Algemene Verordening Gegevensbescherming Naam Plaats Datum [dd maand jaar] Autoriteit Persoonsgegevens 2 Autoriteit Persoonsgegevens 3 Autoriteit Persoonsgegevens 4 Waarom en wanneer Kern van de AVG Guidance Functionaris gegevensbescherming Waarom nieuwe privacywetgeving Leidende autoriteit Dataportabiliteit Data Protection Impact Assessment Voorbereiden op de AVG Digitale samenleving 1 Europese wet 1995 Europese privacyrichtlijn Autoriteit Persoonsgegevens 6 1
Nationale en internationale rechtsbronnen Artikel 8 EVRM (1950) Conventie 108 (1981) Doorwerking van Europees recht Alleen nationale regels? Nee! Voorrangsbeginsel Richtlijn 95/46/EG (1995) Artikelen 7 en 8 EU-Grondrechtenhandvest (2000/2009) Artikel 16 VWEU (2007) Autoriteit Persoonsgegevens 7 Autoriteit Persoonsgegevens 8 Privacy Privacy door de jaren heen Voorheen: privacy was je huis, je hoofd en je lichaam Huidige tijd: alles is data Beroepsgeheimen Recht om met rust gelaten te worden Fundamenten van de Nederlandse en westerse rechtsorde Autoriteit Persoonsgegevens 9 Autoriteit Persoonsgegevens 10 Wanneer treedt de AVG in werking Kern van de AVG EC 2012 Eerste voorstel AVG 2012 4 mei 2016 AVG gepubliceerd 2018 2016 25 mei 2018 AVG van toepassing Privacyrechten Verantwoordelijkheden Privacytoezichthouders EDPB 2018 Uitvoeringswet AVG 2
Wat betekent de wet voor burgers Rechten van betrokkenen Transparante informatie voor de uitoefening van rechten Informatie bij verzameling Recht van inzage Recht om te wijzigen Versterking en uitbreiding privacyrechten Toestemming Klacht bij AP Recht op verwijdering Recht op beperking van de verwerking Kennisgevingsplicht rectificatie, verwijdering, beperking Dataportabiliteit Autoriteit Persoonsgegevens 13 Autoriteit Persoonsgegevens 14 Wat verandert er voor kinderen Wat betekent de wet voor organisaties 1 wet in de hele EU Verantwoordingsplicht Apart artikel Toestemming door ouders voor kinderen jonger dan 16 Staat ook al in Wbp Voorlichting Data protection impact assessment (DPIA) Functionaris voor de gegevensbescherming Hulpinstrumenten Autoriteit Persoonsgegevens 15 Autoriteit Persoonsgegevens 16 Wat betekent de wet voor de toezichthouder Klant Contact Center Elke burger die een vraag, advies of een klacht heeft over de verwerking van persoonsgegevens kan hiermee bij de AP terecht. Op bredere schaal behandelen van klachten Meer zichtbaar in (kleinere) sectoren en organisaties Toezicht en handhaving privacywet Steviger boetebevoegdheden Internationale samenwerking Voorlichting algemeen publiek Voorlichting organisaties (Extra) stimulans voor verantwoordelijken om de wet na te leven Autoriteit Persoonsgegevens 17 Autoriteit Persoonsgegevens 3
Internationale samenwerking toezichthouders Boetebevoegdheid Max 10 miljoen of 2% wereldwijde jaaromzet VERPLICHTINGEN VERANTWOORDELIJKEN BEGINSELEN, GRONDSLAGEN, RECHTEN 1 set regels hele EU One-stop-shop, leidende toezichthouder EDPB Max 20 miljoen of 4% wereldwijde jaaromzet Autoriteit Persoonsgegevens 19 Autoriteit Persoonsgegevens 20 Guidance Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit Administratieve boetes Certificering Profiling Internationaal gegevensverkeer DPIA Toestemming Transparantie Meldplicht datalekken Kijk voor de meest recent gepubliceerde guidelines op www.autoriteitpersoonsgegevens.nl Autoriteit Persoonsgegevens 21 Autoriteit Persoonsgegevens 22 Functionaris Gegevensbescherming Verplicht in 3 situaties Functionaris Gegevensbescherming Niet verplicht, toch een FG Alternatief voor een FG Meerdere organisaties, 1 FG Overheden en publieke organisaties Bijzondere persoonsgegevens Wat moet een FG weten en kunnen Wat moet u regelen Observatie Hoe werkt een FG onafhankelijk Autoriteit Persoonsgegevens Autoriteit Persoonsgegevens 24 4
Leidende autoriteit Dataportabiliteit Recht op overdraagbaarheid van persoonsgegevens Recht om jouw persoonsgegevens te ontvangen Zelf opslaan of doorgeven aan andere organisaties One-stop-shop Land hoofdvestiging bepaalt leidende autoriteit Meerdere vestigingen? Hoofdvestiging is plaats waar beslissingen over doel en middelen gegevensverwerking worden genomen Samenwerking andere privacytoezichthouders Welke gegevens Welk formaat Autoriteit Persoonsgegevens 25 Autoriteit Persoonsgegevens 26 Data protection impact assessment Verplicht bij verwerkingen die hoog privacyrisico opleveren Data Protection Impact Assessment Op welk moment Wie Op welke manier Systematisch en uitvoerig persoonlijke aspecten evalueren Grote schaal bijzondere persoonsgegevens Grote schaal systematisch mensen volgen in publiek toegankelijk gebied Publiceren Voorafgaande raadpleging Autoriteit Persoonsgegevens 27 Autoriteit Persoonsgegevens 28 Wanneer een DPIA uitvoeren Wanneer geen DPIA uitvoeren Beoordelen van mensen op basis van persoonskenmerken Geautomatiseerde beslissingen Stelselmatige en grootschalige monitoring Gevoelige gegevens Grootschalige gegevensverwerkingen Gekoppelde databases Gegevens over kwetsbare personen Gebruik van nieuwe technologieën Blokkering van een recht, dienst of contract Waarschijnlijk geen hoog privacyrisico Al eerder DPIA gelijke verwerking DPIA bij totstandkoming wet Autoriteit Persoonsgegevens 29 Autoriteit Persoonsgegevens 30 5
Hoe kunnen organisaties zich voorbereiden Bewustwording FG Rechten van betrokkenen Meldplicht datalekken Breng uw gegevensverwerkingen in kaart Bewerkersovereenkomsten DPIA Leidende Autoriteit Privacy by design & default Toestemming Autoriteit Persoonsgegevens 31 6