GDPR voor providers Woensdag 28 maart 2018 14.15-15.00 uur mr. Michelle Wijnant ICTRecht CIPP/E
PROGRAMMA: GDPR MASTERCLASS Ontwikkeling privacywetgeving begrippen Rolverdeling beginselen AVG: 10 belangrijkste punten 45 min.
ONTWIKKELING PRIVACYWETGEVING
PERSOONSGEGEVENS Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Direct herleidbaar; Indirect herleidbaar; Mogelijkheid tot herleiding. uitbreiding persoonsgegevens: IP-adressen, MAC- adressen, cookie ID s, browserinformatie, Geolocatie etc.
BIJZONDERE PERSOONSGEGEVENS Godsdienst/levensovertuiging Ras Politieke gezindheid seksuele leven lidmaatschap van een vakvereniging Genetische gegevens Biometrische gegevens Gezondheid (zowel fysiek als geestelijk) BSN strafrechtelijke gegevens
VERWERKEN VAN PERSOONSGEGEVENS Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
PARTIJEN & ROLVERDELING Betrokkene Doel en de middelen Verwerkt uitsluitend in opdracht van Verwerkingsverantwoordelijke Verwerker
BEGINSELEN INZAKE GEGEVENSVERWERKING Rechtmatig, behoorlijk en transparant; Doelbinding/doelbeperking; Dataminimalisatie; Accuraat en relevant; Niet langer dan nodig bewaren; Afdoende beveiligd; Verwerkingsverantwoordelijke draagt verantwoordelijkheid voor bovenstaande.
GRONDSLAGEN Toestemming Uitvoering overeenkomst Wettelijke plicht Vitale belangen betrokkenen Uitvoering overheidstaak Dringend eigen belang (wetenschappelijk onderzoek) Alleen de gegevens die noodzakelijk zijn!
8 BELANGRIJKE AVG-PUNTEN: 1. Verwerkersovereenkomsten; 2. Rechten van betrokkenen; 3. Privacy by design & privacy by default; 4. Privacy Impact Assessment; 5. Functionaris voor gegevensbescherming; 6. Registerplicht; 7. Passende beveiligingsmaatregelen; 8. Meldplicht datalekken.
1) VERWERKERSOVEREENKOMST Overeenkomst of andere bindende rechtshandeling Categorieën persoonsgegevens & betrokkenen Vastleggen onderlinge rolverdeling; Inschakelen van derden (sub-verwerkers); Verwerken binnen/buiten EU; Beveiligingsmaatregelen; Geheimhouding; Verzoeken betrokkenen; Meldplicht datalekken; Audits; (Aansprakelijkheid).
2) RECHTEN VAN BETROKKENEN Recht op inzage; Recht op rectificatie; Recht op wissing; Recht op beperking; Recht op dataportabiliteit; Recht op bezwaar; Recht om vergeten te worden; Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (waaronder profilering).
3) PRIVACY BY DESIGN Privacy vanaf de ontwikkeling; technische aspecten; organisatorische aspecten; Voorbeeld: PET Technologies, Standaarden en pseudonimisering.
3) PRIVACY BY DEFAULT Standaard instellingen van een programma, website, dienst of apparaat; Relevantie; Noodzakelijk; Wissen a.s.a.p.; Standaard instelling: zo beperkt mogelijk; Voorbeeld: beheer door betrokkene.
4) PRIVACY IMPACT ASSESSMENT (PIA) Wie? Verantwoordelijke; Wat? Voorafgaand onderzoek privacyeffecten nieuw Project; Waarnaar? Welke persoonsgegevens, Doel, Noodzakelijk, Beveiliging, Doorgeven van gegevens; Wanneer? (waarschijnlijke) Risico s privacy betrokkenen; Automatisch beoordelen; Gevoelige gegevens; Openbare ruimten monitoren; Grote schaal combineren (Big Data). Doel: privacy-vriendelijk maken.
5) FUNCTIONARIS GEGEVENSBESCHERMING (FG) Wanneer? Overheidsinstanties; Publieke taken; Observeren; Grote schaal bijzondere persoonsgegevens; Twijfel? Onderbouwing. Taken? Vraagbaak, adviseren, Toezien op naleving AVG, PIA, registerplicht, datalekken, verwerkersovereenkomst. wie? Interne bedrijfsregels + procedures; Integer + zeer professioneel; Direct rapporteren directie; Geheimhouding.
6) REGISTERPLICHT Register verwerker: Naam + contactgegevens; Categorieën verwerkingen; Doorgifte naar landen buiten de EU; Beveiligingsmaatregelen. Register verantwoordelijke: + doeleinden, categorieën gegevens & betrokkenen, ontvangers en bewaartermijnen.
7) BEVEILIGING Passende technische en organisatorische maatregelen Afhankelijk van: Gevoeligheid + hoeveelheid persoonsgegevens; Kosten; Stand van de techniek. Passend, zoals Pseudonimisering en encryptie; Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen; Adequaat en tijdig kunnen reageren op incidenten; Regelmatig testen, evalueren en bijschaven.
BEVEILIGING EN PRIVACY
8) MELDPLICHT DATALEKKEN Beveiligingslek inbreuk op de beveiliging, bijvoorbeeld via: Hacking; Ransomware; verkeerde e-mails; Brand datacenter; Verlies wachtwoorden. Datalek wanneer bij een beveiligingslek persoonsgegevens onrechtmatig: Vernietigd of verloren zijn gegaan; Zijn gewijzigd of verstrekt; Zijn verstrekt; Zijn doorgezonden, opgeslagen of anderszins verwerkt. registerplicht
8) MELDPLICHT DATALEKKEN Verantwoordelijke: melden Autoriteit Persoonsgegevens binnen 72 uur na ontdekking lek. Afhankelijk van het lek: melden aan betrokkenen. Verwerker: Melden aan verantwoordelijke volgens afspraken verwerkersovereenkomst.
VRAGEN? M.WIJNANT@ICTRECHT.NL / 020 663 1941