Algemene Verordening Gegevensbescherming Sjoera Nas Amsterdam 28 maart 2018
Kern van de AVG Privacyrechten Privacytoezichthouders Verantwoordelijken en verwerkers
Privacy Beroepsgeheimen Recht om met rust gelaten te worden Fundamenten van de Nederlandse en westerse rechtsorde Autoriteit Persoonsgegevens 3
Privacy door de jaren heen Voorheen: privacy was je huis, je hoofd en je lichaam Huidige tijd: alles is data Autoriteit Persoonsgegevens 4
Nationale en internationale rechtsbronnen Artikel 8 EVRM (1950) Conventie 108 (1981) Richtlijn 95/46/EG (1995) - nu nog Wbp eprivacy richtlijn 2002/58/EG (laatst herzien in 2009) - Hoofdstuk 11 Telecomwet Artikelen 7 en 8 EU-Grondrechtenhandvest (2000/2009) Artikel 16 VWEU (2007) Autoriteit Persoonsgegevens 5
UAVG en doorwerking van Europees recht Nederlands Uitvoeringswet AVG ligt nu bij Eerste Kamer Nederlandse uitvoeringsruimte is beperkt, wel t.a.v. de journalistieke exceptie, leeftijd van kinderen, gebruik van BSN en verwerking van bijzondere persoonsgegevens Regels uit hoofdstuk 11 Telecomwet blijven gelden (bv spam, cookies) Directe werking Europees recht, rechterlijke toetsing aan internationale verdragsbepalingen Autoriteit Persoonsgegevens 6
Privacyrechten betrokkenen
Wat betekent de wet voor burgers Versterking en uitbreiding privacyrechten Toestemming Klacht bij AP Autoriteit Persoonsgegevens 8
Rechten van betrokkenen Transparante informatie voor de uitoefening van rechten Informatie bij verzameling Recht van inzage Recht om te wijzigen Recht op verwijdering Recht op beperking van de verwerking Kennisgevingsplicht rectificatie, verwijdering, beperking Dataportabiliteit Autoriteit Persoonsgegevens 9
Privacytoezichthouders
Wat betekent de wet voor de toezichthouder Toezicht en handhaving privacywet Steviger boetebevoegdheden Internationale samenwerking Voorlichting algemeen publiek Voorlichting organisaties Autoriteit Persoonsgegevens 11
Klant Contact Center Elke burger die een vraag, advies of een klacht heeft over de verwerking van persoonsgegevens kan hiermee bij de AP terecht. Op bredere schaal behandelen van klachten Meer zichtbaar in (kleinere) sectoren en organisaties (Extra) stimulans voor verantwoordelijken om de wet na te leven Autoriteit Persoonsgegevens
Internationale samenwerking toezichthouders 1 set regels hele EU One-stop-shop, leidende toezichthouder EDPB Autoriteit Persoonsgegevens 13
Leidende autoriteit One-stop-shop Land hoofdvestiging bepaalt leidende autoriteit Meerdere vestigingen? Hoofdvestiging is plaats waar beslissingen over doel en middelen gegevensverwerking worden genomen Samenwerking andere privacytoezichthouders Autoriteit Persoonsgegevens 14
Boetebevoegdheid Max 10 miljoen of 2% wereldwijde jaaromzet VERPLICHTINGEN VERANTWOORDELIJKEN BEGINSELEN, GRONDSLAGEN, RECHTEN Max 20 miljoen of 4% wereldwijde jaaromzet Autoriteit Persoonsgegevens 15
Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit DPIA Administratieve boetes Meldplicht datalekken Autoriteit Persoonsgegevens 16
Guidance Toestemming Transparantie Profiling Internationaal gegevensverkeer Binding Corporate Rules Adequacy referential Certificering Autoriteit Persoonsgegevens 17
Verantwoordelijken en verwerkers
Autoriteit Persoonsgegevens 19
Autoriteit Persoonsgegevens 20
Nieuwe taken voor organisaties Bent u alleen een verwerker of een (gezamenlijke) verantwoordelijke? Verantwoordelijke? Verwerker? Gezamenlijke verantwoordelijke? Autoriteit Persoonsgegevens 21
Functionaris Gegevensbescherming Verplicht voor verantwoordelijken en verwerkers in 3 situaties Overheden en publieke organisaties Bijzondere persoonsgegevens Observatie Autoriteit Persoonsgegevens
Functionaris Gegevensbescherming Niet verplicht, toch een FG Alternatief voor een FG Meerdere organisaties, 1 FG Wat moet een FG weten en kunnen Wat moet u regelen Hoe werkt een FG onafhankelijk Autoriteit Persoonsgegevens 23
Registerplicht verwerkingen Verplicht voor verantwoordelijken èn verwerkers Contactgg iedere verantwoordelijke en FG Categorieën van verwerkingen voor iedere verantwoordelijke Doorgifte Beschrijving Beveiligings maatregelen Autoriteit Persoonsgegevens 24
Data protection impact assessment Verplicht voor (gezamenlijke) verantwoordelijken: bij verwerkingen die hoog privacyrisico opleveren Systematisch en uitvoerig persoonlijke aspecten evalueren Grote schaal bijzondere persoonsgegevens Grote schaal systematisch mensen volgen in publiek toegankelijk gebied Autoriteit Persoonsgegevens 25
Data Protection Impact Assessment Op welk moment Wie Op welke manier Publiceren Voorafgaande raadpleging Autoriteit Persoonsgegevens 26
Wanneer een DPIA uitvoeren Beoordelen van mensen op basis van persoonskenmerken Geautomatiseerde beslissingen Stelselmatige en grootschalige monitoring Gevoelige gegevens Grootschalige gegevensverwerkingen Gekoppelde databases Gegevens over kwetsbare personen Gebruik van nieuwe technologieën Blokkering van een recht, dienst of contract Autoriteit Persoonsgegevens 27
Wanneer geen DPIA uitvoeren Waarschijnlijk geen hoog privacyrisico Al eerder DPIA gelijke verwerking DPIA bij totstandkoming wet Autoriteit Persoonsgegevens 28
Eerstehulpbijprivacy.nl 29
AVG-dossier op website AP
Wekelijks nieuwe Q&A AVG op website AP 31