Privacy is hot. De impact van de AVG op marketing en fondsenwerving. Jitty van Doodewaerd DMCC Nederland B.V.

Vergelijkbare documenten
Privacy. Eén jaar na de AVG.

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Privacy Maturity Scan (PMS)

Voorbereid op de nieuwe privacywet in 10 stappen

In 10 stappen voorbereid op de AVG

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy wetgeving: Wat verandert er in 2018?


Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

In 15 stappen op weg naar 2018

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Algemene verordening gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Vita Zwaan, 16 november 2017

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Algemene verordening gegevensbescherming

Algemene Verordening Gegevensbescherming (AVG)

AVG in de praktijk, tips!

Handvatten bij de implementatie van de AVG

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Accountant en AVG 3 december 2018

Agenda. De AVG: wat nu?

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

De Algemene Verordening Gegevensbescherming

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Auteurs: Edwin Adams Tangram

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Wat betekent de AVG voor jouw vereniging?

Privacy AVG 25 mei 2018! Bescherming persoonsgegevens Clementine Bevers, 13 november 2017 FOBID Juridische Commissie

Speciale AVG-nieuwsbrief

Toepassing Algemene Verordening Gegevensbescherming (AVG) bij de Stichting Voedseltuin Villanueva 1

AVG EN DE IMPACT OP UW BUSINESS

Nieuws uit de verenigingen. Beleidsplan Federatie. Werkgroep Communicatie. Werkgroep Bestuursdynamiek.

Privacy in de afvalbranche

De gevolgen van de AVG

Plan

E-book 17 vragen over de AVG

Gegevensverzameling en gegevensverwerking

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

JURIDISCH KADER PERSONALISED FOOD EN DATA

De AVG in vogelvlucht Wat moeten organisaties doen?

Speciale AVG-nieuwsbrief

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

staat is om de AVG na te komen.

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Privacy Ad Boumans

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

De nieuwe privacywetgeving:

Veranderingen privacy wet- en regelgeving

Privacy en de meldplicht datalekken

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Privacy & Cloud. een juridisch perspectief

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Nieuwe privacy verordening raakt ook de pensioensector

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming

Cursus privacyrecht Jeroen Naves 7 september 2017

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

Wat moet je weten over... privacy en passend onderwijs?

Checklist voorbereiding op de AVG

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Implementatie Algemene verordening gegevensbescherming Huys Twickelo

Naar een nieuw Privacy Control Framework (PCF)

Blockchain Smart Contracts AVG

Hoe ziet de organisatie privacy?

vernieuwde privacywet

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Praktische uitwerking van de nieuwe Europese Privacy regels

Hoe ziet de organisatie privacy? > Waar staat de organisatie? > Wie moet iets doen? > Wat moet er gedaan worden? > Hoe doe je dat?

De Nieuwe Wet Privacy

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Het einde van de privacy paradox?

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

De AVG in vogelvlucht Wat moeten organisaties doen?

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Data Protection Same Game, Other Rules

Factsheet Bewerkersovereenkomst

GDPR (General Data Protection Regulation ) The journey we take together

SHK - Senioren Hollands

Algemene Verordening Gegevensbescherming (AVG)

Speciale AVG-nieuwsbrief

GDPR Basic guidelines for clients

Wat u echt móet weten over de AVG

Stappenplan naar GDPR compliance

Transcriptie:

Privacy is hot De impact van de AVG op marketing en fondsenwerving Jitty van Doodewaerd DMCC Nederland B.V. 1 2017

Programma van vandaag 10-stappenplan voorbereiding nieuwe privacywet door de Autoriteit Persoonsgegevens. Nieuwe verplichtingen onder de AVG Praktijkcase: de privacy inventarisatie Praktijkcase: bewerkersovereenkomsten in de praktijk Praktijkcase: toestemming DMCC Nederland B.V. DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren. 2 www.dmcc.nl

De Algemene Verordening Gegevensbescherming Wanneer: Aangenomen in mei van 2016 Klaar zijn in mei 2018 Positief: Instrument van een Verordening Transparantieverplichtingen Data marketing/ commercieel gebruik van data als gerechtvaardigd belang erkend 3

Verplichtingen onder de AVG Overzicht van de verplichtingen Verwerkingenregister (documentatieplicht, art. 30 vo.) Privacy by design en by default (art. 25 vo.) Verwerkersovereenkomst (art. 28 lid 3 vo.) Beveiligingseisen en meldplicht datalekken (artikel 32-34 vo.) Privacy Impact Assessment (PIA) (artikel 35 en 36 vo.) Functionaris Gegevensbescherming (FG/DPO) (art. 37-39 vo.) Gedragscodes en certificeringen (art. 40-43 vo.) 4

Sancties Overtreding van de administratieve verplichting maximaal 10 miljoen euro of 2% van de wereldwijde omzet Overtreding regels die directer verband houden met gegevensbescherming maximaal 20 miljoen euro of 4% van de wereldwijde omzet Nationale sancties als Vo. Geen sanctie bevat 5

De 10 stappen van de AP Stap 1: Bewustwording Stap 2: Rechten van betrokkenen Stap 3: Overzicht van verwerkingen Stap 4: Privacy Impact Assesment (PIA) Stap 5: Privacy by design en default Stap 6: Functionaris van de gegevensbescherming (FG) Stap 7: Meldplicht datalekken Stap 8: Bewerkersovereenkomsten Stap 9: Leidende toezichthouder Stap 10: Toestemming 6

praktijk: Overzicht verwerkingen Stap 3: Overzicht verwerkingen Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. U kunt het overzicht ook nodig hebben als betrokkenen hun privacy-rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige Wbp. 7

Overzicht verwerkingen Inventariseer en documenteer Welke gegevens (en zijn deze nodig) Welke bedrijfsprocessen Welke afdelingen/ personen Welke systemen/ beheersmaatregelen? Systeemvereisten: b.v. recht op vergetelheid, dataportabiliteit, logging van toestemming Beschikbare documentatie (bewerkersovereenkomst, informatiebeveiligingsbeleid, opdrachtovereenkomst) Beheer en hosting in de EU? Autorisaties en toegangsrechtenbeheer? 8

Overzicht verwerkingen Definitie van persoonsgegeven Singling out: de man met de zonnebril B.v. Postcodesegmentatie. By any other controler: data die voor mij herleidbaar is, hoeft dit niet te zijn voor een andere afdeling binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek. B.v. gebruik geanonimiseerde data voor R&D 9

Overzicht verwerkingen Donateur Oud donateur Giftgever Prospect Webbezoeker Beschikbaarheid Vertrouwelijkheid NAWT X X X X E-mail X X X X Geslacht X X X X Geboortedatum X X Contacthistorie X X X X Data verkregen uit sociale profielen (Facebook-, twitteraccount etc.) X X X X x Gegevens met betrekking tot transactie/ donatie /aankoop X X X Financiële data X X X Classificatie soort donateur/ afgeleide financiële data X X Bijzondere persoonsgegevens 10

Overzicht verwerkingen Ledenadministratie Vrijwilligersadministratie Collecte register Petitietool Website(s) en actiepagina s Nieuwbriefabonnees Patiëntenvereniging Personeelsadministratie Fondsenwerving via derden? Externe verrijking? Beschikbaarheid data Vitaal: algeheel verlies of niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt merkbare schade toe aan de belangen van de Stichting. Zeer vitaal: algeheel verlies of niet beschikbaar zijn van deze informatie gedurende langer dan 1 etmaal brengt merkbare schade toe aan de belangen van de Stichting. Integriteit en vertrouwelijkheid data Openbaar: Iedereen mag de gegevens inzien. Een geselecteerde groep mag deze gegevens wijzigen. Intern: medewerkers mogen de gegevens inzien, bijvoorbeeld CMS data en contacthistorie. Vertrouwelijk: Er is expliciet aangegeven wie welke rechten heeft t.a.v. de raadpleging en de verwerking van deze gegevens, bijvoorbeeld bij Major Donors. 11

Overzicht verwerkingen E-mail Direct mail Retention e-mail tool sales and marketing Partij 1 Partij 1 (automated dialer) Telemarketing Blacklist opt-out requests (selection tool) (database marketing en sales trial and exsubscribers) Partij 1 Intern beheerd Partij 2 Externally managed (field marketing tool) Direct sales Data analyses Customer Single Customer View Data enrichment and validation websites/ landing pages Partij 1 Partij 2 Partij 3 (data warehouse) Online accounts Inernally managed Customer database Externaly managed Internally managed 12

Overzicht verwerkingen Customer Database Organisation X 5 (56%) - OK, no findings 1. Dataprocessors / Third Parties 0 (0%) - OK 1 (100%) - Impact 0 (0%) - Further inquiries needed 2. Dataretention periods 0 (0%) - OK 1 (100%) - Impact 2 (22%) - Average Impact 3. Internal/external data exchange 1 (100%) - OK 0 (0%) - Impact 2 (22%) - High Impact 4. Internal/External management 0 (0%) - OK 1 (100%) - Impact 5 - Not Relevant 5. Hosting 1 (100%) - OK 0 (0%) - Impact 6. Access rights 3 (75%) - OK 1 (25%) - Impact Purposes for dataprocessing Legitimate grounds for dataprocessing Datacollection Subscription registration (B2C) Accountmanagement Visitor registration Video surveillance Permission (opt-in/opt-out) registration Click and browsing tracking Compliance Monitoring Customer Intelligence Accounts receivable and payable (B2B) Third party data disclosure Distribution Vital interest of the data subject Range (# records) Performance of a task carried out in the public interest f. > 5.000.000 Public Visibility 3. Moderate Billing B2B Job-title Unit/Department Phonenumber E-mail address Proces Coordinator Billing B2C Customer Service Marketing Personnel Administration Payroll Administration Sales B2B (advertising sales) Sales B2C (subscription sales) Data validation / enrichment Recruitment and Selection (HR) Marketing Operations Data subject's consent Performance of a contract or pre-contractual measures Legal obligation Necessary legitimate interest of the controler There is no legitimate ground for the processing Collection of data from the data subject by DPN Collection of data from the data subject by third party Derived data 13

praktijk: Bewerkersovereenkomst Stap 6: Functionaris voor de gegevensbescherming Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG ook wel: DPO of Privacy Officer) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen Stap 8: Bewerkersovereenkomsten Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG verwerker genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan. 14

Bewerkersovereenkomst Beheer en delegeer Procesverantwoordelijke Contractmanagement(tool) Bewerkersovereenkomst 15

Bewerkersovereenkomst De opbouw van de bewerkersovereenkomst (straks verwerkersovereenkomst) Doelen en middelen Beveiliging en auditrecht Inschakelen derden / onder aanneming Geheimhouding Vernietiging en back-up Informatie-uitwisseling en meldplicht datalekken Aansprakelijkheid en vrijwaring Omvang overeenkomst & recht op heronderhandeling 16

Praktijk: Toestemming Stap 10: Toestemming Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. 17

Toestemming Informeer (en vraag toestemming) Niet enkel met een linkje naar de algemene voorwaarden of de privacy statement. In een bij- of onderschrift melden wat je gegevens doet. 18

19

20 Toestemming

21 Toestemming

22 Toestemming

Dataretentie Tot slot: gooi ook eens wat weg Gebruik gegevens zo lang als noodzakelijk De-activeren is onvoldoende Termijn? 23

Voor meer Info Jitty van Doodewaerd (06-25516373) DMCC Nederland B.V. Telefoon : 088-7779311 E-mail: info@dmcc.nl Website: www.dmcc.nl DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren. 24

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback