1 General Data Protection Regulation (GDPR) A l g e m e n e v e r o De AVG is in werking r d e n i n g g e g e v e n s bgetreden e s c h e r m i n g ( AV G ) U dacht AVG proof te zijn? 25 m ei 2018 29 mei 2018 LEAN LAWYERS
2 Law made simple.
3 Wat is de AVG? Algemene Verordening Gegevensbescherming veuropese verordening à rechtstreekse werking vgeldt voor de hele EU
4 Doel AVG v Privacy is een grondrecht v Bewust omgaan met persoonsgegevens v Verbod op verwerking van bijzondere persoonsgegevens v Vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp)
5 Belangrijkste veranderingen Recht op inzage en rectificatie Uitzondering persoonlijke notities
6 Belangrijkste veranderingen Recht op vergetelheid
7 Belangrijkste veranderingen Recht op dataportabiliteit
8 Belangrijkste veranderingen Recht van bezwaar
9 Belangrijkste veranderingen Meer verantwoordelijkheden organisaties
10 Belangrijkste veranderingen Meer bevoegdheden voor toezichthouders
11 Basisregels v Doelbepaling en doelbinding v Grondslag v Dataminimalisatie v Transparantie v Data-integriteit v Beveiliging
12 Proactief AVG is een open kader v Open normen v Doe daar je voordeel mee v Ontwikkel je eigen beleid v Zie het als een dynamisch proces
13 Hoe beperk je de risico s op boetes? v Laat zien dat je AVG serieus neemt v Volg een helder, overzichtelijk stappenplan Kijk bijv. op à AVGstappenplan.nl v Documenteer wat je doet om stap voor stap compliant te worden Zo voorkom je paniek en chaos op het moment, dat aan de deur wordt geklopt
14 Compliance, stap voor stap
15 Stap 1a - vaststellen Stel vast, verwerken jullie persoonsgegevens? 100% zeker Wat is eenpersoonsgegeven? v Informatie over een geïdentificeerde of identificeerbare natuurlijke persoon v Geheel of gedeeltelijk geautomatiseerd of in bestand opgenomen v Welke persoonsgegevens worden verwerkt? v Van wie? v Welk doel? v Met wie worden ze gedeeld?
16 Stap 1a - vaststellen Organisatie X stuurt een brief naar bedrijf Diederiks Bouw BV. De adressering is volgt: J. Johansen Diederiks Bouw BV Postweg 1 1018 CD Utrecht Is sprake van persoonsgegeven in de zin van AVG?
17 Stap 1a - vaststellen Foto medewerkers/sprekers op website à persoonsgegeven?
18 Stap 1b - vaststellen Verwerken financiële dienstverleners bijzondere persoonsgegevens? 100% zeker ja
19 Stap 1b - vaststellen Wat is een bijzonder persoonsgegeven? Een persoonsgegeven waaruit het navolgende blijkt v ras of etnische afkomst v politieke opvattingen v religieuze of levensbeschouwelijke overtuigingen v lidmaatschap vakbond v gegevens over gezondheid v gegevens m.bt. seksueel gedrag/ gerichtheid v genetische en/of biometrischegegevens
20 Stap 1b - vaststellen Maar De Uitvoeringswet biedt voor financieel dienstverleners in de zin van de Wft een uitzondering indien de gezondheidsinformatie noodzakelijk is voor de uitvoering van een overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering. Let op
21 Stap 1b - geheimhouding Let op! Voorwaarde is dat alle werknemers gebonden zijn aan geheimhoudingsbeding Zet dit uitdrukkelijk op papier, neem een boetebepaling op en laat de werknemers (en ook onderaannemers ) hierbij voor akkoord tekenen Zie voor een model bijv. à DOConDEMAND.nl https://www.docondemand.nl/product/geheimhoudingsbeding-werknemer-voorbeeld/
22 Stap 2 privacy-verantwoordelijke Stel eenprivacy-verantwoordelijke aan Documenteer
23 Stap 3 - bewustwording Bewustwording v Training van alle medewerkers v Voorlichting van medewerkers Documenteer
24 Stap 4 - inventariseer Inventariseer vwelke persoonsgegevens worden verwerkt? vwaar komen ze vandaan? vwaar gaan ze naar toe? vwie kan bij de gegevens? Documenteer
25 Stap 5 - privacyverklaring Maak eenprivacyverklaring / privacy statement (extern) vbeknopt vtransparant vbegrijpelijk vgemakkelijk toegankelijk (website) Hebbenjullie eenprivacyverklaring? Let op: AP gaat dit controleren
26 Stap 6 - privacy policy (intern) Maak een privacy policy Voor intern gebruik (medewerkers) Waarin intern privacy-beleid wordt vastgelegd
27 Stap 6 - privacy policy (intern) Neem in deze policy op wat werknemer moet doen bij verlies laptop, telefoon etc. Let op: versturen e-mail naar verkeerd adres is datalek > protocol datalekken Let ook op dataminimalisatie bijvoorbeeld bij HR wat is het beleid? hoe lang worden gegevens bewaard (sollicitanten, functioneringsgesprekken, vertrekkende werknemers)? Is dit beleid vastgelegd en kenbaar voor werknemers?
28 Stap 6 - AVG & HR Bewaartermijnengegevens werknemers Verschillende bewaartermijnen vfiscale aspecten salarisadministratie - 7 jaar vloonbelasting verklaring - 5 jaar vkopie ID - 5 jaar voverige - 2 jaar vafgewezen sollicitanten - 2 jaar Check of jullie administratie hier op is ingericht
29 Stap 7 beveiliging Breng beveiligingsniveau en risico s in kaart Je moet passende technische en organisatorische maatregelen nemen Wat voor beveiligingsmaatregelen hebben jullie op dit moment getroffen? Overweeg qua (privacy)beveiliging een certificaat te verkrijgen, bijv. ISO certificaat 27001 (informatiebeveiliging) en voor de website in ieder geval een SSL certificaat
30 Stap 8a verwerkersovereenkomsten Inventariseer en check verwerkersovereenkomsten vhebben jullie verwerkersovereenkomsten? vzijn ze AVG-proof? Let op! Bepaal steeds goed wie verwerker is en wie verwerkersverantwoordelijke is.
31 Stap 8b verantwoordelijke Verzekeraar en tussenpersoon beide verantwoordelijke!
32 Stap 9 protocol datalekken Maak een protocol datalekken Voldoen jullie aan Wet Melding Datalekken 2016? Geen protocol - risico hoge boetes
33 Stap 9 protocol datalekken Wat is datalek? Gegevens vallen in handen van derden die geen toegang tot deze gegevens zouden mogen hebben. Houdt deze situatie een risico voor betrokkene(n) in?
34 Stap 9 protocol datalekken Voorbeelden Uitgelekte computerbestanden Gestolen mobiele telefoon Gestolen of zoekgeraakte geprinte klantenlijst Cyberaanvallen E-mail verzonden aan het verkeerde adres Gestolen laptops Afgedankte niet schoongemaakte computers Verloren USB-sticks
35 Stap 10 register Hebben jullie een register nodig? Hebben jullie meer dan 250 werknemers in dienst? Worden er bijzondere persoonsgegevens verwerkt? Bijv. binnen HR? Of elders? Ziek personeel Register aanhouden Gezondheidsgegevens zijn bijzondere persoonsgegevens BSN is volgens Uitvoeringswet - bijzonder persoonsgegeven
36 Stap 10 register BSN Financieel dienstverleners verwerken dit bijv. voor een cliëntenonderzoek (Wwft) Probleem bij bijv. bemiddelen spaarrekeningen, hypothecaire kredieten, beleggingsproducten etc. à bank / beleggingsinstelling vraagt altijd BSN ADVIES BSN separaat verstrekken aan aanbieder, daarna direct - voor opslaan in eigen administratie - BSN onzichtbaar te maken
37 LEAN LAWYERS Het AVG Noodpakket Vanaf aanstaande vrijdag (gratis) te downloaden via LEAN LAWYERS Kijk ook op www.avgstappenplan.nl www.docondemand.nl www.lean-lawyers.nl
38 LEAN LAWYERS Vragen? Bel, mail of whatsapp ons LEAN LAWYERS Dries Beljon advocaat co-founder 085 3036429 dries@leanlawyers.nl