Privacy regulering & Compliance

Vergelijkbare documenten
Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy regulering & Compliance

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy regulering & Compliance

Ontwikkelingen in privacywet- en regelgeving

Hoe ziet de organisatie privacy?

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

Privacy en de meldplicht datalekken

Algemene verordening gegevensbescherming (AVG)

Agenda. De AVG: wat nu?

Privacy in de afvalbranche

Privacyreglement Medewerkers Welzijn Stede Broec

Algemene Verordening Gegevensbescherming

Cursus privacyrecht Jeroen Naves 7 september 2017

Vita Zwaan, 16 november 2017

De AVG en de gevolgen voor de uitvoeringspraktijk

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Protocol meldplicht datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

AVG Algemeen PRIVACYREGLEMENT

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Algemene verordening gegevensbescherming

Wettelijke kaders voor de omgang met gegevens

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Hoe word ik Privacy-proof? 16 JANUARI 2017

Privacyverklaring Therapeuten VVET

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Algemene Verordening Gegevensbescherming

Privacy reglement. Pagina 1 van 9

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Algemene verordening gegevensbescherming

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Protocol Meldplicht Data-lekken

Privacy Statement Sa4-zorg

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

PRIVACY GOED GEREGELD. Voorjaar 2018

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Hoe word ik Privacy-proof? 21 november 2017

Protocol meldplicht datalekken Voor financiële ondernemingen

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

Sta eens stil bij de Wet Meldplicht Datalekken

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Plan

Gegevensverwerking en Privacy bij samenwerking rond arbeidsparticipatie Analyseren van knelpunten

Handvatten bij de implementatie van de AVG

Raadsmededeling - Openbaar

Privacy Ad Boumans

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

De gevolgen van de AVG

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

Privacyreglement Bureau Beckers

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

De AVG, wat moet ik ermee?

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Beleid en procedures meldpunt datalekken

Actualiteiten loonheffingen

GAAT U NETJES MET PERSOONSGEGEVENS OM?

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

JURIDISCH KADER PERSONALISED FOOD EN DATA

AVG EN DE IMPACT OP UW BUSINESS

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Privacybeleid Today s Groep

Privacyreglement WSVH

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

Is uw onderneming privacy proof?

De wettelijke kaders (van Wbp naar AVG & UAVG)

Privacyverklaring Stichting Speelotheek Pinoccio

PRIVACYBELEID CONVENIENT FASTGUIDE BV

MR WBM VONDENHOFF ADVOCAAT

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Gegevensbescherming en Privacybeleid

Procedure Meldplicht Datalekken

Privacyverklaring Tabor

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Procedure meldplicht datalekken

Privacy wetgeving: Wat verandert er in 2018?

GDPR (Avg) en ISO Beer Franken, Piasau

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Gegevensbescherming/Privacy

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacyreglement versie juli 2018 Inhoud

Protocol meldplicht datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Transcriptie:

0 Privacy regulering & Compliance Leergang Compliance Officer/Professional Nederlands Compliance Instituut Huib Gardeniers Net2Legal Consultants (www.n2l.nl) gardeniers@n2l.nl Net2legal Consultants 2016

De evolutie van het privacyrecht Gelijk niveau van bescherming persoonsgegevens in alle EU-lidstaten 1980 Privacy beginselen 1950 1989 Nationale wetgeving 1995 Europese Privacy richtlijn 2001 Wet Bescherming Persoonsgegevens 2012 2018 Voorstel EU Verordening 25 mei AVG Europees verdrag voor de rechten van de mens Database Compliance Beginnende compliance t.a.v. verwerkingen en organisatie Business compliance Continu in control + accountability

Veranderingen in regelgeving De Algemene Verordening Gegevensbescherming 2012 Voorstel Verordening Mei 2016 Inwerkingtreding Verordening De UAVG, de eprivacy Regulation, Richtlijn gegevensbescherming politie en justitie, EU Guidelines, AP beleidsregels, Verschuiving van focus: Minder juridisch, Meer Security, Governance, Risk en Compliance en Communicatie en voorlichting Wijziging van de Wbp (per 1 januari 2016) 25 mei 2018 Van toepassing Datalekken (Beleidsregels) + Boetebevoegdheid AP (Beleidsregels)

Het veelzijdige juridische kader Gedragscodes Protocollen Sectorale regels Geheimhoudingsbepalingen TW Wbp WOB WPolg AWB Archief wet WvSV Beleidsregels en uitspraken toezichthouder EU Guidelines WJG WOR Sectorale wetgeving WGBO BRP

Gedragscode Financiële instellingen 2010 Gedragscode niet voor incidentenregisters, extern verwijzingsregister Protocol Incidentwaarschuwingssysteem 2011 Afzonderlijke gedragscode voor zorgverzekeraars Naleving: stelsel zelfevaluaties + periodieke risicoanalyses Compliance of afdeling belast met toezicht: zorgplicht dat wettelijke kaders worden nageleefd

Essentiele Bouwstenen Behoorlijk en Zorgvuldig Transparantie Beveiliging Compliance & In control

Persoonsgegevens Wat is een persoonsgegeven? Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Direct en indirect identificeerbaar Zakelijke gegevens en bedrijfsgegevens Geaggregeerde, anonieme en pseudonieme gegevens

Sommige gegevens zijn belangrijker dan andere Bijzondere persoonsgegevens (AVG + Uitvoeringswet t.a.v. strafrecht etc.) Religieuze of levensbeschouwelijke overtuigingen Ras of etnische afkomst Politieke opvattingen Lidmaatschap van een vakbond Gezondheid + Genetische gegevens Seksueel gedrag of gerichtheid Biometrische gegevens identificatie Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen / door rechter opgelegd verbod n.a.v. onrechtmatig of hinderlijk gedrag Verwerking is verboden, behoudens.... bij wet bepaald + uitzonderingen (art.23 Wbp / art. 9 AVG en Uitvoeringswet) Gegevens van gevoelige aard (gegevens met verhoogd risico) Burger Service Nummer (wettelijke persoonsnummers) Gegevens over financiële of economische situatie van betrokkene (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene (gokverslaving, prestaties op school, relatieproblemen, etc.) Gebruiksnamen, wachtwoorden en andere inloggegevens Gegevens die kunnen worden gebruikt voor (identiteits-)fraude Gegevens over kinderen Van belang bij datalekken, informatiebeveiliging, afweging noodzaak gegevens

Is sprake van verwerking van persoonsgegevens? Valt de verwerking binnen de reikwijdte van de wet?

Wie is wie? (verwerkings)verantwoordelijke Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Bewerker/ Verwerker Een extern bureau dat werkzaamheden verricht en zich onderwerpt aan de instructies van de verantwoordelijke en onder zijn verantwoordelijkheid gegevens verwerkt Betrokkene Degene op wie een persoonsgegeven betrekking heeft

Verplichte schriftelijke afspraken Zorgdragen dat de bewerker voldoende waarborgen biedt beveiligingsverplichtingen nakomt, en slechts in zijn opdracht gegevens verwerkt Expliciet akkoord gaan met de diverse aangeboden diensten Toezien op de naleving van de beveiligingsmaatregelen (evt. Third-Party) De uitvoering en beschrijving werkzaamheden in bewerkerscontracten (zoals: autorisaties, logbestanden, opslag gegevensdragers, verstrekken gegevens, achteraf teruggeven en vernietigen van gegevens) Nu Richtsnoeren beveiliging + Beleidsregels meldplicht datalekken Straks artikel 28 en 29 AVG + mogelijk standdaardcontractbepalingen

College bescherming persoonsgegevens -> Autoriteit persoonsgegevens AP Jacob Kohnstamm -> Aleid Wolfsen www.autoriteit Persoonsgegevens.nl www.mijnprivacy.nl Agenda Thema s :

Sancties vanaf 2016 (Wbp) Aanpassing Wbp boetebevoegdheid per 1 januari 2016: Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. - Niet-melden van een datalek: maximaal 500.000 - Overige overtredingen Wbp: maximaal 820.000 / 10% jaaromzet Europese Verordening per 25 mei 2018: maximaal 20 miljoen/ 4% mondiale jaaromzet) Eerder bestaande middelen, mogelijkheden,zoals een dwangsom: in beginsel voor alles, Veel nadruk op beveiliging en niet toegestane verwerkingen, met name gebruik van het BSN

De interne functionaris voor privacy De Functionaris Gegevensbescherming De compliance officer De privacyfunctionaris toezicht houden inventarisaties van gegevensverwerkingen maken register van gegevensverwerkingen bijhouden vragen en klachten van mensen binnen en buiten de organisatie afhandelen interne regelingen ontwikkelen adviseren over technologie en beveiliging (privacy by design / DPIA) Toetsen compliance (rechtmatigheid)

Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld

Verenigbaar verder gebruik Gegevens worden niet verder verwerkt op een wijze onverenigbaar met de doeleinden waarvoor verkregen Verwantschap doelen Aard van de gegevens Gevolgen voor de betrokkene Wijze van verkrijging Passende waarborgen jegens betrokkene Met name van belang: wat mag betrokkene verwachten!

Gronden voor verwerken De ondubbelzinnige toestemming

Gerechtvaardigde doelstelling Ondubbelzinnige toestemming Overeenkomst Wettelijke verplichting Vitaal belang van de betrokkene Goede vervulling publiekrechtelijke taak Gerechtvaardigd belang De grondslagen van artikel 8 Wbp/6AVG

Afweging belangen Verzet (bezwaar)recht betrokkene met individuele afweging (8f) Bijzondere persoonlijke omstandigheden

Nodig Noodzakelijk

Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging

Artikel 13 Wbp Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.

Informatiebeveiliging en dataprotectie Richtsnoeren beveiliging persoonsgegevens (2013) Van adequaat als open norm tot beveiligen volgens normen zoals ISO/NEN Beveiligingsbeleid, plannen en risicoanalyses, maatregelen en het toezicht ook gericht op de feitelijke uitvoering/naleving van maatregelen NEN ISO 27002 Beheer van informatiebeveiligingsincidenten

Meldplicht Datalekken Beveiligingsincident Er heeft zich een beveiligingsincident voorgedaan Datalek Het incident heeft betrekking op persoonsgegevens De gegevens zijn verloren gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten

Bij wie melden? Melding toezichthouder Melding betrokkene + uitzondering op meldplicht voor financiële ondernemingen zoals bedoeld in de Wft: valt al onder de wettelijke zorgplicht van de onderneming (adequaat informeren van de afnemers van uw diensten)

I. Inbreuk op de beveiliging als bedoeld in art.13 Wbp Daadwerkelijk beveiligingsincident waarbij preventieve maatregelen niet toereikend waren om dit te voorkomen. (dus niet uitsluitend een dreiging, of tekortkoming in de beveiliging die kan leiden tot een beveiligingsincident) Voorbeelden van mogelijke incidenten: Een kwijtgeraakte USB-stick Een gestolen laptop Een inbraak door een hacker Een malware besmetting Een calamiteit zoals brand in een datacentrum

II. Datalek= Daadwerkelijk incident + Daadwerkelijke gevolgen Voor een datalek moet het incident daadwerkelijk gevolgen hebben voor de verwerkte gegevens Zoals: gegevens die verloren zijn gegaan, of onrechtmatige verwerking is niet redelijkerwijs uit te sluiten (+ de repressieve maatregelen en herstelmaatregelen zijn niet voldoende om deze gevolgen geheel weg te nemen) Let op!: Een datalek kan zicht ook voordoen als passende technische of organisatorische maatregelen zijn getroffen (en leg dat maar eens uit )

+ alleen melden bij AP bij (aanzienlijke kans op) ernstig nadelige gevolgen voor bescherming van persoonsgegevens Er is geen sprake van een datalek

Wie meldt?: de verantwoordelijke Ook melden als niet duidelijk is wat er is gebeurd en om welke persoonsgegevens het gaat. De melding kan eventueel later worden aangevuld of ingetrokken. Waar: melding bij de Autoriteit Persoonsgegevens via de website www.autoriteitpersoonsgegevens.nl Hoe: met behulp van speciaal webformulier, waarmee de melding ook worden aangevuld of ingetrokken. Wanneer: zonder onredelijke vertraging zo mogelijk niet meer dan 72 uur na ontdekking (indien later dan moet dit desgevraagd worden gemotiveerd). Na het indienen wordt een meldingsnummer getoond ter bevestiging, en voor toekomstige communicatie met de AP

Wat voor meldingen tot nu toe? Verwachting: 60.000 meldingen van datalekken per jaar, maar.. Meestal slordigheden Veel meldingen over onversleutelde gegevensdragers Veel meldingen over organisatorische fouten Specifiek aandachtspunt: beveiliging medische gegevens online Cryptoware / ransomware

Wbp en AVG: waar zitten de verschillen? Artikel 34 a Wbp Artikel 33 en 34 AVG Inbreuk op de beveiliging met aanzienlijke kans op, of die leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Melden inbreuk bij betrokkene: Indien inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer Inbreuk in verband met persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen Melden inbreuk bij betrokkene: Indien inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen

Wbp en AVG: wanneer melden? Artikel 34 a Wbp wanneer melden: zonder onredelijke vertraging + Beleidsregels datalekken: zo mogelijk niet meer dan 72 uur na ontdekking + Beleidsregels datalekken: indien later dan moet dit desgevraagd worden gemotiveerd Artikel 33 en 34 AVG wanneer melden: zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat de verantwoordelijke daarvan kennis heeft genomen Indien langer dan moet een motivering worden toegevoegd

Algemene Wbp Informatieplicht Tenzij de betrokkene al op de hoogte is, informeren over: identiteit verantwoordelijke en doeleinden waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene Straks: alle informatie in duidelijke taal, plus extra info over: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens

Rechten van de betrokkene 1.Informatieplicht 2.Recht op kennisneming 3. Recht op correctie 4. Recht van verzet 5. Recht op vergetelheid 6. Nieuwe rechten Uitzonderingen (art. 43 Wbp/ Uitvoeringswet AVG)

De Verordening: extra rechten Profilering recht om niet te worden onderworpen aan een maatregel waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die deze in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking. Recht op beperking van de verwerking bij betwisten juistheid, onrechtmatig, niet meer nodig, bezwaar. Recht om gegevens mee te nemen (dataportabiliteit) recht op een kopie van de gegevens in een vorm waarbij deze verder door de betrokkene kunnen worden gebruikt. Recht op gegevenswissing (recht op vergetelheid)

Speciale onderwerpen Voorafgaand onderzoek (AVG: PIA voorleggen toezichthouder?) Ander gebruik van persoonsnummers Gegevens verzamelen zonder te informeren Strafrechtelijke verwerkingen t.b.v. derden (blijft bij AVG in Uitvoeringswet) Protocol Incidentenwaarschuwingssysteem Internationale verstrekkingen buiten de EER Passend niveau van bescherming Uitzonderingen, Vergunning, Afspraken Model overeenkomsten en BCR s Naar de VS: Privacy Shield

Wbp Meldingsplicht verwerkingen Meldingsplicht of Vrijstelling Doel: transparantie en vooral toezicht Inhoud: wie verwerkt wat, waar en waarvoor? Melden bij het AP of bij een FG Boete bij ten onrechte niet melden Straks niet meer, maar wat dan?

AVG dossier verplichting Documentatie per verwerking (proces) Basis info over verwerking (soort gegevens, betrokkenen, ect). Hoe is voldaan aan informatieverplichting + teksten Klachten en incidenten zoals datalekken Bewaartermijnen Beleid en maatregelen om compliance aan te tonen Gegevensbeveiliging Beveiligingsbeleid en plannen Risicobeoordelingen Dossier ook beschikbaar voor de toezichthouder! Meer dan art. 30 AVG! ook art. 5, lid 2, 13/14 en 32, lid 1

Privacy Impact Assessment De gegevensbeschermingseffectbeoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, privacy risicoanalyse, maatregelen, waarborgen + aantonen dat maatregelen en waarborgen ook werken Compliance

Geen vaste methodiek Methodiek + verschillende modellen/toepassingen Europa WP 248 oktober 2017 Norea (2012) Toetsmodel Rijksdienst

(D) PIA, PbD, PbD en Privacy audit Privacy by Design (PbD) en Privacy by Default (PbD) speelt bij aanschaf/laten ontwikkelen systemen Privacy audit (Quick Scan/Zelfevaluatie/Audit) PIA > PBD > Implementatie > Audit

Overige compliance maatregelen Functionaris voor gegevensbescherming Gedragscodes blijven en certificering wordt een nieuwe optie

De Verordening: Veel hetzelfde maar dan echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling

Afsluiting

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback