PRIVACY SIDN fonds Menno Weij 3 februari 2016
AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie
TERMINOLOGIE Belangrijkste termen Wbp Persoonsgegevens Betrokkenen Verwerken Verantwoordelijke / bewerker Autoriteit Persoonsgegevens
PRIVACY Welke vragen? Worden er (bijzondere) persoonsgegevens verwerkt? Wie is verantwoordelijke, en wie is bewerker? Is er een grondslag voor de verwerking? [NB: function creep!!] Is er geïnformeerd? Wat is het doeleinde van de verwerking? [NB: function creep!!]
PERSOONSGEGEVENS (I) Persoonsgegevens elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon NAW, kenteken, telefoonnummer, e-mailadres, BSN, IP-adres, Mac adres, Chip ID
Persoonsgegevens (I) Persoonsgegevens elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon NAW, kenteken, telefoonnummer, e-mailadres, BSN, IPadres, Mac adres, Chip ID
PERSOONSGEGEVENS (II) Let op bijzondere persoonsgegevens! Godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging Hogere drempel voor verwerking (lees: vrijwel altijd toestemming)
VOORBEELDEN
TOEPASSINGSBEREIK Verwerking persoonsgegevens activiteiten verantwoordelijke in Nederland Gevestigd buiten de EU en niet in Nederland? Wbp van toepassing als gebruik wordt gemaakt van middelen in Nederland Aanwijzen vertegenwoordiger in Nederland
GRONDSLAG Voor elke verwerking is een grondslag vereist Belangrijkste grondslagen: Toestemming Uitvoering overeenkomst Gerechtvaardigd belang Bijna alles is een verwerking Anonimiseren Vernietigen
ONDUBBELZINNIGE TOESTEMMING Elke vrije, specifieke en geïnformeerde wilsuiting Niet mogelijk als machtsverhouding dat niet toelaat Toestemming mag niet verstopt zijn in voorwaarden
GERECHTVAARDIGD BELANG Afweging tussen bedrijfsbelang en privacybelang Marketingdoeleinden Treffen waarborgen Opt-out Dataminimalisatie Aggregeren / anonimiseren
PROBLEEM Doelbinding (function creep) Welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Persoonsgegevens verzameld voor doel A, mogen niet voor doel B gebruikt worden Tenzij verenigbaar doel
INFORMATIEVERPLICHTING Voorafgaand aan verwerking Mededelen doeleinden verwerking en identiteit Privacy statement
RECHTEN BETROKKENEN Inzagerecht Overzicht verwerkte persoonsgegevens Binnen 4 weken Recht op aanpassen Aanpassen, verwijderen, verbeteren, afschermen Binnen 4 weken Recht van verzet Bij commercieel gebruik The right to be forgotten
BEWERKERSOVEREENKOMST Bewerker handelt in opdracht verantwoordelijke Wie is wie? Passende technische en organisatorische maatregelen Inzage in werking en beveiliging Separate overeenkomst Aansprakelijkheid bij doorbreking beveiliging?
BEVEILIGING Passende technische en organisatorische maatregelen Afhankelijk van type persoonsgegevens Richtsnoeren beveiliging van persoonsgegevens plan-do-check-act beoordeel risico s gebruik beveiligingsstandaarden evalueer
MELDPLICHT DATALEKKEN Plicht van verantwoordelijke om datalekken te melden bij de toezichthouder Wat is een datalek? Wat is de oorzaak van een datalek? Onvoldoende beveiliging Beleidsregels meldplicht datalekken op website toezichthouder
DOORGIFTE Doorgifte buiten EER niet toegestaan tenzij: Aangewezen EC Safe harbor ongeldig Modelcontracten BCR s Toestemming
AUTORITEIT PERSOONS- GEGEVENS ( AP ) Voorheen: College bescherming persoonsgegevens ( Cbp )
AUTORITEIT PERSOONS- GEGEVENS (I) Wat doet de toezichthouder? Toezicht Advisering Voorlichting, informatieverstrekking en verantwoording Internationale taken Handhaving Monitoren datalekken
AUTORITEIT PERSOONS- GEGEVENS (II) Sancties Bestuursdwang (last onder dwangsom) Boetes, maximale hoogte: 820.000 of 10 % van de jaaromzet Publicatie besluiten
TOEKOMSTIGE WETGEVING Privacy Verordening 2017/2018? Privacy Impact Analysis No-NSA clause
Vragen?