De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

GDPR/AVG General Data Protection Regulation /

GepubliceerdJurgen van der Wal Laatst gewijzigd meer dan 5 jaar geleden

Verwante presentaties

Presentatie over: "GDPR/AVG General Data Protection Regulation /"— Transcript van de presentatie:

1 GDPR/AVG General Data Protection Regulation /
Algemene Verordening Gegevensverwerking Van kracht op 25 mei 2018 (tot dan WPB) Gaby Wilgenhof–Common Sense-15/11/2017

2

3 Sectoren 3e kwartaal 2017 (publicatie AP)
Van juli tot en met september 2017 zijn er +/ datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Daarmee komt het totale aantal gemelde datalekken in de eerste drie kwartalen van 2017 op Dit is bijna een verdubbeling ten opzichte van de dezelfde periode in (3793). meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (46% van de meldingen). Het kwijtraken of de diefstal van een gegevensdrager zoals een laptop of usb-stick (14%) is daarna het meest voorkomende type datalek. De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, BSN en financiële gegevens. In totaal werden in dit kwartaal 19 datalekken gemeld waarbij het aantal betrokken mogelijk groter was dan Bij het datalek met de meeste mogelijke betrokkenen ging het om circa personen.

4 Doel GDPR Verordening – Voor alle lidstaten binnen de EU van toepassing. Versterkt de positie van de betrokkenen (de natuurlijke personen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden versterkt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen (verantwoordelijkheid van de organisaties om aan te tonen dat zij zich aan de wet houden).

5 1. Versterking en uitbreiding rechten van natuurlijke personen door hanteren basisprincipes (1)
Transparantie – De natuurlijke persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten o.a.: ->Recht op inzage ->Recht op correctie ->Recht op bezwaar (bijv. tegen profiling of andere gegevensverwerking) ->Recht op dataportabiliteit (gegevens doorgeven aan andere organisatie) ->Recht om vergeten/verwijderd te worden. Data beperking - De persoonsgegevens worden voor een bepaald doel verzameld, en mogen niet voor andere zaken gebruikt worden.

6 1. Versterking en uitbreiding rechten van natuurlijke personen door hanteren basisprincipes (2)
Juistheid – De persoonsgegevens moeten correct zijn en blijven. Gegevensbeperking – Alleen de noodzakelijke gegevens die voor het beoogde doel nodig zijn, mogen worden verzameld. Bewaarbeperking – De persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel. Integriteit & vertrouwelijkheid – De persoonsgegevens moeten worden beschermd tegen toegang door onbevoegden, verlies of vernietiging. (zie ook sheet Wet Meldplicht Datalekken/ GDPR)

7 2. Verantwoordelijkheden organisaties (1)
Gegevensverwerking in kaart brengen. Welke persoonsgegevens, welk doel, waar komen de gegevens vandaan en met wie ze worden gedeeld (documentatieplicht). Vastleggen hoe de persoonsgegevens die worden verwerkt, worden beveiligd. Voor projecten waarbij wordt gewerkt met gegevensverwerking die een hoog privacy risico met zich meebrengt –Een DPIA (Data Privacy Impact Analyse) uitvoeren. Verplicht om maatregelen te nemen om risico’s te verkleinen. Voor sommige organisatie is het verplicht om een functionaris voor de gegevensbescherming (FG/DPO) aan te stellen.

8 2. Verantwoordelijkheden organisaties (2)
Privacy by design – Bij het ontwerpen van producten en diensten ervoor zorgen dat persoonsgegevens goed worden beschermd. Privacy by default – technische en organisatorische maatregelen nemen om ervoor te zorgen dat alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie wil bereiken. -> een app die de organisatie aanbiedt niet de locatie van de gebruikers laten registeren. -> Op de website niet vooraf ingevulde vinkjes zetten als er een keus is om iets aan te vinken. (actieve handeling van de klant)

9 3. Stevige positie toezichthouder (AP)
Hoge administratieve boetes – Op sommige overtredingen staat: -> boete van €20 mio of 4% van de totale omzet (overtredingen cross border data transfers, niet naleven aanwijzing AP). -> Boete van €10 mio of 2% van de total omzet (geen FG/DPO, geen DPIA opgesteld, geen verwerkingsovereenkomst.) Corrigerende maatregelen – De Autoriteit Persoonsgegevens kan organisaties berispen, verbieden om verwerking uit te voeren of straffen door certificering in te trekken. Negatieve aandacht – Pers

10 4. Overig Cross border data transfers Kinderen (aparte regels voor)

11 5. Privacy Control Frame Work
Beleid/processen Verantwoordelijk management benoemen Monitoring/audit Trainingen/Awarenes Incidentenmanagement proces Disciplinaire maatregelen (medewerkers/Vendors) Expert advice Redress. Opgesteld voor alle kolommen (HR, Communicatie, Klant etc).

12 6. Wet Meldplicht Datalekken/ GDPR
1. Incident - Ja 2. Persoonsgegevens (NAW, identificatiegegevens, BSN, Paspoort kopieën, geslacht/geboortedatum/leeftijd, bijzondere persoonsgegevens (ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, seksueel leven, medische gegevens) - Ja 3. Datalek leidt tot redelijkerwijs een risico voor de betrokkenen (stigmatisering, schade aan gezondheid, blootstelling aan ID fraude, blootstelling aan spam of phishing)– Ja 72 uur voor het opstellen van- (High pressure) PIA – Ja een risico dan melden bij AP. Nee dan documenteren. 4. Afhankelijk van het risico melden aan de betrokkenen.

Download ppt "GDPR/AVG General Data Protection Regulation /"

Verwante presentaties

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Informatiebeveiliging

Informatiebeveiliging
Testdata Management Ketentest

Testdata Management Ketentest
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.

SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Waarom nieuwe privacy richtlijnen?

Waarom nieuwe privacy richtlijnen?
auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.

auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.
6 stappen in Risico management

6 stappen in Risico management
Persoonsgegevens en de Wbp

Persoonsgegevens en de Wbp
Wet Bescherming Persoonsgegevens

Wet Bescherming Persoonsgegevens
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.

Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,

Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.

GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL 2016.  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € 820.000,-  Toezichthouder: Autoriteit Persoonsgegevens.

PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.

Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Meld plicht Datalekken

Meld plicht Datalekken
FHI Federatiecongres 20 april 2017.

FHI Federatiecongres 20 april 2017.
28 september 2017.

28 september 2017.
Vraag en antwoord Datum: 28 september 2017.

Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden

Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden

Privacy binnen de Drechtsteden

Verwante presentaties

Ads door Google