Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
GEGEVENSBESCHERMING AVG
ALGEMENE VERORDENING GEGEVENSBESCHERMING AVG Arnhem
2
PROGRAMMA 19.00 uur Opening KvK, Remco Verhaaf uur Algemene Verordening Gegevensbescherming (AVG) Marloes Horstman, JPR Advocaten uur AVG en impact op uw ICT Olaf Nijeboer, Data Protection Support uur Vragenronde uur Afsluiting , drankje/napraten uur Einde
3
Kennissessie Algemene Verordening Gegevensbescherming
ADVOCATEN Kennissessie Algemene Verordening Gegevensbescherming
4
Algemene Verordening Gegevensbescherming
25 mei 2018 in werking – niet voldoende tijd gehad om te implementeren? Vanaf dat moment voldoen: accountabilityprincipe. Niet naleving AVG op straffe van hoge boetes Directe handhaving?
5
127.0.0.1 Wat zijn persoonsgegevens? Persoonsgegevens
Directe persoonsgegevens Indirecte persoonsgegevens Bijzondere persoonsgegevens Hoe zit het met rasgegevens? Smoelenboek Geen B2B, maar hoe zit het met eenmanszaken?
6
Algemene Verordening Gegevensbescherming
Wijzigingen ten opzichte van de Wbp? - Accountability en documentatieplicht - Invoering Functionaris Gegevensbescherming - Invoering Meldplicht Datalekken op EU-niveau - Meer rechten betrokkenen
7
Stelling: Bedrijven met minder dan 250 werknemers hoeven niet aan de documentatieplicht te voldoen
8
Documentatieplicht In beginsel correct, maar…. Let op accountability
Let op verwerking bijzondere persoonsgegevens Let op impact rechten van betrokkenen
9
Europese Privacyverordening
De 6 beginselen van het verwerken van persoonsgegevens: Rechtmatigheid; behoorlijkheid; transparantie Doelbindingsprincipe Dataminimalisatie Juistheid Opslagbeperking Integriteit en vertrouwelijkheid
10
Europese Privacyverordening
De grondslagen: Wettelijke plicht Gerechtvaardigd belang Publiek taak of algemeen belang Uitvoering overeenkomst Toestemming
11
Verwerkingsregister Het registreren van alle relevante informatie ten aanzien van persoonsgegevensverwerking wordt gedaan in het verwerkingsregister. Een Excel-bestand is in veel gevallen niet geschikt als verwerkingsregister! 1. Rollen en verantwoordelijkheden Welke afdeling verwerkt de persoonsgegevens (bv. Marketing)? Welke rol is verantwoordelijk voor de verwerking (bv. Directeur Marketing)? Waar komt de informatie vandaan, de bron (bv. Betrokkene)? Waar hebben de persoonsgegevens betrekking op (bv. Klanten)? Contactgegevens van de FG (Naam, adres, , telefoonnummer) 2. Persoonsgegevens Soort (bv. Regulier en bijzonder)? Specificatie (bv. Naam, Adres, Telefoonnummer) Grondslag van verwerking (bv. Toestemming) Doel van verwerking (bv. Marketingdoeleinden) Ontvangers van de persoonsgegevens (bv. Verwerker) Uitvoer (bv. Binnen Europa of Derde landen) Bewaartermijn (bv. 7 jaar) 3. Beveiliging en techniek Veiligheidsmaatregelen (bv. versleuteling of autorisaties)? Waar is de informatie opgeslagen (bv. server001 of database001)?
12
Bewaartermijnen Wettelijke bewaartermijnen
Hoe zelf een bewaartermijn kiezen? Strijdigheid: enerzijds dossiervorming, anderzijds opslagbeperking
13
Verwerkersovereenkomst
Breng binnen de organisatie in kaart met wie gegevens worden gedeeld! Verwerkersovereenkomst met: Accountant? Softwareleverancier? Waarom een Verwerkersovereenkomst? Inhoud van een Verwerkersovereenkomst: Categorieën van persoonsgegevens die aan de verantwoordelijke verstrekt worden; Verstrekte gegevens uitsluitend voor de uitvoering van de overeenkomst gebruikt mogen worden; Het bepaalde bij of krachtens de Wbp, AVG en eventuele andere wetgeving inzake persoonsgegevens stipt naleeft; De eis van een schriftelijk privacy-beleid; Gegevens louter binnen de EER verwerkt mogen worden; vertrouwelijkheid; Verstrekking van persoonsgegevens aan derden en eventuele sub-verwerkers; Passende technische en organisatorische beveiligingsmaatregelen treft en in stand houdt, een en ander zoveel mogelijk gespecificeerd
14
Rechten van betrokkenen
Transparantie Recht van inzage Recht op rectificatie Recht om vergeten te worden (niet bij sub f) Nieuw: recht op dataportabiliteit Identificatie, is iemand wie hij zegt die hij is? hoe ga je om met wettelijke archivering? Hoe zit dat met back-up etc. dataclassificatie enop persoonsniveau gegevens ophalen. kan dossier bijhouden, staat in datacenter X beschouwen als verwijderd etc. Verzoek kost veel tijd. binnen 4 weken behandelen.
15
Hoe nu verder? Formeer een werkgroep die verantwoordelijk is voor de implementatie van de AVG; Breng de processen in kaart; Creëer awareness onder het personeel; Maak een start met het verwerkersregister; Breng alle verwerkers in kaart.
16
Vragen
17
Algemene Verordening Gegevensbescherming
Informatiesessie KvK Algemene Verordening Gegevensbescherming
18
De oudste bekende regel rond privacy
Eed van Hippocrates Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren
19
Europees Verdrag voor de Rechten van de Mens (EVRM) - 1950
Article 8. - Right to respect for private and family life 1 Everyone has the right to respect for his private and family life, his home and his correspondence. 2 There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.
20
Databeschermingsrichtlijn -1995
Conventie van Raad van Europa Richtlijn 95/46/EG Aanvullend protocol
21
Nederlandse Grondwet - 1983
artikel 94 Grondwet Binnen het Koninkrijk geldende wettelijke voorschriften vinden geen toepassing, indien deze toepassing niet verenigbaar is met een ieder verbindende bepalingen van verdragen en van besluiten van volkenrechtelijke organisaties.
22
Nederlandse Grondwet art 10 t/m 13 - 1983
Eerbiedigen persoonlijke levenssfeer Onaantastbaarheid van zijn lichaam Binnentreden in een woning niet zomaar Briefgeheim
23
Wet Bescherming Persoonsgegevens - 2001
Wet Bescherming Persoonsgegevens (Wbp) Ook elementen in andere wetten waaronder: Telecomwet Wet Financieel Toezicht Wet aanvullende bepaling verwerking persoonsgegevens in de zorg
24
Burger rechten vanuit Wbp
Recht om te weten wat er met persoonsgegevens gebeurt Inzage recht in vastgelegde persoonsgegevens Recht op correctie Recht op bezwaar verwerking
25
Plichten voor verwerking vanuit Wbp
Alleen bij welbepaalde en uitdrukkelijk omschreven doelen Alleen bij rechtvaardiging Informatieplicht Nemen van passende organisatorische en technische maatregelen ter bescherming van de gegevens Meldplicht Verwerking tenzij opgenomen in vrijstellingsbesluit Sinds 1 januari 2016 Meldplicht Datalekken
26
Passende organisatorische en technische maatregelen
Rekening houden met stand van techniek Uitvoeringskosten Aard, omvang, context en doeleinden van verwerking Waarschijnlijkheid en ernst van risico’s voor rechten en vrijheden Procedure voor beoordelen en evalueren van doeltreffendheid
27
Privacy-by-Design (art. 25-1)
Zowel bij het voorbereiden op een verwerking als tijdens het verwerken moeten passende technische en organisatorische maatregelen toegepast worden. Rekening houden met: Beschikbaarheid Integriteit Vertrouwelijkheid Proportionaliteit
28
Privacy-by-Default (art. 25-2)
Alleen persoonsgegevens die noodzakelijk voor elk specifiek doel. Die verplichting geldt voor: de hoeveelheid verzamelde persoonsgegevens de mate waarin zij worden verwerkt de termijn waarvoor zij worden opgeslagen de toegankelijkheid daarvan Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
29
CIA en BIV Confidentiality Beschikbaarheid Integrity Integriteit Availability Vertrouwelijkheid
30
Fysieke beveiliging Wie kan er bij informatie? Kasten afsluitbaar?
Schoonmaker Andere ondernemers of verhuurder Kasten afsluitbaar? Computer makkelijk mee te nemen?
31
Logische toegangsbeveiliging
Wachtwoord op computer? Wachtwoord op applicaties? Two-way-authentification? Wie mag waarbij?
32
Transport van persoonsgegevens
beveiligd? USB sticks? Computer in de auto? Wat zou ik kunnen zien via uw mobiel?
33
Gebruik randapparatuur
WIFI netwerknaam gewijzigd? Printer beveiligd? Externe harde schijven/ NAS? Modem/router hernoemd en nieuw wachtwoord?
34
Opslag van persoonsgegevens
Encryptie? In de cloud maar waar dan? Geprint in de map? Oude data verwijderd?
35
Externe partijen Verwerkersovereenkomsten? Wat kan wie zien?
Geopolitiek?
36
Personeel/werknemers
Clear screen en desk? Papierbak? Schrijfblokken? Social engineering?
37
ICT ontwikkeling en onderhoud
Updates? Externe toegang geven? Virusscan en firewall? Gescheiden omgevingen ontwikkelen/testen/acceptatie/productie
38
Continuïteit Backups? Stroomuitval? Cryptoware? Ziekte of overlijden?
39
Incidenten Bewijsmateriaal? Procedure? Rootcause? Verantwoordelijkheid
40
Certificeren voor AVG Enisa (Europees Agentschap voor Netwerk- en Informatiebeveiliging) Geen enkel certificeringsmechanisme voldoet op dit moment (nov 2017) Wel certificeringen die aantonen dat Informatiebeveiliging op orde is zoals ISO 27001
41
Hoe dan zorgen voor compliancy?
Aanmelden seminar AVG voor SOHO Via DataProtection.Support 46 vragen beantwoorden Vastleggen welke keuzes u heeft gemaakt Zorg dat u kunt aantonen wat u doet Laat u adviseren en controleren Maak uw organisatie bewust!
42
Belangrijk Wat moeten uw medewerkers of uw systemen doen?
Hoe weten uw medewerkers wat ze moeten doen of hoe heeft u uw systemen ingericht? Hoe weet u dat uw medewerkers en uw systemen doen wat ze moeten doen? Wat doet u als uw medewerkers of systemen niet doen wat ze moeten doen?
43
SUCCES MET ONDERNEMEN!
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.