Toespraak Paul Frencken voor PON 16 juni 2011 v3 14 juni Goeiemiddag,
|
|
- Filip de Wilde
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Toespraak Paul Frencken voor PON 16 juni 2011 v3 14 juni 2011 Goeiemiddag, Vandaag had Madeleine McLaggan, collegelid van het College bescherming persoonsgegevens, hier willen spreken over cloud computing en toepasselijk privacy-recht. Helaas is zij door familie-omstandigheden verhinderd, en wil ik u, namens het College, de belangrijkste aandachtpunten meegeven uit haar betoog. Eerst over het begrip cloud computing. Ik ben geen technisch expert. Een medewerker heeft mij enigszins besmuikt verteld dat het begrip cloud computing vooral bedoeld is om managers gerust te stellen. Het klinkt als iets luchtigs, iets dat heel eenvoudig te begrijpen valt, iets dat geen hoofdpijn oplevert, net zoals internet nog altijd als een wolkje wordt getekend in power point presentaties. Ik ben bang dat die strategie niet alle zorgen heeft weggenomen. Veel bedrijven geven aan te worstelen met privacy-vraagstukken bij de overweging om al dan niet cloud computing in te zetten, en dan met name als ze gebruik willen maken van de public cloud van mondiale massaproviders. Welk recht is van toepassing, wie is precies de verantwoordelijke voor naleving van de privacy-wetgeving? Staat privacy-wetgeving in de weg aan het gebruik van deze innovatieve dienstverlening? Ik kan u uiteraard geen overzicht geven van het toepasselijk recht in allerlei verschillende omstandigheden, maar ik hoop u het komende kwartier wel handvatten te kunnen aanreiken om deze vragen zelf te kunnen beantwoorden. Van een juridisch vacuüm is in ieder geval geen sprake. Het fenomeen internationale doorgifte van persoonsgegevens is niet nieuw, evenmin als de daarbij behorende maatregelen en het uitgangspunt dat het Europees beschermingsniveau meereist met de persoonsgegevens. Cloud computing brengt wel nieuwe uitdagingen mee. Kerneigenschap van cloud computing is dat de gegevens zich niet meer ergens bevinden. Dat wil zeggen dat de shared pool van servers, applicaties en diensten zich niet meer op 1 geografisch aanwijsbare plek, in 1 datacenter bevindt, maar dat de gegevens door talloze datacentra reizen. Gaat het bij offshoring vaak nog om uitbesteding van bepaalde taken aan 1 specifiek bedrijf, bij cloud computing is veelal een keten van partijen betrokken. Uitdagingen en risico s
2 Die eigenschappen van cloud computing leiden tot nieuwe uitdagingen en risico s. Ik geef u een aantal observaties. Uit een onderzoek eind vorig jaar door oa het tijdschrift Cloudworks bij Nederlandse afnemers van cloud computing diensten bleek dat iets meer dan de helft van de afnemers het privacy-beleid van zijn cloudprovider niet kent. Is er sprake van blind vertrouwen in de technische en organisatorische beveiligingsmaatregelen van de cloudprovider? De betere mogelijkheden tot beveiliging worden immers vaak genoemd als overweging om cloud computing in te zetten. Tegelijkertijd blijkt uit recent onderzoek van het Amerikaanse Ponemon instituut dat maar liefst 75% van de cloud computing aanbieders in Europa zich niet verantwoordelijk voelt voor de beveiliging van persoonsgegevens. Die verantwoordelijkheid zou volgens hen bij de afnemers liggen. Als toezichthouder zien we daar een compliance risico ontstaan. Los van compliance risico s zien we nog een ander risico, van reputatieschade door gebrek aan transparantie. Een voorbeeld. In Engeland ontstond vorig jaar een groot schandaal, toen via de media bekend werd dat de National Health Service, de nationale ziektekostenverzekeraar, miljoenen papieren en op band ingesproken patiëntgegevens had doorgegeven aan een bedrijf in India. Dat bedrijf typte de gegevens over, en verzorgde afspraken met patiënten voor onder andere borstkankeronderzoek. Maar de doorgifte was niet beperkt tot simpele outsourcing van data-entry. Via een privaat bedrijf dat de NHS mede had opgericht, (Shared Business Services - SBS) kregen nog eens twintig bedrijven in India toegang tot de electronische patiëntendossiers van een zeer groot aantal Britse patiënten. In reactie op de publieke ophef stelde het bedrijf dat er alleen online toegang tot de data werd verleend. De medewerkers van de Indiase bedrijven konden de gegevens niet op eigen servers opslaan, alleen remote invoeren en bewerken. Bovendien had het bedrijf voldaan aan de formele regels voor doorgifte. Dit verweer hielp niet echt in de publieke opinie. Hoewel de NHS juridisch misschien volgens de regels had gehandeld, was de publieke perceptie dat de dienst stiekem uiterst vertrouwelijke gegevens van patiënten had doorgegeven aan bedrijven in India en dat de instelling daarmee onaanvaardbare risico s had genomen. Het gebrek aan transparantie over de doorgifte leidde tot een enorme vertrouwensbreuk. Wettelijk kader Op Europees niveau wordt gewerkt aan een herziening van het wettelijk kader op privacygebied. Naar verwachting maakt de Commissie in november 2011 bekend welke vorm dit
3 nieuwe kader aanneemt. Misschien weer een richtlijn, waarbij de lidstaten een zekere beleidsvrijheid houden, of een verordening, waarbij de vereisten tot in detail worden voorgeschreven. Of een combinatie van die twee instrumenten. Uit de eerste conclusies van de Europese Commissie en toespraken van commissarissen Kroes en Reding blijkt dat cloud computing daarbij speciale aandacht zal krijgen. Die regels worden niet alleen in Europa verduidelijkt. De Eurocommissarissen werken tegelijk aan verdere transatlantische harmonisatie. Dat blijkt onder andere uit de inzet bij de lopende herziening van het dataverdrag uit 1980 van de Raad van Europa. Dat wil zeggen, het grote Europa, van de 46 lidstaten. Het zal u niet ontgaan zijn dat de G8 onlangs een speciale internettop hebben gehouden en dat de mensenrechten-commissie van de Verenigde Naties onlangs een rapport heeft aangenomen over het belang van privacy op internet. Uitgangspunt is en blijft het verzoenen van een adequate bescherming van persoonsgegevens met het vrije handelsverkeer, onafhankelijk van landsgrenzen. Binnen de EU mogen persoonsgegevens vrij uit reizen, maar wie gegevens daarbuiten wil brengen, naar landen zonder zogeheten passend beschermingsniveau, dient in beginsel een vergunning aan te vragen. Daartoe zijn verschillende hulpmiddelen ontwikkeld. Er is bijvoorbeeld een Europees modelcontract voor doorgifte van gegevens door een verantwoordelijke in Europa naar een andere verantwoordelijke buiten de EU. Er is ook een modelcontract voor doorgifte van persoonsgegevens door een Europese verantwoordelijke naar een bewerker buiten de EU. Daarnaast heeft het bedrijfsleven zelf een instrument ontwikkeld, van harte door de toezichthouders ondersteund, de zogenaamde binding corporate rules. Dit instrument helpt om de druk te verminderen van het aanvragen van vergunningen voor doorgifte naar allerlei dochters en bewerkers binnen een wereldwijd concern. Dat het beschermingsniveau meereist, is de kern van rechtmatige doorgifte. De hoofdregel is dat je als verantwoordelijke voor de verwerking van persoonsgegevens in Nederland of Europa verantwoordelijk blijft, ook al heb je de gegevens doorgegeven aan een partij buiten de EU. Uit handen geven betekent nooit dat de verantwoordelijkheid meegaat. In de praktijk is het aanvragen van een vergunning voor doorgifte een gestroomlijnde procedure. Het College bescherming persoonsgegevens verwerkt per jaar gemiddeld 130 tot 140 aanvragen die gebaseerd zijn op een van de modelcontracten. Binnen twee weken worden die aanvraag gecontroleerd, en doorgestuurd naar het ministerie van Veiligheid en Justitie, dat de vergunning verleent.
4 Natuurlijk is de procedure van doorgifte bedoeld voor specifieke doorgifte aan 1 partij, binnen of buiten Europa. Toch is de sprong van doorgifte naar cloud computing minder groot dan velen soms denken, of die provider nou een bewerker is, of een zelfstandige verantwoordelijke. Of een cloud provider verantwoordelijke is of bewerker, is afhankelijk van de specifieke context. In veel gevallen zal de cloud provider een bewerker zijn, maar als hij zelfstandig doel en middelen bepaalt kan de provider ook verantwoordelijk zijn voor dat deel van de gegevensverwerking. In beide gevallen kan een Europees modelcontract worden gebruikt. In het modelcontract voor doorgifte van een exporterende verantwoordelijke naar een importerende verantwoordelijke wordt de wederzijdse civiele aansprakelijkheid vastgelegd voor naleving van de bepalingen in het contract. De afnemer van de clouddiensten blijft verantwoordelijk voor handhaving van een adequaat beschermingsniveau, en het toepasselijk recht wordt contractueel bepaald op het recht van de afnemer of exporteur. De importerende cloud provider is gebonden aan specifiek in het contract vastgelegde doeleinden van de verwerking en dient zich te houden aan de algemene beginselen van het Europese dataprotectierecht. Als de importerende verantwoordelijke op zijn beurt weer gegevens doorgeeft naar bewerkers elders in de wereld, dient de importeur ervoor te zorgen dat de bewerker het contract meetekent, of dat de betrokkenen, nadat ze geïnformeerd zijn over het voornemen van doorgifte, zich hebben kunnen verzetten, danwel, als het om bijzondere persoonsgegevens gaat, dat betrokkenen vooraf toestemming hebben gegeven voor de doorgifte. Een kenmerk van een aantal massaproviders van cloud diensten die buiten de EU zijn gevestigd is dat ze standaard algemene voorwaarden hanteren. Die zijn in de meeste gevallen echter niet toereikend. In veel gevallen is de cloud provider een bewerker met eigen verantwoordelijkheid voor in ieder geval beveiliging en informatie. En dus moet de verantwoordelijke een specifiek bewerkerscontract sluiten, waarbij de provider garandeert dat het noodzakelijke beschermingsniveau ook wordt gegarandeerd door alle overige partijen in de keten, op alle locaties. Bij het opstellen van een dergelijk contract is het modelcontract nuttig voor doorgifte naar bewerkers en subbewerkers buiten de EU.
5 De wettelijke vereisten leveren niet alleen een theoretisch compliance risico op. Eind 2010 heeft de Deense toezichthouder op de bescherming van persoonsgegevens (Datatilsynet) een handhavingsonderzoek afgerond en openbaar gemaakt naar het gebruik van Google apps door leraren in de Deense gemeente Odense. De leraren gebruikten de dienst om de voortgang van leerlingen bij te houden, online afspraken te maken en informatie te sturen aan de ouders. De Deense toezichthouder stelde vast dat de clouddiensten van Google niet voldeden aan de Deense privacywetgeving, ondermeer omdat niet duidelijk was waar de data zich precies bevonden, of de data ook in datacentra buiten de EU verbleven. Een ander belangrijk kritiekpunt van de Deense toezichthouder was het feit dat Google weigerde om een specifieke bewerkersovereenkomst te tekenen waarin het bedrijf expliciet toezegde zich aan de nationale privacyregelgeving te houden. Daardoor, en omdat de gemeente niet wist waar de gegevens zich fysiek bevonden, kon de gemeente als verantwoordelijke onvoldoende toezicht houden op de beveiliging van de gegevens. Kortom, als verantwoordelijke voor de verwerking van persoonsgegevens in Europa blijf je verantwoordelijk, ook al heb je de gegevens doorgegeven aan een partij buiten de EU. In het licht van actuele ontwikkelingen wil ik nog twee bepalingen aanstippen uit de Wbp waarmee verantwoordelijken rekening dienen te houden bij het gebruik van cloud computing, namelijk beveiliging en de informatieplicht. Ook voor beveiliging geldt dat de verantwoordelijke verantwoordelijk blijft. Een dataexporteur moet kunnen vaststellen dat de maatregelen van de cloud provider passende beveiliging bieden. In de modelcontracten is opgenomen dat de exporterende verantwoordelijke de getroffen technische en organisatorische beveiligingsmaatregelen desgewenst moet kunnen controleren, al dan niet met behulp van een externe auditor. Daarbij dienen verantwoordelijken in Europa rekening te houden met aankomende wetgeving op het gebied van datalekken. De primaire verantwoordelijke, die de gegevens heeft verzameld, blijft verantwoordelijk om de toezichthouder te informeren, en indien nodig ook de betrokkenen. Om aan die verplichting te kunnen voldoen, moet de verantwoordelijke wel tijdig en behoorlijk worden geïnformeerd over elk datalek door zijn cloudprovider. Voor de informatieplicht geldt dat verantwoordelijken hun klanten en/of werknemers moeten vertellen dat ze persoonsgegevens doorgeven en naar wie. Op grond van artikel 33 Wet bescherming persoonsgegevens / artikel 10 van de Europese dataprotectierichtlijn dient een verantwoordelijke nadere informatie te verstrekken over de ontvangers van de gegevens en de aard van de gegevensverwerking. Als een belangrijk deel van de gegevensverwerking plaatsvindt buiten de EU, is dit een belangrijke aspect van de
6 dienstverlening, dat eigen risico s met zich meebrengt. Die risico s rechtvaardigen naar het oordeel van het College dat de verantwoordelijke de betrokkenen nader informeert over de doorgifte. Een verantwoordelijke kan niet volstaan met het passief honoreren van eventuele inzageverzoeken. Een behoorlijke en zorgvuldige gegevensverwerking vereist dat een verantwoordelijke betrokkenen actief informeert over eventuele doorgifte naar 1 of meerdere partijen buiten de EU. Conclusie Er is een beeld in de markt dat cloud computing ingewikkeld is, onduidelijk, en dat privacy daarbij een moeilijk aspect is. Die indruk heb ik hopelijk deels kunnen wegnemen. Online doorgifte van persoonsgegevens naar landen buiten de EU is geen nieuw fenomeen, en er is geen sprake van een juridisch vacuüm. Betrokkenen dienen erop te kunnen vertrouwen dat hun persoonsgegevens goed beschermd worden, ongeacht de plaats waar die gegevens verwerkt worden. Het gaat uiteindelijk om de vraag of verantwoordelijken hun keuzes transparant kunnen verantwoorden, naar aandeelhouders en naar klanten. Berichtgeving in de media, zoals bij de Britse patiëntendossiers, leert dat als je essentiële eigenschappen van de dienstverlening achterhoudt, het toch wel uitkomt. En dat leidt tot enorme maatschappelijke verontwaardiging en een vertrouwensbreuk met klanten. Die verontwaardiging is niet beperkt tot bedrijven die slachtoffer zijn van beveiligingsincidenten, maar leidt tot een algemene roep om transparantie en accountability, van iedereen die actief is in deze keten. Bedankt voor uw aandacht.
Die eigenschappen van cloud computing leiden tot nieuwe uitdagingen en risico s. Ik geef u een aantal observaties.
Toespraak Paul Frencken ter gelegenheid van Het Outsourcing Congres, georganiseerd door Platform Outsourcing Nederland (PON) op donderdag 16 juni 2011 te Haarlem Goedemiddag, Vandaag had Madeleine McLaggan,
Nadere informatiePrivacy Compliance in een Cloud Omgeving
Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatieDe website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.
DE AVG Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming
Nadere informatieCloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013
Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht
Nadere informatiePrivacy in de afvalbranche
Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatiePRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015)
PRIVACY WET (WBP) EN DE CLOUD Auteur: Wiebe Zijlstra (16 January 2015) Steeds meer organisaties maken voor een deel van hun informatieverwerking gebruik van de cloud, soms ter vervanging van hun eigen
Nadere informatieJuridische uitdagingen van CC
Juridische uitdagingen van Cloud Computing IIR Cloud Computing 2010 Louis Jonker 17 november 2010 Juridische uitdagingen van CC Gebruikelijke aandachtspunten bij uitbestedingsrelatie Transitie Service
Nadere informatieDATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````
Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016
Nadere informatieDE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf
Nadere informatieMogen advocaten hun data in de Cloud bewaren?
Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatiePost doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015
Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015 Docenten: Corien Prins (Tilburg University), Lokke Moerel (Morrison Foerster/Tilburg University), Peter van Schelven (voormalig hoofd
Nadere informatieCursus privacyrecht Jeroen Naves 7 september 2017
Cursus privacyrecht Jeroen Naves 7 september 2017 Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim
Nadere informatieDatum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud
1 > Retouradres Postbus 20301 2500 EH Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Schedeldoekshaven 100 2511 EX Den Haag Postbus 20301 2500 EH Den
Nadere informatieGoedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy
Inleiding Solvay erkent en ondersteunt de privacybelangen van iedereen en eerbiedigt deze belangen wanneer zij persoonsgegevens verzamelt en verwerkt. Solvay eerbiedigt met name de privacy van haar klanten,
Nadere informatieGegevensbescherming & IT
Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming 1 Programma Inleiding Waarom AVG? Wat is de AVG? Globale verschillen met Wbp Handhaving De AVG op hoofdlijnen Wat kunt u van BNL verwachten? Vragen 2 Waarom AVG?
Nadere informatiePrivacybeleid Beckers Financieel Advies
Privacybeleid Beckers Financieel Advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens
Nadere informatiePrivacy & Cloud. een juridisch perspectief
Privacy & Cloud een juridisch perspectief mr Dirk Wisman CIPP/E Consultant Privacy & Cybersecurity Onyx Cybersecurity Privacy & Procesmanagement Advies, PIA s & contracten Privacy Audits Veiligheidsbeleid
Nadere informatiePrivacy en de meldplicht datalekken
Privacy en de meldplicht datalekken Regelgeving en praktische toepassingen Monique Hennekens november 2017 Privacyregelgeving EVRM en Grondwet Wet bescherming persoonsgegevens (Wbp) Bijzondere wetten Algemene
Nadere informatieDe bewerkersovereenkomst
De bewerkersovereenkomst Astrid Gobardhan Advocaat/Corporate Privacy Counsel Naspers April 2018 1 1 Inhoud Bewerkersovereenkomst Elementaire aandachtspunten PIA Elementaire aandachtspunten 2 BEWERKERSOVEREENKOMST
Nadere informatieVoorbereid op de nieuwe privacywet in 10 stappen
Algemene Verordening Gegevensbescherming Voorbereid op de nieuwe privacywet in 10 stappen Een publicatie van LAYLO // office@laylo.nl // www.laylo.nl // 085-0202563 Nieuwe wetgeving Per 25 mei 2018 treed
Nadere informatieAlgemene begrippen AVG
Vooraf: dit document is bedoeld om informatie te geven en vragen te beantwoorden over de gevolgen van de AVG voor Medlon. Hoewel het soms gaat om juridische begrippen en concepten mag dit document niet
Nadere informatieModel privacybeleid 2
Privacybeleid Model privacybeleid 2 Privacybeleid de Kredieter Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke
Nadere informatieFactsheet Bewerkersovereenkomst
Factsheet Bewerkersovereenkomst Bij het verwerken van persoonsgegevens maken veel partijen gebruik van een externe dienstverlener voor het verwerken van deze persoonsgegevens. Verwerken is een breed begrip,
Nadere informatiePost doctorale Specialisatiecursus Privacy en Persoonsgegevens
Post doctorale Specialisatiecursus Privacy en Persoonsgegevens Docenten: Corien Prins (Tilburg University), Lokke Moerel (De Brauw Blackstone Westbroek/Tilburg University), Peter van Schelven (Nederland
Nadere informatieInternationale Privacy. Leonie H.M. Amende
Internationale Privacy Leonie H.M. Amende kerkjurist@gmail.com Vraag Wanneer voor het eerst internet? 1982 Wanneer world wide web? 1991 In 1989 was het nog niet toegestaan om internet aan het publiek aan
Nadere informatieAutoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen
Autoriteit Persoonsgegevens De Algemene Verordening Gegevensbescherming Studiekeuze 123, 27 maart 2018 Sofie van der Meulen Kern van de AVG Functionaris voor de gegevensbeschermin g Data protection impact
Nadere informatiePRIVACY EN CLOUD. Knelpunten:
PRIVACY EN CLOUD Knelpunten: Wat is cloud? Soorten clouddiensten en de verschillen Wie is de verantwoordelijke? Wie heeft de beveiligingsverplichting? Is een bewerkersovereenkomst nodig? Waar staan de
Nadere informatieHet Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.
Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia
Nadere informatieHelp, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy
Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van
Nadere informatieWet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules
Dataprivacy Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken Safe Harbor Ø Binding Corporate Rules Wbp Neerslag EU-regelgeving (rl. 95/46/EG), in hele EU De titel van de wet zegt het
Nadere informatieonderzoek en privacy WAT ZEGT DE WET
onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving
Nadere informatieAlgemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen
Algemene Verordening Gegevensbescherming Skipr Masterclass 3 april 2018 Sofie van der Meulen Waarom en wanneer Kern van de AVG Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieEén verantwoordelijke
Smart Mobility Ronde Tafel Juridische Aspecten Datum: 24 juni 2016 Onderwerp: Concept Handreiking Verantwoordelijke in Consortia Inleiding Veel dienstverlening op het gebied van Smart Mobility wordt niet
Nadere informatieMODEL YOOST BV PRIVACYBELEID
MODEL PRIVACYBELEID YOOST BV 25-05-2018 Privacybeleid Yoost BV Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke
Nadere informatieViiZ. ViiZ. Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID
ViiZ ViiZ Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID Privacybeleid ViiZ Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten. Ook verwerken wij persoonsgegevens
Nadere informatiePrivacy reglement. Pagina 1 van 9
Privacy reglement Pagina 1 van 9 Inhoud Privacy reglement... 3 Wetgeving en definities... 3 Reikwijdte... 4 Verantwoordelijke... 4 Verwerkingen (Artikel 4, AVG)... 4 Doeleinden (Artikel 5, AVG)... 4 Rechtmatige
Nadere informatiePrivacy statement ROM3D
Privacy statement ROM3D Dit is het Privacy Statement van Rom3D. Om je goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt Rom3D jouw persoonsgegevens. Rom3D
Nadere informatieJuridische valkuilen bij cloud computing
Juridische valkuilen bij cloud computing De drie belangrijkste juridische risico s bij cloud computing Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een service delivery framework
Nadere informatieDeloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl
Deloitte privacy team Privacy dienstverlening www.prepareforprivacy.nl Voorwoord Privacy staat al enige tijd in de schijnwerpers en zal in de nabije toekomst alleen maar belangrijker worden. Niet alleen
Nadere informatieSecurity, Legal and Compliance
SharePoint Online Security, Legal and Compliance Voorstellen Harald van Leeuwen IT Consultant EIC Verantwoordelijk voor SharePoint portfolio www.linkedin.com/in/haraldvanleeuwen Harald.van.leeuwen@eic.nl
Nadere informatieDe Clercq Advocaten Notariaat
De Clercq Advocaten Notariaat Oplossingen voor uw vraagstukken van morgen Whitepaper - Verwerken van klantgegevens: doe het goed! Franchisegevers en franchisenemers zullen zich ook aan de wettelijke privacyregels
Nadere informatiePrivacy Referentie Architectuur
Privacy Referentie Architectuur Marktconsultatie IMMA 1 juli 2015 Over Considerati Enige adviesbureau gespecialiseerd in IT recht en Public Affairs Experts op het gebied van privacy, data protectie en
Nadere informatieAlgemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017
Algemene Verordening Gegevensbescherming Alex Commandeur Den Haag 6 juni 2017 Vanaf 25 mei 2018 Algemene Verordening Gegevensbescherming Kern van de AVG Sterkere en uitgebreidere privacyrechten Meer verantwoordelijkheden
Nadere informatieVerwerkersovereenkomst Personeelshandboek.nl
Verwerkersovereenkomst Personeelshandboek.nl Versie 1.0 (mei 2018) Personeelshandboek.nl verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software abonnement bij
Nadere informatiePrivacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf
Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf Uitgangspunten: Het bedrijf gaat op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. Het bedrijf
Nadere informatiePrivacyverklaring Grand Café Food & Joy
Privacyverklaring Grand Café Food & Joy Versie 24 mei 2018 In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel. Grand Café Food & Joy is een in
Nadere informatiePRIVACYSTATEMENT- PRIVACYBELEID
PRIVACYSTATEMENT- PRIVACYBELEID Privacybeleid Bakker & Jansen Financieel Adviesbureau BV Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieFOBID Informatie. 13 November Mr.dr. Mirjam Elferink
FOBID Informatie bijeenkomst AVG 13 November 2017 Mr.dr. Mirjam Elferink 2 Elferink & Kortier Advocaten Specialisten in intellectuele eigendom, ICT-recht en privacy 3 Waarom een bewerkersovereenkomst?
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst STKKR verwerkt in sommige gevallen persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst (abonnement) met STKKR heeft. STKKR en de
Nadere informatieWettelijke kaders voor de verwerking van persoonsgegevens
Privacybeleid Kempen advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens worden voornamelijk
Nadere informatiePrivacy Statement Nederlands Migratie Instituut (NMI)
Privacy Statement Nederlands Migratie Instituut (NMI) Dit is het Privacy Statement van het NMI. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt het
Nadere informatieCloud computing: het juridisch kader
Cloud computing: het juridisch kader Auteur: Willem-Jan van Elk en Miranda van Elswijk Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd.
Nadere informatieBeveiligingsmaatregelen en privacyverklaring. Privacy document. Angelo Pijnenburg, 2018
Privacy document Beveiligingsmaatregelen en privacyverklaring Angelo Pijnenburg, 2018 1. Beveiligingsmaatregelen Categorieën persoonsgegevens Into Motion verwerkt persoonsgegevens. De persoonsgegevens
Nadere informatiePrivacybeleid Hypotheek Idee BV
Privacybeleid Hypotheek Idee BV Versie 5.1 d.d. 11-06-18 Model privacybeleid 1 Privacybeleid Hypotheek Idee Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van. Ook verwerken wij persoonsgegevens
Nadere informatieWHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)
WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people. Contents 3 Wat is de AVG? 4 Verwerkersovereenkomst 6 Roadmap naar de nieuwe verwerkersovereenkomst
Nadere informatiePrivacyverklaring Therapeuten VVET
Privacyverklaring Therapeuten VVET Versie 25-05-2018 1 Inhoudsopgave 1. Inleiding... 3 2. Wetgeving... 3 3. Definities... 3 4. Reikwijdte... 4 5. Verantwoordelijke... 4 6. Verwerkingen (Artikel 4, AVG)...
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatiePrivacy document. Beveiligingsmaatregelen en privacyverklaring. Opgesteld door: Edwin Klijn
Privacy document Beveiligingsmaatregelen en privacyverklaring Opgesteld door: Edwin Klijn 25-5-2018 Dit document bevat de beveiligingsmaatregelen en de privacyverklaring van Administratiekantoor Klijn
Nadere informatieSchee Scheuller Hypotheken & Assurantiën
Schee Scheuller Hypotheken & Assurantiën Sche MODEL PRIVACYBELEID Privacybeleid Schee Scheuller Hypotheken en Assurantiën Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast
Nadere informatieIs uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?
Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy
Nadere informatieGDPR, wat betekent deze nieuwe privacywet voor jou?'
GDPR, wat betekent deze nieuwe privacywet voor jou?' Joomla! thema-avond dinsdag 3 oktober 2017 Hieronder vind je de slides van de presentatie van Hans Kompanje over de nieuwe GDPR wetgeving. Helemaal
Nadere informatiePrivacy en cookie policy
Privacy en cookie policy Deze privacy en cookie policy is van toepassing op (voormalige) klanten, prospects, leveranciers en bezoekers van alle door Hovago Cranes B.V. beheerde (mobiele) websites (www.hovago.com
Nadere informatieLWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer
LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene
Nadere informatiePrivacybeleid Financiele Dienstverlening Vecht en Venen
Privacybeleid Financiele Dienstverlening Vecht en Venen Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten.
Nadere informatieGeneral Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP
General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP 1 Versterking van klantrechten Strengere verplichting Duidelijke governance Doorgifte data buiten EU Klanten
Nadere informatieWaar in deze verklaring wordt gesproken over wij of ons wordt bedoeld: SUMMAVIEW B.V.
U deelt allerlei persoonsgegevens met ons. Wij gaan zorgvuldig met uw persoonsgegevens om. In deze verklaring leest u hoe wij dit doen. Daarnaast vertellen wij u welke rechten u heeft op het gebied van
Nadere informatieTVDW ADMINISTRATIEVE BEGELEIDING. Privacy document. Beveiligingsmaatregelen en privacyverklaring. Twan van de Wiel B.V
TVDW ADMINISTRATIEVE BEGELEIDING Privacy document Beveiligingsmaatregelen en privacyverklaring Twan van de Wiel B.V. 2-5-2018 Dit document bevat de beveiligingsmaatregelen en de privacyverklaring van TvdW
Nadere informatieTHE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV
THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt
Nadere informatieBelangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene
Belangrijke begrippen Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene Grondslagen voor gegevensverwerking 1. Toestemming 2. Noodzakelijk voor uitvoering overeenkomst 3. Noodzakelijk
Nadere informatiePrivacy Statement April 2018 Pagina 1 van 5
Privacy Statement U deelt allerlei persoonsgegevens met ons. Wij gaan zorgvuldig met uw persoonsgegevens om. In deze verklaring leest u hoe wij dit doen. Daarnaast vertellen wij u welke rechten u heeft
Nadere informatiePrivacy wetgeving: Wat verandert er in 2018?
Privacy wetgeving: Wat verandert er in 2018? Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Vanaf mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatiePrivacybeleid Assuplan Financiële Diensten / HypotheekCompleet
Privacybeleid Assuplan Financiële Diensten / HypotheekCompleet Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten. Persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren
Nadere informatiePrivacybeleid Schulz Financiële Diensten
Privacybeleid Schulz Financiële Diensten Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Ook verwerken
Nadere informatiePrivacyreglement Magspirit
Privacyreglement Magspirit 1. Begripsbepalingen 2. Reikwijdte 3. Doel 4. Voorwaarden voor rechtmatige verwerking 5. Verwerking van persoonsgegevens en informeren van betrokkene 6. Verstrekken van persoonsgegevens
Nadere informatiePrivacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017
0 Privacy Officer De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017 Net2Legal Consultants (www.n2l.nl) schreuders@n2l.nl Net2legal Consultants 2016 Casus Vragen: Welke taken,
Nadere informatieECIB/U201501573 Lbr. 15/079
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken
Nadere informatieVerwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER
Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER Deze verwerkersovereenkomst maakt integraal onderdeel uit van het [contract] tussen opdrachtgever en opdrachtnemer.
Nadere informatiePrivacybeleid Kick Wiegmans Hypotheken
Privacybeleid Kick Wiegmans Hypotheken Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens
Nadere informatieEXtreem veilig. Stappenplan Algemene Verordening Gegevensbescherming
AVG STAPPENPLAN Stappenplan Algemene Verordening Gegevensbescherming Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit betekent dat er vanaf die datum dezelfde
Nadere informatiePrivacybeleid Mart Strijbos Financieel Advies
Privacybeleid Mart Strijbos Financieel Advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens
Nadere informatiePLATFORM IZO 21 OKTOBER 2016
PLATFORM IZO 21 OKTOBER 2016 Wat is er aan de hand? Actualiteit, media, politiek Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie (Heerlen) Juridische kritiek
Nadere informatiePrivacyverklaring OpenValue Versie 25 mei 2018
Privacyverklaring OpenValue Versie 25 mei 2018 In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel. OpenValue is een door heel Nederland werkende
Nadere informatieActualiteiten Privacy. NGB Extra
Actualiteiten Privacy NGB Extra April 2015 Wat heeft het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP voor implicaties voor de praktijk? Wat is er recent veranderd
Nadere informatiePrivacybeleid Minkels Advies
Privacybeleid Minkels Advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Ook verwerken wij persoonsgegevens
Nadere informatieAlgemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018
Algemene Verordening Gegevensbescherming Sjoera Nas Amsterdam 28 maart 2018 Kern van de AVG Privacyrechten Privacytoezichthouders Verantwoordelijken en verwerkers Privacy Beroepsgeheimen Recht om met rust
Nadere informatieVerwerkersovereenkomst TriFact365
Verwerkersovereenkomst TriFact365 Versie 1.0 (mei 2018) TriFact365 verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software-abonnement bij TriFact365 heeft. TriFact365
Nadere informatieChecklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving
Checklist basisprincipes privacyregelgeving 1. Inleiding Hieronder volgt een overzicht met de basisprincipes van de Wet bescherming persoonsgegevens (Wbp), de belangrijkste privacywet in Nederland. Dit
Nadere informatieIs uw onderneming privacy proof?
Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:
Nadere informatiePRIVACYVERKLARING TVR Metaal B.V. In deze privacyverklaring wordt uitgelegd welke persoonsgegevens TVR Metaal B.V. verwerkt en voor welke doeleinden.
TVR Metaal B.V. is zich er van bewust dat een passende verwerking van persoonsgegevens een onmisbaar aspect is van het privacy recht. Om dit recht te waarborgen, kunt u in deze verklaring nagaan hoe TVR
Nadere informatie25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink
Privacyrecht & de AVG 2 mei 2018 Rob Tijdink Koningstraat 27-2 T + 31 88 322 6000 info@daanlegal.nl 6811 DG Arnhem F + 31 88 322 6001 www.daanlegal.nl 25 mei a.s. een nieuwe privacyverordening Bron: Financieele
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst 1/7 Partijen: nummer en, statutair gevestigd te en geregistreerd bij de KvK onder het, hierna te noemen Verwerkingsverantwoordelijke ; Extin, h.o.d.n.v. Extin Media, Extin Hosting
Nadere informatieAlgemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017
Algemene verordening gegevensbescherming Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017 Waarom en wanneer Kern van de AVG Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit
Nadere informatieIn 10 stappen voorbereid op de AVG
In 10 stappen voorbereid op de AVG 10 STAPPEN TER VOORBEREIDING OP DE ALGEMENE VERORDENING GEGEVENS BESCHERMING (AVG) Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.
Nadere informatie