IMMA special Privacy AVG/GDPR

Vergelijkbare documenten
IMMA special Privacy AVG/GDPR

Cursus privacyrecht Jeroen Naves 7 september 2017

De AVG, wat moet ik ermee?

IMMA special Privacy. Amersfoort, 20 april 2016

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Handvatten bij de implementatie van de AVG

Algemene Verordening Gegevensbescherming (AVG)

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Algemene Verordening Gegevensverwerking ( GDPR )

FACTSHEET VERWERKINGSREGISTER

Vita Zwaan, 16 november 2017

Vandaag Zorgvernieuwing

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

De AVG en de gevolgen voor de uitvoeringspraktijk

Agenda. De AVG: wat nu?

Algemene verordening gegevensbescherming

Blockchain Smart Contracts AVG

FACTSHEET DATALEK. Inleiding

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Algemene verordening gegevensbescherming

Profiling & Privacy. Xomnia Innovations Meet-Up. Anton Ekker, 25 mei 2016

Algemene verordening gegevensbescherming (AVG) & Inkomensregistratie

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Chodsky Pes Club Nederland

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Privacy Ad Boumans

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

PRIVACY POLICY

Algemene Verordening Gegevensbescherming

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Privacy en Security AVGewogen beleid 29 november 2017

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Praktijkmiddag AVG: de eerste ontwikkelingen. Liesbeth Woolschot Marieke Thijssen Monique Hennekens

Privacy in de afvalbranche

Privacy: de AVG voor decentrale overheden

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

PRIVACY GOED GEREGELD. Voorjaar 2018

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Toelichting op de Algemene Verordening Gegevensbescherming

AVG. #IABnl. Algemene Verordening Gegevensbescherming. Deloitte Privacy Advisory. 6 juni 2017

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Handleiding. Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Gegevensbescherming/Privacy

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Actualiteiten loonheffingen

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

VERWERKEN VAN PERSOONSGEGEVENS

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

MR WBM VONDENHOFF ADVOCAAT

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Hoe word ik Privacy-proof? 16 JANUARI 2017

MGH Privacy verklaring

Privacybeleid Administratiekantoor de Jong VOF

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

Privacy en de meldplicht datalekken

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Algemene verordening gegevensbescherming (AVG)


Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING : EEN KORT OVERZICHT( * )

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

De gevolgen van de AVG

Privacy beleid Gastouderbureau Dolfijntjes

Data Protection Same Game, Other Rules

Privacybeleid gemeente Wierden

De Master spreekt Privacywetgeving 2018 (AVG)

Checklist voorbereiding op de AVG

PRIVACY POLICY. Hierna volgen enkele definities van termen die doorheen dit document zullen worden gebruikt.

Privacyreglement Medewerkers Welzijn Stede Broec

EXQUISE NEXT GENERATION

Plan

Voorbereid op de nieuwe privacywet in 10 stappen

AVG- VERKLARING. door Rico Magsino

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

Privacy Referentie Architectuur

Wettelijke kaders voor de omgang met gegevens

Beleidsdocument Privacy en bescherming van Persoonsgegevens

GDPR : de uitdaging voor de zorgsector Pseudonimisering en Anonimisering van gegevens

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Algemene Verordening Gegevensbescherming

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

Privacyverklaring. SafeTec Interim

De Algemene Verordening Gegevensbescherming

onderzoek en privacy WAT ZEGT DE WET

Privacyreglement Gemeente Borsele

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Transcriptie:

IMMA special Privacy AVG/GDPR Utrecht, 7 november 2017 Iris Koetsenruijter: koetsenruijter@considerati.com, 06-28613217 Rob Mouris: rob.mouris@minienm.nl, 06-27061622 1

Opzet Special Korte voorstelronde Nut & noodzaak privacywaarborging Uitleg basisbeginselen rondom persoonsgegevens Korte herhaling a.d.h.v. praktijkvoorbeelden Belangrijkste nieuwe eisen onder de AVG/GDPR Discussie & vragen Afsluiting Privacy special 7 november 2017

Wie zijn wij? Iris Koetsenruijter: privacy adviseur van IMMA Rob Mouris: adviseur thema spitsmijden en IMMA Privacy special 7 november 2017 3

Nut & noodzaak privacywaarborging

Risico s Persoonlijk leed Reputatieschade: resulteert in verlies aan vertrouwen in de organisatie bij burgers. Politieke afbreukrisico s Hoge nalevingskosten wanneer toezichthouder onderzoek doet. Het niet kunnen gebruiken van persoonsgegevens voor de gewenste doeleinden. Bestuurlijke boete toezichthouder Privacy special 7 november 2017 5

Bestuurlijke boetes toezichthouder Sinds 1 januari 2016: o Max. 820.000,-- bij niet melden van datalek en overige overtredingen uit de Wet bescherming persoonsgegevens, of o Max. 10% v.d. jaaromzet indien voor die overtreding een boete van 820.000 euro naar het oordeel van de AP geen passende straf is voor die rechtspersoon. Vanaf 25 mei 2018: o Max. 20 miljoen, of o 4% van de wereldwijde jaaromzet Privacy special 7 november 2017 6

Uitleg basisbeginselen rondom persoonsgegevens

Wat is een persoonsgegeven? (Artikel 4 lid 1 AVG) Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Een persoon is uniek geïdentificeerd wanneer deze uniek is te onderscheiden van andere personen op basis van de gegevens. Bijv. NAW maar ook to single out. Een persoon is identificeerbaar wanneer de mogelijkheid tot directe of indirecte identificatie bestaat met name aan de hand van een identificator. Privacy special 7 november 2017 8

Wat is identificeerbaar? Of iemand identificeerbaar is hangt af van de middelen van de verantwoordelijke of een derde: Grond 26: om te bepalen of een persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen Privacy special 7 november 2017 9

10

Verduidelijking van het begrip persoonsgegeven - Direct (bijv. naam) of indirect identificeerbaar (combinatie van unieke identifiers ) - Identificatie gebeurt door identifiers zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon - Uitgangspunt = redelijk toegeruste verantwoordelijke (objectief) rekening houdend met de bijzondere expertise, technische faciliteiten, etc. van de verantwoordelijke (subjectief). - Reële mogelijkheid om identiteit te achterhalen, geen theoretische of hypothetische mogelijkheid. - AP hanteert een ruimte interpretatie van het begrip persoonsgegeven. Daarom: indien gegeven gebruikt kan worden om onderscheid te maken: behandel het als een persoonsgegeven. Privacy special 7 november 2017 11

Ook persoonsgegeven wanneer identificatie door inschakelen derde plaats kan vinden HvJ EU 19 oktober 2016, zaak C 582/14 (Patrick Breyer tegen Bondsrepubliek Duitsland), ECLI:EU:C:2016:779 Overweging 49: Een dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd {...}, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Het feit dat de verantwoordelijke de persoonsgegevens niet direct kan relateren aan een persoon, is niet doorslaggevend. De derde kan het namelijk wel. Vervolgens moet worden bepaald of de mogelijkheid om de persoonsgegevens te combineren met aanvullende gegevens van de derde een middel is waarvan mag worden aangenomen dat zij redelijkerwijs kan worden gebruikt door de verantwoordelijke. Dat is NIET het geval als het bij wet verboden is of als het praktisch onmogelijk is omdat het buitenproportionele moeite kost in termen van tijd, geld of mankracht. Dat is WEL het geval als er juridische wegen bestaan om de informatie bij de derde op te vragen. Privacy special 7 november 2017 12

Privacy special 7 november 2017 13

Korte pauze Privacy special 7 november 2017 14

Korte herhaling van de huidige eisen uit de IMMA PRA

Overzicht van de Privacy Referentie Architectuur: 11 eisen 1. Verantwoordelijkheid 2. Legitiem doel en grondslag 3. Dataminimalisatie 4. Doelbinding 5. Informatie en transparantie 6. Delen van gegevens met derden 7. Rechten van de betrokkene 8. Informatiebeveiliging 9. Bewaren en vernietigen 10. Gegevensexport 11. Meldplicht datalekken Privacy special 7 november 2017 16

Reclameborden op NS stations Persoonsgegevens? Informatieplicht? Onderzoek AP Privacy special 7 november 2017 17

RWS Kentekenonderzoek Delen van gegevens met derden? Privacy special 7 november 2017 18

Facebook Profiling Transparantie Informatieplicht? Privacy special 7 november 2017 19

Milieuzone Rotterdam Doelbinding? Verstrekken aan derden? Privacy special 7 november 2017 20

Bodycams Politie Grondslag? Informatieplicht? Privacy special 7 november 2017 21

Fraudehandhaving DUO Grondslag? Doelbinding? Privacy special 7 november 2017 22

Kenteken invoeren om te parkeren Bewaartermijn? Privacy special 7 november 2017 23

Onterechte publicatie gevoelige gegevens Meldplicht datalekken? Privacy special 7 november 2017 24

Aangepast BABW Grondslag Doelbinding Dataminimalisatie Privacy special 7 november 2017 25

Algemene Verordening Gegevensbescherming: de belangrijkste nieuwe eisen

Accountability Aantoonbaar voldoen aan de AVG (art. 24 AVG) Passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Register van gegevensverwerkingen (art. 30 AVG) NVT op organisaties met < 250 personen in dienst, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10) Aanstellen Data Protection Officer (art. 37 AVG) in de volgende gevallen: Overheidsinstantie Verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen Grootschalige verwerking van bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10) Privacy special 7 november 2017 27

Versterken van de privacy borging Extra eisen bij geautomatiseerde besluitvorming, waaronder profiling (art. 22 AVG) Bij een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor de betrokkene rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft: ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten. Ook heeft de betrokkene het recht op uitleg van de genomen beslissing en moet de verantwoordelijke de effectiviteit kunnen aantonen, passende wiskundige en statistische procedures hebben gevolgd en zorgen dat onjuistheden in de persoonsgegevens en het risico op fouten is geminimaliseerd. (Overweging 71) Privacy special 7 november 2017 28

Versterken van de privacy borging Data protection by design and by default (art. 25 AVG) Treffen van passende technische en organisatorische maatregelen (bijv. pseudonimisering) om de gegevensbeschermingsbeginselen (bijv. minimale gegevensverwerking) op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen en om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Uitvoeren DPIA (art. 35 AVG) Verplicht indien gelet op de aard, de omvang, de context en de doeleinden de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Onder meer bij: een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; grootschalige verwerking van bijzondere categorieën van gegevens (art. 9 lid 1) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten (art. 10); of stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Privacy special 7 november 2017 29

Uitbreiding rechten van betrokkene Informatieplicht (art. 12-14 AVG) Informatie verstrekken in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal Recht om vergeten te worden (art. 17 AVG) De persoonsgegevens moeten worden verwijderd indien: De gegevens niet langer nodig zijn voor de doelen waarvoor zij zijn verzameld De betrokkene zijn toestemming intrekt of bezwaar maakt De persoonsgegevens onrechtmatig zijn verwerkt Indien dit is vastgelegd in een wettelijke verplichting Recht op dataportabiliteit (art. 20 AVG) Betrokkene heeft het recht zijn gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verantwoordelijke over te dragen, zonder daarbij te worden gehinderd, indien: de verwerking berust op toestemming of op een overeenkomst; en de verwerking via geautomatiseerde procedés wordt verricht. Ook rechtstreeks aan nieuwe verantwoordelijke verstrekken. Privacy special 7 november 2017 30

Discussie en vragen? Privacy special 7 november 2017

Afsluiting Dank voor jullie aandacht! Privacy special 7 november 2017

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback