Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Vergelijkbare documenten
Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Privacy in de afvalbranche

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Cursus privacyrecht Jeroen Naves 7 september 2017

Accountant en AVG 3 december 2018

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Privacy en de meldplicht datalekken

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink




Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Wettelijke kaders voor de omgang met gegevens

Algemene Verordening Gegevensbescherming

Agenda. De AVG: wat nu?

Bescherming Persoonsgegevens. Presentatie LAC Zuid

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacyreglement Medewerkers Welzijn Stede Broec

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Meldplicht Datalekken CBP RICHTSNOEREN

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

Het Europese privacyrecht in beweging

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacy in de afvalbranche Juridisch kader

De AVG en de gevolgen voor de uitvoeringspraktijk

Privacy wetgeving: Wat verandert er in 2018?

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene verordening gegevensbescherming

Bijlage Gegevensverwerking. Artikel 1 - Definities

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

onderzoek en privacy WAT ZEGT DE WET

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

vernieuwde privacywet

Privacybeleid gemeente Wierden

Protocol datalekken Samenwerkingsverband ROOS VO

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

De Master spreekt Privacywetgeving 2018 (AVG)

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Handvatten bij de implementatie van de AVG

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

De Algemene Verordening Gegevensbescherming

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Vita Zwaan, 16 november 2017

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Verwerkingsstatuut AVG

PRIVACY GOED GEREGELD. Voorjaar 2018

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Privacy Maturity Scan (PMS)

Is uw onderneming privacy proof?

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Blockchain Smart Contracts AVG

Privacyverklaring Therapeuten VVET

Algemene verordening gegevensbescherming (AVG)

GAAT U NETJES MET PERSOONSGEGEVENS OM?

Privacy beleid Gastouderbureau Dolfijntjes

In dit reglement geeft ADMINISTRATIEF & LOGISTIEK SERVICEBUREAU ADR aan op welke wijze het omgaat met privacy en persoonsgegevens.

Privacy reglement. Pagina 1 van 9

Bijlage 1: Bewerkersovereenkomst AFAS business consultancy en support

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

ROC Rivor 23 mei Privacyreglement

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

PRIVACYBELEID CONVENIENT FASTGUIDE BV

AVG Algemeen PRIVACYREGLEMENT

Algemene Verordening Gegevensbescherming

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Algemene Verordening Gegevensbescherming (AVG)

AVG EN DE IMPACT OP UW BUSINESS

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

Privacyreglement In dit reglement geeft de HVZ aan op welke wijze zij omgaat met privacy en persoonsgegevens.

Documentinformatie: Wijzigingslog:

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

In vier stappen voldoen aan de meldplicht datalekken

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Privacy dit moet je weten over de wet

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

Juridische aspecten van Specialisatie in de Cloud. Silvia van Schaik - bureau Brandeis

Privacy Ad Boumans

Verwerkersovereenkomst AVG (Algemene Verordening Gegevensbescherming)

Algemene Verordening Gegevensbescherming

VERWERKERSOVEREENKOMST

Transcriptie:

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

Programma Korte introductie privacyrecht Rol accountant: verantwoordelijke of bewerker? Meldplicht Datalekken Europese Privacyverordening (Algemene Verordening Gegevensbescherming) Privacy Shield

Privacyrecht Wetgeving: Wet bescherming persoonsgegevens (Eur. Richtlijn 95/46/EG) Europese Privacyverordening 4 mei 2016 gepubliceerd, van toepassing vanaf 25 mei 2018 Meer harmonisatie, maar nog steeds veel nationale verschillen mogelijk Wetgeving bepaalt de wijze waarop er met persoonsgegevens mag worden omgegaan (verwerking)

Privacyrecht Verwerkingsproces heeft verschillende actoren: Betrokkene, verantwoordelijke, bewerker (Privacyverordening: verwerker) Persoonsgegevens: gegevens die een natuurlijk persoon direct of indirect kunnen identificeren. Toezicht door Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens) Wanneer mag je persoonsgegevens verwerken?

Privacyrecht Verschillende grondslagen voor verwerking bijv: Gerechtvaardigd belang verantwoordelijke Toestemming betrokkene Noodzakelijk voor uitvoering overeenkomst Noodzakelijk om wettelijke verplichting uit te oefenen Noodzakelijk voor goede vervulling van een publiekrechtelijke taak door bestuursorgaan Noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene

Privacyrecht Diverse verplichtingen van de verantwoordelijke: Doelbinding (geen function creep ) Beveiliging Transport persoonsgegevens buiten de EU beperkt mogelijk Bewerkersovereenkomst Heeft u al een bewerkersovereenkomst gesloten?

Privacyrecht Artikel 13 Wet bescherming persoonsgegevens: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Privacyrecht Technische maatregelen: bijvoorbeeld versleuteling, firewall, etc. Organisatorische maatregelen: bijvoorbeeld procedures, scheiden van functies, etc. Laat zien dat je informatiebeveiligingsbeleid hebt en navolgt.

Privacyrecht Rechten betrokkene Inzagerecht Recht op correctie & aanvulling Verwijderen persoonsgegevens op verzoek betrokkene? HVJ-EU, 13 mei 2014. (Google Spain) (Art. 10 WBP) N.b. geen absoluut recht om vergeten te worden

De rol van de verantwoordelijke: beoordelen verzoek betrokkene Casus 1: Mevrouw X vs. Inspectie voor de Gezondheidszorg en Landelijk Meldpunt Zorg, verzoek tot verwijderen van klachtdossier met persoonsgegevens. Casus 2: Mevrouw Y vs. Gerechtsbestuur Hof s-hertogenbosch, verzoek tot verwijderen van procesdossiers met persoonsgegevens.

Accountant Bewerkersovereenkomst voor accountants Soms bewerker, soms verantwoordelijke NBA zegt het volgende: In de regel een verantwoordelijke als u: een opdracht uitvoert waarbij u een jaarrekening opstelt; In de regel bent u een bewerker als u: een verklaring verzekerd belang opstelt waarin persoonsgegevens zijn opgenomen.

Accountant Bewerker of verantwoordelijke (volgens NBA) Type opdracht Klant Accountant Standaard 100 999 Verantwoordelijke Verantwoordelijke Standaard 2000 2699 Verantwoordelijke Verantwoordelijke Standaard 3000 3850 Verantwoordelijke Verantwoordelijke Standaard 4400 Verantwoordelijke Bewerker Standaard 4410 (H) Verantwoordelijke Verantwoordelijke/bewerker Opdrachten waar geen standaard van toepassing is (salarisadministraties) Verantwoordelijke Bewerker

Accountant Bewerkersovereenkomst Van belang is om te beoordelen of u: zelfstandig beslissingen moet kunnen nemen over het doel van de verwerking en de manier waarop u de verwerking uitvoert. Zo ja, geen bewerkersovereenkomst met klant; Wel met toeleveranciers: Bijvoorbeeld softwareleveranciers, hostingbedrijven, etc. NBA heeft een voorbeeld bewerkersovereenkomst (die getoetst is door De IT-jurist): accountant als bewerker.

Meldplicht datalekken Meldplicht datalekken is sinds 1 januari 2016 van toepassing Beslisboom datalekken Rapport aan te vragen via GBNed

Meldplicht datalekken: Van toepassing voor uw organisatie? Er moet sprake zijn van verwerking van persoonsgegevens Meldplicht geldt voor de verantwoordelijke Geautomatiseerde verwerking of persoonsgegevens opgenomen in bestand? Geen uitzondering waardoor de Wbp buiten toepassing is?

Meldplicht datalekken: Van toepassing voor uw organisatie? (2) Verwerking in Nederland? Geen verdere uitzonderingen?

Meldplicht datalekken: Wanneer sprake van een datalek? Er moet sprake zijn van een inbreuk op de beveiliging Er moet sprake zijn van verlies van persoonsgegevens (en/of) Onrechtmatige verwerking van persoonsgegevens kan redelijkerwijs niet uit worden gesloten

Meldplicht datalekken: Wanneer melden aan Autoriteit? Persoonsgegevens van gevoelige aard? (Kans op) ernstige nadelige gevolgen? Onverwijld melden

Meldplicht datalekken: Wanneer melden aan betrokkenen? Persoonsgegevens geëncrypteerd of anderszins voldoende beveiligd? Ongunstige gevolgen voor de privacy van betrokkenen? Zwaarwegende belangen om melden achterwege te laten?

Privacyverordening Europese Privacyverordening Begrip persoonsgegeven uitgebreid: IP-adres, cookies Wijziging geografische scope: verwerking door activiteiten van een verantwoordelijke of verwerker in de EU, waarbij de verwerking plaatsvindt buiten de Unie; verwerking door niet-eu verantwoordelijke of verwerker, indien: Goederen en diensten worden aangeboden aan betrokkenen in EU; Hij of zij gedrag monitort van betrokkenen, voor zover het gedrag in de Unie plaatsvindt. Aantonen dat je aan de regels voldoet, informatieplichten Privacy moet in de genen van je organisatie zitten

Privacyverordening Nieuwe verplichtingen Europese Privacyverordening Dataminimalisatie Privacy by design / by default bij vernieuwing of wijziging informatiesysteem Grotere bevoegdheden AP en andere handhavers, hogere boetes Meldplicht datalekken Aanstellen Functionaris voor de Gegevensbescherming Overheden, stelselmatige observatie van betrokkenen en/of verwerking bijzondere persoonsgegevens (ras, gelood, geaardheid, gezondheid etc.) Privacy Impact Assesment & Privacy Enhancing Technologies

Privacyverordening: bewerkersovereenkomst Nadere regels over de bewerkersovereenkomst (art. 28 lid 3 Vo): Bewerker verwerkt uitsluitend op basis van schriftelijke instructies van de verantwoordelijke; Bewerker moet vertrouwelijkheid waarborgen en beveiligingsverplichtingen verantwoordelijke in acht nemen en terzake voldoende garanties bieden; Ook voor subbewerkers is toestemming nodig Bewerker moet ondersteunen bij de afhandeling van een datalek Bewerker moet verantwoordelijke zo nodig ondersteunen bij het uitvoeren van een gegevensbeschermingseffectbeoordeling (PIA) en het vooraf raadplegen van de toezichthouder; Bewerker moet audits en andere manieren om naleving van de wet aan te kunnen tonen mogelijk maken. Eigen aansprakelijkheid van Bewerker wordt behoorlijk uitgebreid Bewerker loopt groot ondernemingsrisico als hij niet voldoet en niet afdoende garanties biedt

Privacy Shield Safe Harbor: verdrag tussen VS en EU m.b.t. veilige uitwisseling van Europese persoonsgegevens Snowden Schrems arrest, Safe Harbor ongeldig Safe Harbor 2.0 door Europese Commissie: Privacy Shield Boetes voor gegevensuitwisseling op basis van de waarborg Safe Harbor worden inmiddels uitgedeeld

Privacy Shield Kritiek door Opinie Artikel 29 Werkgroep Te ingewikkeld en onoverzichtelijk Klachtprocedures te ingewikkeld en ineffectief Rol Ombudsman onvoldoende gewaarborgd Massasurveillance nog steeds niet uitgesloten Ook kritiek van Europese toezichthouder gegevensbescherming en Europees Parlement

Privacy Shield Standard Contractual Clauses De vraag is of Amerikaanse partijen die willen tekenen De vraag is of die niet ongeldig worden verklaard Facebook gebruikt nu model clauses in plaats van Safe Harbor. Schrems: andere juridische waarborgen, maar lossen onderliggend probleem niet op. Ierse AP kijkt ernaar. Wordt vervolgd

volg ons op @DeITjurist @Andre_Kamps @OordtJW

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback