CHECKLIST EUROPESE PRIVACYVERORDERNING IN 15 STAPPEN JE PRIVACY OP ORDE VOOR 2018

Transcriptie

1 CHECKLIST EUROPESE PRIVACYVERORDERNING IN 15 PEN JE PRIVACY OP ORDE VOOR 2018

2 BEECKESTIJN BUSINESS SCHOOL

3 INHOUDS- OPGAVE CHECKLIST EUROPESE PRIVACY VERORDERNING INLEIDING, CHECKLIST EUROPESE PRIVACYVERORDERNING. IN 15 PEN JE PRIVACY OP ORDE VOOR 2018 TOT SLOT OVER DE AUTEUR CONTACTGEGEVENS 3

4 CHECKLIST EUROPESE PRIVACYVERORDERNING IN 15 PEN JE PRIVACY OP ORDE VOOR INLEIDING Waarom 2018? Voor jou als manager van een organisatie met klanten, is het nu urgent je juridische en privacy zaken goed te regelen. Op 25 mei 2018 nemen we afscheid van de Wet Bescherming Persoonsgegevens. Vanaf deze datum moeten organisaties voldoen aan de bepalingen uit de Algemene Verordening Gegevensbescherming (AVG) en de Invoeringswet Algemene Verordening Gegevensbescherming. Veel bepalingen komen overeen met de huidige Wet Bescherming Persoonsgegevens, maar uiteraard zijn er ook nieuwe bepalingen opgenomen. SUCCESVOLLE OVERGANG Met onderstaande checklist van 15 stappen helpen we je op weg naar een succesvolle overgang van WBP naar AVG Deze Checklist: In 15 stappen je privacy op orde voor 2018 is zowel relevant voor marketing managers, communicatie managers, customer services, data-specialisten, customer insights, researchers en zelfs financiële specialisten. En laten we de chiefs niet vergeten want privacy is een kernbegrip in de strategie geworden. We mogen gerust stellen dat voordat er ook maar sprake kan zijn van een business- of marketingstrategie, eerst de juridische kaders uitgezet moeten worden. BEWUSTWORDING 1 Informeer directie, management team en stafmedewerkers, binnen ICT, CRM, Marketing, HRM en (markt)onderzoek over de aankomende veranderingen. Zij zullen moeten inschatten welke gevolgen de AVG heeft voor de organisatie. 2 INVENTARISATIE Zorg er voor dat je weet welke persoonsgegevens de organisatie heeft, waar de gegevens vandaan komen (rechtstreeks van de betrokkene of op een andere wijze) en met welke partijen, intern en extern de gegevens worden gedeeld. Stel een zogeheten datamodel en CRUD matrix op. CRUD Matrix 2018 AVG: Algemene Verordening Gegevensbescherming -Verwerken van persoonsgegevens ENTITY FUNCTION MAKE BOOKING CONFIRM BOOKING RESERVATION C RU D CREATE READ UPDATE DELETE VPEC: Verordening Privacy en Elektronische Communicatie -Gebruik van persoonsgegevens voor (elektronische) communicatie Toestemming / opt-in/opt-out spraakoproepen naar eind-gebruikers / cookies/ meta data ACCEPT CANCELLATION ISSUE TICKETS RU 4

5 3 3 REGISTER Maak, zowel als Verwerkingsverantwoordelijke als Verwerker een register van alle soorten verwerkingen zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren. Hoewel het verwerkingsregister niet voor alle organisaties verplicht is, kan deze wel ondersteuning bieden voor de verantwoordingsplicht. Leg als Verwerkingsverantwoordelijke een register aan met daarin welke verwerkers worden ingeschakeld, of er een verwerkersovereenkomst is gesloten, welke verwerkingen de verwerker mag uitvoeren, welke persoonsgegevens beschikbaar worden gesteld en welke extra beveiligingsmaatregelen zijn genomen. VERANTWOORDING 4 De gegevensverwerking moet niet alleen aan de beginselen voldoen, maar organisaties moeten dit door de AVG ook kunnen aantonen. Voor organisaties betekent dit meer onderbouwen, documenteren en periodiek reviewen. ARTIKEL 13 WBP: BEVEILIGING De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. CHECKLIST EUROPESE PRIVACY VERORDERNING COMMUNICATIE 5 Controleer of de bestaande privacy statements en informatieteksten voldoen aan de inhoudelijke eisen uit de AVG. De AVG geeft een opsomming van de informatie die verstrekt moet worden, zoals: de verwerkingsdoeleinden én de rechtsgrond van de verwerking; de gerechtvaardigde belangen dienen te worden toegelicht als de verwerking hierop is gebaseerd; de bewaartermijnen of criteria ter bepaling hiervan; de rechten die betrokkene heeft. RECHTEN VAN BETROKKENE 6 Naast de bestaande rechten (inzage, correctie) bevat de AVG ook nieuwe rechten zoals recht op gegevenswissing (recht op vergetelheid) en recht van dataportabiliteit. Beoordeel de huidige procedures in de organisatie om te zien of en op welke wijze deze rechten door de betrokkene kunnen worden ingeroepen. Stel anders deze procedures op. 7 VERZOEK TOT TOEGANG Het recht op inzage is uitgebreid met vereisten welke informatie moet worden verstrekt bij een inzageverzoek. Aanvullend op de al bestaande informatie moet ook de bewaartermijn (of criteria ter bepaling hiervan) worden meegedeeld, maar ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Wanneer de organisatie ervoor kiest om toegang tot de gegevens te geven middels een account, dan moet onderzocht worden op welke wijze kan worden voldaan aan de genoemde vereisten. Persoonsgegevens altijd HTTPS 5

6 8 BEPAAL DOELSTELLINGEN VAN GEGEVENSVERWERKING Zowel in de communicatie naar betrokkene als bij een inzageverzoek, moet de organisatie aangeven voor welke doeleinden zij gegevens verwerken en op welke grondslag. Organisaties dienen dus voor alle gegevensverwerkingen de grondslag en de doeleinden te documenteren. Voor statistisch onderzoek geldt dat een verdere verwerking met het oog op statistisch onderzoek niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd, mits anoniem wordt gerapporteerd. TOESTEMMING 9 Toestemming moet in het vervolg expliciet worden aangetoond. Voor toestemming die ook betrekking heeft op andere aangelegenheden, gelden specifieke voorwaarden. De organisatie zal de huidige wijze van toestemming vragen dienen te evalueren, de toestemming vast te kunnen leggen in systemen en mogelijkheden bieden om de toestemming in te trekken. Toestemming moet ook verkregen worden als er persoonsgegevens verwerkt worden die niet noodzakelijk zijn voor de uitvoering van de overeenkomst. DATALEK 11 Controleer of je sluitende procedures hebt voor het melden van datalekken, de opsporing en het onderzoek naar datalekken. Maar ook procedures voor het melden van datalekken bij de toezichthouder en/of betrokkene. Tevens is van belang om specifieke procedures te hebben voor datalekken die bij bewerkers plaatsvinden. Heeft zich een beveiligingsincident voorgedaan? Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten? Beveiligingslek Beveiligingsincident Datalek Het verwerken van bijzondere persoonsgegevens (zoals ras, etnische afkomst, gezondheidsgegevens etc.) is in beginsel verboden. Het verbod kan echter opgeheven worden als de Verwerkingsverantwoordelijke bijvoorbeeld de uitdrukkelijke toestemming van de betrokkene heeft of de verwerking als zodanig is genoemd in de AVG. 6 KINDEREN 10 Als verwerking plaatsvindt op grond van toestemming in verband met het aanbieden van diensten op internet aan een kind, dan mogen de persoonsgegevens van kinderen jonger dan 16 jaar uitsluitend verwerkt worden met toestemming van de ouders/wettelijk vertegenwoordigers. De organisaties moeten bovendien controleren of de ouder/wettelijk vertegenwoordiger verzorger toestemming heeft gegeven. Ga na: of de huidige systemen de leeftijd van het kind kunnen controleren, op welke wijze toestemming aan ouders kan worden gevraagd, hoe de toestemming van ouders kan worden vastgelegd. Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens? Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Melden aan de Autoriteit Persoonsgegevens Melden aan de betrokkene

7 CHECKLIST EUROPESE PRIVACY VERORDERNING 12 GEGEVENSBESCHERMING DOOR PRIVACY BY DESIGN EN BY DEFAULT De organisatie moet (om naleving te kunnen aantonen) interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan de beginselen van gegevensbescherming door ontwerp (minimalisering van verwerking/pseudonimiseren etc). Stel procedures op die ervoor zorgen dat de bescherming van persoonsgegevens al bij de ontwikkeling van nieuwe producten/diensten, de uitvoering hiervan of de keuze en het gebruik van nieuwe toepassingen in de beginfase wordt onderzocht en uitgewerkt om aan de beginselen van de AVG te kunnen voldoen. 13 FUNCTIONARIS GEGEVENS- BESCHERMING (FG)/DATA PROTECTION OFFICER (DPO) Stel vast of jouw organisatie verplicht is een FG aan te stellen. Als er voor de organisatie een verplichting is, dan moet er een FG te worden aangesteld. De AVG geeft tevens voorwaarden aan de positie, kennis en taken van de FG. Wanneer een organisatie geen eigen FG in dienst heeft dan is inlenen toegestaan. Een echte DPO moet als zodanig aangesteld worden. 14 INTERNATIONAAL (ONE-STOP-SHOP) Als een organisatie meerdere vestigingen in de Europese Unie heeft, moet worden vastgesteld welke toezichthoudende autoriteit als leidende autoriteit zal optreden voor grensoverschrijdende verwerkingen. 15 BESTAANDE CONTRACTEN De AVG stelt niet alleen voorwaarden aan de inzet van verwerkers maar ook de contractuele bepalingen in de overeenkomst tussen de organisatie en de verwerker. Om aan deze voorwaarden te kunnen voldoen, moet de organisatie de huidige contracten reviewen, aanpassen en overeenkomen met de verwerkers. Gezien de looptijd van contracten is het aan te raden hier op tijd mee te beginnen. Per land kunnen verplichte situaties worden toegevoegd. De aanvankelijke eis dat een FG verplicht is bij bedrijven met meer dan 250 werknemers, is vervallen. 7

8 GROOTSTE WIJZIGINGEN Specifiekere regels die voor gegevensverwerking verantwoordelijken de mogelijkheden bieden om persoonsgegevens te verwerken, onder meer door de toestemming van de betrokken personen als voorwaarde op te leggen. Vlottere toegang tot hun persoonsgegevens Betere informatie over wat er met persoonsgegevens gebeurt nadat ze gedeeld zijn. Dit houdt onder meer in dat personen in duidelijke en eenvoudige bewoordingen over hun privacybeleid worden geïnformeerd, eventueel met gestandaardiseerde iconen. Een recht om persoonsgegevens te laten wissen en vergeten te worden. Dit biedt betrokkenen bijvoorbeeld de mogelijkheid te verzoeken om onmiddellijke verwijdering van persoonsgegevens die op een sociaal netwerk zijn verzameld of gepubliceerd toen de betrokkene nog een kind was. Als een jongere van minder dan 16 jaar oud online diensten wil gebruiken, moet de dienstverlener trachten na te gaan of ouderlijke toestemming is verleend. De lidstaten mogen deze leeftijdsgrens verlagen tot minimaal 13 jaar Het recht van gegevensoverdraagbaarheid, zodat persoonsgegevens vlotter van de ene dienstverlener aan de andere, bijvoorbeeld een sociaal netwerk kunnen worden overgedragen. Dit zal niet alleen leiden tot meer gegevensbeschermingsrechten, maar ook tot meer concurrentie tussen dienstverleners.. EINDE KOUDE ACQUISITIE Koude acquisitie mag nog wel, maar enkel op voor de organisatie bekende persoonsgegevens. Maar wat betekent dat? Daaronder vallen dan namelijk ook bedrijfsgegevens, zoals mailadres of mobiel. Naast de beperkingen voor koude acquisitie wordt ook de (marketing-) communicatie met je klanten beperkter: het mailadres van je klant mag enkel voor nieuwe aanbiedingen worden gebruikt als de klant daar expliciet toestemming voor heeft gegeven. Een recht om bezwaar te maken tegen de verwerking van persoonsgegevens in het kader van het openbaar belang of in het kader van de rechtmatige belangen van een voor de verwerking verantwoordelijke. Onder dit recht valt het gebruik van persoonsgegevens met het oog op profilering. Gebruikelijke waarborgen met betrekking tot de verwerking van persoonsgegevens voor archiveringsdoeleinden, als dat in het openbaar belang is en met het ook op wetenschappelijk en historisch onderzoek of voor statistische doeleinden. 8

9 TOT SLOT CHECKLIST EUROPESE PRIVACY VERORDERNING OVER BEECKESTIJN BUSINESS SCHOOL Beeckestijn Business School is hét opleidingsinstituut voor online marketing, online communicatie, en customer management professionals. We combineren strategie, theorie en praktijkkennis in kortdurende, praktische opleidingen op verschillende niveaus. Beeckestijn heeft de afgelopen jaren ruim professionals opgeleid. Onze deelnemers hebben een diverse achtergrond Van ZZP-ers, tot professionals uit MKB en grotere organisatie (zoals financiele dienstverleners, retail en (semi)overheid) en zowel B2B als B2C. Deelnemers aan onze opleidingen waarderen Beeckestijn met een 8,1 KOM KENNISMAKEN GRATIS CLINICS & GRATIS PROEFCOLLEGES PROEFCOLLEGE OP LOCATIE OF VIA WEBINAR Tijdens een proefcollege staan we kort stil bij de trends en ontwikkelingen van het vakgebied en geven we je een goede inhoudelijke indruk van de opleiding. Onderwerpen als het resultaat van de opleiding, college-onderwerpen, studiebelasting, voor wie de opleidingen geschikt zijn etc. komen uitgebreid aan de orde. CLINICS: INSPIRERENDE KENNISSESSIES MET PRAKTISCHE TIPS Er zijn regelmatig gratis clinics op het gebied van online marketing, online communicatie en customer management bij Beeckestijn Business School. Tijdens deze 2-uur durende kennissessie word je kort & bondig bijgepraat over een actueel onderwerp en ga je actief aan de slag. Op deze manier is de gepresenteerde inhoud direct toepasbaar en verlaat je de clinic met praktische tips, handvatten, how-to-do s of checklists. Een overzicht van alle geplande activiteiten vind je in de agenda op onze website: Nee hoor Delen van kennis is vermenigvuldigen van kennis. Bronvermelding, graag! Wat voeg jij toe? 9

10 OVER DE AUTEUR JURIDISCHE KENNIS GECOMBINEERD MET MARKETING ACHTERGROND Mr Alexander Singewald voltooide zijn studie Nederlands recht aan de Universiteit van Amsterdam. Na zijn studie is werkzaam geweest bij de Registratiekamer, de voorloper van het huidige College bescherming persoonsgegevens. In de periode is hij werkzaam geweest bij de, voormalige, DMSA als adjunct directeur waar hij belast was met juridische zaken en lobby. Momenteel is hij CEO van de Singewald Consultants Group BV. Mr. Alexander Singewald Singewald Consultants Group B.V. OVER DE SINGEWALD CONSULTANTS GROEP De specialisten van Singewald Consultants Group combineren actuele juridische kennis met een marketing-, e-commerce, onderzoekssector, human resources of sales promotion sector achtergrond. Hierdoor vinden zij, binnen de grenzen van de wet, optimale oplossingen voor vraagstukken op het gebied van de omgang met klanten personeelsgegevens. 10

11 CONTACTGEGEVENS BEECKESTIJN CHECKLIST EUROPESE PRIVACY VERORDERNING Beeckestijn Business School Postbus AJ Leusden T: +31 (0) E: W:

12 CHECKLIST EUROPESE PRIVACY VERORDERNING VOLG EEN OPLEIDING EN HAAL MEER UIT JE FUNCTIE WIL JE MEER WETEN OVER ONZE OPLEIDINGEN OF HEB JE INTERESSE IN EEN PROEFCOLLEGE, KIJK DAN OP POSTBUS 333, 3830 AJ LEUSDEN I TELEFOON +31 (0) I INFO@BEECKESTIJN.ORG I