Algemene Verordening Gegevensbescherming Inwerkingtreding 25 mei 2018 en is van toepassing De veranderingen Ruimere rechten voor individuen met grotere verplichtingen voor de organisatie Verantwoordingsplicht van de organisatie die persoonsgegevens verwerkt, bewaartermijn Verruiming van de aansprakelijkheid die persoonsgegevens verwerkt Meldingsplicht voor inbreuken (datalekken) Versterking van het toezicht en de handhaving door Autoriteit Persoonsgegevens Marktpositie en vertrouwen
Stappenplan Autoriteit Persoonsgegevens Stap 1 Bewustwording processen, diensten, producten Stap 2 Rechten van betrokkenen meer rechten, opvragen Stap 3 Overzicht verwerkingen processen Stap 4 Data protection impact assessment privacy risico's bepalen Stap 5 Privacy by design & privacy by default noodzaak, bescherming, bewaartermijn Stap 6 Functionaris voor de gegevensbescherming FG aanstellen Stap 7 Meldplicht datalekken intern en APG, 72 uur Stap 8 Bewerkersovereenkomsten uitbesteding, salarisadministratie Stap 9 Leidende toezichthouder vestiging meerdere landen Stap 10 Toestemming van betrokkenen, strenge eisen
Persoonsgegevens Persoonsgegevens natuurlijke persoon Identificeerbaar: direct of indirect, herleidbaar zijn tot een individu, wie een persoon is autokenteken, telefoonnummer, foto of andere digitale opnames, duidelijk in beeld Verwerken van persoonsgegevens verzamelen, delen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken wissen en vernietigen van persoonsgegevens Pseudonimisering en anonimisering Pseudonimisering: door koppeling persoonsgegevens, lidmaatschapsnummer Anonimisering: geen persoonsgegevens
Persoonsgegevens Gewone persoonsgegevens naam, (e-mail)adres, woonplaats, telefoonnummer, geboortedatum lidmaatschapsnummer, IBAN-nummer, IP-adres Bijzondere persoonsgegevens ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond genetische gegevens, biometrische gegevens, gezondheidsgegevens, gegevens met betrekking tot gezondheid, iemands seksueel gedrag of seksuele gerichtheid strengere eisen verwerken bijzondere persoonsgegevens eisen ten aanzien van zorgvuldigheid en noodzaak.
Zes grondslagen voor verwerking a. Toestemming van de betrokken persoon b. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst c. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting d. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen e. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag niet van toepassing f. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen niet van toepassing
Grondslag toestemming Vrijelijk gegeven Ondubbelzinnig Geïnformeerd niet iemand onder druk zetten duidelijke actieve handeling informeren over de identiteit van u als organisatie het doel van elke verwerking waarvoor u toestemming vraagt welke persoonsgegevens u verzamelt en gebruikt het recht dat zij hebben om de toestemming weer in te trekken. Specifiek Intrekken Aantonen toestemming voor specifieke verwerking en specifiek doel eenvoudig mogelijk geldige toestemming verkregen, geen geen bezwaar systeem
Grondslag overeenkomst De ander is partij in de overeenkomst Vastleggen voor welk doel Bij verandering doel, aanpassen overeenkomst Opdrachtgevers en opdrachtnemers
Verwerkingsverantwoordelijke en verwerker Verwerkingsverantwoordelijke: bedrijfsvoering en projecten Bent u degene die op grond van een specifieke juridische bevoegdheid het doel en de middelen voor de verwerking vaststelt? Nee Oefent u feitelijk gezien invloed uit over de verwerking van de persoonsgegevens en bepaalt u aldus het doel en de middelen voor de verwerking? Ja Verwerker: dienstverlening Oefent u feitelijk gezien invloed uit over de verwerking van de persoonsgegevens en bepaalt u aldus het doel en de middelen voor de verwerking? Nee Staat u onder het gezag van of in een hiërarchische verhouding tot degene onder wiens verantwoordelijkheid u de persoonsgegevens verwerkt? Nee Verantwoordelijkheden richting betrokkene en APG
Acties Bewustwording toetsing Processen: beschrijvingen, pas-toe-leg-uit, control-cyclus Register opstellen Functionaris gegevensbescherming aanwijzen Organisatie op orde hebben Informatieplicht organiseren Verwerkersovereenkomst Privacystatement Aspecten onderwerp, doel en grondslag, duur, rechtmatigheid, noodzaak, transparantie, bewaartermijn, rechten, soort, rechten en plichten, contactfunctionaris, categorieën betrokkenen en persoonsgegevens, technische en organisatorische maatregelen, toegang
De dagelijkse praktijk Consequenties: welke wel of niet? nieuwsbrieven en periodieke e-mailberichten toestemming voor doorzetten persoonsgegevens aan andere adviseurs attentie meer bij verjaardagen van contactpersonen foto s op websites of linkedin of facebook projectleider of accountmanager verantwoordelijk voor verwerking persoonsgegevens of scheiden van verantwoordelijkheden
De dagelijkse praktijk Projecten en plannen en adviseurs vermelding van opdrachtgevers in rapportages vermelding van adviseurs in rapportages uitvoering onderzoeken en enquêtes en verwerking hiervan afronding project: wissen persoonsgegevens in analoge en digitale correspondentie projectleider of accountmanager verantwoordelijk voor verwerking persoonsgegevens of scheiden van verantwoordelijkheden
De dagelijkse praktijk Inspraakbijeenkomsten: wie is verantwoordelijk? vermelding in uitnodiging en publicatie Intekenlijst voor instemming melding maken publicatiemogelijkheden tijdens bijeenkomst geen vermelding meer van personen in publicaties of organiseer toestemming (met vereisten) geen verslagen met namen zorgvuldigheid Advisering inspraakreacties, zienswijzen, beroepen bij ruimtelijke plannen verwerkersovereenkomst met overheden informatieplicht vanuit overheden voor inschakelen adviseurs adviseurs schakelen andere adviseurs in bewaartermijnen: onherroepelijk worden van het plan of tussentijds schonen volledige persoonsgegevens noodzakelijk voor advisering, intern gebruik
Aan de slag Bewustwording Privacystatement Verwerkersovereenkomsten Overzichten taken, verantwoordelijkheden, rechten en plichten Beschrijving van enkele processen: instemming APG Marktpositie en vertrouwen