Agenda. De AVG: wat nu?

Transcriptie

1 De AVG: wat nu? 1 Agenda 1. Welke wetgeving kennen we? 2. Soorten gegevens 3. Uitgangspunten van de Wbp 4. Uitgangspunten AVG/GDPR 5. Verwerkersovereenkomsten 6. Uitwisselen van gegevens 7. Datalekken 8. Rechten van betrokkenen 9. De rol van de AP 10.Aanpak op weg naar de AVG/GDPR pijlers van privacy 1

2 Wat is privacy? Privacy = het recht op zorgvuldige behandeling van persoonlijke gegevens door organisaties en het zelf bepalen wie welke informatie over ons krijgt (controle). Waarom belangrijk? Compliancy Vertrouwen van de klant Imago van de organisatie Wat bescherm je? Persoonsgegevens.. Hoe bescherm je het? Informatiebeveiligingsmaatregelen! 3 Wettelijk kader PRIVACY, EEN MENSENRECHT Artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) 1. Een ieder heeft het recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. 4 2

3 Wettelijk kader EU Privacyrichtlijn 1995 Wet bescherming persoonsgegevens 2001 Wetswijziging WBP 2016 Algemene verordening gegevensbescherming 2018 Uitvoeringswet AVG 2018 Audittrail 2017 Soorten persoonsgegevens Algemeen Bijzonder Gevoelig religieuze/ levensbeschouwelijke overtuigingen ras/etnische afkomst politieke opvattingen gezondheidsgegevens betrekking tot seksueel gedrag of gerichtheid lidmaatschap van een vakbond genetische gegevens biometrische gegevens strafrechtelijk verleden 3

4 Wbp EU Privacyrichtlijn 1995 Doelbinding Waar worden de gegevens voor gebruikt? Wet bescherming persoonsgegevens 2001 Gerechtvaardigd doeleinde Op grond waarvan worden gegevens gevraagd? Overeenkomst Wettelijke verplichting (belastingdienst, politie) Vitaal belang Publieke taak (CBS, gemeente) Gerechtvaardigd belang Ondubbelzinnige toestemming Audittrail 2017 Wbp EU Privacyrichtlijn 1995 Recht op inzage, correctie, vernietiging Bewerkersovereenkomst verplicht Wet bescherming persoonsgegevens 2001 Passende beveiliging Melding verwerkingen, vrijstellingsbesluit Audittrail

5 Wbp Eisen aan persoonsgegevensverwerking: Noodzakelijk Toereikend, ter zake dienend Niet bovenmatig (dataminimalisatie) Juist en nauwkeurig Transparant (Privacystatement) Proportionaliteit en subsidiariteit Audittrail 2017 Wet meldplicht datalekken Geen nieuwe wet, maar een aanvulling op de Wbp Meldplicht datalekken College Bescherming Persoonsgegevens > Autoriteit Persoonsgegevens Boetebevoegdheid tot of 10% van de jaaromzet + bestuurlijke aansprakelijkheid Van toepassing op gehele Wbp (niet alleen bij niet-melden datalekken!) Audittrail

6 AVG Algemene Verordening Gegevensbescherming Ook wel: Europese Privacy Verordening (EPV), GDPR (General Data Protection Regulation) 25 mei 2018 definitieve deadline om te voldoen aan de AVG Lokale wetgeving vervalt, de verordening is direct toepasbaar in alle lidstaten van de EU AVG Meldplicht verwerkingen > Verwerkingenregister Doelbestemmingenlijst Beschrijving categorieën betrokkenen en persoonsgegevens Categorieën van ontvangers van persoonsgegevens Informatiebeveiligingsbeleid Bewaar- en vernietigingstermijnen Audittrail

7 AVG Bewerker(sovereenkomst) > Verwerker(sovereenkomst) Privacy by design Privacy by default Strengere regelgeving voor profiling 13 AVG Privacy Impact Assessment (PIA): Wanneer een verwerking waarschijnlijk een hoog risico inhoudt voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. In ieder geval verplicht bij: profiling grootschalige verwerking van bijzondere persoonsgegevens; stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. 14 7

8 AVG Functionaris gegevensbescherming (Data Protection Officer) verplicht voor: Overheid Organisaties die als een van hun kerntaken stelselmatig en op grote schaal personen observeren Organisaties die op grote schaal bijzondere persoonsgegevens verwerken De FG: Is een verlengstuk van de AP Moet onafhankelijk kunnen opereren in de organisatie Krijgt geen instructies van het bestuur Heeft ontslagbescherming Is goed opgeleid Alternatief: De Privacy Officer! AVG Recht om vergeten te worden Het recht om bepaalde verouderde of onjuiste privacygevoelige informatie te laten verwijderen uit de zoekresultaten van zoekopdrachten op een persoonsnaam bij een internetzoekmachine, een bedrijf dat online gegevens bijhoudt, een online organisatie of een website Dataportabiliteit overdraagbaarheid van persoonsgegevens, houdt in dat betrokkenen het recht hebben om de digitale persoonsgegevens te ontvangen die een organisatie van hen heeft, in digitale format. 8

9 Verwerkersovereenkomsten Bewerkersovereenkomst > Verwerkersovereenkomst Verantwoordelijke - Verwerker Algemene beschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Verwerkersovereenkomsten De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen. De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een PIA en bij een voorafgaande raadpleging. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. De verwerker werkt mee aan uw audits of die van een derde partij. 9

10 Verstrekken of uitwisselen van gegevens Vragen bij een verzoek om informatie: Moet dit of mag dit? Past dit binnen ons doel? Is er een rechtsgrond? Belang, denk aan afweging Toestemming Welke gegevens? Hoe wisselen we uit? Aansprakelijkheid regelen Informeren betrokkenen 19 Datalekken 20 10

11 Datalekken 21 Datalekken Verplicht een datalek binnen 72 uur te melden aan AP indien: (waarschijnlijk) persoonsgegevens onrechtmatig openbaar gemaakt, gewijzigd of vernietigd zijn. Verplicht te melden aan betrokkenen indien: Er een kans is dat de persoon hinder ondervindt. 11

12 Datalekken Q *Bron: Autoriteit Persoonsgegevens 23 Informeren van betrokkenen 24 12

13 Informeren van betrokkenen 25 Rechten van betrokkenen Transparantie Inzage/afschrift Correctie/aanvulling Vernietiging (recht om vergeten te worden) Beperking Bezwaar Dataportabiliteit 26 13

14 Rol van de Autoriteit Persoonsgegevens Houdt toezicht op de naleving Kan handhavend optreden 27 Middelen AP Onderzoek instellen (en eventueel publiceren) Bestuursdwang toepassen met dwangsom Boete opleggen. Dit kan pas na een bindende aanwijzing tenzij er sprake is van opzet of ernstige verwijtbare nalatigheid Nu boetes tot maximaal ,- Na 25 mei 2018 boetes tot maximaal 4% van de wereldwijde omzet of 20 miljoen euro

15 Prinsjesdag: AP 7 miljoen per jaar erbij 29 Eerste aanpak: op weg naar de AVG 1. Bepaal de uitgangspunten voor de organisatie 1. Welke wettelijke vereisten zijn voor mij van toepassing? 2. Voer een nulmeting uit. 1. Gap analyse op AVG 2. En IB! 3. Maak een actieplan 4. Wijs verantwoordelijke aan (en/of een werkgroep) 5. Start! 6. Draag project over naar staande organisatie. 15

16 Borgen met de 5 pijlers van privacy 1.Beleid en plannen (de basis) 2.Implementeren en bijsturen van maatregelen 3.Privacy by design + PIA bij nieuwe projecten, producten, diensten of services (& security by design) 4.Incident management & procedure meldplicht datalekken 5.Awareness medewerkers Afronding Privacy: een zaak van iedereen! Jorrit van de Walle, CISA CISM [email protected]