Privacy in de afvalbranche

Transcriptie

1 Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017

2 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming Risico s Verantwoordelijke en bewerker Doel, doelbinding en grondslag Verantwoordingsplicht en documentatieplicht Informatieplicht Beveiliging Meldplicht datalekken Eerste stappen naar privacy compliance Contactgegevens 2

3 Privacyregelgeving Nederland Grondwet Wet bescherming persoonsgegevens (Wbp) Bijzondere wetten Algemene Verordening Gegevensbescherming van toepassing vanaf 25 mei

4 Persoonsgegeven en verwerking Ruime begrippen Persoonsgegeven(art. 1 sub a Wbp 4 sub 1 AVG) alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon Verwerking (art. 1 sub b Wbp 4 sub 2 AVG) elke handeling met betrekking tot persoonsgegevens 4

5 Algemene Verordening Gegevensbescherming Belangrijkste aandachtspunten Verantwoordingsplicht en documentatieplicht Doel, doelbinding en wettelijke grondslag Functionaris voor de gegevensbescherming (FG) Beveiliging en meldplicht datalekken Afspraken met dienstverleners (bewerkers) Transparantie en informatieplicht Rechten van betrokkenen Doorgifte naar landen buiten de EU Handhaving en boetes 5

6 Risico s Nu en vanaf mei 2018 Sancties Wbp: Bestuursdwang of bestuurlijke boete Bestuurdersaansprakelijkheid Civiele aansprakelijkheid Boete oplopend tot Strafrechtelijke boete of gevangenisstraf Hoogte boete onder de AVG: Oplopend tot Reputatieschade 6

7 Verantwoordelijke - bewerker Rolverdeling en verdeling risico s Verantwoordelijke(art. 1 sub d Wbp 4 sub 7 AVG) Degene die, alleen of samen met anderen, het doelvan en de middelenvoor de verwerking van persoonsgegevens vaststelt. Bijvoorbeeld: college van burgemeester en wethouders, werkgever Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Bijvoorbeeld: afvalverwerker ten behoeve van gemeenten Bewerkersovereenkomst 7

8 Doel, doelbinding en grondslag Basisprincipes privacyregelgeving Doelen doelbinding (art. 7 en 9 Wbp 5 sub 1 b AVG) welbepaald uitdrukkelijk omschreven gerechtvaardigd verwerking moet verenigbaar zijn met doel verzameling Grondslag (rechtmatigheid) (art. 8 Wbp 6 AVG) ondubbelzinnige toestemming (art. 4 sub 8 AVG) uitvoering overeenkomst wettelijke verplichting publiekrechtelijke taak gerechtvaardigd belang 8

9 Verantwoordingsplicht en documentatieplicht Voorbereiding AVG Verantwoordingsplicht (art. 5 AVG) Verantwoordelijke moet kunnen aantonen dat zij persoonsgegevens verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Documentatieplicht (art. 30 AVG) naam en contactgegevens (ook van FG) doeleinden groep(en) personen en categorieën van persoonsgegevens verstrekking aan derden doorgifte buiten EU technische en organisatorische beveiligingsmaatregelen bewaartermijn 9

10 Informatieplicht Transparantie naar betrokkenen Informatieverstrekking(art. 33/34 Wbp, 12 t/m 14 AVG) vóór de verwerking in duidelijke en eenvoudige taal in een gemakkelijk toegankelijke vorm verstrekken van informatie over: identiteit en contactgegevens (FG) welke persoonsgegevens doeleinden en grondslag (gerechtvaardigd belang) verstrekking aan derden doorgifte buiten de EU bewaartermijn of bewaarcriteria rechten betrokkene profilering 10

11 Beveiliging Handhavingsprioriteit Autoriteit Persoonsgegevens Risicogericht beveiligingsniveau (art. 13 Wbp- 32 AVG) Passende technische en organisatorische maatregelen tegen verlies of onrechtmatige verwerking van persoonsgegevens Passend? Vaststellen betrouwbaarheidseisen: Beveiligingsbeleid noodzakelijk 11

12 Meldplicht datalekken In Nederland vanaf 1 januari 2016 Meldplicht AP en informeren betrokkenen (art. 34a Wbp 33/34 AVG) Iedere verantwoordelijke moet : binnen 72 uur een inbreuk op de beveiliging die ernstig nadelige gevolgen (kan) hebben voor de bescherming van de persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP) Onverwijld betrokkenen informeren indien een inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer 12

13 Eerste stappen naar privacy compliance mei 2018 is niet ver weg Inventarisatie gegevensverwerkingen Databestanden Gegevensuitwisseling Soorten verwerking (aard persoonsgegevens) Vaststellen rol (verantwoordelijke/bewerker) Voor eigen doeleinden Ten behoeve van derde Combinatie Check huidige documentatie, overeenkomsten en maatregelen Bewerkersovereenkomsten Beveiligingsbeleid Privacyverklaring(en) Privacybeleid(protocol) 13

14 Contact Monique Hennekens