De AVG, wat moet ik ermee?

Transcriptie

1 De AVG, wat moet ik ermee? Algemene Verordening Gegevensbescherming Mark Putting en Rob Simons april 2018

2 Pagina 2

3 Pagina 3

4 Pagina 4

5 Wat gaan we doen? Wat zijn persoonsgegevens?; Wat is verwerking van persoonsgegevens?; Wat zijn de beginselen voor verwerking van persoonsgegevens? Onderscheid verwerkingsverantwoordelijke en verwerker; Welke rol vervul ik? Kan ik de persoonsgegevens wel rechtmatig verwerken?; Wat zijn de rechten van de betrokkenen? Wat zijn de verplichtingen voor de verwerkingsverantwoordelijke? Wat gebeurt er bij niet-naleving? Casus: De AVG-sauna Pagina 5

6 Geldt de AVG ook voor mijn organisatie? Nagenoeg altijd: JA! De AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Maar wat betekent dat concreet? Pagina 6

7 Wat zijn persoonsgegevens? Definitie van het begrip Persoonsgegevens : Alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geidentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon ; zie artikel 4 lid 1 AVG. Pagina 7

8 Persoonsgegevens Wat denkt u? adres van klant van uw bedrijf; Mobiel nummer van een persoon; Klantenbestand; Dynamisch IP-adres; Postcode; Kenteken; NAW-gegevens Johan Cruijff; een 33-jarige mannelijke jurist werkzaam in de MillenniumToren aan de Weena te Rotterdam Foto: Pagina 8

9 Onderscheid gewone en bijzondere persoonsgegevens Bijzondere persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Uitgangspunt: verwerking is verboden; Cameratoezicht? Pagina 9

10 Wat is verwerking? Verwerking is een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Feitelijk dus alle handelingen met persoonsgegevens. Hoe zit het met mondelinge overdracht van gegevens? Pagina 10

11 Beginselen verwerking Houd steeds in uw achterhoofd: Rechtmatigheid, behoorlijkheid en transparantie; Doelbinding; Minimale gegevensverwerking; Juistheid; Opslagbeperking; Integriteit en vertrouwelijkheid; Verantwoordingsplicht; (art. 5 AVG) Pagina 11

12 Bedenk steeds: welke rol heeft u? Verwerkingsverantwoordelijke? Stelt doel en middelen vast Verwerker? Geen zeggenschap over verwerking Betrokkene? Let op: wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar een uitvloeisel van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke! Pagina 12

13 Verwerker vs verwerkingsverantwoordelijke Voorbeelden: Administratiekantoor dat namens een bedrijf de salarisadministratie doet; Verantwoordelijke, verwerker en betrokkene? Aanbieder van gegevensopslag in de cloud; Verantwoordelijke, verwerker en betrokkene? Bureau dat in opdracht van bedrijven de kredietwaardigheid van consumenten beoordeelt; Wat als het salarisverwerkingskantoor besluit om de medewerkers te vragen of zij ook klant willen worden? Pagina 13

14 Als je persoonsgegevens verwerkt: mag dat wel? Rechtmatigheid van verwerking (artikel 6 AVG) Toestemming; Vrije keuze, specifieke informatie en ondubbelzinnig (aanvinken) Noodzakelijk voor uitvoering overeenkomst waarbij betrokkene partij is; Consument bestelt boek bij webshop en webshop vraagt NAW gegevens; Noodzakelijk om te voldoen aan wettelijke verplichting; kopie paspoort bij aanname werknemer; Noodzakelijk om de vitale belangen van de betrokkene te beschermen; Acute medische hulp Noodzakelijk voor vervulling taak van algemeen belang / publieke taak Raad voor de kinderbescherming, APK-keuring garages; Noodzakelijk voor behartiging gerechtvaardigd belang; Proportionaliteit en subsidiariteit Pagina 14

15 Rechten van betrokkene Recht op informatie; Recht op inzage; Recht op correctie; Recht om vergeten te worden; Recht op beperking gegevensverwerking; Recht op verzet tegen gegevensverwerking; Recht op overdracht gegevens; Recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming Pagina 15

16 Plichten verwerkingsverantwoordelijke Register van verwerkingsactiviteiten Opsomming van belangrijkste informatie over uw verwerkingen; Niet: bij organisatie met minder dan 250 werknemers, tenzij o.a. nietincidentele verwerking Functionaris voor gegevensbescherming Overheidsinstantie; Hoofdzakelijk belast met verwerkingen die bestaan uit op regelmatige basis observeren van betrokkenen op grote schaal (profiling) - Verwerking van patiëntgegevens in een ziekenhuis; - Verwerking persoonsgegevens door verzekeraar; Pagina 16

17 Vervolg plichten verwerkingsverantwoordelijke Gegevensbeschermingseffectbeoordeling (PIA) Verwerkingen die hoogst waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen; - Geautomatiseerd en systematisch persoonlijke aspecten evalueert, zoals profiling, en op basis daarvan rechtsgevolgen neemt (bijv. verlenen van krediet door een financiële instelling); - Verwerking van bijzondere categorieën persoonsgegevens of van strafrechtelijke aard; - Grootschalig en stelselmatig mensen volgen in openbaar toegankelijke ruimte (bijv. via cameratoezicht). Pagina 17

18 Vervolg plichten verwerkingsverantwoordelijke Privacy by design & default Passende beveiligingsmaatregelen met het oog op bescherming persoonsgegevens; Melding datalekken; Verwerkersovereenkomsten Pagina 18

19 Wat bij niet-naleving? Boetes en/of bestuursdwang? Doeltreffend, evenredig en afschrikwekkend; Compliance of verbod; E.e.a. afhankelijk van verschillende omstandigheden - Aard, ernst en duur van de inbreuk; - Opzet/nalatigheid - Schadebeperking; - Recidive; - Soort gegevens; - Financiële plaatje Max. 20 miljoen of 4% wereldwijde omzet. Pagina 19

20 De AVG, wat moet ik ermee? Algemene Verordening Gegevensbescherming Mark Putting en Rob Simons april 2018