AVG Algemene Verordening Gegevensbescherming
Inhoud presentatie 1. Wat is de AVG? 1. Algemene introductie 2. Wat zijn persoonsgegevens? 3. Is mijn gegevensverwerking rechtmatig? 4. Ben ik verwerkingsverantwoordelijke of verwerker? 1. Plichten verwerkingsverantwoordelijke 5. Welke rechten hebben de betrokkene? 6. Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen?
Inhoud presentatie 2. Wat moet ik doen? 1. Register verwerkingsactiviteiten 2. Informatievoorziening betrokkenen 3. Gegevenbeschermingseffectbeoordeling 4. Toestemming van betrokkene 1. Hoe vraag je het? 2. Bewijs dat de toestemming is verleend 5. Processen voor omgang rechten betrokkenen 6. Verwerkersovereenkomsten opstellen 7. Procedures omtrent datalekken documenteren 8. Register van datalekken
Wat is de AVG?
Algemene introductie AVG Bekend als GDPR opvolger van WBP (Wet Bescherming Persoonsgegevens) Doel Bescherming van natuurlijke personen in verband met het verwerken van hun gegevens Boetes van maximaal 20 miljoen of 4% van de wereldwijde omzet indien deze hoger is
Wat zijn persoonsgegevens? Alle gegevens die: 1. Betrekking hebben op; 2. Een geïdentificeerde, of; 3. Identificeerbare; 4. Natuurlijke persoon; Logingegevens gekoppeld aan mijn IP adres?
Is mijn gegevensverwerking rechtmatig? Rechtmatige doeleinden voor verwerking? Grondslagen gegevensverwerking Toereikend (niet te veel/niet te weinig)
Ben ik verwerkingsverantwoordelijke of verwerker? Antwoord op de vraag: Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Ben ik verwerkingsverantwoordelijke of verwerker? Plichten verwerkingsverantwoordelijke registerplicht Functionaris gegevensbescherming aanstellen Gegevensbeschermingseffectbeoordeling uitvoeren bij risicovolle verwerkingsactiviteiten Bij risicovolle verwerkingsactiviteit, AP raadplegen Rekening houden met privacy by design & default Passende beveiligingsmaatregelen Overeenkomsten met verwerkers
Welke rechten hebben de betrokkene? Het recht op informatie over de verwerkingen; Het recht op inzage in zijn gegevens; Het recht op correctie van de gegevens als deze niet kloppen; Het recht op verwijdering van de gegevens en het recht om vergeten te worden ;
Welke rechten hebben de betrokkene? Het recht op beperking van de gegevensverwerking; Het recht op verzet tegen de gegevensverwerking; Het recht op overdracht van zijn gegevens (dataportabiliteit); Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen? Uw identiteit en uw contactgegevens, of de contactgegevens van uw vertegenwoordiger; Indien u een functionaris voor gegevensbescherming hebt aangesteld, de contactgegevens van deze functionaris; De doelen waarvoor u persoonsgegevens verwerkt; De grondslag waarop u de verwerking baseert; Wanneer u de verwerking baseert op de grondslag gerechtvaardigd belang : wat uw gerechtvaardigd belang is; De eventuele ontvangers of categorieën ontvangers van de gegevens; In geval van verstrekking aan derde landen: of er een adequaatheidsbesluit van de Commissie bestaat, of passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden verkregen, dan wel waar die waarborgen kunnen worden geraadpleegd;
Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen? De bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan; De rechten van de betrokkene (beschreven in dit hoofdstuk); In het geval van toestemming, dat de betrokkene die toestemming altijd weer kan intrekken; Dat de betrokkene het recht heeft een klacht in te dienen over uw verwerking bij de Autoriteit Persoonsgegevens; Of het verwerken van persoonsgegevens een wettelijke verplichting is of noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst Ingeval van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica, het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkene.
Wat moet ik doen? Aantoonplicht
Aantoonplicht 1. Register verwerkingsactiviteiten 2. Informatievoorziening betrokkenen Enkel maatregelen niet voldoende Aantoonbaar maken aan de AP Wat moet je kunnen aantonen? 3. Gegevenbeschermingseffectbeoordeling 4. Toestemming van betrokkene 1. Hoe vraag je het? 2. Bewijs dat de toestemming is verleend 5. Processen voor omgang rechten betrokkenen 6. Verwerkersovereenkomsten opstellen 7. Procedures omtrent datalekken documenteren 8. Register van datalekken
Aantoonplicht Wat moet erin? Verwerkingsactiviteiten bijhouden waarvoor je verwerkingsverantwoordelijke bent Vormvereiste Contactgegevens (FG) Doeleinden Categorieën betrokkenen & persoonsgegevens Doorgifte persoonsgegevens buiten de EU (indien van toepassing) Bewaartermijnen persoonsgegevens (indien mogelijk) Technische en organisatorische beveiligingsmaatregelen (indien mogelijk)
Informatievoorziening betrokkenen (privacy policy) Contactgegevens Contactgegevens FG (indien aangesteld) Doelen voor gegevensverwerking Grondslagen gegevensverwerking Eventuele ontvangers van de gegevens of categorieën
Gegevenbeschermingseffectbeoordeling (PIA) Noodzakelijk bij hoog risico Hoog risico: Geautomatiseerde profilering waaruit besluiten komen met rechtsgevolgen voor de betrokkene Op grote schaal bijzondere categorieën persoonsgegevens verwerken Grootschalig en stelselmatig mensen volgen in openbare ruimtes (cameratoezicht)
Toestemming van betrokkene Documenteren hoe de toestemming gevraagd wordt Vastleggen dat de toestemming verleend is
Processen voor omgang rechten betrokkenen Welke rechten hebben betrokkenen? Het recht op informatie over de verwerkingen Het recht op inzage in zijn / haar gegevens Het recht op correctie van de gegevens als deze niet kloppen Het recht op verwijdering van de gegevens Het recht op beperking van de gegevensbewerking Het recht op verzet tegen de gegevensverwerking Het recht op overdracht van zijn / haar gegevens (dataportabiliteit) Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming
Processen voor omgang rechten betrokkenen Wat moet ik doen? Procedures opstellen voor omgang met rechten
Verwerkersovereenkomsten opstellen Wat is het? Overeenkomst Verwerkingsverantwoordelijke verwerker
Verwerkersovereenkomsten opstellen Wat moet er in staan? Onderwerp en duur verwerking Aard en doel verwerking Soort persoonsgegevens wat verwerkt wordt Rechten en verplichtingen van de verantwoordelijke Persoonsgegevens niet voor andere doeleinden worden gebruikt Verwerking van gegevens door gemachtigde personen Niveau beveiliging van verw. en verantw. hetzelfde is Handelswijze rechten betrokkenen Meldplicht datalekken Eindigen overeenkomst = wissen gegevens Mogelijkheid uitvoeren audits Afspraken sub-verwerkers
Procedures omtrent datalekken documenteren Handelswijze opstellen omtrent datalekken Proces vastleggen Wat te doen bij het vinden? Oorzaak lek vinden Achterhalen gedupeerde betrokkene Betrokkene informeren Melden bij AP
Register van datalekken Opstellen register van ontstane datalekken
Samenvattend Cookiemelding (tracking cookies) Privacy policy Verwerkersovereenkomsten Rechten betrokkenen
GDPR / AVG scan Heb jij alle stappen gezet om aan de wet te voldoen? Vraag nu de scan aan: www.creativeict.nl/gdpr-scan/
Bronnen https:/autoriteitpersoonsgegevens.nl/sites/de fault/files/atoms/fileshandleidingalgemenever ordeninggegevensbescherming.pdf