AVG. Is uw organisatie er klaar voor?

Transcriptie

1 AVG Is uw organisatie er klaar voor?

2 Welkom! De AVG komt er aan! Geen PANIEK! Wij helpen u er graag bij! PROGRAMMA: Inleiding AVG Introductie stappenplan PAUZE Rondetafel gesprekken Samenvatting & afronding

3 Nieuwe wetgeving privacy Vanaf 25 mei 2018 moet het verwerken van persoonsgegevens voldoen aan de regels van de Algemene Verordening Gegevensbescherming (AVG) een Europese verordening die geldt voor elke organisatie die gevestigd is in een EU-lidstaat. Doel AVG Enerzijds het beschermen van persoonsgegevens, anderzijds mogelijk maken van vrij verkeer van persoonsgegevens binnen de EU. Dit betekent, voor uw vereniging of organisatie, dat er voortdurend een afweging gemaakt moet worden tussen privacy van personen en het belang van de verwerking van deze gegevens.

4 Persoonsgegevens Wat zijn (bijzondere) persoonsgegevens? De informatie over een persoon waarbij de persoon identificeerbaar is (art. 4 AVG) Bij bijzondere gegevens moet sprake zijn van een wettelijke uitzondering om deze te mogen verwerken (art. 9 AVG) Wat is dan gegevensverwerking? (art. 4 AVG) Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, doorzending, gebruiken, wissen, vernietigen etc.

5 Kader AVG Houd deze in gedachten bij het verwerken van uw persoonsgegevens! De AVG geeft 6 beginselen voor de verwerking van persoonsgegevens: 1. De verwerking moet ten aanzien van de klant rechtmatig, behoorlijk en transparant zijn 2. Op basis van te voren uitdrukkelijk omschreven en gerechtvaardigde doeleinden 3. Er mogen niet meer gegevens worden verwerkt dan nodig voor de bepaalde doeleneinden 4. De gegevens moeten juist zijn en zo nodig worden geactualiseerd 5. De gegevens mogen niet langer worden bewaard dan noodzakelijk 6. Een passende beveiliging (zowel organisatorisch als technisch) moet zijn gewaarborgd

6 Kader AVG Houd deze in gedachten bij het verwerken van uw persoonsgegevens! Uw belangrijkste verantwoordelijkheden op grond van de AVG 1. U moet waarborgen dat u gegevens verwerkt in overeenstemming met de AVG. 2. U moet achteraf kunnen aantonen dat uw gegevensverwerking voldoet aan de eisen uit de AVG (dit vergt dat u uw processen goed hebt gedocumenteerd (verwerkingsregister)). 3. U moet betrokken personen informeren over de verwerking van uw persoonsgegevens (dit vergt dat u de processen aan hen kenbaar maakt (privacy-statement)).

7 Zo bent u in 10 stappen AVG proof! 1. Inzicht verkrijgen 2. Verantwoordelijke of verwerker? 3. Rechtmatigheid 4. Verantwoordelijkheid 5. DPIA of PIA 6. Privacy eisen 7. Verantwoording afleggen 8. Beveiliging persoonsgegevens 9. Informatieverstrekking 10. Rechten van de klanten

8 Stap 1: Inzicht verkrijgen Persoonsgegevens: welke hebt u en wat doet u er mee? Beoordeel tot welke type persoonsgegevens uw persoonsgegevens behoren. Drie typen persoonsgegevens: Gewone persoonsgegevens Bijzondere persoonsgegevens Strafrechtelijke persoonsgegevens

9 Voorbeeld bij stap 1 Voorbeeld inventarisatie/beschrijving persoonsgegevens: Van wie? Welke persoonsgegevens? Vindplaats persoonsgegevens (Waar/Hoe lang?) Activiteit Waarvoor (Doel?) Wie heeft toegang? Delen met derden Vrijwilligers NAW Bankgegevens WAAR: Ledenadministratie ICT provider HOE LANG: 1 jaar Vrijwillige inzet bij een evenement Bereikbaarheid Beschikbaarheid Betaling vrijw. vergoeding Afdeling administratie ICT Administratie PR & Communicatie Social media

10 Stap 2: Verantwoordelijke of verwerker? Bent u verantwoordelijke of verwerker? Hoofdverantwoordelijke: bepaalt DOEL EN MIDDELEN, is meestal de Organisatie De Verwerker is medeverantwoordelijk en werkt in opdracht van de organisatie. Leg afspraken vast in een VERWERKERSOVEREENKOMST! Bij gezamenlijke verantwoordelijkheid: Leg afspraken vast in een SAMENWERKINGSOVEREENKOMST! Denk eventueel aan een taakomschrijving en een geheimhoudingsverklaring. Voorbeeld van een verwerker: Web provider Adviseurs / consulenten (accountant) Leveranciers die persoonsgegevens krijgen (drukker, kleding) (externe) ICT er

11 Stap 3: Rechtmatigheid Zijn de verwerkingen die u wilt uitvoeren rechtmatig? Meest relevante grondslagen waarop u de verwerking van persoonsgegevens kunt baseren: Grondslag uitvoering overeenkomst Grondslag toestemming van de klant Grondslag gerechtvaardigd belang Grondslag uitvoering wettelijke verplichting Kunt u de verwerking niet op een grondslag baseren: STOP! Van elke grondslag zullen wij u een voorbeeld geven

12 Grondslag UITVOERING OVEREENKOMST Als een overeenkomst heeft, mag u de verwerking van persoonsgegevens die nodig zijn voor de uitvoering hiervan op deze grondslag baseren. *de overeenkomst kan niet gericht zijn op het verwerken van persoonsgegevens maar moet een ander doel hebben. VOORBEELDEN: Koopovereenkomst voor bezoek voorstelling Overeenkomst lidmaatschap vereniging Op basis van deze overeenkomst verwerkt u de klantgegevens m.b.t. het koopproces: administreren, betaling, services-mails etc.

13 Grondslag TOESTEMMING VAN DE BETROKKEN PERSOON! Als de betrokken persoon toestemming geeft, is het toegestaan om persoonsgegevens te verwerken. Kinderen < 16 jaar => toestemming ouders/gezag! Dit klinkt eenvoudig, maar De AVG stelt verschillende zwaarwegende eisen aan het verkrijgen van deze toestemming!

14 Grondslag GERECHTVAARDIGD BELANG Deze grondslag vergt een afweging tussen de gerechtvaardigde belangen van uw organisatie en de gevolgen van de rechten en belangen van de betrokken persoon, dit om onnodige inbreuk op privacy te voorkomen. Er is nog veel onduidelijkheden m.b.t. deze grondslag Advies: gebruik deze grondslag bij voorkeur niet. Als u dat wel wilt doen laat dit toetsen!

15 Grondslag UITVOERING WETTELIJKE VERPLICHTING Alleen in uitzonderlijke gevallen kan verwerking van persoonsgegevens worden gebaseerd op een wettelijke verplichting. Voorbeelden: U bewaart persoonsgegevens i.v.m. de algemene fiscale bewaarplicht van zeven jaren Uw organisatie heeft, op last van de brandweer, een lijst van de in het gebouw aanwezige gasten bij de balie liggen.

16 Stap 4: Verantwoordelijkheid Wie wordt verantwoordelijk voor privacy in de organisatie? Bepaalde organisaties moeten een Functionaris Gegevensbescherming (FG) aanstellen. Deze houdt binnen uw organisatie toezicht op de toepassing en naleving van de AVG. Aanstellen van een FG is verplicht voor: Overheidsinstanties Organisaties die (op grote schaal) gevoelige persoonsgegevens (bijzondere en strafrechtelijke persoonsgegevens) verwerken Organisaties die regelmatig of stelselmatig mensen observeren (fysiek, digitaal, middels camera, etc.) De meeste vrijwilligersorganisaties hoeven dat niet. Stelt u geen FG aan? Zorg er dan in elk geval voor dat u goed kunt onderbouwen waarom u daarvoor kiest! Regel wel verantwoordelijkheid en HOUD (TOE)ZICHT OP WIE TOEGANG TOT WELKE GEGEVENS HEEFT!

17 Stap 4: Verantwoordelijkheid Hoe zit dat dan binnen een organisatie met vrijwilligers? Vrijwillig betekent niet vrijblijvend! Een gebrek aan controle op vrijwilligers is vanuit privacy-opzicht niet zonder risico! De organisatie is als verantwoordelijke namelijk VERPLICHT om te bewaken dat de vrijwilligers persoonsgegevens verwerken op de wijze zoals de organisatie voorschrijft! WAT KAN IK DOEN? Stel een duidelijk beleid op en informeer alle betrokkenen Beschrijf daarin hoe de vrijwilligers met persoonsgegevens om moeten gaan Controleer regelmatig of het beleid wordt nageleefd Beperk de toegang tot persoonsgegevens Geef de vrijwilligers alleen toegang tot gegevens die noodzakelijk zijn voor de uitvoering van hun taak Beëindig tijdig de toegang tot informatie wanneer de vrijwilliger stopt met de werkzaamheden Zorg dat alle persoonsgegevens worden teruggegeven Wis (waar nodig) gegevens van privéapparatuur van de vrijwilliger

18 Stap 5: DPIA bent u verplicht DPIA /PIA uit te voeren? DPIA ofwel Data Protection Impact Assessment PIA ofwel Privacy Impact Assessment DPIA/PIA is een instrument om vooraf de privacy-risico s van gegevensverwerking in kaart te brengen en vervolgens maatregelen nemen om de risico s te verkleinen. VERPLICHT: als u gebruik maakt van een gekoppelde database of big data gebruikt voor profielomschrijving of als u gevoelige gegevens van zeer persoonlijke aard verwerkt (bijzondere persoonsgegevens). OOK HIER GELDT dat wanneer u besluit geen DPIA uit te voeren, u dit goed moet onderbouwen documentatie en motivatie. U moet het kunnen verantwoorden aan de AP! (AP: Autoriteit Persoonsgegevens)

19 Stap 6: Privacy eisen Voldoet u aan de eisen van privacy by design (ontwerp) en default (diensten standaard) zoals in de AVG genoemd is? Bij het inrichten van uw systemen kunt u technisch al een zorgvuldige omgang met persoonsgegevens afdwingen. LET OP: Het bewaartermijn mag niet langer zijn dan noodzakelijk voor het gegeven doel! Privacy by design Vraag geen gegevens op die u niet nodig heeft. Privacy by default Bij het vragen om persoonsgegevens moet de standaardinstelling van uw systemen zo privacy-vriendelijk mogelijk zijn. LET OP: Alle ondernomen stappen moet u goed beschrijven en vastleggen in het verwerkingsregister!

20 Stap 7: Verantwoording afleggen: Verwerkingsregister Hoe legt u verantwoording af aan bijvoorbeeld de AP? > 250 medewerkers? Register verplicht! < 250 medewerkers dan is een register verplicht als u persoonsgegevens verwerkt: Niet incidenteel (geldt vaak, denk aan ledenadministratie) Met hoog risico voor rechten en vrijheden Bijzondere persoonsgegevens Inhoud register? Naam en contactgegevens organisatie Doelen waarvoor u persoonsgegevens verwerkt Beschrijving van de categorieën van personen Beschrijving van de categorieën persoonsgegevens. Bewaartermijnen Categorieën ontvangers aan wie u persoonsgegevens verstrekt Delen van gegevens met derden (buiten de EU) Beschrijving van technische en organisatorische maatregelen voor bescherming van gegevens

21 Stap 8: Beveiliging persoonsgegevens Zijn uw persoonsgegevens voldoende beveiligd? Uitgangspunten 4 punten om persoonsgegevens voldoende te beveiligen: 1. Versleuteling persoonsgegevens 2. Permanente waarborging 3. Tijdig herstellen toegang persoonsgegevens bij incident 4. Procedure voor regelmatig testen Deze beveiliging geldt zowel op technisch niveau en op organisatorisch niveau! Technisch: IT beveiliging, toegangsbeveiliging (wachtwoorden), kluis etc. Organisatorisch: autorisaties, periodieke controles, protocol, overeenkomsten etc. Omschrijf altijd de wijze waarop u de veiligheid test en evalueert

22 Stap 9: Informatie verstrekking Hoe informeert u doeltreffend? Privacyverklaring U bent VERPLICHT om betrokken personen op een begrijpelijke manier te informeren welke gegevens u, voor welk doel en met welke grondslag, verzamelt en verwerkt. U dient daarom een privacyverklaring op te stellen met specifieke informatie.

23 Stap 10: Rechten van betrokken personen bent u voorbereid op privacy-aanspraken? Betrokkenen hebben onder de AVG de volgende rechten: Recht op inzage Recht op rectificatie en aanvulling Recht op vergetelheid Recht op dataportabiliteit Recht op beperking van de verwerking Recht van bezwaar Recht m.b.t. geautomatiseerde besluitvorming en profilering

24 Ronde tafel gesprekken Stellingen Voorbeeld inventarisatie/beschrijving persoonsgegevens Checklist AVG aan de slag!

25 Datalek? Er is sprake van een Datalek als er bij een opgetreden beveiligingsincident (verlies of diefstal) persoonsgegevens betrokken zijn. Voorbeelden incidenten: computer of software die niet werkt of bruikbaar is kwijtgeraakte USB-stick gestolen laptop inbraak door een hacker malware- of virusbesmetting gestolen logingegevens Wat te doen? Melden Datalek Verzamel alle benodigde informatie! Zorg ervoor dat u bij een Datalek geen verwijt te maken valt! Melden bij autoriteit persoonsgegevens: altijd (art. 33 én 34 AVG) (binnen 72 uur na melding/constatering) Bij betrokken: alleen bij art. 34 AVG Let op: boetes onder de AVG vele malen hoger (art. 83 AVG)

26 STELLING Een adres is een persoonsgegeven. Organisaties moeten met leveranciers en/of afnemers afspraken maken over de verwerking van persoonsgegevens. Het is voldoende om in een privacy statement op de website toe te lichten hoe een betrokkene bezwaar kan maken tegen de verwerking van diens persoonsgegevens. Een foto geldt als een bijzonder persoonsgegeven. Foto s plaatsen op social media mag zonder toestemming. Zodra een betrokkene bezwaar maakt is de verwerkingsverantwoordelijke verplicht de betrokken persoonsgegevens onmiddellijk te verwijderen. Als verwerkingsverantwoordelijke kan ik de betrokkene, in geval van een Datalek, verwijzen naar de verwerker. Onder de AVG heeft de verwerker de plicht gegevens voor overdracht aan andere organisaties geschikt te maken. Het bespreken van persoonsgegevens bij een vergadering is een gegevensverwerking. Ongevraagd/onaangekondigd een whats app groep aanmaken mag. Gegevens van teamgenootjes van een kind meegeven aan andere ouders (denk aan pasjes, lijst met NAW gegevens) mag altijd. Bij een brand gaan persoonsgegevens verloren. Er is sprake van een Datalek. Een verzenden met alle adressen in CC en niet in BCC kan een Datalek zijn. Een met persoonsgegevens versturen naar een verkeerd adres is een Datalek. WAAR x x x x x x x NIET WAAR x x x x x x x

27 Samenvatting en afronding: Resultaat 1. U weet welke persoonsgegevens u bewerkt, wie toegang heeft, wanneer ze worden gebruikt (doel) en waar en hoe lang u de gegevens bewaart. U weet dat u geen bijzondere en strafrechterlijke persoonsgegevens verwerkt. Dit zijn bouwstenen voor uw analyse, verwerkingsregister en privacy-statement. 2. U weet of (en wanneer) u verwerker of verantwoordelijke bent, met wie u samenwerkt en wie uw verwerkers zijn. En daarmee met wie u een samenwerkings- of verwerkersovereenkomst moet afsluiten. 3. U heeft vastgesteld of uw verwerkingen rechtmatig zijn en op welke grondslag ze zijn gebaseerd. De grondslagen kunt u opnemen in het verwerkingsregister en in het privacy-statement. 4. U weet dat u (een) Verantwoordelijke(n) moet aanwijzen. Als u geen FG aanstelt, motiveert en documenteert u dat in uw verwerkingsregister zodat u die keuze kunt verantwoorden aan de AP. Een ieder binnen uw organisatie is helder wie verantwoordelijk is voor persoonsgegevens en handelt daarnaar.

28 Samenvatting en afronding: Resultaat 5. U hebt een inschatting gemaakt van de privacy-risico s van uw verwerkingen. Zijn die hoog dan laat u een DPIA uitvoeren. Als u besluit om dat niet te doen motiveert en documenteert u waarom niet en neemt dat op in uw verwerkingsregister zodat u die keuze kunt verantwoorden aan de AP. 6. U hebt ervoor gezorgd dat de privacy van uw betrokken personen van ontwikkeling tot aan het laatste gebruik zoveel mogelijk is geïntegreerd in uw diensten en producten. Het gaat hier om maatwerk. Beschrijf de ondernomen stappen en neem deze op in het Verwerkingsregister (zie onder stap 7). U heeft voor alle klantgegevens een bewaartermijn bepaald en past die toe. 7. U weet of u als dan niet een verwerkingsregister op moet stellen (advies: stel het op, de input kunt u halen uit de bij stap 1 verzamelde informatie). 8. U weet dat u uw persoonsgegevens moet beveiligen (technisch en organisatorisch) 9. U weet dat u verplicht bent tot Informatieverstrekking (o.a. privacy verklaring) 10. U bent op de hoogte van de rechten van de klanten U bent voorbereid op wat te doen bij een DATALEK

29 Bedankt voor uw aandacht! We hopen u voldoende te hebben ingelicht inzake de AVG. Mocht u nog vragen hebben of kunt u hulp gebruiken, dan kan u contact met ons opnemen. AVG@M-Pact.nl Handige stukken: Op aanvraag sturen wij u: Informatie over de AVG Checklist AVG Voorbeelden: Privacyverklaring Cookieverklaring Verwerkersovereenkomst Privacy beleid Veel brancheverenigingen/koepels hebben maatwerkvoorbeelden.