Algemene Verordening Gegevensbescherming 2 november 2018 Margreet Vink-Bos Eikenstraat 20 8021 WX Zwolle T 085 488 50 00 contacthco@historischcentrumoverijssel.nl www.historischcentrumoverijssel.nl
Allereerst Eikenstraat 20 8021 WX Zwolle T 085 488 50 00 contacthco@historischcentrumoverijssel.nl www.historischcentrumoverijssel.nl
Inleiding AVG is Europese Verordening, met Uitvoeringswet daaraan gekoppeld per land Regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie worden hiermee gestandaardiseerd 4 mei 2016 AVG formeel vastgesteld & in werking getreden Sinds 25 mei 2018 AVG van toepassing AVG is in plaats van gekomen van de Wet Bescherming Persoonsgegevens
Doel AVG Bescherming van persoonsgegevens binnen de Europese Unie Waarborgen van vrij verkeer van persoonsgegevens binnen de Unie - versterking en uitbreiding van privacyrechten - meer verantwoordelijkheden voor organisaties (waarborgen privacy bij verwerking persoonsgegevens, verantwoordingsplicht, verwerkingsprocessen administreren in register van verwerkingen)
Wat zijn persoonsgegevens? Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (= de betrokkene) (art. 4 AVG) Direct of indirect identificeerbaar bijvoorbeeld naam, (email)adres, telefoonnummer, locatiegegevens, wachtwoorden, IP-adressen, medische dossiers, vingerafdruk, foto Betreft dus alleen levende personen
Reikwijdte AVG De AVG is van toepassing op: de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin opgenomen te worden. Dit kan dus ook op analoge bestanden betrekking hebben.
Grondslagen verwerkingen Persoonsgegevens mogen niet worden verwerkt, tenzij er ten minste één wettelijke basis (grondslag) is om dit te doen: 1 Toestemming van de betrokken persoon. 2 De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. 3 De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. 4 De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. 5 De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. 6 De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Scope Intern: gevolgen voor bedrijfsvoering, interne informatiehuishouding, bewustwording medewerkers Extern: dit heeft betrekking op dienstverlening naar onze klanten (burgers, bedrijven, instellingen).
Draagvlak Privacy is een onderwerp dat van belang is voor alle medewerkers van de organisatie Medewerking van iedereen Privacy begint al bij jezelf: schermvergrendeling, wachtwoorden niet onderling uitwisselen. Kennisverbetering en -deling
MSMD: samenwerking met verschillende rollen
Rol HCO MSMD MSMD is zowel een deelnemersplatform als een leveranciersplatform: HCO heeft een centrale rol en is de spin in het web HCO faciliteert technische ondersteuning voor de deelnemers en moet als verwerkersverantwoordelijke verwerkersovereenkomsten afsluiten met de softwareleverancier DEVENTit en websitebouwer LimoenGroen, zodat er voldoende technische maatregelen genomen worden om persoonsgegevens op de website MSMD te waarborgen HCO stelt als voorwaarde - om actief gebruik te kunnen maken van de website door deelnemers en gebruikers - dat zij een account aanmaken en de gebruikersvoorwaarden accepteren.
Rol deelnemer MSMD Deelnemers zelf zijn ook weer verwerkersverantwoordelijke, zij zijn inhoudelijk verantwoordelijk voor de data die zij plaatsen op de website MSMD. Daarvoor moeten ze de gebruikersvoorwaarden van MSMD accepteren. Deelnemers moeten ook bewustwording creëren bij hun eigen betrokkenen. Deelnemers moeten bepalen op basis van welke grondslag zij persoonsgegevens van betrokkenen verwerken. Deelnemers moeten zo nodig met betrokkenen zelf afspraken maken (toestemming vragen)
Aanpak HCO MSMD Bewustwording (bij deelnemers) creëren (via netwerkbijeenkomst) Handreiking voor deelnemers opstellen over AVG Verwerkersovereenkomsten afsluiten met softwareleverancier DEVENTit en LimoenGroen Privacy bij design of default toepassen op website MSMD Gebruikersvoorwaarden aanpassen Deelnemersovereenkomsten opstellen en vastleggen Privacyverklaring op website MSMD aanpassen naar AVG
Aanpak deelnemer MSMD Bewustwording creëren bij hun betrokkenen (leden) AVG opnemen in visie historische verenigingen Visie vertalen naar beleidsstukken (privacybeleid, -reglement, -verklaring) historische verenigingen Nalopen werkprocessen op borgen privacy van de persoonsgegevens Gegevensverwerkingen in kaart brengen door historische verenigingen Documenteren welke persoonsgegevens verwerkt worden (register van verwerkingen; niet altijd verplicht, wordt wel aangeraden)
AVG-proof (1) Hoe kunt u als deelnemer / organisatie aantonen aan de Autoriteit Persoonsgegevens dat u aan uw plichten hebt voldaan? Daarvoor kunt u een aantal dingen doen. Als men aan deze punten voldoet, dan is de organisatie behoorlijk AVG-proof. Verwerkingen persoonsgegevens: Register van verwerkingen aanleggen en bijhouden (advies) Verwerkersovereenkomsten met andere organisaties opstellen Procedure grondslag toestemming opstellen: documenteren van de wijze waarop u toestemming vraagt en het bewijs dat de toestemming is gegeven Datalekken: Procedure omgang datalekken opstellen Datalekken bijhouden in een datalekkenregister
AVG-proof (2) Privacy: Privacybeleid, -reglement, -verklaring opstellen of aanpassen aan AVG door de deelnemers Gegevensbescherming: Privacy by design (ontwerpfase): nemen van technische en organisatorische maatregelen door al in het begin van het ontwerp invulling te geven aan bescherming van persoonsgegevens (pseudonimisering en dataminimalisatie) Privacy by default (gebruiksfase): de standaardinstellingen in systemen zijn ingesteld om maximale privacybescherming te borgen (voorbeeld: dat mensen zich actief voor een nieuwsbrief moeten aanmelden en dat dit niet standaard aan staat). Gegevensbeschermingsbeoordeling: Privacy Impact Assessment (PIA): documenteren van de gegevensbeschermingseffect-beoordelingen op hoge risico s bij nieuwe verwerkingen.
Documenten voor AVG Een aantal documenten kunnen binnen de eigen organisatie in kader van de AVG niet ontbreken: Verwerkingsregister: hierin staan alle activiteiten die je als organisatie doet met betrekking tot persoonsgegevens. Ook staat hierin welke gegevens dat dan zijn, waarom je ze nodig hebt, en hoelang je ze bewaart als je ze niet meer nodig hebt. Verwerkersovereenkomsten Procedure omgang datalekken Datalekkenregister Gegevensbeschermingsbeleid Privacyverklaring, -beleid, -reglement Procedures grondslag toestemming persoonsgegevens
Beeldmateriaal MSMD Geschiedenis is een levend element in onze samenleving. Het HCO vindt het belangrijk dat de geschiedenis van Overijssel herkenbaar en toegankelijk is voor alle mensen, zowel in Overijssel als daarbuiten. Naast het HCO spelen historische verenigingen, archiefinstellingen en andere beheerders van mooie collecties in Overijssel een belangrijke rol in de zorg voor het behoud en de presentatie van het cultureel erfgoed van Overijssel. Het platform MijnStadMijnDorp bestaat uit de website MijnStadMijnDorp, de digitale onderzoeksomgeving www.onderzoekoverijssel.nl en het collectiebeheersysteem OpenAtlantis (DEVENTit). Teneinde dit doeleinde te kunnen uitoefenen is het van belang dat beeldmateriaal bewaard en getoond kan worden op de website MSMD.
Toepassing AVG en MSMD (1) Vraag blijft of historische foto s in beeldbanken, zoals MSDM, onder bijzondere persoonsgegevens kunnen vallen. Dat zou alleen zo zijn wanneer er personen herkenbaar in beeld zijn. In dat geval zou gebruik gemaakt kunnen worden van Uitvoeringswet AVG artikel 24 (Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden): Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien: a. de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening; b. het onderzoek, bedoeld in onderdeel a, een algemeen belang dient; c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Beeldmateriaal in de huidige databases op MSMD is dermate zo omvangrijk dat het niet evenredig is voor de deelnemers van MSMD, zoals historische verenigingen, om met terugwerkende kracht uitdrukkelijke toestemming te vragen aan betrokkenen. Hiervoor is echter nog geen jurisprudentie!!
Toepassing AVG en MSMD (2) Advies: Volg het uitgangspunt van piep -systeem: actie ondernemen als er bezwaar gemaakt wordt door betrokkenen. Vermeld altijd duidelijk wat en hoe je zaken geregeld hebt om de privacy van betrokkenen te waarborgen (privacyverklaring, -beleid en reglement). Vraag toestemming bij het plaatsen van nieuw beeldmateriaal. Kopieer persoonsgegevens naar niet publieke velden (historische context blijft zo wel aanwezig) of anonimiseer. Doe aan dataminimalisatie (als een naam volstaat hoef je niet allerlei andere gegevens vermelden).
Ten slotte Iedere organisatie moet voor zichzelf bepalen op basis van welke grond en met welk doel zij persoonsgegevens verwerkt en online aanbiedt. Daarnaast heeft zij de plicht om dit te verantwoorden. De geest van de AVG wordt de komende jaren in de praktijk en in de rechtszaal bepaald.
Bronnen en hulpmiddelen https://www.nationaalarchief.nl/archiveren/kennisbank/informatiefolderalgemene-verordening-gegevensbescherming http://www.archiefbrain.nl/downloads/factsheet_privacy_en_archivering.pdf https://kia.pleio.nl/file/download/55805623 https://autoriteitpersoonsgegevens.nl/
Vragen?