Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdAndreas van der Pol Laatst gewijzigd meer dan 6 jaar geleden
1
INTRO De nieuwe privacy verordening & ons kantoor
2
ONDERWERPEN De Autoriteit Persoonsgegevens
De Wet Bescherming Persoonsgegevens Aanvulling sinds 2016: Meldplicht Datalekken Aanvulling vanaf 2018: Algemene Verordening Gegevensbescherming Aandachtspunten rond onze website
3
“ De voorzitter van de AP De Autoriteit Persoonsgegevens (AP)
We leggen nu pas boetes op als bij opzet of grove schuld informatie op straat is komen te liggen. Volgend jaar veranderen er drie dingen: instanties moeten sneller melden, de boetes worden draconisch hoger én de drempel van opzet of grove schuld komt te vervallen. Ik denk dat 90 procent van alle bedrijven en gemeenten hier nog geen weet van heeft. Aleid Wolfsen, Algemeen Dagblad, 15 april 2017
4
AP: taken en bevoegdheden
De AP is de onafhankelijke toezichthouder op de naleving van de privacywetgeving: Toezicht: Onderzoek en handhaving Advisering: Regering, parlement en ministerie van V&J Voorlichting, informatieverstrekking & verantwoording: Beleidsregels, zienswijzen, spreekuur en jaarverslag Internationale taken: Europese samenwerkingsverbanden privacytoezichthouders
5
AP: stevige toezichthouder
De Meldplicht datalekken in 2016 introduceert: Nieuwe naam met uitstraling Verhoging van de boete bedragen en uitbreiding van de boetebevoegdheid Nieuwe verplichtingen Nieuw leiderschap (Aleid Wolfsen vervangt Jacob Kohnstamm per 1 augustus 2016) Alle ingrediënten aanwezig voor intensivering van de handhaving.
6
Belangrijke begrippen Wbp
Persoonsgegeven: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon Verantwoordelijke: Bepaalt welke verwerking plaatsvindt van welke persoonsgegevens, voor welk doel en op welke wijze. Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Betrokkene: De mensen van wie de persoonsgegevens worden verwerkt.
7
Wet Bescherming Persoonsgegevens
Al geruime tijd van kracht! Wanneer van toepassing: Bij verwerking van persoonsgegevens, met nadruk op geautomatiseerde verwerking. Uitzondering voor persoonlijke of huishoudelijke doeleinden. Onze opdrachtbevestiging geeft een grondslag (toestemming) voor verwerking. Toestemming voor verzamelen van websitestatistieken kan doordat er een gerechtvaardigd belang is.
8
Wet Bescherming Persoonsgegevens
Informatieplicht Klanten hebben uitgebreide rechten! Opletten bij bijzondere persoonsgegevens: Godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakbond. Opletten bij verwerking of delen gegevens buiten de Europese Unie: ook via online tools Wie is verantwoordelijk als we niet alles zelf doen?
9
Meldplicht datalekken
Aanpassing van de bestaande Wbp per 1 januari 2016 Overgrote deel van de Wbp tekst is ongewijzigd Belangrijkste aanpassingen: Rol van bewerker bij melding en aanpassing bewerkersovereenkomst Uitwerking meldplicht datalekken (art 34A: verderop meer hierover) Naamswijziging CBP: Autoriteit persoonsgegevens Uitbreiding van de boetebevoegdheid
10
Voorbeelden mogelijk datalek
Gestolen laptop of verloren telefoon Calamiteit zoals brand in datacentrum Inbraak door een hacker of besmetting met ransomware mailing met cc i.p.v. bcc Wachtwoord op briefje Onbeveiligde Wifi Kopie van bestand naar onbeveiligde privé opslag Niet vernietigde papieren dossiers bij het afval
11
Art 34a Meldplicht datalekken
Verantwoordelijke zorgt voor melding inbreuk op de beveiliging aan toezichthouder Alleen bij (aanzienlijke kans op) “ernstige nadelige gevolgen voor de bescherming van persoonsgegevens” De melding dient zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek te worden gedaan Betrokkenen informeren “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”
12
Art 34a Meldplicht datalekken
Uitzondering op melding aan betrokkenen indien passende technische maatregelen zijn genomen om de persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor onbevoegden. Verantwoordelijke houdt overzicht bij van iedere inbreuk met (aanzienlijke kans op) “ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”.
13
Bewaarplicht datalekken
Verplicht overzicht bijhouden van alle datalekken die onder de meldplicht vallen Per datalek in ieder geval de feiten en gegevens omtrent de aard van de inbreuk. Als het datalek is gemeld aan de betrokkene, dan ook deze tekst. Ga uit van een bewaartermijn van minimaal een jaar en drie jaar indien een melding aan betrokkene achterwege is gebleven o.b.v. encryptie of zwaarwegende redenen. Overzicht hoeft niet openbaar gemaakt te worden
14
Voorbereiden op meldplicht
Bewerkersovereenkomsten afsluiten Onze verwerkingen van gegevens in kaart brengen Zorgen dat we genoeg informatie en kennis hebben om een melding te doen als nodig Zorgen dat we afspreken wie dit regelt en waar we dit vastleggen
15
Europese Privacyverordening
Algemene Verordening Gegevensbescherming (AVG) AVG al in werking sinds 25 mei 2016: overgangstermijn van twee jaar tot 25 mei 2018 De AVG vult de Wbp aan, legt nadruk op verantwoordingsplicht en kent meer gedetailleerde voorschriften
16
AVG Opvallende punten Art 83: Maximale geldboete € of 4% wereldwijde jaaromzet. Art 5: Verantwoordingsplicht voor beginselen van verwerking: Rechtmatigheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid Art 7: Aantonen toestemming van betrokkene Art 7: Toestemming intrekken moet net zo makkelijk zijn als het geven ervan.
17
AVG Opvallende punten Art 17: Recht op gegevenswissing
Art 20: Recht op overdraagbaarheid van gegevens Art 24: Verplichting aantoonbaar passende maatregelen te nemen voor verwerking en deze te evalueren en indien nodig te actualiseren. Art 25: Privacy by design and default Art 35: Gegevensbeschermingseffectbeoordeling (PIA) Art 37: Aanwijzen functionaris voor gegevensbescherming
18
AVG Opvallende punten Art 28: Extra eisen aan bewerkersovereenkomsten
Bij inzet sub-bewerker -voorafgaande schriftelijke toestemming van verantwoordelijke -minimaal dezelfde verplichtingen inzake bescherming persoonsgegevens Art 30: Verplicht register van verwerkingsactiviteiten Art 33: Documenteren van alle inbreuken in verband met persoonsgegevens.
19
AP: In 10 stappen voorbereid op de AVG
20
Website privacyproof Een website is ons online visitekaartje waarmee we ons in de etalage plaatsen, toegankelijk en zichtbaar voor iedereen. Als daar al niet aan de wet wordt voldaan, hoe zit het dan met de bescherming van persoonsgegevens in de rest van de ons kantoor?
21
Website privacyproof Passende beveiliging: De AP vereist dat encryptie (versleuteling) wordt toegepast bij verzending van persoonsgegevens via het internet. (HTTPS) Privacyverklaring: In duidelijke en begrijpelijke taal, rekening houdend met doelgroep. Eenvoudig toegankelijk op ieder onderdeel van de website Hebben we cookies? Gebruiken we Google Analytics? Hoe zijn de afspraken met onze webbouwer/webhoster? Is er een (bewerkers)overeenkomst?
22
Doorgifte buiten de EU De doorgifte van persoonsgegevens buiten de EU is verboden tenzij: het land van bestemming een passend beschermingsniveau waarborgt er passende waarborgen zijn genomen er sprake is van een wettelijke uitzondering Landen met een passend niveau van bescherming: Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Switzerland en Uruguay Passende waarborg: EU/US-privacy shield: zijn onze tools compliant?
23
IN GESPREK Hoe gaan wij om met privacy? Wie pakt welke taken op?
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.