Privacy is diefstal Sharing is caring
ALGEMENE VERORDENING GEVENSBESCHERMING Clemens Mesker Martine ten Voorde Stadhouders Advocaten te Utrecht
Agenda De AVG in vogelvlucht doornemen Quickscan maken
Wat is privacy? Persoonlijke vrijheid, persoonlijk leven Onbespied en onbewaakt kunnen leven Mogelijkheid om vertrouwelijk te communiceren Zelf bepalen wie welke informatie over je krijgt
Grondrechten Een ieder heeft recht op eerbiediging van zijn prive-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie (GW, EVRM, IVBPR) Een ieder heeft recht op bescherming van zijn persoonsgegevens (GW, EHV)
AVG In werking getreden op 24 mei 2016 Handhaving per 25 mei 2018
AVG twee hoofddoelen 1 bescherming van persoonsgegevens 2 mogelijk maken van het vrije verkeer van persoonsgegevens binnen de EU afweging van a. belang privacy van personen en b. belang van degenen die gegevens verwerken.
Wat verandert er? versterking privacy rechten van natuurlijke personen meer verantwoordelijkheden en plichten voor organisaties om aan eisen AVG te voldoen meer regelgeving voor samenwerkingen stevige bevoegdheden voor alle Europese privacy toezichthouders (in NL is dat de Autoriteit Persoonsgegevens) Boetes tot 20 miljoen Euro
Kernbegrippen Betrokkene Persoonsgegevens Verwerken Verwerkingsverantwoordelijke Verwerker
Betrokkene De natuurlijke persoon van wie persoonsgegevens worden verwerkt. (klantgegevens, personeelsgegevens)
Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ). Kan in de vorm van: geschreven tekst, beeld, geluid. Voorbeelden naam adres woonplaats postcode met huisnummer telefoonnummer emailadres IP-adres identificatienummers inlogcodes publicaties meningen medisch dossier foto filmbeelden röntgenfoto emails opleiding beroep
Verbod op verwerken bijzondere persoonsgegevens ras of etniciteit politieke opvattingen levensbeschouwelijke overtuiging lidmaatschap vakbond genetische gegevens biometrische gegevens seksuele geaardheid strafrechtelijke gegevens
Verwerken Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens Voorbeelden: verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen
Verwerkings verantwoordelijke Verwerker Iedere verwerking die Degene die ten onder AVG valt heeft behoeve van de een verwerkings- verwerkings- verantwoordelijke verantwoordelijke persoonsgegevens Degene die het doel verwerkt van en middelen voor de verwerking vaststelt
Beginselen voor verwerking rechtmatig, behoorlijk en transparant op basis van te voren uitdrukkelijk omschreven en gerechtvaardigde doelen niet meer gegevens verwerken dan nodig gegevens moeten relevant en juist zijn niet langer bewaren dan noodzakelijk passende en voldoende beveiliging (zowel organisatorisch als technisch)
Rechtmatige verwerking gebaseerd op een van de 6 in de AVG limitatief opgesomde gronden 1. nodig voor uitvoering overeenkomst 2. nodig ter uitvoering wettelijke verplichting 3. nodig ter vrijwaring vitaal belang betrokkene 4. nodig voor goede vervulling publiekrechtelijke taak 5. nodig voor behartiging gerechtvaardigd belang 6. ondubbelzinnige toestemming betrokkene
Toestemming Verwerkingsverantwoordelijke moet toestemming kunnen aantonen Toestemming moet blijken uit duidelijke actieve handeling Toestemming voor een specifiek afgebakende verwerking Verzoek om toestemming moet kort en bondig zijn. Toestemming niet geldig al u die als voorwaarde stelt voor aangaan van overeenkomst waarvoor u de gegevens niet nodig hebt. De betrokkene moet toestemming altijd weer in kunnen trekken. Intrekken van de toestemming moet even eenvoudig zijn als geven ervan.
Rechten van de betrokkene Bij aanvang verwerking moet betrokkene geïnformeerd worden over identiteit verwerkingsverantwoordelijke doel en rechtsgrond periode van opslag of criteria daarvoor het recht op inzage recht op correctie en verwijdering of beperking verwerking recht op dataportabiliteit recht om toestemming in te trekken klachtrecht bij AP verstrekking gegevens aan derden verwerking voor een ander doel of voornemens voor profilering (betrokkene mag bezwaar maken)
Rechten betrokkene vervolg Voor zover informatie niet is verkregen van betrokkene zelf: Uiterlijk binnen een maand informeren over de hiervoor genoemde rechten, plus de bron waar de gegevens vandaan komen (paar uitzonderingen, onder meer vertrouwelijke gegeven in kader beroepsgeheim, archivering in het algemeen belang, wetenschappelijk onderzoek)
Privacy management verwerkingsverantwoordelijke Bijhouden van verwerkingsregister Aanstellen Functionaris Gegevens bescherming Privacy impact assesment (DPIA) Privacy by design Privacy by default Passende beveiliging van informatie Meldplicht datalekken Overeenkomsten bij samenwerking Verwerkersovereenkomst bij uitbesteding Deelnemen aan certificering
Privacy management verwerker alleen verwerken conform instructie klant eigen systeem moet AVG-proof zijn klant waarschuwen als opdracht in strijd is met AVG klant informeren over datalek voorafgaande toestemming klant bij subverwerking voldoende informatiebeveiliging verwerkingsregister bijhouden goede verwerkersovereenkomst
Quickscan 1. AVG van toepassing? 2. Verwerkingen in uw organisatie? 3. Verantwoordelijke of verwerker? 4. Doel: wat willen wij met die gegevens? 5. Verwerking rechtmatig? 6. Bewaartermijn 7. Transparantie 8. Beveiliging
1. AVG van toepassing? Werk ik met gegevens? Zijn die gegevens persoonsgegevens? AVG niet van toepassing Is er sprake van gestructureerde handmatige/geautomatiseerde verwerking of bestaat de bedoeling dat te doen? Verwerking verantwoording lidstaat waarop recht van toepassing? Valt de gegevensverwerving onder een van de uitzonderingen? Houdt verwerking verband met - aanbieding diensten? - monitoring gedrag in EU Vindt de verwerking plaats in het kader van activiteiten vestiging in EU? AVG van toepassing
2: Verwerkingen in uw organisatie? Verplichte exercitie Doel 1: risico s in beeld brengen Doel 2: plan van aanpak verbeteringen Register gegevensverwerking
3a. Verantwoordelijke of verwerker? Bepaalt mijn organisatie doel/middelen van gegevensverwerking? Staat mijn organisatie onder gezag van of in hiërarchische verhouding tot degene die doel en middelen vaststelt? Er is sprake van intern beheer. Degene onder wiens gezag u staat is verantwoordelijk. Uw organisatie is verwerker. Verantwoordelijke
3b. Verantwoordelijke voor klantgegevens? Persoonsgegevens klant Balie Poppodium Website Poppodium Website Poppodium Website Ticketbureau Website Ticketbureau Poppodium
4a. Doel van de gegevensverwerking? Heb ik één of meer duidelijke en gerechtvaardigde doeleinden voor het verzamelen? Heb ik dat doel omschreven? Is voorgenomen verwerking verenigbaar met dat doel? Kan ik mijn verwerking baseren op grondslag AVG (zie stap 5a/5b) Is verwerking toereikend, minimaal en juist? De gegevensverwerking is onrechtmatig
4b. Doel verwerking klantgegevens? Ons doel: een toegankelijke website Wij willen een toegankelijke website bieden, die in de behoeften en verwachtingen voorziet van de bezoeker. Jij dus. De persoonsgegevens die wij verwerken zijn: gegevens over jouw activiteiten op onze website, IP-adres, internetbrowser en apparaattype. Deze gegevens analyseren wij om onze website te verbeteren en ons aanbod beter af te stemmen op jouw voorkeuren. We verstrekken geen persoonsgegevens aan derden. Voor de goede afhandeling van een online aankoop zijn wat meer gegevens vereist. We vragen je naam, postcode (de 4 cijfers), land en e-mailadres. Over het algemeen verzamelen wij gegevens over u wanneer u een account creëert, een ticket koopt, wanneer u ons een e-mail zendt of belt, of wanneer u iets bij de door ons geëxploiteerde of beheerde kassa's koopt, en wanneer u onze websites, apps en sociale media gebruikt. Wij maken gebruik van deze en andere gegevens om u en onze andere klanten een betere dienstverlening, marketing en ondersteuning te bieden (onder meer door het analyseren van uw gegevens om te zorgen voor een gepersonaliseerde ervaring).
5a. Is de verwerking rechtmatig? Is sprake van bijzondere persoonsgegevens? Algemene/bijzonde re uitzonderingen Uitdrukkelijke toestemming? Verwerking toegestaan Gewone persoonsgegevens Verwerking niet toegestaan
5b. Is de verwerking rechtmatig? Is de verwerking noodzakelijk? Is verwerking noodzakelijk voor gerechtvaardigd belang zonder privacy schending? Heb ik toestemming van betrokkene? Verwerking niet toegestaan Of? Verzet betrokkene Verwerking toegestaan Voor ander doel alsnog toestemming
6. Bewaartermijn Niet langer dan noodzakelijk voor doel Huidige bewaartermijn? Maximale termijn volgens privacy regelgeving
7. Transparantie Is de informatie juist, volledig en toegankelijk? Privacy-statement? Welke informatie? Identiteit/contactgegevens Doeleinden verwerking Rechten betrokkene (inzage, verbetering, verwijdering, overdraagbaar) Bewaartermijn Bijzonderheden Is betrokkene op de hoogte? Bezoek website? Koopovereenkomst?
8. Beveiliging ICT maatregelen (privacy by design/default) Identity-acces management Protocol datalekken E-mail- en netwerkbeveiliging op orde etc. Check verwerkersovereenkomsten Organisatorische maatregelen Voorlichting personeel Blijvende aandacht
Slot Privacy is geen diefstal
Vragen? Ledenvoordeel VNPF Contactgegevens: www.stadhouders.nl tenvoorde@stadhouders/mesker@stadhouders.nl 030-2520855 linkedin
Meer info www.autoriteitpersoonsgegevens.nl: Bel AP 10 stappenplan AP Handleiding Wet bescherming persoonsgegevens (2002). De schema s in deze PPP bouwen voort op de schema s in deze handleiding, zijn geactualiseerd en aangepast voor deze workshop. Boek Grip op de AVG (Kluwer)
Disclaimer Deze presentatie is bestemd voor de workshop Congres Poppodia en Festivals 13 september 2017. De presentatie geeft algemene informatie over de AVG in beknopt tijdsbestek (45 min). Niet beoogd is juridisch advies te geven in concrete zaken. Deze presentatie is met zorg opgesteld. Stadhouders Advocaten aanvaardt geen aansprakelijkheid voor de inhoud.