Aan de slag met AVG. Bob Hulsebosch. Uren. Dagen. Minuten

Vergelijkbare documenten
25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Cursus privacyrecht Jeroen Naves 7 september 2017

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Agenda. De AVG: wat nu?

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Algemene verordening gegevensbescherming

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Actualiteiten loonheffingen

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Wettelijke kaders voor de omgang met gegevens

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

De AVG en de gevolgen voor de uitvoeringspraktijk

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensverwerking ( GDPR )

Privacybeleid Today s Groep

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Vita Zwaan, 16 november 2017

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacy reglement. Pagina 1 van 9

De Algemene Verordening Gegevensbescherming

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Gegevensbescherming en Privacybeleid

Privacy in de afvalbranche

checklist in 10 stappen voorbereid op de AVG. human forward.

De gevolgen van de AVG

Handvatten bij de implementatie van de AVG

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacy wetgeving: Wat verandert er in 2018?

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Privacyreglement Gemeente Borsele

Hoe word ik Privacy-proof? 21 november 2017

Plan

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

Privacyreglement WSVH

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Hoe word ik Privacy-proof? 16 JANUARI 2017

Privacy: de AVG voor decentrale overheden

Privacyreglement Werkzaak Rivierenland

Impact AVG op de lokale overheden

Gegevensbescherming en privacybeleid

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Privacyverklaring Therapeuten VVET

In 15 stappen op weg naar 2018

Vandaag Zorgvernieuwing

Blockchain Smart Contracts AVG

De AVG in vogelvlucht Wat moeten organisaties doen?

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Privacyreglement Gemeente Tiel

PRIVACY REGLEMENT ORIONIS WALCHEREN

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Algemene begrippen AVG

Privacyreglement Senzer

Handleiding. Algemene Verordening Gegevensbescherming (AVG)

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Privacyreglement Gemeente Krimpen aan den IJssel

Privacy beleid Gastouderbureau Dolfijntjes

Privacy Maturity Scan (PMS)

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Privacy beleid De Kompanjie

AUTO BINNENMAAS AUTO RIDDERKERK LEASEBYUS

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

Privacyreglement Waterschap Rijn en IJssel

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

In bijlage 1 bij dit document zijn de relevante begrippen uit de privacy wetgeving omschreven die in dit privacy-beleid worden gebruikt.

Inleiding. Uitleg tienstappenplan AVG

Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Privacybeleid en reglement Afier Accountants + Adviseurs

Algemene verordening gegevensbescherming (AVG) & Inkomensregistratie

PRIVACY GOED GEREGELD. Voorjaar 2018

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming (AVG)

De Master spreekt Privacywetgeving 2018 (AVG)

Het einde van de privacy paradox?

Privacyreglement gemeente Noordwijkerhout

AVG in de praktijk, tips!

Privacybeleid. Kinderopvang Bam! Versie Kinderopvang Bam! Taj Mahalplaats NH Delft

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacy en de meldplicht datalekken

De Algemene Verordening Gegevensbescherming

Reglement privacy gemeente Goes 18INT01558

Transcriptie:

Aan de slag met AVG Bob Hulsebosch 223 Dagen 14 Uren 06 05 07 Minuten

Wie ben ik? Senior adviseur Identity, Privacy & Trust bij InnoValor > 15 jaar ervaring Opdrachten: Min. SZW: PIA SUWInet en Frauderegister BKR: PIA VIS-toetsen Min. EZ: Inspecteur Idensys/eHerkenning Min. EZ/BZK: Adviseur EU eidas verordening SWELL: PIA sensor applicaties voor ecoaching/wellbeing Kennisnet: Impact privacy-by-design op educatieve content keten ICTU: Regie op Gegevens personal data management

Doel Hij is gevreesd, hij is gevaarlijk, hij is bindend, en hij komt eraan! Beantwoorden van twee vragen: Wat staat er te gebeuren met de aankomende (Uitvoeringswet) AVG? Hoe praktisch om te gaan met de AVG? Best practices / do s and don ts

Agenda AVG algemeen Basisprincipes Wat is nieuw? Specials Take aways Vragen

AVG Algemeen Treedt op 25 mei 2018 in werking Vervangt WBP Harmoniseren van privacy in EU (GDPR) Burger/consument meer centraal Minder juridisch; meer over uitgangspunten, afspraken en beheersmaatregelen om naleving te garanderen Meer over verantwoording (dus)

Basisprincipes Gevoeligheid en beveiliging van de gegevens Limitering van het verzamelen en verwerken van gegevens Beperkingen tav bijzondere gegevens Doelbinding en rechtmatigheid Wettelijke basis, algemeen belang, toestemming van de betrokkene, vitaal belang, gerechtvaardigd belang, overeenkomst Gegevenskwaliteit en beschikbaarheid Rechten van betrokkenen en transparantie Verantwoording Governance Verantwoordelijkheden Toezicht Ketens

Boetes Informatieverplichting Toestemming Rechten betrokkenen Meldplicht datalekken Functionaris gegevensbescherming Ontwerp Verantwoording Verplichtingen verwerkers Toezicht Reikwijdte Doorgifte aan derde landen Nieuwe elementen AVG

Boetes Nu: Max EUR 820.000 of 10% omzet AVG: Max EUR 20.000.000 of 4% omzet Hangt af van type overtreding Boete vs Meldplicht vs Reputatie vs Pakkans

Informatieverplichting Meer dan huidige privacy policy de periode waarvoor gegevens zullen worden opgeslagen de rechten van de betrokkene wat de bron is van de gegevens de juridische grondslag voor de verwerking of gegevens buiten de EER worden opgeslagen of welk gerechtvaardigd belang is gediend met de verwerking Actualiseer privacybeleid met de nieuwe informatieverplichtingen! Wees transparant! Transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Leg dit vast - is onderdeel van de verantwoordingsplicht

Toestemming Moeilijker om te verkrijgen dan bij WBP Duidelijk actieve handeling Ondubbelzinnig Uitdrukkelijke toestemming voor bijzondere gegevens Vrije wilsuiting Specifiek en geïnformeerd: betrek de gebruiker erbij! Aantoonbaar en intrekbaar Toestemming van ouders bij kinderen (< 16 jaar) Bezint eer ge begint aan toestemming!

Rechten betrokkenen Inzage (binnen 8 weken op basis van Algemene wet bestuursrecht) Om derden inzage te geven Om toestemming te geven en in te trekken Om persoonsgegevens te laten wissen Om vergeten te worden Rectificatie Beperking van de verwerking van persoonsgegevens Dataportabiliteit Borg de rechten van de betrokkenen in procedures, werkprocessen, online omgevingen, etc.

Meldplicht datalekken Verplichte melding van inbreuken op persoonsgegevens aan toezichthouders Waar mogelijk binnen 72 uur nadat bewustwording datalek Kennisgeving aan toezichthouders is niet vereist indien het onwaarschijnlijk is dat de inbreuk zal leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen Verantwoordelijken moeten ook, zonder onnodige vertraging, datalekken aan betrokkenen melden. Deze meldplicht is alleen vereist indien de inbreuk waarschijnlijk zal resulteren in een groot risico voor de rechten en vrijheden van individuen. Betrokkenen hoeven dus doorgaans minder snel te worden geïnformeerd over een datalek dan op dit moment Maak procedures voor het geval van een datalek

Functionaris Gegevensbescherming Nodig voor: overheidsinstanties of publieke organen degenen die krachtens een nationale wet een DPO moeten aanstellen nog niet bekend of dit in NL gaat gebeuren verantwoordelijken en verwerkers die als kernactiviteit hebben: reguliere, systematische en grootschalige controle van personen (profilering - bijvoorbeeld door middel van camera s, het monitoren van e-mail van werknemers of voertuigvolgsystemen); of grootschalige verwerking van bijzondere categorieën gegevens en/of strafrechtelijke gegevens. Hieronder vallen ook de nieuwe categorieën persoonsgegevens: genetische en biometrische gegevens. Denk goed na over wie je aanstelt als FG

Ontwerp Gegevensbescherming door ontwerp en door standaardinstellingen (privacy by design and by default) Dataminimalisatie, versleuteling, toegangscontrole, tijdige verwijdering van data, anonimisering en pseudonimisering Gegevensbeschermingseffectbeoordeling (privacy impact assessment)

Verantwoording Meldplicht voorgenomen verwerking aan autoriteit vervalt Administratie van de verwerkingsprocessen door verantwoordelijke (en verwerker) Alleen voor organisaties met meer dan 250 medewerkers Of wanneer sprake is van een verwerking bijzondere gegevens Verantwoordelijke kan aantonen dat verwerkingen geschieden in overeenstemming met de vereisten die de AVG daaraan stelt Haal bezem door gegevensverwerkingen DPIA Maak een register van verwerkingsactiviteiten

Verplichtingen verwerkers Meer verplichtingen dan nu het geval is het documenteren van verwerkingen het aanstellen van een functionaris gegevensbescherming het verkrijgen van toestemming van de verantwoordelijke alvorens een subverwerker in te schakelen het melden van een datalek aan de verantwoordelijke het treffen van passende technische en organisatorische maatregelen het verlenen van medewerking aan de bevoegde toezichthouder het handelen in overeenstemming met de eisen voor doorgifte naar buiten de EER het uitvoeren van privacy impact assessments Contractuele waarborgen tussen verantwoordelijke en verwerker geheimhouding, vernietiging van persoonsgegevens, uitvoering van audits Komt een subverwerker zijn verplichtingen niet na, dan blijft de verwerker volledig aansprakelijk richting de verantwoordelijke Loop de huidige bewerkersovereenkomsten na!

BSN Kinderen Profilering Biometrische gegevens Inzagerecht Gegevenswissing Dataportabiliteit DPIA Verwerkersovereenkomst Specials

BSN Is BSN nu een bijzonder persoonsgegeven of niet? Onder de AVG is het BSN géén bijzonder persoonsgegeven meer Desondanks geldt voor gebruik BSN een wettelijke bevoegdheid óf in lijn zijn met doeleinden van de wet Organisaties die BSN mogen verwerken: Overheid, gemeenten, zorg, onderwijs, pensioenen Wet algemene bepalingen BSN, Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg, of Wet GDI Ook het vervormen of versleutelen van een BSN blijft een onrechtmatige verwerking zonder grondslag uit de wet BSN mag niet naar het buitenland

Gegevensverwerking van kinderen Toestemming ouders / wettelijk vertegenwoordiger nodig Alleen nodig als: er geen andere grondslag van toepassing is, het gaat om een dienst van de informatiemaatschappij, en het kind jonger is dan 16 jaar In dat geval: Toestemming vragen aan de ouders of wettelijke vertegenwoordiger Nagaan of de ouders daadwerkelijk toestemming hebben verleend Moet alle verstrekte informatie in voor kinderen begrijpelijk en gemakkelijke taal zijn omschreven Moet het verlenen van toestemming ook makkelijk geweigerd of ingetrokken kunnen worden

Profilering Houd rekening met Datakwaliteit Transparantie Menselijkheid Ruwe data weggooien Profilering kan leiden tot nieuwe bijzondere gegevens Sensor data rondom activiteit vs medische gegevens Waak voor her-identificatie!

Biometrische gegevens Biometrische gegevens = bijzondere gegevens Gezicht, vingerafdruk, iris, netvlies, stem, Voor het identificeren van personen en voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde Uitzondering Uitvoeringswet AVG Zonder de uitzondering is een van de weinige opties voor rechtmatig gebruik van biometrie de uitdrukkelijke toestemming Problematisch gelet op de werkgever-werknemer verhouding Toestemming is in die gevallen bijna nooit vrij te geven Ga niet zelf aan de slag met biometrische authenticatie

Inzagerecht Alleen eigen, persoonlijke gegevens Wat in te zien: doeleinden van verwerking categorie persoonsgegevens (categorie) van ontvangers bewaartermijnen dat de verzoeker het recht heeft gegevens te rectificeren of wissen en de verwerking te beperken of bezwaar te maken dat de verzoeker het recht heeft een klacht in te dienen bij de toezichthouder wanneer u de gegevens van een andere partij heeft verkregen, alle beschikbare informatie over deze bron wanneer de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen Inzage weigeren kan wanneer: Het geen persoonsgegevens betreffen Het afbreuk doet aan de rechten en vrijheden van anderen Aandachtspunt: Identificatie van de verzoeker

Gegevenswissing De persoonsgegevens zijn niet langer nodig voor doeleinden waarvoor zij zijn verzameld of verwerkt De verwerking was gebaseerd op toestemming maar is ingetrokken en er is geen andere rechtsgrond voor de verwerking Er is door de klant bezwaar gemaakt tegen de verwerking en de concrete afweging tussen het gerechtvaardigde belang is minder dan de belangen, rechten en vrijheden van de klant De persoonsgegevens worden onrechtmatig verwerkt. Dit is de restcategorie voor situaties waarin organisaties niet voldoen aan de AVG. Er geldt voor de organisatie een wettelijke verplichting om gegevens te wissen die voortvloeit uit Europees of Nederlands recht De persoonsgegevens zijn verzameld in het kader van het aanbieden van een app of website-account aan een kind, waarvoor het kind vanaf 16 (of sommige landen 13) jaar toestemming heeft gegeven. Deze situatie is met name beschreven om te waarborgen dat kinderen die zich op hun jonge leeftijd nog niet goed bewust waren van de consequenties, de mogelijkheid krijgen die gegevens van internet te laten verwijderen

Dataportabiliteit Overdracht van gegevens naar andere verantwoordelijke Voorwaarden: Alleen persoonsgegevens over de betrokkene Verstrekt door de betrokkene Niet afgeleide gegevens (profilering) Geautomatiseerd Papieren bestanden vallen erbuiten Gestructureerd, in een machineleesbaar formaat inclusief metagegevens Alleen voor gegevens noodzakelijk ter uitvoering van een overeenkomst Waarvoor toestemming is gegeven Geen afbreuk aan de rechten en vrijheden van derden

DPIA - Data Protection Impact Assessment Privacy risico analyse Wanneer nodig: Profilering Geautomatiseerde beslissingen Stelselmatige en grootschalige monitoring Bijzondere gegevens Grootschalige gegevensverwerkingen Gekoppelde databases Kwetsbare personen Nieuwe technologieën (IoT) Buiten de EU Blokkering van recht, dienst of contract Voer een DPIA tijdig uit om een goed beeld te krijgen van de risico s Toon aan dat er wat met de uitkomsten van de DPIA is gedaan

Verwerkersovereenkomst Tussen verantwoordelijke en verwerker Legt het volgende vast: Algemene beschrijving systeem/gegevens en risico s Soort verwerking instructies Geheimhoudingsplicht Beveiliging om de risico s te mitigeren Sub-verwerkers Privacyrechten gebruiker (inzage, etc.) Andere verplichtingen (meldplicht, DPIA) Verwijderen gegevens Audit Steek in op een win-win voor beide partijen; niet wie de zwartepiet krijgt

Take aways AVG dwingt om privacy goed te regelen Boetes Overweeg integratie met ISMS Voldoen aan AVG is niet triviaal Nadenken over veel aspecten en situaties Juiste keuzes maken Zo concreet en inhoudelijk mogelijk Belangrijk de gebruiker centraal te stellen Informatieplicht transparantie, rechten gebruiker Borgen van verantwoording essentieel Verantwoordingsplicht FG, DPIA, verwerkersovereenkomsten Documentatieplicht Register verwerkingen, procesbeschrijvingen

Vragen

BACKUP SLIDES

Juridische reikwijdte De reikwijdte van de AVG is breder Verantwoordelijken en verwerkers die zijn gevestigd buiten de EU moeten voldoen aan AVG indien de verwerking van persoonsgegevens betrekking heeft op: het aanbieden van goederen of diensten aan particulieren in de EU; of het monitoren van gedrag van individuen in de EU

Toezicht Er is een toezichthouder one-stop-shop : dat organisaties met vestigingen in meerdere lidstaten worden onderworpen aan het toezicht van één toezichthouder Oprichting van een zogeheten Europees Comité voor Gegevensbescherming Geschillenbeslechting en juridische opinies Bepaal de toezichthouder

Doorgifte aan derde landen Geen overdracht van persoonsgegevens aan een land buiten de Europese Economische Ruimte (EER), tenzij er sprake is van een passend beschermingsniveau of er een vrijstelling van toepassing is. De verantwoordelijkheid voor de naleving van deze regel rust op de verantwoordelijke en geldt ook voor verwerkers BSN mag niet de grens over!

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback