Algemene verordening gegevensbescherming (AVG).. en het onderwijs Pascalle van Eerden Julius Duijts 1
3
Algemeen De AVG wordt van kracht op 25 mei 2018 Van toepassing op verwerking van persoonsgegevens Verwerken: inzien, vastleggen, kopiëren, verwijderen, verstrekken etc. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon Ruim opvatten: NAW, BSN, postcode-huisnummer, IP-adres, maar ook combinaties van gegevens bijvoorbeeld leeftijd, geslacht, postcode, (huur)huis, gezinssamenstelling 4
Kernbegrippen uit de Wbp/AVG Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verwerking van persoonsgegevens: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen Naam Adres Telefoon Geslacht Geboortedatum BSN Opleiding Arbeidsverleden Medische historie Incidenten Aanvragen...
Rollen in de Wbp/AVG Verantwoordelijke: stelt doel en middelen van de verwerking vast Bewerker/Verwerker: verwerkt gegevens in opdracht van een Verantwoordelijke zonder aan zijn rechtstreeks gezag te zijn onderworpen Betrokkene: degene op wie een persoonsgegeven betrekking heeft Ontvanger: een derde die persoonsgegevens ontvangt en zelf verantwoordelijke is Verwerkingsverantwoordelijke Gegevens Bewerkersovereenkomst (art. 14 Wbp) Betrokkenen Verwerker
Toezicht op de Wbp/AVG Toezicht Extern: De Autoriteit Persoonsgegevens (AP) heeft vergaande onderzoeksbevoegdheden School Intern: Organisaties kunnen een Functionaris Gegevensbescherming (FG) benoemen. Voor het onderwijs verplicht vanaf mei 2018 (AVG). FG
Beginselen van de AVG (artikel 5 AVG) Rekenschap (nieuw in AVG) Rechtmatig en behoorlijk Transparant Welbepaalde en gerechtvaardigde doeleinden AVG Juist en Actueel Passende beveiliging Toereikend en noodzakelijk Niet langer dan noodzakelijk (Bewaartermijnen) 6
Rechtmatig (grondslag) expliciet, vrij, specifiek, geïnformeerd en ondubbelzinnig Toestemming Uitvoering overeenkomst Gerechtvaardigde belangen Rechtmatige grondslag Taak van algemeen belang of uitoefening openbaar gezag Vitale belangen Wettelijke verplichting 7
Grondslag voor bepaalde persoonsgegevens is beperkter Bijzondere persoonsgegevens (Art 9 AVG) ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens over seksueel gedrag of gerichtheid. en strafrechtelijke veroordelingen en strafbare feiten (Art 10 AVG) mogen niet worden verwerkt, tenzij: Wettelijke verplicht of toegestaan (Wmo, Jeugdwet, Begeleiding Terugkeer Gedetineerden, etc) Toestemming van betrokkene BSN mag alleen door overheidsorganen of voor werkzaamheden worden gebruikt waarbij het gebruik van het BSN wettelijk is voorgeschreven (denk aan zorginstellingen/-verzekeringen) NB Toestemming is hiervoor geen valide grondslag
Voorwaarden voor rechtmatige verwerking Voorafgaande raadpleging Privacy Impact assessment Privacy by design and default voorwaarden Passend beveiligd Verwerkersover eenkomst 7
Wat had al moeten zijn geregeld? (Wbp). enkele voorbeelden Bewaartermijnen Verwerkers overeenkomsten afsluiten Autorisaties inregelen Grondslagen in beeld Stel ze vast en leef ze na Samenwerking met andere partijen In aantal gevallen nog niet gedaan en soms discussie over de vraag of het moet Wie mag bij welke gegevens? Controle? Op grond van welke taak worden gegevens vastgelegd of gedeeld met andere partijen? 15
Wat moet zijn geregeld? (AVG) enkele voorbeelden Aanstellen FG Governance Register van verwerkingen Registratie incidenten en datalekken Voor 25 mei Inhuren kan ook Samenwerking met andere partijen Maak afspraken over rollen taken en verantwoordenlijkh eden Voorkom dat dit een eenmalige excertise is die herhaald moet worden Voor 25 mei Voor gemeenten openbaar Toezichthouder kan het opvragen Voor 25 mei Toezichthouder kan opvragen 15
Wat kan BMC betekenen? enkele voorbeelden FG Inventarisatie en toetsing Beveiligingscan PIA s Tijdelijk voorzien in de functie van FG Advies over invulling en positionering FG Begeleiding van interne FG die nog niet volledig is staat is functie uit te oefenen Brengt in beeld waar nog niet wordt voldaan aan AVG Zoals bewaartermijnen, verwekersovereenk omsten, grondslagen etc. Opstellen register van verwerkingen Specifiek gericht op de eisen waaraan je moet voldoen in kader van informatiebeveiliging Rapportage over en aanbevelingen bij aanschaf nieuwe systemen of nieuwe werkwijze t.a.v. privacywetgeving 15