbeperking – art. 5 lid1e
Persoonsgegevens mogen bewaard worden zo lang als dat noodzakelijk is voor het doel van de verwerking Mogelijk gelden er maximale of minimale wettelijke bewaartermijnen Of bepaalt de onderliggende overeenkomst hierover iets 13 november 2018 Titel presentatie
20
Doelbinding - art. 5 lid 1 b Persoonsgegevens mogen enkel verwerkt (opgeslagen en gebruikt worden) voor de doeleinden waarvoor ze zijn verkregen 13 november 2018 Titel presentatie
21
Grondslagen - art. 6 Verwerking mag op 6 grondslagen:
toestemming van betrokkene of als noodzakelijk voor de uitvoering van een overeenkomst voor het nakomen van een wettelijke verplichting ter bescherming van de vitale belangen voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag voor de behartiging van de gerechtvaardigde belangen 13 november 2018 Titel presentatie
22
Voorwaarden toestemming-art. 7, 8
Toestemming niet altijd vereist Verwerking gebaseerd op toestemming: bewijs geldige toestemming Vrijelijk gegeven Ondubbelzinnig Geïnformeerd (organisatie, doel van de verwerking, welke persoonsgegevens, recht tot intrekking) Specifiek (verwerking en doel) Intrekking Kinderen < 16 jaar: toestemming ouder / voogd 13 november 2018 Titel presentatie
23
Verwerking bijz. persoonsgegevens –art. 9
Verboden, tenzij een specifieke wettelijke uitzondering geldt (10) én er sprake is van ten minste één van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens 13 november 2018 Titel presentatie
24
Wettelijke uitzondering
uitdrukkelijke toestemming gegeven noodzakelijk i.v.m. de uitvoering van verplichtingen en uitoefening specifieke rechten – (arbeidsrecht, sociale zekerheids- en sociale beschermingsrecht) noodzakelijk ter bescherming vitale belangen betrokkene of een andere natuurlijke persoon én betrokkene fysiek of juridisch niet in staat is om toestemming te geven verwerking door stichting, vereniging, andere instantie zonder winstoogmerk op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied in het kader van gerechtvaardigde activiteiten en met passende waarborgen verwerking van persoonsgegevens die door de betrokkene openbaar zijn gemaakt verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of gerechten handelen i.h.k. van hun rechtsbevoegdheid verwerking noodzakelijk is vanwege een zwaarwegend algemeen belang verwerking noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskunde aard. verwerking noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid verwerking noodzakelijk met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden. 13 november 2018 Titel presentatie
25
Verplichtingen Verantwoording Informeren Documentatie
Privacy by design & default Beveiliging Datalek Data Privacy Impact Assessment
26
Verantwoordingsplicht – art. 24 / 5
Verantwoordelijke moet duidelijk en volledig verantwoording en rekenschap af leggen over de wijze waarop deze met de persoonsgegevens omgaat Aantonen dat in overeenstemming met de AVG wordt gehandeld (rechtmatigheid, transparantie, doelbinding, juistheid) 13 november 2018 Titel presentatie
27
Informatieplicht - art. 24 /13-14
Betrokkenen dienen voorafgaand (d.m.v. privacyverklaring) o.a. geïnformeerd te worden over: Welke persoonsgegevens worden verwerkt, op welke grondslag en voor welk doel De namen en contactgegevens van de verantwoordelijke (en/of FG) Of de persoonsgegevens aan derden worden verschaft en of buiten de EU worden doorgegeven De bewaartermijn en de voorwaarden De rechten van betrokkene Indien van toepassing: of er sprake is van automatische profilering 13 november 2018 Titel presentatie
28
Documentatieplicht- art. 25 /30
Alle verwerkingsactiviteiten dienen te worden bijgehouden in een register Tenzij er slechts incidenteel verwerkingen van persoonsgegevens plaatsvinden (maar dat is bijna nooit het geval) Door verwerkingsverantwoordelijke en verwerker Dient desgevraagd ter beschikking te worden gesteld aan de Autoriteit Persoonsgegevens 13 november 2018 Titel presentatie
29
Privacy by design – art. 25 lid 1
Gegevensbescherming door ontwerp: optimale bescherming persoonsgegevens niet meer gegevens verzamelen dan noodzakelijk voor het doel gegevens niet langer bewaren dan nodig 13 november 2018 Titel presentatie
30
Privacy by default – art. 25 lid 2
Bescherming door standaardinstellingen: Nemen van technische en organisatorische maatregelen teneinde alléén persoonsgegevens te verwerken die noodzakelijk zijn voor het specifieke doel Voorbeelden Op de website niet alvast het vakje ‘Ja, ik wil aanbiedingen ontvangen’ aanvinken Voor een digitale nieuwsbrief niet meer gegevens vragen dan nodig is 13 november 2018 Titel presentatie
31
Beveiligingsplicht – art. 25 / 32
Zorgdragen voor een zo minimaal mogelijke verwerking Passende technische en organisatorische beveiligingsmaatregelen tegen verlies of onrechtmatige verwerking Rekening houden met: de aard van de persoonsgegevens de risico’s bij de verwerking de eventuele gevolgen van verlies of onrechtmatige verwerking alsmede met de laatste stand van de techniek en de kosten van implementatie 13 november 2018 Titel presentatie
32
Meldplicht datalekken – art. 33
Een datalek is een beveiligingsincident waarbij persoonsgegevens gelekt zijn Dit kan gaan om een ongeoorloofde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens Melden binnen 72 uur Boete bij niet melden Documenteren alle datalekken 13 november 2018 Titel presentatie
33
Voorbeelden datalek verlies USB-stick met daarop persoonsgegevens
diefstal laptop met daarop persoonsgegevens een hack in een databestand of systeem met daarop persoonsgegevens een mailing verstuurd met alle adressen in de Aan of CC in plaats van BCC. diefstal van papieren met daarop persoonsgegevens een crash van een harddisk of door brand zijn persoonsgegevens verloren gegaan en er is geen back-up 13 november 2018 Titel presentatie
34
Melding betrokkenen – art. 34
De betrokkenen dienen onverwijld te worden geïnformeerd indien een datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van die betrokkenen 13 november 2018 Titel presentatie
35
Data Privacy Impact Assessment – art. 35
DPIA - Nederlands: gegevensbeschermings-effectbeoordeling Verplicht vooraf uit te voeren indien een verwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen teneinde de risico’s te verkleinen Sprake van i.g.v.: Systematisch en uitvoerig evalueren persoonlijke aspecten, waaronder profiling; Verwerken bijzondere persoonsgegevens op grote schaal; Op grote schaal systematisch volgen van in de publieke ruimte (bijvoorbeeld met cameratoezicht) 13 november 2018 Titel presentatie
36
Rechten betrokkenen Recht op informatie, inzage, rectificatie, vergetelheid, beperking, datapotabiliteit, bezwaar
37
AVG voor het sportbedrijf
Rechten betrokkenen Betrokken dienen voorafgaande aan de gegevensverwerking geïnformeerd te worden over hun rechten (privacyverklaring) Recht op inzage - art. 15. Daarbij dient u ook te laten weten waarom u bepaalde persoonsgegevens verwerkt, welke soorten persoonsgegeven, of en aan wie en waarom u gegevens doorgeeft, hoe lang u de gegevens bewaart, welke privacyrechten betrokkenen hebben, wijzen op de klachtmogelijkheid bij de Autoriteit Persoonsgegevens, 13 november 2018 AVG voor het sportbedrijf
38
AVG voor het sportbedrijf
Rechten betrokkenen Recht op rectificatie – art. 16. Betrokkenen hebben het recht om onjuiste persoonsgegevens te laten wijzigen of aan te vullen Recht op vergetelheid ./. right to be forgotten) – art. 17: de verwerkingsverantwoordelijke dient de gegevens te wissen als de betrokkene dat vraagt; geldt als: niet meer nodig, intrekken toestemming, bezwaar, onrechtmatige verwerking, verstrijken bewaartermijn, < 16 jaar en gegevens verkregen via App of website 13 november 2018 AVG voor het sportbedrijf
39
AVG voor het sportbedrijf
Rechten betrokkenen Recht op beperking van de verwerking – art. 18. Recht op dataportabiliteit (overdraagbaarheid van persoonsgegevens)- Art. 20. Betrokken hebben het recht (onder voorwaarden) om hun persoonsgegevens in een standaardformaat te ontvangen, zodat deze makkelijk kunnen worden doorgegeven aan een andere leverancier van een vergelijkbare dienst. Betrokkenen kunnen ook verlangen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, mits dat technisch mogelijk is 13 november 2018 AVG voor het sportbedrijf
40
AVG voor het sportbedrijf
Rechten betrokkenen Recht op bezwaar tegen profilering en geautomatiseerde besluitvorming De verwerking moet dan gestaakt worden, tenzij sprake is van dwingende gerechtvaardigde grond(en) 13 november 2018 AVG voor het sportbedrijf
41
Privacy compliance Stappenplan
Bent u AVG-proof?
42
Inventariseren persoonsgegevens
alle persoonsgegevens die gebruikt worden binnen uw organisatie Maak onderscheid tussen algemene en bijzondere in alle systemen en processen waarin de gegevens verwerkt worden 13 november 2018 Titel presentatie
43
Vaststellen doel & grondslag
Inventariseer: welke persoonsgegevens verwerkt worden met welk doel of de gegevens ook voor dat doel zijn ontvangen Bepaal: welke grondslag (ten minste 1 van de 6) aan de verwerking ten grondslag ligt denk hierbij aan het concretiseren van de toestemming het motiveren van een eventueel gerechtvaardigd belang 13 november 2018 Titel presentatie
44
Delen van gegevens Bepaal of er een geldige grondslag is om de persoonsgegevens te delen Verstrek uitsluitend noodzakelijke persoonsgegevens Zorg voor een veilige overdracht Sluit een verwerkersovereenkomst Stel vast of de betrokkene geïnformeerd dient te worden Documenteer de verstrekking 13 november 2018 Titel presentatie
45
DPIA Bepaal of er sprake is van een hoog veiligheidsrisico
Is een data protection impact assessment nodig? 13 november 2018 Titel presentatie
46
Privacy by design & Privacy by default
Bepaal of wordt voldaan aan de uitgangspunten van privacy by design en privacy by default: zijn de producten, diensten en systemen standaard privacyvriendelijk ontworpen? is bepaald hoe lang de persoonsgegevens bewaard worden; wat zijn de criteria voor het vaststellen van de bewaartermijn staan de instellingen van de producten of diensten op privacyvriendelijk 13 november 2018 Titel presentatie
47
Beveiligingsmaatregelen
Bepaal welke technische en organisatorische maatregelen nodig zijn ter beveiliging Stel hierover beleid en instructies op 13 november 2018 Titel presentatie
48
Opstellen register verwerkingsactiviteiten (1)
Naam en contactgegevens van de (vertegenwoordiger) organisatie Gegevens Functionaris voor de gegevensbescherming (FG) Verwerking: doel(en) en grondslag(en) Beschrijving van de categorieën van betrokkenen Beschrijving van de categorieën van persoonsgegevens Bewaren van gegevens: waar, hoe lang Datum waarop gegevens gewist moeten worden, indien bekend 13 november 2018 Titel presentatie
49
Opstellen register verwerkingsactiviteiten (2)
Wie verwerkt de gegevens Autorisatie, geheimhouding Met wie worden gegevens gedeeld: Categorieën van ontvangers aan wie persoonsgegevens worden verstrekt Verwerkersovereenkomst (zie checklist) Aangegeven indien de gegevens met een land of internationale organisatie buiten de EU worden gedeeld Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen 13 november 2018 Titel presentatie
50
Opstellen processen betrokkenen
Stel processen vast t.b.v. de uitoefening van de rechten door betrokkenen t.b.v. de inzage, rectificatie, vergetelheid, de dataportabiliteit en de bezwaarprocedure Stel de privacyverklaring(en) op 13 november 2018 Titel presentatie
51
Opstellen privacyverklaring(en) (1)
Stel de verklaring op en stel deze ter beschikking aan betrokkene. De verklaring bevat: De (contact)gegevens van de organisatie (en die van de FG) De doeleinden en grondslag van de verwerking c.q. of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van de gegevens De categorieën van persoonsgegevens die worden verwerkt De bewaartermijnen 13 november 2018 Titel presentatie
52
Opstellen privacyverklaring(en) (2)
De rechten, zoals het recht een klacht in te dienen, het recht op inzage, rectificatie en wissing, en het recht om toestemming te allen tijde in te trekken De bron van de gegevens De eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens Vermelding of gegevens worden doorgegeven aan landen buiten de EU Vermelding of aan profilering wordt gedaan en, zo ja, wat de gevolgen daarvan zijn voor de betrokkene 13 november 2018 Titel presentatie
53
Sportclubs Varia
54
AVG voor het sportbedrijf
Sportverenigingen Verzamelen en gebruiken persoonsgegevens van hun leden, personeel O.a. nodig voor: Contributie Indeling Op de hoogte stellen van activiteiten 13 november 2018 AVG voor het sportbedrijf
55
AVG voor het sportbedrijf
Ledenadministratie uitsluitend persoonsgegevens waarvoor een geldige grondslag bestaat om ze te verwerken niet meer (soorten) persoonsgegevens dan noodzakelijk voor de vervulling van de doeleinden 13 november 2018 AVG voor het sportbedrijf
56
Ledenlijst: gelaagde structuur
Lidmaatschap van een sportvereniging, aangesloten bij een sportbond, aangesloten bij NOC*NSF zgn ‘indirecte leden’ Echter: alleen lid indien een lidmaatschap is overeengekomen met een persoon Ledenlijst mag alleen o.b.v. een geldige grondslag met de bovenliggende clubs gedeeld worden, bijv. regelen in de statuten / reglementen 13 november 2018 AVG voor het sportbedrijf
57
Delen persoonsgegevens?
Ledenlijst mag niet zonder meer met alle andere leden gedeeld worden Delen persoonsgegevens (naam, telefoonnummer, (mail)adres, woonplaats) met bepaalde andere leden en mits betrokkene hierover is geïnformeerd: Penningmeester (contributie Teamleden t.b.v afspraken trainen, wedstrijden 13 november 2018 AVG voor het sportbedrijf
58
AVG voor het sportbedrijf
Contributielijst Op het afgeschermde deel mag geen lijst worden gepubliceerd van leden die niet / wel betaald hebben 13 november 2018 AVG voor het sportbedrijf
59
Digitale benadering leden
De persoonsgegevens mogen gebruikt worden voor nieuwsbrieven, mailings en direct marketing door de club aan bestaande leden Wel moet duidelijk zijn hoe de leden zich kunnen afmelden Aan nieuwe leden moet toestemming gevraagd worden 13 november 2018 AVG voor het sportbedrijf
60
Delen gegevens met niet-leden
Beschikbaar stellen wedstrijdinformatie (inclusief persoonsgegevens van deelnemers en arbiters) aan aangesloten verenigingen - grondslag: kan een gerechtvaardigd belang zijn; Doorgeven adresgegevens van leden aan de uitgever van het clubblad, zodat deze rechtstreeks via de uitgever kunnen worden verzonden - grondslag: uitvoering overeenkomst /gerechtvaardigd belang 13 november 2018 AVG voor het sportbedrijf
61
Persoonsgegevens doorgeven t.b.v. subsidie?
Soms een verplichting (bijv. controle minimum aantal leden) Dataminimalisatie: alleen die gegevens die noodzakelijk zijn (bijv. naam en woonplaats leden) 13 november 2018 AVG voor het sportbedrijf
62
Publicatie gegevens op internet
Mag alleen op voor leden toegankelijke afgeschermde internetpagina (met wachtwoorden en beschermd tegen toegang) Mits: geregeld in de doelstellingen van de vereniging of toestemming ledenvergadering of toestemming individuele leden 13 november 2018 AVG voor het sportbedrijf
63
AVG voor het sportbedrijf
Foto’s en film Het maken van foto- en videobeelden met herkenbaar in beeld gebrachte personen is een verwerking van persoonsgegevens. De AVG is van toepassing Grondslagen: Vooraf verleende toestemming Een gerechtvaardigd belang: persvrijheid, beveiliging, wedstrijdverslaggeving Informeer, indien mogelijk is, vooraf over eventuele beeldopnamen, bijvoorbeeld via de wedstrijdreglementen, lidmaatschapsregels, een bordje bij de ingang van een evenementlocatie Denk ook nog aan het portretrecht 13 november 2018 AVG voor het sportbedrijf
64
Vragen?
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.