Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

Transcriptie

1 Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland Cees Boon en Berdjan Klatter 1

2 Programma We behandelden de 10 algemeen aanvaarde aandachtspunten. Resultaat: Deelnemers zijn in staat de AVG problematiek op de kaart te zetten en de valkuilen te herkennen. Doorlopen van de Regelhulp van de AP. Resultaat: Bestuur VYN weet wat er nog moet gebeuren om AVGconform te worden 2

3 3

4 4

5 5

6 INLEIDING Waarom is er een nieuwe pricacywetgeving? Ieder EU-land heeft nu eigen privacy wet. Het ontstaan van Internet noopte tot internationale harmonisering Wat verandert er voor burgers? Toestemming Aanvullende rechten Recht op inzage Recht op vergetelheid Recht op dataportabiliteit 6

7 7

8 8

9 9

10 10

11 11

12 In 10 stappen voorbereid op de AVG 1. Bewustwording 2. Rechten van betrokkenen 3. Overzicht verwerkingen 4. Data protection impact assessment (DPIA) 5. Privacy by design & privacy by default 6. Functionaris voor de gegevensbescherming 7. Meldplicht datalekken 8. Bewerkersovereenkomsten 9. Leidende toezichthouder 10. Toestemming 12

13 1. Bewustwording Zorg dat relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is. Implementatie van de AVG kan veel tijd vragen van de organisatie. De Autoriteit Persoonsgegevens (AP) biedt instrumenten die kunnen helpen om de AVG na te leven, de AP kan sancties opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt. 13

14 2. Rechten van betrokkenen Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen. 14

15 2. Rechten van betrokkenen A. Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Betrokkenen zijn natuurlijke personen met het recht op het gebruik van de eigen persoonlijke informatie Ze kunnen toestemming verlenen aan anderen om deze gegevens te verwerken Maar toestemming is niet altijd noodzakelijk En rechten brengen ook plichten met zich mee 15

16 2. Rechten van betrokkenen B. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Vergetelheid is het laten wissen van gegevens bij een verwerkingsverantwoordelijke (VV) Dataportabiliteit is het kunnen meenemen van persoonlijke informatie van de ene naar de andere VV 16

17 2. Rechten van betrokkenen C. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen. Klachtenprocedure Niet over Direct Marketing 17

18 3. Overzicht verwerkingen A. Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. B. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. C. U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. 18

19 3. Overzicht verwerkingen A. Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Aantal medewerkers > 250? Grootschalig, wel of niet? Verantwoordelijke of verwerker? Verzamelen, Vastleggen, Ordenen, structureren, Opslaan, Bijwerken of Wijzigen, Opvragen, Raadplegen, Gebruiken, Verstrekken d.m.v. Doorzending, Verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, Zie definities pag. 33 artikel 4 Toestemming, wel of niet? 19

20 3. Overzicht verwerkingen B. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. Verantwoordingsplicht, (Accountability) is vooral een ethische zaak Gegevensbeschermingsbeleid, niet verplicht maar altijd verstandig Aantonen dat je je aan de regels houdt voorkomt imagoschade Technische en organisatorische maatregelen Rechtmatigheid, Transparantie, Doelbinding en Juistheid 20

21 3. Overzicht verwerkingen C. U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacy rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Register van verwerkingen Inzageverzoek, inclusief verwerkingen Verzoek tot verstrekking, exclusief verwerkingen Wie heeft toegang gehad? Dus toegangscontrole en logging Is er gelekt? Dus een register van calamiteiten 21

22 4. Data protection impact assessment 1 (DPIA = Gegevensbeschermingseffectbeoordeling) DPIA is een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico s te verkleinen. U moet DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP. 22

23 4. Data protection impact assessment (DPIA) Wanneer is DPIA verplicht? Als verwerking hoog risico inhoudt. (Schema: zie volgende sheet) Oefening: Lees artikel 35 lid 3a en bedenk een voorbeeld van een verwerking waarvoor DPIA vereist is. (blacklisting) 23

24 24

25 4. Data protection impact assessment (DPIA) 3 Voorbeelden van verwerkingen met hoog risico Financiële instelling die haar klanten screent op basis van krediereferentiedatabank. Biotechbedrijf dat consumenten test aanbiedt om ziekte/gezondheidsrisicio s te voorspellen. Bedrijf dat gedrags- of marketingprofielen opstelt op basis van gebruik of navigatie op zijn website. 25

26 5. Privacy by design & privacy by default Maak uw organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje Ja, ik wil aanbiedingen ontvangen niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is. 26

27 5. Profiling Samenvatting en voorbeelden van profiling en automatische beslissingen zoals beschreven in: Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 Zie bijlage 27

28 6. Functionaris Gegevensbescherming 1. Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Wanneer verplicht? (art. 37) Overheden organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risicoinschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (kernactiviteit). Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. 28

29 6. Functionaris Gegevensbescherming 2. Wat is zijn positie? (artikel 38) U mag de FG geen instructies geven hoe hij zijn taken als FG moet uitvoeren. U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn FG-taken. Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere taken of functies van de FG. Wie mag de rol van FG vervullen? Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM. 29

30 6. Functionaris Gegevensbescherming 3. Wat zijn de taken? (artikel 39) informatie verzamelen over gegevensverwerkingen binnen de organisatie; deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen; informatie, adviezen en aanbevelingen geven aan de organisatie. De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is. 30

31 6. Functionaris Gegevensbescherming 4. Wat zijn kerntaken? Ziekenhuis heeft als kerntaak gezondheidszorg bieden. Medische dossiers zijn hierbij nodig => FG verplicht Beveiligingsbedrijf heeft als kerntaak bewaking. Gebruikt cameratoezicht => FG verplicht Wanneer FG niet nodig? Lees pagina 11 richtlijn FG. 31

32 7. Meldplicht datalekken 1 (Berdjan) 32

33 7. Meldplicht datalekken 1. Facts & figures 2016: bijna datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). Regelmatig voorkomende datalekken: Een klant ziet in een klantportaal de gegevens van iemand anders. Iemand raakt een USB-stick of andere gegevensdrager kwijt waarop persoonsgegevens staan. De persoonsgegevens zijn dan vaak niet versleuteld. Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen. Een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug. Een met persoonsgegevens komt bij de verkeerde ontvanger terecht. 33

34 7. Meldplicht datalekken 2. 34

35 7. Meldplicht datalekken 3. De AVG stelt strenge eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken. De Europese privacytoezichthouders hebben in oktober 2017 richtlijnen gepubliceerd over het melden van datalekken onder de AVG (deze richtlijnen zijn nog niet definitief, nu nog allen in het Engels) 35

36 7. Meldplicht datalekken 4. Waar en hoe melden? Bij het Meldloket 36

37 8. Bewerkersovereenkomsten Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG verwerker genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan. 37

38 8. Bewerkersovereenkomsten Wie kunnen we identificeren als verwerker Een partij die toestemming heeft gekregen voor het verwerken van persoonsgegevens Dat kan een natuurlijk of rechtspersoon zijn maar is meestal een dienst, overheidsinstantie of een bedrijf. Niet te verwarren met ontvangers of derden 38

39 8. Bewerkersovereenkomsten Algemene beschrijving Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog verantwoordelijke genoemd). 39

40 8. Bewerkersovereenkomsten Instructies verwerking De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. 40

41 8. Bewerkersovereenkomsten Geheimhoudingsplicht Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. 41

42 8. Bewerkersovereenkomsten Beveiliging De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten. 42

43 8. Bewerkersovereenkomsten Subverwerkers De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG). 43

44 8. Bewerkersovereenkomsten Privacyrechten De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). 44

45 8. Bewerkersovereenkomsten Andere verplichtingen De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging. 45

46 8. Bewerkersovereenkomsten Gegevens verwijderen Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren. 46

47 8. Bewerkersovereenkomsten Audits De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG). 47

48 9. Leidende toezichthouder Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Er is een guideline (Nederlands) 48

49 10. Toestemming Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. 49

50 10. Toestemming Verwerkt u persoonsgegevens die gebaseerd is op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft. 50

51 10. Toestemming Specifiek en geïnformeerd Twee van de eisen die de AVG stelt aan toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen. 51

52 10. Toestemming Online toestemming Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met: documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt. een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming. Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk. 52

53 10. Toestemming Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen. 53

54 10. Toestemming U moet kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid; transparantie; doelbinding; juistheid. Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. 54

55 10. Toestemming Krijgt u van de betrokkene Krijgt u van de wet Of hebt u niet nodig omdat de wet het u verplicht. 55

56 Wat kan VYN doen om AVG conform te worden? 56

57 57

58 58