Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)
Uit HR trends 2
3
De elf basisprincipes van privacy wetgeving 4
5
10 persoonsgegevens Art 4 letter (1) AVG/GDPR alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon 6
Wat zijn persoons gegevens? Politieke voorkeur BSN IP adres Naam Vingerafdrukken Adres Lidmaatschappen Sekse Ras Email Woonplaats IQ Telefoon nummer Kenteken Salaris Gezondheid Rijbewijs Strafrechtelijk verleden Relationele staat Godsdienst
2 Betrokkene Art 1 letter f WBP (niet in GDPR/AVG) degene op wie een persoonsgegeven betrekking heeft 8
3 verwerken Art 4 letter (2) GDPR/AVG verwerking :een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens 9
4 verwerkingsverantwoordelijke Art 4 (7) GDPR/AVG de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt 10
5 Rechtmatigheid Art 6 GDPR/AVG Verwerking is alleen rechtmatig als: 11
6 Verwerker Art 4 (8) GDPR/AVG degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt 12
7 Verwerkersovereenkomst Art 28 lid 3 GDPR/AVG De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen 13 van de verwerkingsverantwoordelijke worden omschreven.
8 Doel (binding) Art 5 lid 1 letter b GDPR/AVG Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld 14
9 Beveiliging Art 5 lid 1 letter f GDPR/AVG Persoonsgegevens moeten: door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging ( integriteit en vertrouwelijkheid ). 15
11 informatieplicht Art 13 GDPR/AVG Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: 16
Rechtmatigheid voor verwerking persoonsgegevens 17
Rechtmatigheid artikel 6 GDPR/AVG De verwerking is alleen rechtmatig als: De betrokkene toestemming heeft gegeven voor een of meer specifieke doeleinden; de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; 18
Rechtmatigheid artikel 6 GDPR/AVG (2) De verwerking is alleen rechtmatig als: de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; 19
Rechtmatigheid artikel 6 GDPR/AVG (3) De verwerking is alleen rechtmatig als: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. 20
Toestemming vlgs. Art. 4 lid 11 AVG/GDPR toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt; 21
Rechtmatigheid Wordt begrensd door: Subsidiariteitsbeginsel Het doel kan niet op een andere voor betrokkene minder nadelige manier worden bereikt Proportionaliteitsbeginsel Inbreuk op de (privacy)belangen van betrokkene mag niet onevenredig zijn in verhouding tot het doel 22
Informatieplicht 23
Art. 13 lid 1 GDPR/AVG Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f, is gebaseerd; in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; 24
Art. 13 lid 2 GDPR/AVG Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn; dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid; wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt; 25
Bijzondere persoonsgegevens 26
Hoofdregel art. 9 GDPR/AVG Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden. 27
Ziekmelding (wat mag wel) Een werkgever mag als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren: het telefoonnummer en (verpleeg)adres; de vermoedelijke duur van het verzuim; de lopende afspraken en werkzaamheden; of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt); of de ziekte verband houdt met een arbeidsongeval; of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid 28
Ziekmelding (wat mag niet) De werkgever mag in principe geen andere gegevens over de gezondheid verwerken dan de hiervoor genoemde gegevens. Ook niet met toestemming van de werknemer. Uitzondering Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag de werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte registreren. 29
Europese privacy wetgeving 30
Europese privacy wetgeving Europese richtlijn 1995 Wel bindend, geen directe werking Vanaf 25 mei 2018 Algemene Verordening Gegevensverwerking (AVG) General Data Protection Regulation (GDPR) Bindend en directe werking WBP vervalt 31
Waarom nieuwe privacywetgeving? 32
Waarom nieuwe privacywetgeving? Digitale samenleving 1 Europese wet 1995 Europese privacyrichtlijn
Uitgangspunten van de GDPR Gegevensbeperking Bewaarbeperking Doelbeperking Juistheid Transparantie Integriteit en vertrouwelijkheid Verantwoording
Wat betekent de wet voor burgers Versterking en uitbreiding privacyrechten Toestemming Klacht bij AP
Rechten van betrokkenen Recht op inzage Recht op vergetelheid Recht op dataportabiliteit 36 36
Recht op inzage Betrokkene heeft recht op duidelijkheid of gegevens worden bewerkt en inzage in (o.a.) de volgende informatie Verwerkingsdoeleinden Welke persoonsgegevens Aan welke derden worden de gegevens verstrekt Indien mogelijk de periode hoe lang ze zullen worden opgeslagen Mogelijkheid tot indienen van een klacht bij de AP 37 37
Recht op vergetelheid Betrokkene kan vragen om gegevens te wissen en verwerkingsverantwoordelijke is verplicht mee te werken Voorwaarden: Persoonsgegevens zijn niet langer nodig voor het doel Betrokkene trekt toestemming in Betrokkene maakt bezwaar (specifiek) Gegevens zijn onrechtmatig verwerkt Wettelijke verplichting om gegevens na bepaalde tijd te wissen Betrokkene < 16 jaar en gegevens verzameld via app of website 38 38
Recht op dataportabiliteit Overdraagbaarheid van gegevens Geldt alleen als de verwerking gebeurt op grond van: Toestemming Overeenkomst o.g.v. art. 6 lid letter b waarbij de betrokkene partij is 39 39
Wat betekent de wet voor organisaties 1 wet in de hele EU Verantwoordelijkheid en accountability Documentatieplicht Data protection impact assessment (DPIA) Functionaris voor de gegevensbescherming Hulpinstrumenten
Data protection impact assesment Verplicht als verwerking waarschijnlijk een hoog privacyrisico oplevert systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; Op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). 41 41
Functionaris voor de gegevensbescherming Intern verlengstuk van de AP Verplicht bij: Overheid en publieke organisaties Kernactiviteit is op grote schaal individuen volgen Op grote schaal verwerken van bijzondere persoonsgegevens 42 42
Boetebevoegdheid Max 10 miljoen of 2% wereldwijde jaaromzet VERPLICHTINGEN VERANTWOORDELIJKEN BEGINSELEN, GRONDSLAGEN, RECHTEN Max 20 miljoen of 4% wereldwijde jaaromzet 4
Meldplicht datalekken - Wat is een datalek? Beveiligingsincident Persoonsgege vens Verloren gegaan Onrechtmatig verwerkt
Hoe kunnen organisaties zich voorbereiden Bewustwording Functionaris voor de gegevensbescherming (FG) Rechten van betrokkenen Meldplicht datalekken Overzicht verwerkingen Bewerkersovereenkomsten Data protection impact assessment (DPIA) Leidende toezichthouder Privacy by design & default Toestemming
Bewustwording Welke gegevens? Inventarisatie Kernactiviteit Mag het? Rechtmatigheid Bijzondere persoonsgegevens Hoe gaan wij er mee om? Beveiliging Bewaartermijnen Hoe richt je je organisatie en processen in? FG? Meldplicht Medewerkers Communicatie 46 46
Bewustwording Nieuwe privacyregels bekend? (bij bijv. beleidsmakers) Impact AVG inschatten op huidige processen, diensten en goederen Welke aanpassingen nodig? Begin op tijd!
Bedankt voor jullie aandacht!