Welkom. Cure4Legal 14 september 2018

Vergelijkbare documenten
Privacyreglement Medewerkers Welzijn Stede Broec

AVG Algemeen PRIVACYREGLEMENT

Cursus privacyrecht Jeroen Naves 7 september 2017

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

Wettelijke kaders voor de omgang met gegevens

ALGEMENE VERORDENING GEGEVENSBESCHERMING

PRIVACYREGLEMENT Springkussenverhuur Nederland

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Bijlage Gegevensverwerking. Artikel 1 - Definities

GDPR (Avg) en ISO Beer Franken, Piasau

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Hoe word ik Privacy-proof? 21 november 2017

Algemene begrippen AVG

Stichting Pensioenfonds Recreatie. Privacyreglement

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Hoe word ik Privacy-proof? 16 JANUARI 2017

Algemene verordening gegevensbescherming

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Verwerkersovereenkomst INTRAMED ONLINE

Procedure meldplicht datalekken

Vandaag Zorgvernieuwing

Workshop AVG en de nieuwe NEN Beer Franken, Piasau

Algemene Verordening Gegevensbescherming

De AVG, wat moet ik ermee?

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

EXQUISE NEXT GENERATION

PRIVACYVERKLARING 1. WERKINGSSFEER

De Algemene Verordening Gegevensbescherming

Phytalis-Verwerkersovereenkomst

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

bureau voor sociaal bedrijfskundig advies, verzuim & re-integratie

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Dit document behoort toe aan; Fysiotherapie Bennie de Jonge Schoorstraat JW Klazienaveen Hierna te noemen: de organisatie

Vita Zwaan, 16 november 2017

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

Privacy reglement. Pagina 1 van 9

De gevolgen van de AVG

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacyreglement Stichting Bedrijfstakpensioenfonds voor de Meubelindustrie en Meubileringsbedrijven

Privacybeleid Today s Groep

Verwerkersovereenkomst

Privacyreglement Gemeente Borsele

ROC Rivor 23 mei Privacyreglement

VERWERKING VAN PERSOONSGEGEVENS

Privacyreglement WSVH

[vzw Rozemarijn] PRIVACYVERKLARING PERSONEEL

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

Privacy op de werkvloer. 22 maart 2018 / Emiel de Joode / Marta Stephanian

Privacyreglement Werkzaak Rivierenland

Privacyverklaring Therapeuten VVET

Privacyreglement verwerking persoonsgegevens Geactualiseerde versie mei 2018

PRIVACYREGLEMENT DOCUMENTBEHEER ALGEMEEN

Privacy Reglement CCN

Privacyreglement Stichting Bedrijfstakpensioenfonds Mode-, Interieur-, Tapijt-, en Textielindustrie

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Checklist basisbeginselen privacyregelgeving

Privacyreglement verwerking persoonsgegevens

Privacyverklaring Personeel

Chodsky Pes Club Nederland

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

AVG. ALGEMENE VERORDENING GEGEVENS BESCHERMING (General Data Protection Regulation GDPR)

De Groene Grachten. Protocol gegevensbescherming

Privacybeleid. Gemeente Weststellingwerf

PRIVACYREGLEMENT Artikel 1. Algemeen Artikel 2. Definities Persoonsgegevens: Verantwoordelijke: Verwerking/Verwerken: Verwerker Betrokkene:

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Privacy in de afvalbranche

Privacyreglement Spoor3 BV

PRIVACY GOED GEREGELD. Voorjaar 2018

Privacyreglement STICHTING NTCB

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

Plan

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Algemene verordening gegevensbescherming

Checklist Verwerkersovereenkomst

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

VERWERKERSOVEREENKOMST KRYB

Privacyverklaring VVET

UPDATE AVG START PRESENTATIE

MR WBM VONDENHOFF ADVOCAAT

PRIVACY REGLEMENT ORIONIS WALCHEREN

Algemene Verordening Gegevensbescherming (AVG)

2. In deze overeenkomst (de Verwerkersovereenkomst) wordt onder de volgende begrippen verstaan:

Verrijn Stuartlaan 1F 2288 EK RIJSWIJK T KvK-nummer: Privacyreglement

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Privacyreglement Gemeente Tiel

Privacyverklaring Stichting Speelotheek Pinoccio

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Verwerkersovereenkomst

Privacybeleid RitAssist Nederland B.V.

Transcriptie:

Welkom Cure4Legal 14 september 2018

Even voorstellen Marieke van Dijk Legal Counsel en Functionaris Gegevensbescherming Cure4 www.cure4.nl M - 06 17 58 07 05 E-mail - marieke.van.dijk@cure4.nl

https://youtu.be/ayxm56yjwso

Privacy en arbeids- en organisatieadvies Hoe slikken we die grote blauwe olifant door?

Agenda 1 Inleiding 2 Juridisch kader 3 De verwerking van persoonsgegevens 4 Specifieke thema s; verwerking van gezondheidsgegevens 5 Datalekken 6 Wat gaat u nu doen?

Privacy in het nieuws 6

Artikel 10 Grondwet Artikel 7 en 8 Grondrechtenhandvest Artikel 8 EVRM Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens

De bedoeling van de AVG is om privacy binnen de Europese Unie meer te harmoniseren Teksten uit de AVG mogen niet herhaald worden in nationale wetgeving, omdat de AVG rechtstreekse werking heeft Maar: niet alle onderdelen uit de AVG hebben rechtstreekse werking nationale uitwerking is mogelijk Lidstaten hebben de mogelijkheid om nadere regels te stellen in verband met de verwerking van persoonsgegevens in het kader van de arbeidsverhouding

AVG Uitvoeringswet AVG Opinies en guidelines van de WP29/European Data Protection Board Jurisprudentie en aanvullende nationale wetgeving

De AVG heeft rechtstreekse werking en mag niet in de nationale wet worden gekopieerd De nationale wetgever heeft op bepaalde punten de mogelijkheid voor nationale invulling De wetgever heeft gekozen voor een beleidsneutrale invulling van de AVG Wetgever wil ervoor zorgen dat er niet meer wijzigt dan strikt noodzakelijk is op grond van de AVG Inspanningen om te voldoen aan de AVG vloeien niet alleen voort uit nieuwe eisen die de AVG stelt, maar ook uit het feit dat er ook nu niet altijd aan de geldende normen op grond van de Wbp wordt vol daan.

Register van verwerkingsactiviteiten Verwerkersovereenkomst en overeenkomsten met andere verantwoordelijken Borging rechten van betrokkenen Passende technische en organisatorische beveiligingsmaatregelen Toepassing privacy by design/privacy by default/dataminimalisatie/uitvoering PIA s Aanwijzing van een Functionaris Gegevensbescherming

Betrokkene Persoonsgegevens Verwerkingsactiviteit Verwerkingsverantwoordelijke Verwerker

De betrokkene Een geïdentificeerde of identificeerbaar natuurlijke persoon 16

Wat is een persoonsgegeven? Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon Een persoon is identificeerbaar als die direct of indirect kan worden geïdentificeerd 17

Wat is een verwerking? Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés Kortom: alles wat je met een persoonsgegeven doet! Voorbeelden: Verzamelen Vastleggen Ordenenen Structureren Opslaan Bijwerken of wijzigen Opvragen Raadplegen Gebruiken Verstrekken door middel van doorzending Verspreiding of op andere wijze ter beschikking stellen Combineren Afschermen Wissen of vernietiging 18

Verwerkingsverantwoordelijke of verwerker Verwerkingsverant woordelijke Een natuurlijke persoon of rechtspersoon [ ] die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; [ ] Verwerker Een natuurlijke persoon of rechtspersoon, [ ] die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt 19

Afspraken over passende beveiligingsmaatregelen Onderwerp en duur van de verwerking Aard en doel van de verwerking Soort persoonsgegevens Categorieën van betrokkenen Rechten en verplichtingen van verantwoordelijke Verwerking volgens instructies verantwoordelijke Vertrouwelijkheid Meewerken aan uitvoering rechten betrokkene Meewerking aan nakoming verplichtingen in het kader van beveiliging Meldplicht datalekken Afspraken omtrent teruggave over vernietiging gegevens bij einde verwerking Plicht tot meewerken in het kader van audit of controles

Wanneer is sprake van een rechtmatige verwerking van persoonsgegevens? 21

Artikel 5 Lid 1 beginselen inzake de verwerking van persoonsgegevens Rechtmatigheid, behoorlijkheid en transparantie Doelbinding Minimale gegevensverwerking Juistheid Opslagbeperking Integriteit en vertrouwelijkheid Nieuw: lid 2 verantwoordingsplicht De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen

Voor welk doel worden gegevens van medewerkers verwerkt? Hoe maak je de keuze voor de juiste grondslag? Hoe ga je om met de bewaartermijnen? Wie krijgen er toegang tot persoonsgegevens en met wie worden gegevens gedeeld? Hoe informeer je de betrokkenen?

Artikel 6 AVG Toestemming Uitvoering overeenkomst Voldoening wettelijke verplichting Bescherming vitaal belang betrokkene of andere natuurlijke persoon Vervulling van een taak van algemeen belang Gerechtvaardigd belang verantwoordelijke

Artikel 7 AVG De AVG legt de lat voor toestemming hoger stelt voorwaarden voor toestemming: moet kunnen worden aangetoond; moet vrijelijk gegeven zijn; het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met andere aangelegenheden Toestemming kan altijd weer worden ingetrokken maakt de verwerking kwetsbaar

Artikel 6 lid 1 onder b AVG Welke gegevens worden verwerkt ter uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór de sluiting van de overeenkomst maatregelen te nemen

Artikel 6 lid 1 onder c Maak een duidelijk onderscheid tussen de verwerking van gegevens in het kader van een wettelijke plicht ten opzichte van de verwerking in het kader van de uitvoering van een overeenkomst Verband met recht op gegevenswissing bijvoorbeeld na einde overeenkomst: wat was het doel van de verwerking en op welke grondslag is het gebaseerd. Bijvoorbeeld wel recht op wissing van gegevens uit het personeelsdossier waarvoor geen doel meer kan worden bepaald na einde dienstverband bijvoorbeeld beoordelingsverslagen verwerkt in het kader \ van de uitvoering van de arbeidsovereenkomst. Geen recht op wissing van gegevens die de werkgever op grond van een wettelijke plicht dient te bewaren bijvoorbeeld naam en salarisgegevens.

Artikel 6 lid 1 onder f AVG Uitvoering van de balance test: Legitimate Interest Assessment (LIA) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en fundame ntele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Let op met verdere verwerking verwerking voor een ander doel dan waarvoor de gegevens zijn verzameld artikel 6 lid 4 AVG Let op dat betrokkenen een recht van bezwaar hebben bij de verwerking van gegevens op grond van gerechtv aardigd belang en dat de betrokkene daarover ook moet worden geïnformeerd

Wanneer mag een BSN worden verwerkt?

Transparantiebeginsel Recht op beknopte, begrijpelijke en gemakkelijk toegankelijke informatie over de verwerking van persoonsgegevens: Welke gegevens worden er verwerkt? Wat is het doel van de verwerking en verwerkingsgrond? Aan wie worden de gegevens verstrekt? Hoe lang worden de gegevens bewaard? Welke waarborgen worden er getroffen in het kader van de beveiliging van de gegevens?

Bepaal de wettelijke termijnen Bepaal de termijn gekoppeld aan het doel waarvoor de persoonsgegevens zijn verzameld Stel beleid en maatregelen op ter naleving van de vastgestelde bewaartermijnen

Intern Waartoe hebben ze toegang/welke gegevens krijgen ze verstrekt? Voor welk doel hebben ze die toegang nodig? Extern Werkgever, Verzekering, Belastingdienst, UWV, Arbodienst etc.: wordt de betrokkene geïnformeerd?

Procedure De verwerkingsverantwoordelijke dient de uitoefening van de rechten van betrokkenen (in beginsel) kost eloos te faciliteren Verwerkingsverantwoordelijke dient onverwijld, maar in ieder geval binnen een maand informatie te gev en over de acties die zijn ondernomen. Termijn kan met maximaal 2 maanden worden verlengd Indien geen actie wordt ondernomen betrokkene informeren over rechten (klacht of procedure)

Verwerking van gezond heidsgegevens door werkgevers AP: Verwerking gezondheidsgegevens wearables door werkgevers mag niet

Uitgangspunt: verwerking is verboden, tenzij

De werkgever mag geen gegevens betreffende de gezondheid verwerken In het verzuimoverzicht van werkgever mogen géén gezondheidsgegevens worden opgenomen; De werkgever mag geen diagnose stellen, dit is voorbehouden aan de arbodienst/bedrijfsarts; De arbodienst/bedrijfsarts mag geen medische dossiers in het verzuimoverzicht opslaan als de werkgever dat verzuimsysteem gebruikt en beheert; De werkgever mag geen toegang hebben tot de medische gegevens; Het systeem moet voldoen aan bepaalde beveiligingsvereisten, en er moeten afspraken worden gemaakt over wie er toegang mag hebben tot dat systeem en over de wijze waarop toegang wordt verleend (meerfactorauthenticatie, alleen gebruikersnaam en wachtwoord is onvoldoende).

Maar de werknemer gaf toch toestemming?

het telefoonnummer en (verpleeg)adres; de vermoedelijke duur van het verzuim; de lopende afspraken en werkzaamheden; of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt); of de ziekte verband houdt met een arbeidsongeval; of sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde is betrokken Waarom mag de werkgever deze gegevens wel verwerken? - Bepaal het doel - Stel de grondslag vast - Bewaartermijn administratieve verzuimgegevens: maximaal 2 jaar na einde arbeidsrelatie

Meldplicht Datalekken Beschermende maatregelen

46

Inbreuk op de beveiliging van persoonsgegevens, waardoor.. onbevoegd toegang wordt verkregen tot persoonsgegevens;..persoonsgegevens worden vernietigd of gewijzigd of....wanneer persoonsgegevens vrijkomen zonder dat dit de bedoeling is van de organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook onrechtmatige verwerking of het onbedoeld vernietigen daarvan 47

Wanneer moet een datalek worden gemeld onder de AVG? Artikel 33 AVG Iedere inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wat moet u in ieder geval doen? Laten zien dat u een datalek heeft geconstateerd en verantwoorden waarom u vindt dat er waarschijnlijk geen risico voor de rechten en vrijheden van natuurlijke personen aan verbonden is. Accountability: zorg voor een goede documentatie van alle inbreuken, met inbegrip van de feiten, de gevolgen, corrigerende maatregelen en uw afwegingen. 48

Melding aan betrokkenen Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen 49

Melding aan betrokkenen is niet vereist Wanneer passende technische en organisatorische beschermingsmaatregelen zijn genomen die zijn toegepast op de persoonsgegevens waarop de inbreuk plaatsvond, zoals versleuteling, Als de verantwoordelijke achteraf maatregelen heeft genomen om het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, Wanneer het groot aantal betrokken gevallen betreft, waardoor de melding onevenredig veel moeite zou kosten en waarbij een openbare mededeling kan volstaan, of Wanneer melding afbreuk zou doen aan een zwaarwegend belang 50

Wat gaat u nu doen?

Maatregelen of instrumenten? Met de verplichting om een register van verwerkingsactiviteiten aan te leggen? Met de aanwijzing van een Functionaris Gegevensbescherming? Met het opstellen en sluiten van verwerkersovereenkomsten? Met het uitvoeren van Privacy Impact assessments (PIA s)

Dus: Hoe kunt u de privacy principes implementeren? We weten wat we verwerken en waar de data heen gaan Compliance De betrokkene staat bij ons centraal We beveiligen persoonsgegev ens op een passende manier We zijn eerlijk en transparant 54

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback