Servicedocument Gegevensbescherming

Vergelijkbare documenten
Handvatten bij de implementatie van de AVG

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Cursus privacyrecht Jeroen Naves 7 september 2017

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacy wetgeving: Wat verandert er in 2018?

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

ALGEMENE VERORDENING GEGEVENSBESCHERMING

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacyreglement Medewerkers Welzijn Stede Broec

AVG Algemeen PRIVACYREGLEMENT

Agenda. De AVG: wat nu?

Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Privacy in de afvalbranche

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Algemene Verordening Gegevensverwerking ( GDPR )

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

MR WBM VONDENHOFF ADVOCAAT

De AVG in vogelvlucht Wat moeten organisaties doen?

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

PRIVACYREGLEMENT Springkussenverhuur Nederland

Plan

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

De gevolgen van de AVG

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Blockchain Smart Contracts AVG

Impact AVG op de lokale overheden

Hoe word ik Privacy-proof? 16 JANUARI 2017

Vandaag Zorgvernieuwing

Vita Zwaan, 16 november 2017

Data Protection Impact Assessment (DPIA)

Hoe word ik Privacy-proof? 21 november 2017

Het einde van de privacy paradox?

Privacyverklaring Stichting Speelotheek Pinoccio

Actualiteiten loonheffingen

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

checklist in 10 stappen voorbereid op de AVG. human forward.

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

PRIVACY VERKLARING. 1. Verwerkingsverantwoordelijke. 2. Verplichtingen van de HA

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Stappenplan naar GDPR compliance

Algemene Verordening Gegevensbescherming (AVG)

AVG EN DE IMPACT OP UW BUSINESS

Stappenplan naar GDPR compliance

Algemene verordening gegevensbescherming (AVG) & Inkomensregistratie

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

De AVG en de gevolgen voor de uitvoeringspraktijk

Privacy en de meldplicht datalekken

Gegevensbescherming/Privacy

Gegevensbescherming en Privacybeleid

In 15 stappen op weg naar 2018

Reglement AVG- Privacybeleid Praktijk voor Osteopathie G.W. van Dinteren -Privacystatement

De Algemene Verordening Gegevensbescherming

EXQUISE NEXT GENERATION

Wettelijke kaders voor de omgang met gegevens

Algemene Verordening Gegevensbescherming

Welkom. Cure4Legal 14 september 2018

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

RiskTransparant, deel 7. Hoe implementeert u als pensioenfonds de Algemene Verordening Gegevensbescherming (AVG)?

GDPR (Avg) en ISO Beer Franken, Piasau

Gegevensbescherming en privacybeleid

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

Reglement AVG- Privacybeleid Praktijk Maas -Privacystatement

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Privacy: de AVG voor decentrale overheden

Algemene begrippen AVG

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

Algemene Verordening Gegevensbescherming

Privacy en bescherming van persoonsgegevens Beleidsdocument van stichting BOOR

Databescherming 2.0 Beginselen van de Algemene Verordening Gegevensbescherming: Bereid je voor in 13 stappen

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

Privacyreglement. 1 Bewustwording

De grootste veranderingen in hoofdlijnen

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

We adviseren u deze privacyverklaring goed door te lezen, voordat u akkoord gaat en het VWC toestemming geeft om uw persoonsgegevens te verwerken.

De impact van Cybercrime & GDPR

Inleiding. Uitleg tienstappenplan AVG

Privacy Maturity Scan (PMS)

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.

Algemene Verordening Gegevensbescherming (AVG)

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

IMMA special Privacy AVG/GDPR

IMMA special Privacy AVG/GDPR

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Transcriptie:

PF Servicedocument Gegevensbescherming

Pensioenfederatie De Pensioenfederatie is de overkoepelende belangenbehartiger van bijna alle Nederlandse pensioenfondsen. Zij vertegenwoordigt namens ongeveer 215 pensioenfondsen de belangen van: 5,3 miljoen deelnemers 3 miljoen gepensioneerden 9,1 miljoen gewezen deelnemers. Het overgrote deel van alle werkenden is aangesloten bij een collectief pensioenfonds. De leden van de Pensioen federatie beheren samen circa 1200 miljard euro. Met dank aan de commissie Risicomanagement van de Pensioenfederatie die het initiatief nam voor de totstandkoming van dit servicedocument en PGB Pensioendiensten, afd. Legal voor hun uitgebreide inbreng. Contactinformatie Prinses Margrietplantsoen 90 2595 BR Den Haag Postbus 93158 2509 AD Den Haag T + 31 (0)70 76 20 220 info@pensioenfederatie.nl www.pensioenfederatie.nl Overname van tekst(delen) uit deze uitgave is mogelijk na toestemming van de Pensioenfederatie. Aan de inhoud van deze uitgave kunnen geen rechten worden ontleend. Pensioenfederatie, Den Haag, april 2017 2

1 Inleiding Een grote herinrichting van de privacywetgeving is in aantocht. Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming EU 2016/679 (). De huidige privacyrichtlijn (95/46/EG) en Wet bescherming persoonsgegevens (Wbp) worden op dat moment ingetrokken. De verordening heeft als doel de privacyrechten van personen te verbeteren en brengt meer en andere verantwoordelijkheden met zich mee voor organisaties die werken met persoonsgegevensbestanden. De bevat belangrijke wijzigingen ten opzichte van de Wbp en is dwingendrechtelijk van toepassing op organisaties die met persoonsgegevensbestanden werken, dus ook op pensioenfondsen en pensioenuitvoeringsorganisaties. Het is dan ook voor alle betrokken organisaties van belang om tijdig voorbereidingen te treffen om te voldoen aan de nieuwe wettelijke verplichtingen en om nieuwe regels in te bedden in de bedrijfsvoering. De wijzigingen zijn ook relevant voor de toekomstige innovaties in de pensioensector op het terrein van digitale informatieuitwisseling en de toegankelijkheid voor deelnemers en werkgevers van gegevens via portalen en mijnpensioensites. Dit document zet voor u belangrijke wijzigingen op een rij die de aanbrengt ten opzichte van de huidige wetgeving. Een aantal bepalingen van de moet nog worden omgezet in Nederlandse wetgeving. Dat is een taak van het Ministerie van Veiligheid en Justitie. Daarnaast zullen mogelijk veel open normen via beleidsregels worden ingevuld door de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. Het juridische kader zal zich de komende tijd dus nog verder ontwikkelen. Dit document is, behalve om u een overzicht van belangrijke wijzigingen te geven, ook bedoeld om u attent te maken op de cultuuromslag die de nieuwe privacywetgeving in feite inhoudt ten opzichte van de oude, die overigens ook al stevige bepalingen bevat waaraan de sector moet voldoen. De nieuwe wetgeving brengt een grotere rol voor de burger met zich mee: zodra de volgend jaar mei rechtskracht krijgt, moeten organisaties die werken met grote persoonsgegevensbestanden van hun accountability kunnen getuigen. Dat wil zeggen dat ze aanspreekbaar zijn op een juiste omgang met privacygegevens en bewijs moeten kunnen produceren van de wijze waarop ze zijn omgegaan met de persoonsgegevens van burgers. De consequenties hiervan voor de wijze waarop organisaties hun omgang met persoonsgegevens moeten documenteren en hun systemen moeten inrichten kan groot zijn. Dit alles vraagt om een actieve en alerte houding van zowel het bestuur als de uitvoeringsorganisatie. 3

2 Vervolgstappen De impact van de op pensioenfondsen en pensioenuitvoeringsorganisaties kan dus groot zijn. Naast het vergroten van de bewustwording met behulp van dit servicedocument, heeft de pensioensector de dringende wens geuit om te komen tot een sectorbreed kader. De komende maanden zal door een gezamenlijke inspanning van meerdere pensioenfondsen en uitvoeringsorganisaties invulling worden gegeven aan dit kader met als doelstelling te komen tot een gedragscode die de toezichthouder onderschrijft. Zowel de Autoriteit Persoonsgegevens als het Ministerie van Veiligheid en Justitie verwelkomen het dat de pensioensector het initiatief tot een dergelijk normenkader respectievelijk gedragscode heeft genomen. De nieuwe wetgeving is sterk bepaald op Europees niveau. Als gevolg hiervan is de positie van de Autoriteit Persoonsgegevens als toezichthouder een meer onafhankelijke dan de positie van DNB en de AFM. 4

3 Samenvatting Per 25 mei 2018 moeten pensioenfondsen en pensioenuitvoeringsorganisaties voldoen aan de nieuwe Europese Privacyverordening (Algemene Verordening Gegevensbescherming). Er komen nieuwe verplichtingen en veel bestaande verplichtingen worden anders ingevuld. De schade bij non-compliance kan groot zijn. De maximale boete wordt F 20 miljoen of 4% van de jaaromzet, in plaats van maximaal F 820.000 nu. Niet alleen de mogelijke boete is hoog. De privacy-toezichthouder kan ondernemingen ook verplichten hun werkwijze aan te passen en de kosten van het achteraf privacyproof maken van IT-systemen zijn enorm. Een goed begin is dus het halve werk. Daarnaast moet rekening worden gehouden met reputatieschade in geval van privacyschending. Om op tijd klaar te zijn, zullen pensioenfondsen en pensioenuitvoeringsorganisaties, net als overigens alle andere organisaties die met grote persoonsgegevensbestanden werken, in 2017 stappen moeten zetten. Belangrijke aandachtspunten zijn: volledige inventarisatie gegevensverwerkingen (privacy impact assessments uitvoeren bij hoog risico verwerkingen); systemen instellen volgens beginselen privacy by design/privacy by default; passende beveiligingsmaatregelen documenteren, toepassen en indien nodig updaten; intern schriftelijk privacybeleid en externe privacyverklaring opstellen; opstellen en bijhouden schriftelijk register van alle gegevensverwerkingen; eventueel aanstellen van een deskundige Functionaris Gegevensbescherming ( Data Protection Officer ); aanpassen huidige verwerkersovereenkomsten, afsluiten verwerkersovereenkomsten indien ontbrekend. 5

4 Verwerkingsverantwoordelijkheid Hoewel een pensioenfonds volgens de de eindverantwoordelijke is voor de gegevensverwerkingen die zijn uitbesteed, hebben ook de uitbestedingsrelaties zoals bijvoorbeeld pensioenuitvoeringsorganisaties de zelfstandige verantwoordelijkheid om te voldoen aan de. In onderstaand schema wordt daarom geen onderscheid gemaakt tussen verplichtingen ten opzichte van verwerkingsverantwoordelijke (het pensioenfonds) en verwerker (bijvoorbeeld de uitvoeringsorganisatie). 6

5 Schematisch overzicht belangrijkste wijzigingen In onderstaand schema zijn de belangrijkste wijzigingen ten opzichte van de huidige wetgeving weergegeven. Nieuwe verplichting Toelichting Art. in Huidig art. Wbp Accountability (verantwoordingsplicht) Data protection policy (gegevensbeschermingsbeleid) Data protection by design & by default Intern volledig register Privacy Impact Assessments Ô Aantonen dat aan alle beginselen m.b.t. verwerking van persoonsgegevens is voldaan, via o.a.: een (op schrift gesteld) privacybeleid, een intern register van verwerkingen, overzicht getroffen maatregelen. Voeren en aantonen van een passend gegevensbeschermingsbeleid. De verwerkingsverantwoordelijke moet zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen treffen zoals pseudonimisering met als doel de gegevensbeschermingsbeginselen van de op doeltreffende manier uit te voeren en nodige waarborgen in te bouwen ter naleving van de. Een goedgekeurd certificeringsmechanisme (art. 42 ) kan daarbij gebruikt worden als element. Verantwoordelijke en verwerker moeten beide een schriftelijk register aanhouden en desgevraagd ter beschikking stellen aan de AP. Dit register bevat o.m. verwerkingsactiviteiten, doeleinden, categorieën van betrokkenen en ontvangers, doorgiften, beschrijving technische en organisatorische beveiligingsmaatregelen. Een PIA is verplicht als verwerking waarschijnlijk een hoog risico geeft voor de rechten en vrijheden van personen, gelet op aard, omvang, context of doelen ervan. De AP zal lijsten publiceren van verwerkingen waarvoor een PIA in elk geval verplicht is. Ook kan de AP lijsten publiceren van verwerkingen waarvoor een PIA niet verplicht is. 5.2 N.v.t. 5.2, 24.2 N.v.t. 25.1, 25.2 Sluit aan bij art. 13 Wbp. 30 N.v.t. 35, 40 N.v.t. 7

Nieuwe verplichting Toelichting Art. in Huidig art. Wbp Ò De PIA moet tenminste bevatten: a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; c) een beoordeling van de risico s voor de rechten en vrijheden van betrokkenen, gelet op de aard, omvang, context en de doeleinden van de verwerking; d) de beoogde maatregelen om de risico s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. Bij de PIA kunnen eventuele goedgekeurde gedragscodes in aanmerking worden genomen. De AP kan conceptgedragscodes goedkeuren en maakt goedgekeurde gedragscodes bekend. Data Protection Officer (Functionaris Gegevensbescherming) DPO/FG aanwijzen is verplicht als verwerking waarschijnlijk een hoog risico geeft voor de rechten en vrijheden van personen, gelet op aard, omvang, context of doelen ervan. Een concern kan één FG aanwijzen. 37.1, 38, 39 62 De stelt dat een FG deskundig moet zijn op het gebied van de wetgeving en de praktijk van gegevensbescherming, maar stelt geen gedetailleerde eisen. Waarschijnlijk worden deze eisen uitgewerkt in beleidsregels van de AP. De FG moet zelfstandige rol hebben en heeft een geheimhoudingsplicht en ontslagbescherming. Verwerkersovereenkomsten Op het ontbreken van een verwerkersovereenkomst staat in de een boete. 28.3 14.2 Voorafgaande raadpleging toezichthouder Profiling/Big Data Ô De geeft concrete eisen voor verwerkersovereenkomsten, en voor een deel andere eisen dan de Wbp voorschreef. Is verplicht als PIA uitwijst dat hoog risico bestaat (zie criteria bij PIA) en het niet mogelijk is risico s te beperken. AP moet binnen 8+6 weken schriftelijk advies geven. Voor profiling gelden strenge regels; automatische beslissingen zijn alleen toegestaan als betrokkenen mogelijkheid hebben te protesteren tegen automatische beslissingen en een human intervention te eisen. Gevoelige gegevens kunnen alleen via automated decisions worden verwerkt na uitdrukkelijke toestemming. 36.1 N.v.t. 4.4 en 22 N.v.t. 8

Voortdurende (deels aangepaste) verplichting Toelichting Artikel in Huidige verplichting in Wbp Beginselen voor gegevensverwerking Toegevoegd is dat in begrijpelijke taal moet worden gecommuniceerd. Moeilijk leesbare, ellenlange privacy statements zijn dus niet toegestaan. 5.1 6 De behoudt verder vrijwel gelijke beginselen voor gegevensverwerking: a) eerlijk en rechtmatig wordt: rechtmatig, behoorlijk en transparant; b) welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden, niet verder verwerkt op een wijze die onverenigbaar is blijft gelijk; c) toereikend, ter zake dienend en niet bovenmatig wordt: toereikend, ter zake dienend en beperkt tot wat noodzakelijk is; d) nauwkeurig wordt juist; e) niet langer bewaard in een vorm die identificatie toestaat dan noodzakelijk voor verwezenlijking doel (opslagbeperking) blijft gelijk; f) integriteit en vertrouwelijkheid. 5.1 (a) 5.1 (b) 5.1 (c) 5.1 (d) 5.1 (e) 5.1 (f) 5, 6 lid 1 7, 9 11 lid 1 11 lid 2 10 13 Rechtmatigheid van de verwerking De limitatief opgesomde rechtmatige grondslagen voor gegevensverwerking blijven vrijwel gelijk: a) toestemming; b) noodzakelijk voor uitvoering overeenkomst; c) noodzakelijk voor voldoen aan wettelijke verplichting; d) noodzakelijk voor vitale belangen betrokkene of andere natuurlijke personen; e) noodzakelijk voor uitvoeren taak van algemeen belang/ uitvoering openbaar gezag; f) noodzakelijk voor de behartiging van gerechtvaardigde belangen, tenzij belangen van betrokkene(n) zwaarder wegen. 6 8, 9 Voorwaarden voor toestemming Nieuw is: toestemming per doeleinde actieve handeling, dus geen voorgevinkte vakjes verzoek duidelijk, beknopt, niet storend vrije keus en kunnen intrekken zonder nadelige gevolgen aparte voorwaarden voor toestemming in geval van kind 7 8 5 lid 2 Doelbinding Minimale gegevensverwerking Juistheid gegevens Ô Vrijwel gelijke beginselen. Toegevoegd is dat in begrijpelijke taal moet worden gecommuniceerd. Vage omschrijvingen mogen niet. De voorwaarde (de gegevensbescherming is) niet bovenmatig is aangescherpt tot beperkt tot wat noodzakelijk is. Verplichting dat gegevens juist en nauwkeurig zijn is nu beperkt tot juist. Materieel maakt dit waarschijnlijk weinig verschil. 5.1 7, 9 5.1 11 lid 1 5.1 11 lid 2 9

Voortdurende (deels aangepaste) verplichting Toelichting Artikel in Huidige verplichting in Wbp Opslagbeperking/ bewaartermijn Vrijwel gelijk. 5.1 10 Integriteit en vertrouwelijkheid Verenigbaarheid verdere verwerking Beveiliging De verwerkingsverantwoordelijke moet passende technische en organisatorische beveiligingsmaatregelen hebben getroffen tegen onrechtmatige verwerking, verlies, vernietiging en beschadiging. Dit moet ook kunnen worden aangetoond, o.m. door een schriftelijk gegevensbeschermingsbeleid (art. 24.2 ). De laat ruimte aan lidstaten om verenigbaarheid nader uit te werken. Omzetting in Nederlandse wetgeving en/of beleidsregels van de AP zullen dit begrip moeten verduidelijken. Er moeten passende technische en organisatorische maatregelen worden genomen om een op het risico afgestemd beveiligingsniveau te waarborgen, die waar passend onder meer omvatten: pseudonimisering en versleuteling van persoonsgegevens; het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen; het vermogen om bij fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen. 5.1, 24.1 13 5.1, 6.4 9 32 13, 14 Meldplicht datalekken Veranderde meldplicht aan AP; alle datalekken melden, tenzij niet waarschijnlijk is dat er een risico is voor rechten en vrijheden van natuurlijke personen. 4.12, 33.1, 33.5 34a Melden aan betrokkenen als inbreuk een hoog risico inhoudt voor rechten en vrijheden van natuurlijke personen, tenzij vooraf versleutelingsmaatregelen zijn genomen of achteraf maatregelen zijn getroffen waardoor het hoge risico zich waarschijnlijk niet zal voordoen. AP kan verantwoordelijke verplichten tot melding aan betrokkenen. 34.3, 34.4 Informatieverstrekking Doorgifte Ô Informatieverstrekking zowel als data direct (= van betrokkene) als indirect (= niet van betrokkene) is verkregen. Vrijwel gelijke regels voor doorgifte, verschillende mogelijkheden zoals adequacy decision, binding corporate rules en standard contractual clauses blijven bestaan. 13, 14, 15 33, 34 44-49 76, 78 10

Nieuw recht betrokkene Toelichting Artikel in Huidig recht Recht op rectificatie Recht op beperking van de verwerking Recht op overdraagbaarheid van gegevens (dataportabiliteit) Recht op vergetelheid Veranderde procedurele aspecten, o.a. nu verplicht onverwijld en uiterlijk binnen 1 maand ingaan op verzoek i.p.v. binnen 4 weken. Hiervoor moeten persoonsgegevens tijdelijk apart kunnen worden opgeslagen. Persoonsgegevens moeten in gestructureerde, gangbare en machineleesbare vorm kunnen worden verschaft aan betrokkenen, als op basis van toestemming of overeenkomst wordt verwerkt. Komt neer op het recht van betrokkene dat zijn gegevens zonder onnodige vertraging door de verwerker moeten worden gewist indien verwerking niet langer nodig is. 16, 12, 19 36 18, 19-20 - 17, 12, 19 36 Voortdurend (aangepaste) recht van betrokkenen Toelichting Artikel in Huidig recht Recht van verzet/bezwaar Inzage Dit recht moet o.a. uitdrukkelijk onder de aandacht worden gebracht, duidelijk en gescheiden van andere informatie weergegeven. Informatieverstrekking zowel als data direct (= van betrokkene) als indirect (= niet van betrokkene) is verkregen. 21 40, 41 13, 14, 15 33, 34 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback