privacy TipS EN TricKS voor DE ONDErNEMiNGSpraKTiJK 2013 in-house counsel practical GuiDE
|
|
- Christina Bakker
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 privacy TIPS EN TRICKS VOOR DE ONDERNEMINGSPRAKTIJK 2013 in-house counsel practical guide
2
3 3 privacy: tips en tricks voor de ondernemingspraktijk
4 4 privacy: tips en tricks voor de ondernemingspraktijk
5 Inhoud 7 Voorwoord 9 Keypoints 10 De concept-privacyverordening: zware verplichtingen, hoge boetes 22 Datalekken: de meldplicht komt eraan 32 De klokkenluidersregeling en privacy 42 Document retention: dataopslag en bewaartermijnen 50 Cookies en toestemming 60 Privacy in de cloud: er zit onweer in de lucht 70 e-discovery en privacy: het eeuwige dilemma? 82 Bijlage 85 Privacy team 87 Houthoff Buruma vestigingen 5 privacy: tips en tricks voor de ondernemingspraktijk
6 6 privacy: tips en tricks voor de ondernemingspraktijk
7 voorwoord Uit een recent onderzoek 1 onder Nederlandse bedrijfsjuristen blijkt dat privacy, de bescherming van persoonsgegevens, een van de zes thema s is die hoog op de agenda van de General Counsel staan. Die constatering staat in duidelijk contrast met de eerdere houding van het bedrijfsleven tegenover privacy sinds de invoering van de Wet persoonsregistratie in 1989 en de Wet bescherming persoonsgegevens in Tot voor kort benadrukten de meeste Nederlandse ondernemingen vooral de administratieve lasten die de implementatie van privacyregelgeving met zich meebracht. Het privacybewustzijn is met name in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. Hoewel het nog enkele jaren kan duren voor deze verordening van kracht wordt terwijl de inhoud nog uitgebreid ter discussie staat werpen de torenhoge boetes op overtreding (tot 2% van de wereldwijde omzet van een onderneming) hun lange schaduw vooruit. In deze uitgave wordt in korte hoofdstukken aandacht geschonken aan zes actuele thema s die met privacy te maken hebben: de nieuwe EU verordening, datalekken, klokkenluiderregelingen, cookies, bewaren van documenten en gegevens, e-discovery en de cloud. Een aantal Nederlandse ondernemingen heeft met een of meer van deze onderwerpen te maken, sommige zelfs dagelijks. Als de EU verordening van kracht is zal het hele Nederlandse bedrijfsleven werk moeten maken van bescherming van persoonsgegevens. Privacyrisico s moeten worden geanalyseerd en vastgelegd. Er moeten adequate beveiligingsmaatregelen, procedures en protocollen zijn ter bescherming van persoonsgegevens. De verwerking van persoonsgegevens moet zoveel mogelijk bij de bron worden beperkt. Datalekken moeten onmiddellijk worden gemeld. Veel ondernemingen moeten een functionaris aanstellen die moet toezien op naleving van de privacyregels. En op overtreding van elk van deze regels staat een hoge boete. Het is dan ook niet voor niets dat privacy de komende jaren hoog op de agenda van de Nederlandse General Counsel staat. Thomas de Weerd en Wolter Wefers Bettink, partners Houthoff Buruma, maart 2013 Dit boekje verscheen eveneens als nummer 1 in de NGB reeks Tips & Tricks voor de praktijk van de bedrijfsjurist. 1 Bedrijfsjuristenmonitor 2012, Houthoff Buruma, Amsterdam. Zie 7 privacy: tips en tricks voor de ondernemingspraktijk
8 8 privacy: tips en tricks voor de ondernemingspraktijk
9 keypoints De nieuwe Privacy verordening verzwaart de lasten van het bedrijfsleven aanzienlijk. Iedere onderneming moet een roadmap hebben hoe om te gaan met datalekken en het melden daarvan. Een klokkenluidersregeling moet voldoen aan strenge eisen ter waarborging van de privacy van betrokkenen. Een document retentie beleid bespaart kosten en beschermt tegen claims. Opslaan van gegevens in de cloud maakt het moeilijk om aan de nieuwe Privacyverordening te voldoen. Voldoen aan de cookie regels begint met bekijken welke cookies noodzakelijk zijn. 9 privacy: tips en tricks voor de ondernemingspraktijk
10 De concept-privacyverordening: zware verplichtingen, hoge boetes Inleiding Jarenlang heeft de zorg voor privacy de bescherming van persoonsgegevens niet veel aandacht gekregen binnen de meeste Nederlandse ondernemingen. De uit 1989 stammende Wet persoonsregistraties heeft overwegend een sluimerend bestaan geleid. Weliswaar werd deze in 2001 vervangen door de Wet bescherming persoonsgegevens (Wbp), 1 die de uit 1995 stammende Privacyrichtlijn 2 implementeert, maar privacy In het bedrijfsleven werd de Wbp vaak leek ook in de jaren daarna een onderwerp waar vooral overheidsinstellingen, het College Bescherming Persoonsgegevens (CBP) en een handvol gespecialiseerde juristen zich mee bezighielden. In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten, waarvan het mkb in Nederland er al zoveel heeft. De oorzaak van deze houding ten opzichte van privacy lag primair in de abstracte normen van de regelgeving die moeilijk concreet uit te voeren waren. Het vrijwel ontbreken van sancties en een chronische onderbezetting bij het CBP zorgde voorts voor een sporadische, op uitwassen gerichte handhaving. In die houding van het bedrijfsleven is verandering gekomen toen met de Code Tabaksblat 3 compliance onderdeel werd van het DNA van in Nederland werkzame ondernemingen. Voldoen aan de privacywetgeving werd onderdeel van de compliance scorecard. geschaard onder de administratieve lasten. In diezelfde periode groeide, parallel aan de toename van het commerciëel gebruik van het internet, de hoeveelheid gegevens die voor commerciële doeleinden wordt verzameld exponentieel. Ondernemingen als Google en Facebook gingen voorop in het samenstellen en uitbaten van profielen van gebruikers. Dat gebeurde met behulp van cookies, kleine tekstbestanden die worden geplaatst op de computer van een websitebezoeker, doorgaans zonder dat deze zich daarvan bewust was. Om het gebruik van cookies aan banden te 1 Wet bescherming persoonsgegevens, Stb. 2000, Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz De Nederlandse Corporate Governance Code - beginselen van deugdelijk ondernemingsbestuur en best-practicebepalingen, Commissie Corporate Governance 9 december Te vinden op rijksoverheid.nl/documenten-en-publicaties/richtlijnen/2003/12/09/code-tabaksblat.html. 10 privacy: tips en tricks voor de ondernemingspraktijk
11 leggen stelde de Europese wetgever in 2009 de e-privacyrichtlijn 4 vast, waardoor voortaan de toestemming van de gebruiker is vereist voor het plaatsen van een cookie. Gekoppeld aan een boetebepaling die toezichthouder OPTA de mogelijkheid geeft een boete van maximaal EUR op te leggen heeft dit in relatief korte tijd geleid tot een cultuuromslag. Anno 2013 bevatten de meeste websites van Nederlandse ondernemingen uitgebreide informatie over de gebruikte cookies en wordt voor het plaatsen daarvan doorgaans (impliciet) toestemming gevraagd. Het privacybewustzijn is in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. 5 In dit boekje wordt deze ook wel aangeduid als de concept Verordening. Hoewel dit instrument in bepaalde opzichten de lasten voor het bedrijfsleven in de Europese Unie zal verlichten een onderneming hoeft in de toekomst maar aan één uniform regime te voldoen in plaats van de privacywetgeving van 27 verschillende lidstaten valt toch vooral op dat de regels voor de verwerking van persoonsgegevens op veel punten zijn aangescherpt en dat op overtreding daarvan zeer hoge boetes zijn gesteld, tot 2% van de wereldwijde jaaromzet van de overtredende onderneming. Het zal nog enkele jaren duren voordat de concept Verordening in werking treedt. Uit het rapport dat over de concept Verordening is uitgebracht aan het Europees Parlement 6 (naar haar samensteller het Albrechtrapport genoemd) blijkt dat deze instelling zo Het privacybewustzijn is in een stroomversnelling gekomen door het voorstel voor een privacyverordening. 4 Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatie-netwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/ Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op 6 Draft report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 C7-0025/ /0011(COD)). Te vinden op 11 privacy: tips en tricks voor de ondernemingspraktijk
12 mogelijk nog strengere regels wil stellen aan verwerking van persoonsgegevens in de Europese Unie. Bij de behandeling in een aantal commissies van het Parlement bleek echter dat een meerderheid van de lidstaten een aantal verplichtingen van de Verordening wil afzwakken om met name het MKB te ontlasten.. Naar verwachting wordt in juni 2013 in het Europese Parlement over de tekst van de concept Verordening gestemd. Privacy staat dan ook hoog op de agenda van de Nederlandse General Counsel voor de komende jaren. Reikwijdte van de concept Verordening De reikwijdte van de concept Verordening is ten opzichte van de Privacyrichtlijn uitgebreid. De concept Verordening is ook van toepassing op het verwerken van persoonsgegevens van betrokkenen die woonachtig zijn in een lidstaat door een verantwoordelijke of bewerker die niet in de Europese Unie is gevestigd, indien de verwerking plaatsvindt in het kader van een transactie of om een gebruikersprofiel te kunnen maken (het zogenaamde profilering ). Toestemming kan niet worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. Rechtsgrondslag Evenals onder de Privacyrichtlijn dient een verwerking van persoonsgegevens een rechtmatige grondslag te hebben. Een daarvan is de toestemming van de betrokkene (onderdeel a). De definitie van toestemming in artikel 4 lid 1 van de concept Verordening maakt duidelijk dat deze steeds uitdrukkelijk moet zijn gegeven. Dat kan door een verklaring of een ondubbelzinnige handeling. 7 Een optout is niet langer een rechtmatige grondslag voor verwerking van persoonsgegevens. Toestemming kan geen rechtmatige grondslag voor verwerking bieden wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkenen en de verantwoordelijke. 8 Daarmee staat vast dat toestemming niet kan worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever. 9 In artikel 6 lid 1 onderdeel f is de in Nederland gebruikelijke rechtsgrondslag dat de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, dat zwaarder weegt dan de bescherming van de grondrechten en fundamentele vrijheden (lees: de privacy van de betrokkenen) gehandhaafd. 7 Overweging Artikel 7 lid 4 concept Verordening. 9 Overweging 34. Overigens was dat ook al de heersende mening, zie Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, vastgesteld op 13 juli 2011 (WP 187), te vinden op policies/privacy/docs/wpdocs/2011/wp187_en.pdf 12 privacy: tips en tricks voor de ondernemingspraktijk
13 Nieuw is een speciale bepaling voor de verwerking van persoonsgegevens van kinderen (artikel 8) die voor een kind jonger dan 13 jaar de toestemming van de ouder of voogd vereist. De verantwoordelijke moet zo goed mogelijk verifiëren of die toestemming rechtmatig is gegeven. Artikel 20 beperkt het verzamelen en verder verwerken van persoonsgegevens ten behoeve van profilering en de daarop gebaseerde marketing. 10 Dit onderwerp wordt nader behandeld in het hoofdstuk Cookies en Toestemming. Overigens valt onder deze bepaling ook verwerking van persoonsgegevens ten behoeve van beoordelingsgesprekken en andere HR- doeleinden. De grondslag daarvoor is in dat geval gelegen in de uitvoering van de arbeidsovereenkomst. Er staan hoge boetes op overtreding van vaag geformuleerde verplichtingen. Algemene verplichtingen De concept Verordening bevat enkele algemeen geformuleerde verplichtingen voor de verantwoordelijke, waarvan overtreding met een hoge boete wordt bedreigd. Een voorbeeld is artikel 11 dat de verantwoordelijke verplicht om een privacybeleid te voeren dat transparant en eenvoudig toegankelijk is. Informatie en mededelingen moeten in begrijpelijke vorm worden verstrekt, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt. Een algemene plicht om de verwerking van persoonsgegevens te beperken vloeit voort uit artikel 5 onder (c), dat vereist dat persoonsgegevens alleen worden verwerkt als doeleinden niet kunnen worden verwezenlijkt door verwerking van andere (bijvoorbeeld geanonimiseerde) gegevens. Het feit dat op overtreding van dergelijke vaag geformuleerde verplichtingen een hoge boete staat is niet in overeenstemming met het beginsel dat het strafbaar stellen van overtredingen alleen dan gerechtvaardigd is wanneer de overtreden norm voldoende duidelijk is geformuleerd. 11 Privacy by design en by default Ook artikel 23, dat ziet op privacy by design and by default, is nogal open geformuleerd en biedt ondernemingen daarmee weinig houvast voor een concrete invulling van hun 10 Onder profilering wordt verstaan het geautomatiseerd verwerken van persoonsgegevens met als doel aspecten van de persoonlijkheid van een betrokkene te evalueren of om zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid en gedrag te analyseren of te voorspellen. 11 Zie artikel 7, 1e lid, van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) en artikel 49, 1e lid, van het Handvest voor de Grondrechten. Zie ook de brief van 11 december 2012 van staatssecretaris Teeven, te vinden op behandeling/ /brief_vande_staatssecretaris_van/document3/f=/vj5dlxksri7s.pdf. 13 privacy: tips en tricks voor de ondernemingspraktijk
14 verplichtingen. Deze bepaling verplicht de verantwoordelijke, kort gezegd, om bij de aanschaf en het laten ontwikkelen van software, de inrichting van databases en, meer algemeen, de inrichting van een IT-systeem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie. Informatieplicht Artikel 14, dat ziet op informatieverstrekking aan de betrokkene, bevat een zeer gedetailleerde uitwerking van de informatie die aan de betrokkene moet worden verstrekt over de Veel privacy policies van ondernemingen zullen aan de uitgebreide informatieplicht moeten worden aangepast. verwerking van zijn persoonsgegevens. Nieuw is dat de betrokkene duidelijke informatie moet worden verstrekt over zijn rechten, zoals het recht op inzage, correctie en verwijdering van persoonsgegevens. 12 Ook moet specifiek worden vermeld of profilering wordt toegepast en of de intentie bestaat gegevens door te geven naar derde landen (zie hierna). Veel privacy policies van ondernemingen zullen aan deze uitgebreide informatieplicht moeten worden aangepast. Right to be forgotten Een nieuw right to be forgotten wordt geïntroduceerd door artikel 17. Dit houdt in dat de verantwoordelijke onder omstandigheden moet zorgen dat persoonsgegevens worden gewist en verdere verspreiding achterwege blijft. Dat is onder meer het geval als de betrokkene zijn toestemming intrekt, bezwaar maakt tegen de verwerking, of als de verwerking op andere gronden niet voldoet aan de verordening. Dit laatste impliceert dat een onderneming in dat geval uit eigen beweging de gegevens moet wissen. Worden de gegevens op verzoek van de betrokkene verwijderd en zijn zij door of met toestemming van de verantwoordelijke openbaargemaakt dan moet deze alle redelijke maatregelen nemen om derden die de gegevens verwerken van de intrekking van de toestemming door de betrokkene op de hoogte te stellen. Verwerking van persoonsgegevens voor de uitoefening van het recht op vrijheid van meningsuiting is uitgezonderd van de verplichting gegevens te verwijderen. 13 Daarmee worden 12 Artikel 12 concept Verordening. 13 Artikel 17 lid 3 zondert van deze verplichting onder meer ook uit verwerking om redenen van algemeen belang op het gebied van de volksgezondheid (lid 3 sub b), voor historische, statistische of wetenschappelijke doeleinden (en lid 3 sub c) of wanneer gegevens nog moeten worden bewaard ten behoeve van bewijsvoering (lid 4 sub b). 14 privacy: tips en tricks voor de ondernemingspraktijk
15 de media in het algemeen gevrijwaard van de verplichting gegevens over personen op hun verzoek te verwijderen. Privacybeleid Artikel 22 verplicht de verantwoordelijke een privacybeleid te voeren. Daaronder valt onder meer de verplichting documentatie inzake alle verwerkingen die onder zijn verantwoordelijkheid hebben plaatsgevonden te bewaren (artikel 28), passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens (artikel 30), in bepaalde gevallen vooraf een privacyeffectbeoordeling uit te voeren (artikel 33, zie hierna) en een gegevensfunctionaris aan te wijzen (artikel 35). Op grond van artikel 33 moeten De bewerker kan bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als de verantwoordelijke. ondernemingen een zogenaamde privacy impact assessment) doen, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico s inhouden voor de rechten en vrijheden van betrokkenen. Dat is met name het geval wanneer profilering plaatsvindt, bij verwerking van gegevens in de gezondheidszorg die betrekking hebben op het seksuele leven de gezondheid, het ras of de etnische afkomst, videobewaking van openbaar toegankelijke ruimtes en de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. Functionaris voor de gegevensbescherming De aanstelling van een functionaris voor de gegevensbescherming, hetgeen in Nederland op dit moment vrijwel alleen voorkomt bij de overheid, wordt verplicht voor ondernemingen met meer dan 250 werknemers. 14 Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan het verzoek van betrokkenen om informatie in het kader van de uitoefening van hun recht op grond van de verordening. Ook bij melding van datalekken heeft de functionaris een belangrijke rol. Verplichtingen bewerker Op grond van artikel 26 wordt een aantal verplichtingen gelegd op de bewerker, waaronder het nemen van adequate beveiligingsmaatregelen, het handelen binnen het kader van de 14 En kleinere ondernemingen, indien deze verwerkingen doet die vanwege hun aard, omvang of doel regelmatige en stelselmatige observatie van betrokkene vereisen. Dit laatste geldt bijvoorbeeld voor headhunters. 15 privacy: tips en tricks voor de ondernemingspraktijk
16 instructies van de verantwoordelijke en het opleggen van een geheimhoudingsplicht aan zijn personeel. Onder de huidige wetgeving moeten deze verplichtingen van de bewerker worden neergelegd in een bewerkerovereenkomst en is naleving dus met name een privaatrechtelijke aangelegenheid. Onder de concept Verordening kan de bewerker bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als aan de verantwoordelijke kunnen worden opgelegd. Meldplicht datalekken De concept Verordening voert een meldplicht in voor datalekken, die wordt uitgewerkt in artikelen 30 tot en met 32. Uitgangspunt is dat ieder datalek zo spoedig mogelijk wordt gemeld aan de toezichthouder (het CBP) en, als negatieve gevolgen voor de bescherming van de Voor doorgifte naar derde landen zal steeds een overeenkomst moeten worden gesloten die voldoet aan de modelbepalingen. persoonsgegevens of de privacy van de betrokkenen waarschijnlijk zijn, eveneens aan de betrokkenen. Dit wordt nader behandeld in het hoofdstuk Datalekken. Overdracht gegevens naar derde landen Een ander aandachtspunt is de overdracht van gegevens naar landen buiten de Europese Economische Ruimte, waarvoor de Europese Commissie niet een verklaring heeft afgegeven dat zij een passend beschermingsniveau waarborgen. 15 Onder de Privacyrichtlijn zijn dergelijke verklaringen al afgegeven voor een aantal landen. 16 Doorgifte is ook mogelijk op grond van binding corporate rules (BCR). 17 Een belangrijke verbetering ten opzichte van de Privacyrichtlijn is dat BCR niet ook kunnen worden gebruikt in de relatie met bewerkers.dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort. Goedkeuring van een toezichthouder van één lidstaat is voldoende om de BCR te laten gelden in alle lidstaten. Overdracht naar derde landen is overigens alleen toegestaan op de gronden die zijn opgenomen in artikel 44. Naast toestemming van de betrokkene en doorgifte die noodzakelijk is ter uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke is doorgifte onder meer toegestaan als deze noodzakelijk is voor de vaststelling, de uitoefening of de verdediging 15 Op grond van artikel 41 kunnen dergelijke verklaringen door de Europese Commissie worden afgegeven. 16 Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Guernsey en Isle of Man (stand per 01/02/2013). 17 Artikel 43 concept Verordening. Dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort, waarin de belangrijkste verplichtingen onder de concept Verordening zijn neergelegd. 16 privacy: tips en tricks voor de ondernemingspraktijk
17 van een recht in rechte of voor de gerechtvaardigde belangen van de verantwoordelijke of de bewerker, mits de overdracht niet als frequent of massaal kan worden beschouwd. Daarbij moeten zo nodig passende garanties worden geboden voor de bescherming van persoonsgegevens, mede gezien de aard daarvan, het doel en de duur van de verwerking. Deze garanties moeten worden gedocumenteerd. Voor de doorgifte zal in deze gevallen van artikel 44 steeds een overeenkomst moeten worden gesloten met de ontvanger van de persoonsgegevens, die voldoet aan de modelbepalingen die de Commissie op grond van artikel 42 vaststelt. Een voordeel voor ondernemingen ten opzichte van de huidige regeling van doorgifte onder de Privacyrichtlijn is dat niet langer de voorafgaande goedkeuring van de De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet. toezichthouder kan worden vereist. Overigens is dit vergunningvereiste in Nederland onlangs afgeschaft voor gevallen waarin tussen verantwoordelijke en ontvanger een modelcontract is gesloten. 18 Concentratie toezicht Een belangrijke verbetering voor ondernemingen die in meerdere lidstaten zijn gevestigd is dat de handhaving van de concept Verordening wordt opgedragen aan de toezichthouder van de lidstaat waar de onderneming zijn hoofdvestiging heeft. Dit is de plaats waar zich zijn centrale administratie in de Europese Unie bevindt. 19 Deze hoofdtoezichthouder moet samenwerken met de toezichthouders in de andere lidstaaten waar de onderneming werkzaam is. Wellicht dat de huidige praktijk met BCR, waarin één toezichthouder de regels toetst en goedkeurt en twee andere toezichthouders commentaar kunnen leveren, hierbij een voorbeeld voor praktische uitvoering van deze bepaling. Beperkingen en uitzonderingen De reikwijdte van een aantal bepalingen, zoals de plicht betrokkenen over verwerking van hun gegevens te informeren, het recht om gegevens te laten wissen en de beperkingen ten aanzien van profilering kunnen op basis van de in artikel 21 genoemde gronden worden beperkt door nationale of EU-wetgeving, voor zover dat in een democratische samenleving een noodzakelijke en evenredige maatregel is. Daaronder valt onder meer dat een dergelijke beperking nodig is ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Deze grond is nu opgenomen in artikel 43 Wbp en vormt onder meer de grondslag voor beperking van de verplichting om de betrokkene informatie te verstrekken over verwerking 18 Aan artikel 77, eerste lid, Wbp is daartoe een onderdeel g. toegevoegd. Wet van 26 januari 2012, Stb. 2012, 33, onderdeel K. 19 Overweging privacy: tips en tricks voor de ondernemingspraktijk
18 van zijn persoonsgegevens maar ook voor het opschorten van de informatieplicht in geval van verwerking van persoonsgegevens ten behoeve van een overheidsonderzoek of in het kader van een discoveryprocedure (zie hierover het hoofdstuk e-discovery). Boetes Zoals aangegeven krijgen het CBP en zijn Europese collega s ter verbetering van de handhaving van de privacyregels de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 van de concept Verordening). Die boete kan worden opgelegd voor overtredingen, zoals: niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens (artikel 19); het niet documenteren van de verwerkingen van persoonsgegevens binnen de onderneming (artikel 28); Het Albrecht-rapport wil de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder aanscherpen. verwerking van gezondheidgegevens en andere gevoelige gegevens zonder de vereiste ondubbelzinnige toestemming van de betrokkene (artikel 9); ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeautoriseerde toegang tot en vernietiging van data te voorkomen (artikel 30); niet tijdig of volledig melden van datalekken, zoals verlies van een USB-stick of de hack van een website (artikel 31 en 32); en niet verrichten van privacyeffectrapportages van verwerkingen die bijzondere privacyrisico s meebrengen, zoals gezondheidsgegevens (artikel 34). Het Albrecht-rapport Op 10 januari 2013 heeft rapporteur Albrecht namens de LIBE commissie 20 van het Europees Parlement, die bij dit onderwerp de leiding heeft, een rapport uitgebracht dat, zoals in de inleiding is aangegeven, de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder wil aanscherpen. 21 Het rapport telt ruim 200 pagina s, zodat in het kader van deze uitgave alleen aandacht kan worden gegeven aan enkele bepalingen die ingrijpende gevolgen kunnen hebben voor in Nederland gevestigde ondernemingen. 20 De Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken. 21 Voor de vindplaats van het rapport zie noot privacy: tips en tricks voor de ondernemingspraktijk
19 Een belangrijke voorgestelde wijziging betreft de grondslagen voor verwerking van persoonsgegevens. 22 De in Nederland doorgaans gebruikte rechtvaardigingsgrond dat verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verantwoordelijke, die zwaarder wegen dan het privacybelang van de betrokkene, wordt alleen nog toegestaan in specifiek genoemde omstandigheden en alleen wanneer geen van de andere rechtvaardigingsgronden (zoals toestemming) kan worden gebruikt. Bovendien moet de verantwoordelijke de betrokkene informeren over de redenen Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen. waarom het gerechtvaardigd belang van de verantwoordelijke zwaarder weegt dan de bescherming van de privacy van de betrokkene. Die mededeling is ook opgenomen in het voorstel voor aanpassing van de informatieverplichtingen van artikel 14, die verder zijn uitgebreid met informatie over de maatregelen die bij doorgifte zijn genomen en over rights and mechanisms om bezwaar te maken tegen verwerking van persoonsgegevens of deze te vermijden. Ook wordt voorgesteld een verplichting in te voeren om de betrokkene op de hoogte te stellen in geval van mededeling van zijn persoonsgegevens aan een overheidsorgaan op diens verzoek. Ten aanzien van profilering stelt het Albrecht-rapport voor om dit alleen toe te staan met toestemming van de betrokkene of op basis van een wettelijke regeling. 23 Profiling dient verder te worden beperkt door daarvan uit te sluiten het verwerken van bijzondere gegevens en gegevens die het mogelijk maken om kinderen te identificeren of te individualiseren. 24 Een belangrijke voorgestelde wijziging is ook dat ondernemingen die persoonsgegevens verwerken die betrekking hebben op meer dan 500 betrokkenen een functionaris van de gegevensbescherming moeten aanstellen, ook als zij minder dan 250 werknemers hebben. 25 Overdracht van gegevens naar een derde land in het kader van e-discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen door een nieuw 22 Artikel 6 conceptverordening. 23 Amendement 158, pagina 102 van het Albrecht-rapport. 24 Amendement 162 en 164, pagina 104 en 105 van het Albrecht-rapport. 25 Amendement 223, pagina 134 Albrecht-rapport 19 privacy: tips en tricks voor de ondernemingspraktijk
Datalekken: de meldplicht komt eraan
Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente
Nadere informatieDe concept-privacyverordening: zware verplichtingen, hoge boetes
De concept-privacyverordening: zware verplichtingen, hoge boetes Inleiding Jarenlang heeft de zorg voor privacy de bescherming van persoonsgegevens niet veel aandacht gekregen binnen de meeste Nederlandse
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieDe Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Staatssecretaris van Veiligheid
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatieLWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene
Nadere informatieBelangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene
Belangrijke begrippen Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene Grondslagen voor gegevensverwerking 1. Toestemming 2. Noodzakelijk voor uitvoering overeenkomst 3. Noodzakelijk
Nadere informatieMedische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatiechecklist in 10 stappen voorbereid op de AVG. human forward.
checklist in 10 stappen voorbereid op de AVG. human forward. checklist: in 10 stappen voorbereid op de AVG Het zal u vast niet ontgaan zijn: per 25 mei 2018 moet uw organisatie voldoen aan nieuwe privacyregels.
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatieProtocol datalekken Samenwerkingsverband ROOS VO
1 Protocol datalekken Samenwerkingsverband ROOS VO. 3.02 Protocol datalekken is onderdeel van Handboek Informatie Beveiliging en Privacy SWV ROOS VO 2 Inhoud Inleiding... 3 Begrippenlijst... 4 1. Is de
Nadere informatieHet Europese privacyrecht in beweging
Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening
Nadere informatieDinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)
Dinsdag 13 december 2016, 16.00 18.00 uur Rowena van den Boogert (Eldermans Geerts) Nu: Richtlijn 95/46/EG Straks: Verordening 2016/679 Implementatiewet AVG en Veegwet AVG (beleidsneutrale implementatie)
Nadere informatieNVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht
Studiebijeenkomst 18 december 2012 NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht Inhoud 1. Huidig juridisch kader 2. Doelstellingen
Nadere informatieChecklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving
Checklist basisprincipes privacyregelgeving 1. Inleiding Hieronder volgt een overzicht met de basisprincipes van de Wet bescherming persoonsgegevens (Wbp), de belangrijkste privacywet in Nederland. Dit
Nadere informatieDe Meldplicht Datalekken. mr. N. Falot 8 oktober 2015
De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy
Nadere informatieAlgemene begrippen AVG
Vooraf: dit document is bedoeld om informatie te geven en vragen te beantwoorden over de gevolgen van de AVG voor Medlon. Hoewel het soms gaat om juridische begrippen en concepten mag dit document niet
Nadere informatieWet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken
Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari
Nadere informatieDE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf
Nadere informatieIs uw onderneming privacy proof?
Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:
Nadere informatiePrivacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken
Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor
Nadere informatieAVG Algemeen PRIVACYREGLEMENT
AVG Algemeen PRIVACYREGLEMENT Autoriteit Persoonsgegevens ( AP ): de toezichthoudende autoriteit. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval personeel-(sleden) Welzijn
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatieCursus privacyrecht Jeroen Naves 7 september 2017
Cursus privacyrecht Jeroen Naves 7 september 2017 Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim
Nadere informatieDeze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op
Deze checklist is onderdeel van arbeidsrecht.sdu.nl Checklist AVG gegevensverwerking door werkgevers. Wat te doen vóór 25 mei 2018? Auteurs: mr. J. (Janine) Weel, mr. R. (Rachel) Rietveld De bescherming
Nadere informatiePrivacyreglement Medewerkers Welzijn Stede Broec
Privacyreglement Medewerkers Welzijn Stede Broec 1 Inhoudsopgave Inhoudsopgave... 2 Algemene bepalingen... 3 Artikel 1 Begripsbepalingen... 3 Artikel 2 Reikwijdte en doel van het reglement... 4 Artikel
Nadere informatiePrivacyverklaring Stichting Speelotheek Pinoccio
1 Inhoudsopgave 1 Inleiding 2 1.1 Doel 2 1.2 Reikwijdte 2 1.3 Evaluatie en herziening Privacyverklaring 2 2 Uitgangspunten en principes 2 3 Persoonsgegevens 3 3.1 Algemene persoonsgegevens 3 3.2 Verwerkingsprocessen
Nadere informatiePRIVACY SIDN fonds. Menno Weij. 3 februari 2016
PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste
Nadere informatie25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink
Privacyrecht & de AVG 2 mei 2018 Rob Tijdink Koningstraat 27-2 T + 31 88 322 6000 info@daanlegal.nl 6811 DG Arnhem F + 31 88 322 6001 www.daanlegal.nl 25 mei a.s. een nieuwe privacyverordening Bron: Financieele
Nadere informatieIn dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:
Privacy Reglement Second Chance Force Versie 1.1, datum 31-03-2015 PARAGRAAF 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming
Nadere informatieGDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E
GDPR voor providers Woensdag 28 maart 2018 14.15-15.00 uur mr. Michelle Wijnant ICTRecht CIPP/E PROGRAMMA: GDPR MASTERCLASS Ontwikkeling privacywetgeving begrippen Rolverdeling beginselen AVG: 10 belangrijkste
Nadere informatieCompany statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7
Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene
Nadere informatieAlgemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming Stelling De Algemene Verordening Gegevensbescherming wijkt niet sterk af van de Wet Bescherming Persoonsgegevens. Toestemming Toestemming van betrokkene moet uitdrukkelijk
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming 1 Programma Inleiding Waarom AVG? Wat is de AVG? Globale verschillen met Wbp Handhaving De AVG op hoofdlijnen Wat kunt u van BNL verwachten? Vragen 2 Waarom AVG?
Nadere informatieAgenda. De AVG: wat nu?
De AVG: wat nu? 1 Agenda 1. Welke wetgeving kennen we? 2. Soorten gegevens 3. Uitgangspunten van de Wbp 4. Uitgangspunten AVG/GDPR 5. Verwerkersovereenkomsten 6. Uitwisselen van gegevens 7. Datalekken
Nadere informatiePhytalis-Verwerkersovereenkomst
Verwerkersovereenkomst Versie 2 April 2018 Gebruiker en Phytalis (hierna: de "Partijen") nemen in aanmerking dat: (a) Phytalis offline en online marketing-communicatie-oplossingen biedt ter ondersteuning
Nadere informatiePrivacy statement MULDATA BV
Privacy statement MULDATA BV Artikel 1. Definities 1.1. In deze privacy statement worden de volgende definities gebruikt: a. MULDATA: de gebruiker van deze privacy statement: MULDATA B.V. gevestigd aan
Nadere informatiePrivacy beleid. Uni Fortis Nederland B.V.
Privacy beleid B.V. Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. : de gebruiker van dit privacy beleid: de besloten vennootschap met beperkte aansprakelijkheid
Nadere informatiePrivacy beleid. The Lighthouse
Privacy beleid Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. : de gebruiker van dit privacy beleid: de stichting, Stichting The Lighthouse, gevestigd aan de
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatiePrivacybeleid Dolphiq BV
Privacybeleid Dolphiq BV Juni 2018 1. Definities 1.1. In dit privacybeleid worden de volgende definities gebruikt: a. Dolphiq: de gebruiker van dit privacy beleid: de besloten vennootschap met beperkte
Nadere informatiePRIVACYVERKLARING. Publicatiedatum/laatste wijziging Inleiding
PRIVACYVERKLARING Publicatiedatum/laatste wijziging 24-05-2018 Inleiding Peijs Verpakkingen B.V. verwerkt dagelijks persoonsgegevens. Peijs Verpakkingen B.V. houdt zich daarbij aan de wet. Peijs Verpakkingen
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieAlgemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming Inwerkingtreding 25 mei 2018 en is van toepassing De veranderingen Ruimere rechten voor individuen met grotere verplichtingen voor de organisatie Verantwoordingsplicht
Nadere informatieREGLEMENTEN VAN ORDE EN REGLEMENTEN VOOR DE PROCESVOERING
Publicatieblad van de Europese Unie L 112 I Uitgave in de Nederlandse taal Wetgeving 62e jaargang 26 april 2019 Inhoud II Niet-wetgevingshandelingen REGLEMENTEN VAN ORDE EN REGLEMENTEN VOOR DE PROCESVOERING
Nadere informatiede Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.
Privacy Beleid Binnen de Finenzo Alkmaar, gevestigd aan de Keesomstraat 6-e te Alkmaar, wordt veel gewerkt met persoonsgegevens van betrokkenen, medewerkers en (keten)partners. Persoonsgegevens zijn gegevens
Nadere informatiePrivacy beleid. Leakserv B.V.
Privacy beleid Leakserv B.V. Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. Leakserv: de gebruiker van dit privacy beleid: Leakserv B.V., gevestigd aan het
Nadere informatieGDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist
GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist 1 Over dejuristen dejuristen Amsterdam is een juridisch nichekantoor
Nadere informatiePrivacy reglement. Pagina 1 van 9
Privacy reglement Pagina 1 van 9 Inhoud Privacy reglement... 3 Wetgeving en definities... 3 Reikwijdte... 4 Verantwoordelijke... 4 Verwerkingen (Artikel 4, AVG)... 4 Doeleinden (Artikel 5, AVG)... 4 Rechtmatige
Nadere informatieHandvatten bij de implementatie van de AVG
Handvatten bij de implementatie van de AVG 2017 zal voor veel organisaties in het teken staan van de Algemene Verordening Gegevensbescherming (AVG). Althans, dat zou zo moeten zijn, want in mei 2018 wordt
Nadere informatiePrivacy in de afvalbranche
Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming
Nadere informatieWET MELDPLICHT DATALEKKEN FACTSHEET
WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)
Nadere informatieProtocol Meldplicht Data-lekken
Protocol Meldplicht Data-lekken 1. Doel van het protocol De procedure meldplicht datelekken is opgesteld vanuit het document `De meldplicht data-lekken in de Wet Bescherming Persoonsgegevens (WbP). Het
Nadere informatiePrivacy wetgeving: Wat verandert er in 2018?
Privacy wetgeving: Wat verandert er in 2018? Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Vanaf mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieVraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatieVita Zwaan, 16 november 2017
Vita Zwaan, 16 november 2017 1 Het bb-privacy team Christiaan Alberdingk Thijm Vita Zwaan Caroline de Vries Lex Keukens Silvia van Schaik Marieke Berghuis Oskar Mulder Esther Janssen 2 Inleiding privacyrecht
Nadere informatieWet meldplicht datalekken
Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen
Nadere informatieMeldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016
Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016 Inhoudsopgave 1. Wet Bescherming Persoonsgegevens 2. Wat is een datalek? 3. Wanneer moet
Nadere informatieAlgemene Verordening Gegevensbescherming (AVG)
Inleiding Vanaf 25 mei 2018 is de Algemene Verordening gegevensbescherming (AVG) van toepassing. Elke organisatie krijgt dan meer verplichtingen. De nadruk ligt - meer dan nu - op onze verantwoordelijkheid
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatiePRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen
maakt werk van de apotheek Postbus 219 3430 AE Nieuwegein T 030 600 85 20 F 030 600 85 20 E sba@sbaweb.nl W www.sbaweb.nl PRIVACYREGLEMENT Stichting Bedrijfsfonds Apotheken Paragraaf 1 Artikel 1 Artikel
Nadere informatieProtocol meldplicht datalekken Voor financiële ondernemingen
Protocol meldplicht datalekken Voor financiële ondernemingen Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht is ook van toepassing op de financiële sector. Maar wanneer spreekt men
Nadere informatieHelp, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy
Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van
Nadere informatiePrivacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6
Privacyreglement 1. Begripsbepalingen In dit reglement wordt verstaan onder: - de wet: de Algemene Verordening Gegevensbescherming; - persoonsgegeven: elk gegeven over een herkenbaar persoon; - verwerking
Nadere informatieActualiteiten Privacy. NGB Extra
Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd
Nadere informatieDe website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.
DE AVG Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming
Nadere informatiePrivacyverklaring. 1. Persoonsgegevens
Privacyverklaring 1. Persoonsgegevens Valuas verwerkt verschillende soorten persoonsgegevens, voor verschillende doeleinden. Hierna wordt toegelicht welke persoonsgegevens en doeleinden dat zijn. 2. Ontvangers
Nadere informatiePRIVACYBELEID CONVENIENT FASTGUIDE BV
PRIVACYBELEID CONVENIENT FASTGUIDE BV Datum: 22-05-2018 A. ALGEMEEN A.1. DOEL VAN DIT PRIVACYBELEID Dit privacy-beleid is bedoeld om een algemeen "raamwerk" te omschrijven voor hoe Convenient Fastguide
Nadere informatiePrivacyverklaring Stichting Openbaar Onderwijs Oost Groningen
Privacyverklaring Stichting Openbaar Onderwijs Oost Groningen Documentbeheer Document kenmerk: 2019-04-08 definitieve versie 01 - Privacyverklaring Versienummer/versiedatum: 01 Goedkeuring CvB: 1-4-2019
Nadere informatiePrivacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast
Privacybescherming in Nederland: van Koopmans naar AVG dr. Jan Holvast 1 Overzicht presentatie Even voorstellen Kort overzicht ontwikkeling Nederland Gemeenschappelijke kenmerken AVG: van verwachting naar
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatiePrivacy beleid. Stichting Kringloopcentrum Bollenstreek
Privacy beleid Stichting Kringloopcentrum Bollenstreek Artikel 1. Definities 1.1. In dit privacy beleid worden de volgende definities gebruikt: a. Stichting Kringloopcentrum Bollenstreek: de gebruiker
Nadere informatieGeneral Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP
General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP 1 Versterking van klantrechten Strengere verplichting Duidelijke governance Doorgifte data buiten EU Klanten
Nadere informatieStichting Bedrijfstakpensioenfonds voor de Houthandel;
Stichting Bedrijfstakpensioenfonds voor de Houthandel Reglement incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Bedrijfstakpensioenfonds voor de Houthandel; een gedraging, datalek
Nadere informatieStappenplan Algemene Verordening Gegevensbescherming (AVG)
E: info@koornetwerk.nl I: www.koornetwerk.nl 1 januari 2018 A: Bartókstraat 4 6661 AT Elst The Netherlands Stappenplan Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 is de Algemene Verordening
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatieBewerkersovereenkomst Wet bescherming persoonsgegevens
Bewerkersovereenkomst Wet bescherming persoonsgegevens behorende bij de overeenkomst Medische advisering Participatie met kenmerk 1100070198 Partijen: 1. De gemeente Utrecht, te dezen rechtsgeldig vertegenwoordigd
Nadere informatieGoedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy
Inleiding Solvay erkent en ondersteunt de privacybelangen van iedereen en eerbiedigt deze belangen wanneer zij persoonsgegevens verzamelt en verwerkt. Solvay eerbiedigt met name de privacy van haar klanten,
Nadere informatieROC Rivor 23 mei Privacyreglement
ROC Rivor 23 mei 2018 Privacyreglement Artikel 1. Algemene en begripsbepalingen Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de Algemene
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],
Nadere informatieVerwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER
Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER Deze verwerkersovereenkomst maakt integraal onderdeel uit van het [contract] tussen opdrachtgever en opdrachtnemer.
Nadere informatieALGEMENE VERORDENING GEGEVENSBESCHERMING
ALGEMENE VERORDENING GEGEVENSBESCHERMING 1. SITUERING 1.1. WETTELIJK KADER IN BELGIË Belgische Privacywet Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking
Nadere informatieSpeciale AVG-nieuwsbrief
Speciale AVG-nieuwsbrief Per 25 mei 2018 is de AVG, de nieuwe Europese privacywet, in werking getreden. Ook u krijgt vrijwel zeker met deze wetgeving te maken. In deze speciale AVG-nieuwsbrief treft u
Nadere informatieBewerkersovereenkomst
Bewerkersovereenkomst Deze bewerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Evry BV, Ondernemingsweg 66t, 2404 HN Alphen aan den Rijn, ingeschreven bij de
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatiePrivacyverklaring van Enpuls B.V.
Privacyverklaring van Enpuls B.V. Voor het vervullen van onze taken als versneller van de energietransitie kunnen we niet om het gebruik van persoonsgegevens heen. Tegelijkertijd heeft iedereen recht heeft
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieVerwerkersovereenkomst voor SaaS-diensten
Pagina 1 van 6 Verwerkersovereenkomst voor SaaS-diensten Partijen gebruiker van Software-as-a-Service (SaaS) diensten van Asperion met een gebruiksovereenkomst waarop vermeld staat het
Nadere informatiePRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.
PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige
Nadere informatieAlgemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn
Algemene Verordening Gegevensbescherming Naam Plaats Datum [dd maand jaar] Autoriteit Persoonsgegevens 2 Autoriteit Persoonsgegevens 3 Autoriteit Persoonsgegevens 4 Waarom en wanneer Kern van de AVG Guidance
Nadere informatieBewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid
Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd
Nadere informatieGebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?
Privacy Statement Wat kunt u hier lezen? Dit Privacy Statement geeft informatie over hoe wij met uw gegevens omgaan als u gebruik maakt van onze producten en diensten en websites. Het is verstandig de
Nadere informatiePRIVACY GOED GEREGELD. Voorjaar 2018
PRIVACY GOED GEREGELD Voorjaar 2018 Algemene Verordening Persoonsgegevens (AVG) Persoonsgegeven: Elk gegeven dat informatie bevat over een natuurlijk persoon Gegevens die een persoon identificeerbaar maken
Nadere informatiePRIVACYREGLEMENT Springkussenverhuur Nederland
PRIVACYREGLEMENT Springkussenverhuur Nederland Naam: Springkussenverhuur Nederland Adres: Sydneystraat 140-142 Telefoonnummer: 010 303 1302 E-mail: info@springkussenverhuur-nederland.nl Artikel 1. Algemeen
Nadere informatiePROTOCOL. Onze vereniging
PROTOCOL Algemene verordening gegevensbescherming Onze vereniging protocol Avg Senioren Politie Twente (2) 1. Inleiding en begripsbepalingen Binnen Onze vereniging, verder te noemen ONZE VERENIGING, wordt
Nadere informatiePrivacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.
Algemene bepalingen Artikel 1 Begripsbepalingen a) Autoriteit Persoonsgegevens ( AP ): de toezichthoudende autoriteit. b) Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval kandidaten,
Nadere informatiePrivacy beleid Gastouderbureau Dolfijntjes
Privacy beleid Gastouderbureau Dolfijntjes A. Algemeen A1. Doel van dit privacy beleid Dit privacy-beleid is bedoeld om een algemeen "raamwerk" te omschrijven voor hoe Gastouderbureau Dolfijntjes met persoonsgegevens
Nadere informatiePrivacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian
Privacywetgeving 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian Belangrijke begrippen Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene Grondslagen
Nadere informatie