Recht en Informatica HC5/HC6:

Vergelijkbare documenten
De AVG, wat moet ik ermee?

Cursus privacyrecht Jeroen Naves 7 september 2017

FACTSHEET VERWERKINGSREGISTER

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Chodsky Pes Club Nederland

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

MR WBM VONDENHOFF ADVOCAAT

Vita Zwaan, 16 november 2017

Privacyverklaring. Goldie. Datum laatste goedkeuring directie:

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacy Ad Boumans

Hoe word ik Privacy-proof? 16 JANUARI 2017

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

Wettelijke kaders voor de omgang met gegevens

Toelichting op de Algemene Verordening Gegevensbescherming

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Privacyverklaring. Carre Mode. Datum laatst aangepast: 16 mei 2018

Privacyverklaring. SafeTec Interim

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Hoe word ik Privacy-proof? 21 november 2017

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

Algemene begrippen AVG

Privacyverklaring. Ask Lily. Datum laatst aangepast: 1 maart Datum laatste goedkeuring directie:

Privacy beleid Gastouderbureau Dolfijntjes

PRIVACYREGLEMENT Springkussenverhuur Nederland

PRIVACY POLICY EXTERN

Privacyverklaring. Jan Van Aelst. Datum laatst aangepast: 17 mei 2018

Privacyverklaring. WZG Arendonk. Datum laatst aangepast: 18 juni 2018

Is uw onderneming privacy proof?

Privacyverklaring. Datum laatst aangepast: 4 mei 2018

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Persoonsgegevens en gegevensverwerking binnen Stichting Jeugd en Jongeren Midden-Holland

Privacyreglement Hulp bij ADHD

PRIVACYREGLEMENT Delken&Boot B.V. Paragraaf 1: Algemene bepalingen

Privacyverklaring. Datum laatst aangepast: 18/04/2019

PRIVACYVERKLARING 1. WERKINGSSFEER

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

Privacyverklaring. Macolines. Datum laatst aangepast: 16 mei 2018

Reglement Bescherming Persoonsgegevens van de curie van het Aartsbisdom Utrecht Versie: 1 augustus 2018

Privacyverklaring. Thals vzw. Datum laatst aangepast: 4 februari 2019

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Presentatie ten behoeve van stichtingen en verenigingen. mogelijk gemaakt door Stichting De Slinger en Servicepunt Vrijwilligerswerk

AVG. ALGEMENE VERORDENING GEGEVENS BESCHERMING (General Data Protection Regulation GDPR)

Algemene verordening gegevensbescherming (AVG)

Algemene verordening gegevensbescherming

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Protocol Cameratoezicht

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Privacyverklaring Therapeuten VVET

Vandaag Zorgvernieuwing

Privacyreglement Gemeente Borsele

Algemene verordening gegevensbescherming (AVG) & Inkomensregistratie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

Stichting Pensioenfonds Recreatie. Privacyreglement

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

EXQUISE NEXT GENERATION

In bijlage 1 bij dit document zijn de relevante begrippen uit de privacy wetgeving omschreven die in dit privacy-beleid worden gebruikt.

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Privacyverklaring. La Source. Datum laatste goedkeuring directie:

Privacyverklaring. Macobo. Datum laatst aangepast: 16 mei 2018

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Privacyreglement WSVH

Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Regeling rechten betrokkenen persoonsgegevens

Checklist basisbeginselen privacyregelgeving

Agenda. De AVG: wat nu?

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

REGLEMENT BESCHERMING PERSOONSGEGEVENS. Wageningen University & Research. I Algemene bepalingen II Verwerking van persoonsgegevens...

ROC Rivor 23 mei Privacyreglement

Privacy reglement. Pagina 1 van 9

PRIVACYVERKLARING. Welkom!

Privacyverklaring. 1. Begripsbepalingen. Privacyreglement Dapper Kindercoaching

PRIVACY POLICY klanten en leveranciers

1. Verwerkingsverantwoordelijke

- bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

Privacyreglement ten behoeve van Personeel

Privacyreglement Medewerkers Welzijn Stede Broec

Privacyreglement. 1. Begripsbepalingen

PRIVACYBELEID GOB D-Janina Nederland

AVG Algemeen PRIVACYREGLEMENT

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

PRIVACYVERKLARING. Welkom!

bureau voor sociaal bedrijfskundig advies, verzuim & re-integratie

Privacyreglement. Artikel 1. Bereik

1. Begripsbepalingen In dit reglement wordt verstaan onder:

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Transcriptie:

Recht en Informatica HC5/HC6: Privacybescherming Henry Prakken 28 mei / 4 juni 2018 1

Inleiding/historie Inhoud Hoofdlijnen Algemene Verordening Gegevensbescherming (AVG) Enkele thema s uitgediept Speciale regelingen Spam Cookies 2

Historie 1983: Recht op privacy in Grondwet incl. opdracht tot nadere wetgeving 1990: Wet persoonsregistraties 1995: Europese richtlijn privacybescherming 2001: Wet bescherming persoonsgegevens 2002 - : EU richtlijnen over o.a. spam, cookies, 9/11: alles werd anders Nieuwe bevoegdheden politie, justitie en AIVD Nieuwe bewaar- en afgifteplichten Nieuwe technologieën: Internet, GPS, camera s, gezichtsherkenning, RFID, biometrie, drones, wifi-tracking, wearables... 25 mei 2018: EU-verordening gegevensbescherming vervangt Wbp 3

Art. 10 Grondwet / Art. 8 EVRM Ieder heeft, behoudens bij of krachtens wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer Art 8 EVRM: beperkingen mogen alleen als bij wet voorzien en noodzakelijk in een democratische samenleving in het belang van de nationale veiligheid, openbare veiligheid of het nationale welzijn van het land, het voorkomen van wanordelijkheden of strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van rechten en vrijheden van anderen 4

AVG: wat wordt beschermd? (1) Verwerking van persoonsgegevens Ruime definitie persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon Pseudonimisering: verhullen van iemands identiteit door derden, bijv. door vervangen naw-gegevens patiënt door uniek patiëntennummer (nog steeds persoonsgegeven!) Anonimisering: zorgen dat een gegeven geen persoonsgegeven meer is. 5

AVG: wat wordt beschermd? (2) Verwerking van persoonsgegevens Ruime definitie verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; 6

Enkele actoren Betrokkene: op wie gegevens betrekking hebben (Verwerkings)verantwoordelijke: wie doel en middelen van verwerking bepaalt Verwerker: wie de gegevens verwerkt AP: Autoriteit Persoonsgegevens Tot 1-1-2016 CBP: College Bescherming Persoonsgegevens 7

Art 5 AVG: beginselen verwerking persoonsgegevens Rechtmatig, behoorlijk en transparant Doelbinding Minimaliteit: toereikend, ter zake dienend en noodzakelijk voor de doeleinden Opslagbeperking: niet langer bewaren dan nodig Juistheid: gegevens moeten juist en actueel gehouden worden Integriteit en vertrouwelijkheid: o.a. beveiliging Verantwoordingsplicht: kunnen aantonen dat je de AVG naleeft 8

Hoe krijgt privacybescherming vorm in de AVG? Plichten voor verantwoordelijke: Informatieplichten aan betrokkene Beveiligings- en geheimhoudingsplichten Onderzoeksplichten bij risicovolle verwerkingen Verantwoordingsplichten Rechten van betrokkene inzage, correctie, verzet wissing, vergeten worden dataportabiliteit Normen voor rechtmatigheid van verzamelen en verwerken persoonsgegevens 9

Toepassingsbereik AVG Niet van toepassing op o.a.: Niet geautomatiseerde verwerkingen (tenzij in bestand) Persoonlijke of huishoudelijke activiteiten Inlichtingen- en veiligheidsdiensten Uitvoering politietaak Speciale wetgeving Beperkt toepasbaar op o.a.: Verwerking voor journalistieke, artistieke of literaire doeleinden Rechtmatigheidseisen gelden wel O.a. informatieplichten en verbod verwerking bijzondere gegevens gelden niet. 10

Informatieplichten (artt. 13+14 AVG) In duidelijke en eenvoudige taal! Identiteit verantwoordelijke Doel verwerking Aan welke derden worden de gegevens verstrekt? Rechtsgronden van de verwerkingen Hoe lang worden de gegevens bewaard? Rechten van betrokkene (o.a. dat toestemming altijd ingetrokken kan worden) 11

Andere plichten verantwoordelijke Beveiligingsplichten (aangescherpt(?) t.o.v. Wbp) Meldplicht datalekken Bij AP en soms bij betrokkenen Bijhouden verwerkingsregister (soms) functionaris voor gegevensbescherming aanstellen Bij risicovolle verwerkingen: Gegevensbeschermingseffectbeoordeling uitvoeren (soms) AP vooraf raadplegen 12

Rechten van betrokkenen (1) (Inclusief faciliteringsplichten verantwoordelijke, maar ook uitzonderingen) Recht op inzage, correctie Recht op verzet Belangenafweging, behalve bij direct marketing Recht op gegevenswissing bij intrekken toestemming, als niet meer nodig voor doel, als onrechtmatig, 13

Rechten van betrokkenen (2) Recht om vergeten te worden Bij openbaarmaken van gegevens door verantwoordelijke: doe wat redelijk is om andere verantwoordelijken in te lichten enz.. Recht op dataportabiliteit Recht op kopie persoonsgegevens in gestructureerde, gangbare machineleesbare vorm Alleen als door betrokkene verstrekt en bij verwerking o.g.v toestemming of uitvoeren overeenkomst Recht op uitleg en informatie bij geautomatiseerde besluitvorming 14

Voorbeeld recht op verzet/correctie: Het recht om vergeten te worden EU Hof van J 13-5-2014: Google moet op verzoek links naar oude en niet meer relevante informatie uit de zoekresultaten verwijderen, zelfs als de informatie op zich niet onrechtmatig is, als: De informatie ontoereikend, bovenmatig en niet (meer) ter zake dienend is; of Er zwaarwegende en gerechtvaardigde redenen m.b.t. betrokkene zijn. 15

Rechtmatigheid verzamelen: doelbeginsel Art 5 lid 1b AVG (Art 7 Wbp): Verzamelen persoonsgegevens mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Niet welbepaald: voor marketingdoeleinden 16

Rechtmatigheid verwerken (1): gerechtvaardigde doeleinden Art 6 lid 1 AVG (Art 8 Wbp): Verwerken van gegevens mag alleen: na toestemming betrokkene (of ouder als < 16jr); of als noodzakelijk voor: vervulling wettelijke plicht bescherming van iemands vitale belangen Vervulling taak van algemeen belang of uitoefenen openbaar gezag Uitvoeren of sluiten overeenkomst met betrokkene behartiging gerechtvaardigd belang van verantwoordelijke of ontvanger van gegevens, tenzij strijd met belang, rechten, vrijheden enz van betrokkene (met name wanneer de betrokkene een kind is) 17

Algemeen belang / openbaar gezag Moet altijd op een wet berusten Bij grote privacyinbreuk een speciale wet Voorbeeld: Belastingdienst moet van wet controleren op belastingfraude, en heeft bevoegdheden Maar mocht van HR 24-2-2017 kentekens van politie niet gebruiken om fraude van leaserijders op te sporen Disproportioneel, dus schending art 8 EVRM Speciale wettelijke basis nodig 18

Art 4(11) AVG: Toestemming (1) Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt Vrije, specifieke, geïnformeerde stond al in Wbp 19

Toestemming: Art 7 AVG: Toestemming (2) Moet aantoonbaar zijn; Als onderdeel van verklaring over iets anders (bijv. aanvaarden AV) dan moet verzoek om toestemming in begrijpelijk, gemakkelijk toegankelijk en in eenduidige en eenvoudige taal zijn, zodat onderscheid met rest van de verklaring duidelijk is. Toestemming via verplichte aanvaarding AV waarin toestemmingsbepalingen staan is niet vrij. Kan altijd ingetrokken worden (en moet even eenvoudig zijn als toestemming geven) 20

Art 6 lid 1f AVG: gerechtvaardigde belangen Verwerken van gegevens mag als noodzakelijk voor de behartiging gerechtvaardigd belang van verantwoordelijke of ontvanger van gegevens, tenzij strijd met belang, rechten, vrijheden etc van betrokkene Commercieel belang (noodzakelijk = redelijkerwijs nodig voor reguliere activiteit) Maar opt-out bij direct marketing Vrijheid van meningsuiting Naming and shaming? AP: Nee! Veiligheid Educatieve belangen 21

Rechtmatigheid verwerken (2): afwijken van doel Art 5 lid 1b AVG (Art 9 lid 1 Wbp): verdere verwerking persoonsgegevens moet verenigbaar zijn met doeleinden waarvoor gegevens verkregen zijn Bijv. reclame voor product verwant aan doel Art 6 lid 4 AVG (Art 9 lid 2 Wbp) Verenigbaarheid bepaald door wegen volgende criteria: Verwantschap met oorspronkelijke doel Aard gegevens Gevolgen voor betrokkene Wijze van verkrijging gegevens Mate van passende waarborgen 22

Rechtmatigheid verwerken (4): Bijzondere gegevens Verwerking van bijzondere gegevens (ras of etnische afkomst, godsdienst of levensovertuiging, politieke opvattingen, gezondheid, sexueel leven, lidmaatschap vakbond, gezondheid, genetische gegevens, biometrische gegevens voor identificatie) is verboden tenzij uitdrukkelijke toestemming, wettelijke plicht, zwaarwegend algemeen belang, vitaal belang van betrokkene En uitzonderingen voor specifieke categorieën bijzondere gegevens Deze regels gelden niet voor verwerking voor journalistieke, artistieke of literaire doeleinden 23

Rechtmatigheid verwerken (5): gegevens van strafrechtelijke aard In Wbp nog bijzonder gegeven, nu aparte categorie, met eigen regels Burgers mogen zonder toestemming strafrechtelijke gegevens verwerken mits nodig voor: de beoordeling van een verzoek van betrokkene om beslissing over hem te nemen of prestatie te leveren; of de bescherming van eigen belangen als strafbare feiten jegens u zijn of dreigen te worden gepleegd. 24

Zijn foto s en camerabeelden bijzondere gegevens? Tonen iemands ras, en als gebruikt ter identificatie, dan (volgens AVG) biometrisch gegeven HR 2007: Ja (maar lagere rechters volgen vaak AP 2016) AP 2016: niet als Verwerking niet gericht is op verwerken van bijzondere gegevens of maken onderscheid naar ras; en Niet voorzienbaar is dat dat zal gebeuren; en De verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking Soortelijk voor andere categorieën, zoals medische of godsdienstige gegevens 25

Profiling o.g.v. big data bij de overheid Patronen zijn persoonsgegevens als ze gebruikt (kunnen?) worden voor de evaluatie van persoonlijke aspecten van een gebruiker Zulk gebruik heet profilering Bij profilering gelden alle eisen van AVG Informatieplichten Geen verwerking bijzondere gegevens 26

Geautomatiseerde besluitvorming en profilering (1) Art. 13 lid 2.f en 15 AVG: Recht op informatie over: Nuttige informatie over de onderliggende logica en over het belang en de verwachte gevolgen van de verwerking voor de betrokkene Art. 22 AVG: Betrokkene heeft het recht om hier niet aan onderworpen te worden Als besluit rechtsgevolgen voor hem heeft of hem anderszins in aanmerkelijke mate treft Tenzij uitdrukkelijke toestemming, of noodzakelijk voor totstandkoming of uitvoering overeenkomst En tenzij de geautomatiseerde besluitvorming noodzakelijk is voor voldoen aan wettelijke plicht of uitvoering taak van algemeen belang. 27

Geeft AVG recht op uitleg van specifieke automatische beslissingen? Twijfelachtig: Soortgelijke artikelen in Wbp hebben niet tot die conclusie geleid Drie niveau s van uitleg: 1. Functionaliteit en werking van systeem 2. Het kennismodel (geleerd of gerepresenteerd) 3. Toepassing van het kennismodel op een concreet geval Volgens sommige juristen bedoelt AVG eerste niveau van uitleg 28

Handhaving Uitoefening rechten door betrokkene Klachtrecht betrokkene Elke klacht moet onderzocht worden Toezicht AP boetes en dwangsommen door AP Boetes tot 20 miljoen euro of 4% wereldwijde jaaromzet Beroep op rechter: Tegen bedrijven: civiele rechter Tegen overheid: bestuursrechter 29

Werking AVG buiten de EU Art 3 lid 1 AVG: van toepassing op verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaats vindt. Art 3 lid 2 AVG: van toepassing op verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, wanneer de verwerking verband houdt met: aanbieden van goederen en diensen aan hen in de Unie; of monitoren van hun gedrag voorzover dat gedrag in de Unie plaatsvindt 30

Internationale aspecten Doorgifte gegevens aan landen buiten EG mag zonder vergunning alleen bij adequaat beschermingsniveau privacy (of als aanvullende waarborgen bij doorgifte) VS biedt i.h.a. geen passend beschermingsniveau! 2000: Safe Harbourbeschikking EC: bedrijven die aan safe harbour principles voldoen, hebben dat wel. 2015 door EU Hof vj ongeldig verklaard 1-8-2016: nieuw Privacy Shield (maar geldt ook alleen voor wie in de VS dit aanvaard heeft) April 2010: akkoord EU-VS over doorgifte bankgegevens April 2012: akkoord EU-VS over doorgifte vluchtgegevens Maart 2018: CLOUD act in VS verplicht internetproviders om op verzoek van overheid data van betrokkenen af te staan, waar ook ter wereld opgeslagen. Spanning met AVG en Privacy Shield. 31

Spam: speciale regeling in Tw Hoofdregel: Spam voor commerciële, ideële of charitatieve doeleinden mag alleen na toestemming ontvanger Maar spam over soortgelijke producten en diensten aan bestaande klant mag met opt-out mogelijkheid Melding identiteit verzender en wijze van afmelding verplicht 32

Handhaving spamregeling Tw Bestuursrechtelijk door ACM: bestuursrechtelijke boetes tot EUR 450.000 Dwangsommen Algemeen burgerlijk recht: onrechtmatige daad Versturen spam is niet strafbaar! Maar niet melden identiteit en afmeldingsmogelijkheid wel. 33

Cookies Moeten voldoen aan rechtmatigheidsgronden AVG Bijv. gebruik van door cookie verzamelde gegevens Nieuwe wet 1-1-2013: (in Tw): Informatie vooraf aan betrokkene vereist O.a. doeleinden Bijv. in privacy- of cookiereglement Betrokkene moet ondubbelzinnig toestemming na duidelijke informatie geven voor de cookies Behalve bij functionele cookies (nodig voor communicatie of strikt noodzakelijk voor de gevraagde dienst). Sinds 11-3-2015 ook uitzondering voor first party analytic cookies. Gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst; en geen of geringe gevolgen voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker 34

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback