Privacy ondersteuning VNG/KING/IBD Ingeborg Smit Strategisch adviseur privacy KING privacy@kinggemeenten.nl
The world s most valuable resource is no longer oil, but data The data economy demands a new approach to antitrust rules
Waar ligt de grens Niks mag Maar kun je dan je werk nog doen? Alles mag Maar zou je daar dan willen wonen?
Algemene verordening gegevensbescherming AVG treedt in werking op 25 mei 2018 Vervangt de huidige Wbp die per die datum komt te vervallen AVG: personen in control van hun eigen persoonsgegevens Dat geldt voor iedereen!! Gemeenten aantoonbaar in control over persoonsgegevens richting: Burgers Raad Toezichthouder AP
AVG - vervolg Op 25 mei 2018 moeten organisaties: Een Functionaris Gegevensbescherming hebben aangesteld Een overzicht hebben van alle verwerkingen van persoonsgegevens (door derden) (inclusief het doel, grondslag en de genomen beveiligingsmaatregelen) Kunnen voldoen aan de rechten van betrokkenen: Inzage Rectificatie Beperking van verwerking Vergetelheid/vergeten te wordenen Overdraagbaarheid
AVG - vervolg Gegevensbeschermingseffectbeoordelingen uitvoeren PIA Grootschalige verwerkingen van bijzondere persoonsgegevens Waarschijnlijk hoog privacy-risico Accountability & transparantie: aantoonbaar in control zijn van alle persoonsgegevens en hierover verantwoording afleggen Privacy by Design / Default in processen, systemin en applicaties Alle mogelijke datalekken registreren Opvolger Wbp: Uitvoeringswet (uavg) nog onderhanden
Wie heeft wanneer wat waarom met gegevens gedaan Logging/monitoring/transparantie Voor welke doeleinden zijn gegevens vastgelegd Wie heeft er naar gekeken Wat heeft hij toen gezien En met welke reden? Voor nu: kan dit?
Ondersteuning gemeenten VNG Bestuurlijk Beleid Lobby/Afstemming ministeries Stakeholdermanagement KING/IBD Operationeel Best practices handreikingen Helpdesk privacy@kinggemeenten.nl
Ondersteuningsproducten Handreiking rol en taken van de FG Handreiking positionering FG Model privacybeleid- en reglement Model verwerkersovereenkomst (IBD) Handreiking privacyverklaring PIA (IBD) Template, handreiking én invulling register van verwerkingen Gepland Rechten van betrokkenen Uitbreiding Gemeentelijke ICT-kwaliteitsnormen Mapping BIG/Privacy/ENSIA
Dataportabiliteit Geldt niet voor verwerkingen in het kader van -algemeen belang -taak in de uitoefening van openbaar gezag Zijn er gemeentelijke verwerkingen die hier wél onder vallen? AVG RO 68: Dit recht mag niet gelden wanneer de verwerking op basis van een andere rechtsgrond dan een toestemming of een overeenkomst geschiedt. Door de aard ervan mag dit recht niet worden uitgeoefend jegens verwerkingsverantwoordelijken die persoonsgegevens verwerken in het kader van de uitoefening van hun openbare taken. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Art 20, 3 e lid AVG: De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 17 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
Verantwoordelijke vs bewerker Art 4 sub 8 AVG: verwerker :een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; Wie bepaalt het doel van de verwerking? Wie bepaalt welke middelen daarvoor worden ingezet? In AVG geen aparte overeenkomst meer nodig, art 28 3 e lid AVG: De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt.