De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Vergelijkbare documenten
Cursus privacyrecht Jeroen Naves 7 september 2017

Handvatten bij de implementatie van de AVG

Algemene Verordening Gegevensverwerking ( GDPR )

Impact AVG op de lokale overheden

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Wettelijke kaders voor de omgang met gegevens

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Privacyreglement Medewerkers Welzijn Stede Broec

Hoe word ik Privacy-proof? 21 november 2017

AVG Algemeen PRIVACYREGLEMENT

PRIVACY VERKLARING. 1. Verwerkingsverantwoordelijke. 2. Verplichtingen van de HA

PRIVACYREGLEMENT Springkussenverhuur Nederland

Plan

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacyreglement Gemeente Borsele

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

ROC Rivor 23 mei Privacyreglement

Wat met de privacy? 19 januari

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Privacybeleid gemeente Wierden

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Procedure Behandeling verzoeken betreffende rechten van betrokkenen

De AVG en de gevolgen voor de uitvoeringspraktijk

Wettelijke bepalingen overeenkomstig de Algemene Verordening Gegevensbescherming

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen. Willem Debeuckelaere WVG Colloquium gegevensindeling

Privacyverklaring cliënten en wettelijk vertegenwoordigers/contactpersonen

Algemene begrippen AVG

Hoe word ik Privacy-proof? 16 JANUARI 2017

Privacy: de AVG voor decentrale overheden

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Actualiteiten loonheffingen

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

PRIVACYVERKLARING. 2. De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Databescherming 2.0 Beginselen van de Algemene Verordening Gegevensbescherming: Bereid je voor in 13 stappen

Privacyverklaring Informatie over gegevensbescherming volgens artikel 13 en 14 AVG

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

We adviseren u deze privacyverklaring goed door te lezen, voordat u akkoord gaat en het VWC toestemming geeft om uw persoonsgegevens te verwerken.

Privacybeleid Beckers Financieel Advies

RSM NEDERLAND PRIVACY VERKLARING

BIJLAGE 11: Bepalingen inzake de verwerkingen van persoonsgegevens door de opdrachtnemer in het kader van dit bestek

Privacy en bescherming van persoonsgegevens Beleidsdocument van stichting BOOR

VERWERKERSOVEREENKOMST (EENZIJDIG)

staat is om de AVG na te komen.

Privacyverklaring Stichting Speelotheek Pinoccio

PRIVACY POLICY EXTERN

PRIVACYBELEID - AccFides

Kedin zal zorgvuldig omgaan met jouw persoonsgegevens en heeft jouw privacy hoog in het vaandel staan.

ViiZ. ViiZ. Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID

Procedure Rechten van betrokkenen

INFORMATIEVEILIGHEID OOSTENDE.BE ALGEMENE PRIVACYVERKLARING VAN DE STAD OOSTENDE

Blockchain Smart Contracts AVG

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Gegevensbescherming en Privacybeleid

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Eyetech. Pagina : 1 van 9 Privacyreglement Eyetech B.V. Versie : 1 Datum : Privacyreglement. Eyetech B.V.

GDPR (Avg) en ISO Beer Franken, Piasau

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Wettelijke kaders voor de verwerking van persoonsgegevens

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

INTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

In 15 stappen op weg naar 2018

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

PRIVACYVERKLARING 1. VOORAFGAAND

PRIVACYVERKLARING 1. WERKINGSSFEER

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacyreglement Bureau Beckers

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Directie/Verwerkingsverantwoordelijke en Functionaris Gegevensbescherming Ondersteunend Medezeggenschapsraad (MR) Aan

Gegevensbescherming en privacybeleid

Privacyreglement Stichting Autisme Campus Friesland

MR WBM VONDENHOFF ADVOCAAT

INFORMATIE OVER DE GEGEVENSVERWERKING

AKJ Privacyverklaring. Goedgekeurd MT 28 mei 2018 Datum volgende evaluatie 1 mei 2021

Agenda. De AVG: wat nu?

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

PRIVACYBELEID BESCHERMING VAN DE PERSOONSGEGEVENS

Privacyreglement WSVH

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Specifieke nieuwigheden als gevolg van de Algemene Verordening Gegevensbescherming dd. 25/05/2018.

Procedure Rechten van betrokkenen in het kader van de EU-AVG 24 mei toe aan de betrokkenen van wie persoonsgegevens worden verwerkt:

MODEL YOOST BV PRIVACYBELEID

Privacybeleid Today s Groep

Privacy in de afvalbranche

Phytalis-Verwerkersovereenkomst

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

[vzw Rozemarijn] PRIVACYVERKLARING PERSONEEL

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Transcriptie:

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan Jolien Dewaele, 25 januari 2018 De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) heeft de laatste maanden heel wat stof doen opwaaien. De nieuwe Europese regelgeving bevestigt een aantal bestaande principes, maar schuift daarnaast ook nieuwe accenten naar voor. Voor organisaties die de Privacywetgeving in het verleden al hebben toegepast en nageleefd, betekent dit dus een voortzetting van het huidige beleid, aangevuld met een aantal nieuwigheden. In deze bijdrage ligt de focus op de GDPR met als doel om duidelijkheid te scheppen in die specifieke nieuwigheden. De toepassing van die nieuwe accenten vergt echter een basiskennis van de bestaande principes die we als uitgangspunt gebruiken. De algemene principes van databescherming Zoals in de inleiding aangegeven, bevestigt de GDPR een aantal basisprincipes op het vlak van gegevensbescherming. Logischerwijs vormen deze principes dan ook het uitgangspunt voor iedereen die aan de slag gaat met gegevens binnen zijn organisatie. Beginselen inzake gegevenskwaliteit Wat betreft de gegevenskwaliteit stelt de regelgever dat persoonsgegevens op een rechtmatige, behoorlijke en transparante wijze verwerkt moeten worden. Rechtmatig betekent dat er telkens een grondslag moet zijn voor de verwerking van persoonsgegevens. Dit is vergelijkbaar met bijvoorbeeld de raadpleging van het Rijksregister. Het raadplegen van het Rijksregister mag alleen op basis van gedefinieerde grondslagen. Een behoorlijke verwerking houdt in dat er gehandeld wordt als een goede huisvader. Om tegemoet te komen aan een transparante verwerking, is het van belang dat natuurlijke personen zich moeten kunnen informeren over de verwerking. Naast die informatie geldt ook een communicatie die opnieuw duidelijk moet zijn ten aanzien van die persoon. Rechtmatige verwerking Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouw ( doelbinding ). (art.1b, GDPR). Om aan rechtmatige gegevensverwerking te kunnen doen, moeten organisaties ten minste aan één van onderstaande voorwaarden voldoen (art.6 GDPR). 1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. 2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokken voor de sluiting van een overeenkomst maatregelen te nemen. 3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. 4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. 6. De verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. De grondslagen voor rechtmatige gegevensverwerkingen zijn niet nieuw. In het kader van de GDPR is het wel van belang om voor elk van die gegevensverwerkingen inzicht te verwerven in deze grondslag. Afhankelijk van de grondslag voor de gegevensverwerking kunnen onder de GDPR verschillende rechten van de betrokkenen voortvloeien. Bijvoorbeeld wanneer de verwerking op toestemming berust heeft de betrokkene het recht om zijn toestemming op eender welk moment in te trekken. Bijzondere categorieën gegevens De GDPR definieert verschillende categorieën van gegevens. Het uitgangspunt betreft uiteraard de persoonsgegevens. Daarnaast zijn er ook nog definities opgenomen van genetische gegevens, biometrische gegevens en gegevens over gezondheid. Gezien de gevoeligheid van de diverse categorieën kan verschillen, is het als organisatie ook van belang om inzicht te verwerven in de aard van de gegevens zoals hiervoor beschreven. Die aard van de gegevens kan immers een impact hebben op de maatregelen die een organisatie moet nemen om de verwerking op een veilige manier te laten gebeuren. Rechten van de betrokkene De Belgische Privacywetgeving voorziet al in een aantal rechten van de betrokkenen, die ook terugkeren in de GDPR. Die rechten zijn: - Recht op informatie - Recht op toegang: verkrijgen van inzage in persoonsgegevens - Recht op verbetering - Recht van bezwaar / beperking - Recht op gegevenswissing (vergetelheid) - Recht niet te worden onderworpen aan profilering (geen geautomatiseerde besluitvorming op basis van gevoelige gegevens tenzij o.a. toestemming) - Recht op overdraagbaarheid van gegevens - Recht op klacht en beroep van betrokkene - Recht op vergoeding en aansprakelijkheid bij schade Het recht op overdraagbaarheid is een nieuw recht dat is toegevoegd in de GDPR. Door de uitoefening van dit recht heeft de betrokkene recht om de persoonsgegevens die op hem van toepassing zijn in een gestructureerde, gangbare en elektronische te krijgen. Beveiliging Organisaties moeten passende technische en organisatorische maatregelen nemen om het beveiligingsniveau te waarborgen dat is afgestemd op de risico s van de organisatie. Internationale doorgifte

Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts doorgegeven worden indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd. (art.44 GDPR) In dit beginsel staat het waarborgen van het passende beschermingsniveau centraal. Organisaties moeten daarom voldoende technische en organisatorische maatregelen nemen. Nieuwe accenten in de GDPR In de bovenstaande paragrafen toonden we aan dat de basisprincipes vanuit de bestaande Privacywetgeving behouden bleven onder de GDPR. Naast die bevestiging van de principes, legt de GDPR ook een aantal nieuwe accenten. We gaan hieronder dieper in op die nieuwe accenten. De GDPR legt de klemtoon op een risicogebaseerde benadering enerzijds en de verantwoordingsplicht anderzijds. Voor de risicogebaseerde benadering vertrekken we vanuit de onderstaande definitie van een risico. Risico = kans x impact Een risico is de kans dat dat een incident / bedreiging / zich voordoet vermenigvuldigd met de impact die dit heeft op de organisatie. Op basis van de inschatting van de risico s kunnen technische en / of organisatorische maatregelen genomen worden. De verantwoordingsplicht houdt in dat de verantwoordelijke voor de verwerking in functie van het risiconiveau verantwoordelijk is voor de naleving van de beginselen (conformiteit van de gegevensverwerkingen) én kan aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals: rechtmatigheid, transparantie, doelbinding, juistheid. Nieuwe terminologie 1 Register van de verwerkingsactiviteiten Zowel de verantwoordelijke als de verwerker moet verplicht een schriftelijk (of elektronisch) register bij te houden, waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Dat register bevat onder andere het volgende: - contactgegevens - de doeleinden van de gegevensverwerking - een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens - de categorieën van ontvangers van de gegevens - indien mogelijk de beoogde bewaartermijnen - indien mogelijk een beschrijving van de beveiligingsmaatregelen 1 Gebaseerd op presentatie Frank Robben (Bron: https://www.frankrobben.be/wp-content/uploads/2016/08/20160610nl.pptx)

Data Protection Officer (DPO) / functionaris voor de gegevensbescherming De functionaris gegevensbescherming is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie en controleert of de organisatie voldoet aan de wet en toepasselijke regelgeving. Hij moet onafhankelijk kunnen functioneren als contactpersoon en mag zowel intern als extern aangesteld worden. Gegevensbeschermingseffectbeoordeling Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Één beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico s inhouden. Dergelijke beoordeling is in ieder geval verplicht bij profilering, de grootschalige verwerking van bijzondere persoonsgegevens of monitoring van openbare ruimten. Hierbij wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. Daarbij moeten de aanwezige risico s in kaart gebracht en beoordeeld worden. In sommige gevallen is het zelfs verplicht om de beoordeling met betrokkenen te bespreken. Privacy by design Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen die aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen die zijn opgesteld met als doel de beginselen van gegevensbescherming, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen Privacy by default De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Ter illustratie hierbij een aantal voorbeelden van maatregelen die in het kader van privacy by design / default kunnen genomen worden: - het minimaliseren van de verwerking van persoonsgegevens - het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens - het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking

- het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback