DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Vergelijkbare documenten
Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Cursus privacyrecht Jeroen Naves 7 september 2017

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Wettelijke kaders voor de omgang met gegevens

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene verordening gegevensbescherming

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Inleiding. Uitleg tienstappenplan AVG

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

staat is om de AVG na te komen.

Privacy beleid Gastouderbureau Dolfijntjes

Algemene Verordening Gegevensbescherming (AVG)

Handvatten bij de implementatie van de AVG

Checklist basisbeginselen privacyregelgeving

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Algemene Verordening Gegevensbescherming (AVG)

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacy wetgeving: Wat verandert er in 2018?

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Privacyverklaring Therapeuten VVET

Algemene verordening gegevensbescherming

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Hoe word ik Privacy-proof? 16 JANUARI 2017

AVG Algemeen PRIVACYREGLEMENT

Privacy en de meldplicht datalekken

PRIVACY GOED GEREGELD. Voorjaar 2018

24 mei Veranderingen privacywetgeving: de gevolgen voor ledenadministratie

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Algemene verordening gegevensbescherming (AVG)

Algemene begrippen AVG

Privacy reglement. Pagina 1 van 9

Privacyreglement Medewerkers Welzijn Stede Broec

Phytalis-Verwerkersovereenkomst

Kedin zal zorgvuldig omgaan met jouw persoonsgegevens en heeft jouw privacy hoog in het vaandel staan.

Plan

Privacy in de afvalbranche

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Privacyverklaring Tabor

Privacyverklaring Stichting Speelotheek Pinoccio

Hoe word ik Privacy-proof? 21 november 2017

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Gegevensbescherming en Privacybeleid

Algemene Verordening Gegevensbescherming

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

Privacy Statement INTRAMED. Juni Versie 1.0

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

In bijlage 1 bij dit document zijn de relevante begrippen uit de privacy wetgeving omschreven die in dit privacy-beleid worden gebruikt.

Privacyreglement WSVH

Algemene Verordening Gegevensbescherming (AVG)

Chodsky Pes Club Nederland

Deze privacyverklaring heeft betrekking op de verwerking van persoonsgegevens van:

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen de gemeente Waterland;

Privacyreglement Gemeente Borsele

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Privacyreglement Werkzaak Rivierenland

TVDW ADMINISTRATIEVE BEGELEIDING. Privacy document. Beveiligingsmaatregelen en privacyverklaring. Twan van de Wiel B.V

Privacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:

In 15 stappen op weg naar 2018

Gegevensbescherming en privacybeleid

Arbeidsprivacyrecht. Samenstelling: Peter Keuchenius

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Gegevensbescherming/Privacy

Privacy document. Beveiligingsmaatregelen en privacyverklaring. Opgesteld door: Edwin Klijn

Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?

Algemene Verordening Gegevensbescherming

Privacybeleid. Kinderopvang Bam! Versie Kinderopvang Bam! Taj Mahalplaats NH Delft

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Privacybeleid Beckers Financieel Advies

Privacy Maturity Scan (PMS)

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

PRIVACYBELEID GOB D-Janina Nederland

XpertHR College. Welkom bij het XpertHR College, met Steffie Schepers

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

AVG in de praktijk, tips!

Privacy & Cloud. een juridisch perspectief

PRIVACY REGLEMENT ORIONIS WALCHEREN

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

Privacy dit moet je weten over de wet

Algemene Verordening Gegevensbescherming

Privacybeleid Today s Groep

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Privacyverklaring VVET

PRIVACYBELEID KINDERTUIN

PRIVACYREGLEMENT Springkussenverhuur Nederland

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Procedure meldplicht datalekken

Actualiteiten loonheffingen

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Transcriptie:

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG geldt zelfs voor verwerkingsverantwoordelijken en verwerkers buiten de EU, indien deze persoonsgegevens verwerken die betrekking hebben op het aanbieden van goederen/diensten aan natuurlijke personen (particulieren) in de EU of het monitoren van gedrag van individuen binnen de EU.

Enkele begrippen: Verwerking van persoonsgegevens: Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens Bijzondere persoonsgegeven(s): Bijzondere persoonsgegevens zijn gegevens over godsdienst of levensovertuiging, politieke voorkeur, gezondheid, seksuele geaardheid, ras, strafrechtelijk verleden en bijvoorbeeld het BSN nummer. Verwerker Verwerker: Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen Persoonsgegeven(s): Elk gegeven betreffende een geïdentificeerd of identificeerbaar natuurlijk persoon Betrokkene: Degene op wie een persoonsgegeven betrekking heeft Verwerkingsverantwoordelijke: Stelt alleen of tezamen met anderen het doel en de middelen voor de verwerking van persoonsgegevens vast

Waar moet je aan denken bij de AVG? Rechten van betrokkenen Doorgifte 3e landen Verwerker PIA DPO Data Protection Officer Doeleinden Informeren van betrokkenen Meldplicht datalekken Incidentenregister Beveiliging Verwerkersovereenkomst Wettelijke grondslag (o.a. toestemming) Register van persoonsgegevens Bijzondere persoonsgegevens Bewaren Proportionaliteit/ subsidiariteit

Toelichting Advies Doeleinden Bij het verzamelen van persoonsgegevens moet duidelijk zijn voor welke doeleinden die persoonsgegevens worden verzameld. Inventariseer welke persoonsgegevens voor welke doeleinden worden verzameld. Die doeleinden moeten welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Doeleinden Wettelijke grondslag Voor iedere verwerking van persoonsgegevens moet een wettelijke grondslag bestaan. Beoordeel of er voor iedere verwerking een wettelijke grondslag bestaat. Dit zijn: toestemming, een overeenkomst, wettelijke verplichting, vitaal belang betrokkene, uitvoering publieke taak, gerechtvaardigd belang. Wettelijke grondslag (o.a. toestemming) Bijzondere persoonsgegevens Toestemming? Toestemming kan een grondslag voor gegevensverwerking zijn. Let op! De betrokkene mag altijd de toestemming intrekken. 1. Beoordeel of toestemming een grondslag kan zijn. 2. De toestemming moet vrijelijk, ondubbelzinnig en aantoonbaar gegeven zijn. 3. Dit vereist een actieve handeling waaruit dat blijkt. 4. Bijvoorbeeld geen al aangekruiste vakjes. Voor de betrokkene moet in duidelijke taal helder zijn waarvoor de toestemming wordt gegeven. 5. Bewaar een (digitale) kopie waaruit blijkt dat de toestemming is verleend. Bijzondere persoonsgegevens Bijzondere persoonsgegevens zijn gegevens over godsdienst of levensovertuiging, politieke voorkeur, gezondheid, seksuele geaardheid, ras, strafrechtelijk verleden en bijvoorbeeld het BSN nummer. Een bijzonder persoonsgegeven mag niet worden verwerkt, tenzij daarvoor een wettelijke uitzondering geldt. Inventariseer of de organisatie bijzondere persoonsgegevens verwerkt en zo ja, of de verwerking is toegestaan. Let op: een (pas)foto is ook een bijzonder persoonsgegeven omdat hier raskenmerken en/of gegevens over religie uit kunnen blijken.

Toelichting Advies Proportionaliteit/subsidiariteit Wanneer het doel ook bereikt kan worden op een andere manier waardoor er minder inbreuk gemaakt wordt op de privacy van de betrokkene moet voor die manier gekozen worden. Alleen die persoonsgegevens die noodzakelijk zijn om het doel te bereiken mogen worden verzameld. Pas deze toets toe bij het bepalen welke gegevens worden verzameld. Kan het doel ook op een andere manier bereikt worden? Wordt het doel ook bereikt wanneer er minder persoonsgegevens worden verwerkt? Register van persoonsgegevens Een register is vereist indien er 250 of meer werknemers in dienst zijn, er risicovolle verwerkingen worden uitgevoerd, er structureel verwerking van persoonsgegevens plaatsvindt of indien er bijzondere persoonsgegevens/strafrechtelijke persoonsgegevens worden verwerkt. In het register worden de verschillende verwerkingsactiviteiten binnen een organisatie vastgelegd. Beoordeel of een register moet worden bijgehouden. Zo ja, zorg dat de vereiste gegevens worden opgenomen. Dit register moet op verzoek van de Autoriteit Persoonsgegevens (AP) aan haar getoond kunnen worden. Bewaren Register van persoonsgegevens Proportionaliteit/ subsidiariteit Bewaren Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor de doeleinden waarvoor ze verzameld werden. Welke bewaartermijn bij een bepaalde verwerking hoort is afhankelijk van de verwerking en de doeleinden. Voor een personeelsdossier geldt bijvoorbeeld in principe een bewaartermijn van twee jaar na het einde van het dienstverband. Bepaal voor iedere (categorie van) gegevensverwerking welke bewaartermijn daarbij passend is. De bewaartermijn moet aansluiten bij de doeleinden waarvoor de gegevens verzameld werden. Zorg voor een (geautomatiseerd) systeem op basis waarvan verzamelde gegevens vernietigd worden.

Toelichting Advies Verwerker Rechten van betrokkenen Informeren van betrokkenen Rechten van betrokkenen De betrokkene heeft onder meer recht op inzage, rectificatie, wissing, beperking van de verwerking, dataportabiliteit en bezwaar. Zorg dat bekend is wie verantwoordelijk is voor het behandelen van verzoeken van betrokkenen. Controleer of de systemen waarin de gegevens worden verwerkt/bewaard ook zo zijn ingericht dat ook daadwerkelijk aan de verplichtingen kan worden voldaan. Informeren van betrokkenen Verwerkersovereenkomst De betrokkene moet geïnformeerd worden over de verwerkingen die plaatsvinden en zijn/haar rechten in dat verband. In bepaalde gevallen is er geen informatieverplichting, bijvoorbeeld als de betrokkene al over de informatie beschikt. Inventariseer aan de hand van de te verwerken persoonsgegevens of en hoe de betrokkenen moeten worden geïnformeerd, bijvoorbeeld door een privacy statement op te stellen. Verwerkersovereenkomst De verantwoordelijke en verwerker moeten afspraken maken over bijvoorbeeld de duur en het doel van de verwerking, vertrouwelijkheid, beveiligingsmaatregelen en informatieverstrekking. Vaak sluiten zij hiervoor een aparte verwerkersovereenkomst, maar deze afspraken kunnen ook onderdeel zijn van de hoofdovereenkomst of onderdeel zijn van algemene voorwaarden. Een aantal onderwerpen zijn wettelijk verplicht, maar afhankelijk van de soort samenwerking kunnen specifieke andere onderwerpen (zoals aansprakelijkheid) worden geregeld.

Toelichting Advies Beveiliging Om de veiligheid van de persoonsgegevens te waarborgen moeten er passende technische en organisatorische maatregelen worden getroffen. Hierbij wordt rekening gehouden met de volgende factoren: stand van de techniek, uitvoeringskosten, aard, omvang, context en doeleinden van de verwerking en de risico s voor de rechten en vrijheden van de betrokkenen. Inventariseer welke maatregelen al zijn getroffen, bepaal welk risicoprofiel bij de verwerkingen hoort en of de getroffen maatregelen afdoende zijn. Zorg ook voor een procedure om op vaste momenten de getroffen maatregelen te testen, te beoordelen en te evalueren of deze afdoende zijn. Een PIA kan hierbij behulpzaam zijn. Incidentenregister Meldplicht datalekken Incidentenregister Alle inbreuken in verband met persoonsgegevens moeten worden opgenomen in een register. Ook de incidenten die niet gemeld hoeven worden bij de AP moeten hierin worden vermeld. Hierbij moeten de feiten met betrekking tot de inbreuk, de gevolgen en getroffen maatregelen worden genoteerd. Verwerkersovereenkomst Leg een incidentenregister aan. Zorg dat ook alle medewerkers op de hoogte zijn van het feit dat inbreuken waarbij (mogelijk) persoonsgegevens betrokken zijn intern gemeld moeten worden. Beveiliging Meldplicht datalekken Wanneer er een inbreuk op de beveiligingsmaatregelen plaatsvindt moet die inbreuk gemeld worden indien het waarschijnlijk is dat daardoor een risico voor de rechten en vrijheden van de betrokkenen bestaat. Wanneer dit risico hoog is moet in beginsel ook de betrokkenen zelf geïnformeerd worden over de inbreuk. Denk bij inbreuken niet alleen aan hacks maar ook aan het verliezen van een usb-stick of het versturen van een e-mail aan de verkeerde persoon. Melding aan de AP moet uiterlijk binnen 72 uur na de ontdekking plaatsvinden. Het is belangrijk hiervoor een draaiboek klaar te hebben liggen. Binnen de organisatie moet duidelijk zijn wie intern verantwoordelijk is, wie de omvang en impact inventariseert, wie de melding doet, wat de communicatiestrategie is, etc. Ook bij medewerkers moet bekend zijn dat ze een inbreuk intern moeten melden.

Toelichting Advies Data Protection Officer Doorgifte 3e landen PIA DPO DPO De DPO is een interne toezichthouder die binnen een organisatie onafhankelijk toezicht houdt op het verwerken van persoonsgegevens. Een DPO kan vrijwillig worden aangesteld maar is verplicht indien het een overheidsinstantie-/orgaan betreft Verwerker of op grote schaal bijzondere persoonsgegevens worden verwerkt of indien personen stelselmatig worden geobserveerd en dit een kernactiviteit is. Beoordeel of een DPO moet worden aangesteld. Let op! Ook wanneer vrijwillig een DPO wordt aangesteld moet voldaan worden aan de wettelijke verplichtingen die voor een DPO gelden. Data Protection Officer PIA Een PIA is een instrument waarmee privacyrisico s van bepaalde verwerkingen in kaart worden gebracht. Een PIA is verplicht voorafgaand aan de verwerking die waarschijnlijk een hoog risico voor Verwerkersovereenkomst rechten en vrijheden van natuurlijke personen oplevert. Inventariseer of een PIA noodzakelijk of wenselijk is. Een PIA kan ook inzicht bieden in de huidige stand van zaken met betrekking tot de privacy risico s, als nulmeting dienen en inzicht bieden in de nog te nemen maatregelen. Doorgifte 3e landen Persoonsgegevens mogen slechts worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER) in bepaalde gevallen, bijvoorbeeld naar landen waar een passend beschermingsniveau bestaat of als er gebruik wordt gemaakt van goedgekeurde Binding Corporate Rules. Inventariseer of er persoonsgegevens worden doorgegeven aan landen buiten de EER. Daarbij moet ook rekening gehouden worden met doorgeven waar u mogelijk niet bewust van bent, zoals bijvoorbeeld naar een hostingpartij met servers buiten de EER.

Xander Alders Elif Barioglu Caro Mennen +31 88 627 22 87 +31 88 627 22 87 +31 88 627 22 60 xander.alders@pellicaan.nl elif.barioglu@pellicaan.nl caro.mennen@pellicaan.nl AMSTERDAM ROTTERDAM UTRECHT Delflandlaan 1 1062 EA Amsterdam Watermanweg 60 3067 GG Rotterdam Orteliuslaan 1051 3528 BE Utrecht Postbus 7266 1007 JG Amsterdam Postbus 23161 3001 KD Rotterdam Postbus 8118 3503 RC Utrecht T: +31 88 627 22 20 F: +31 88 627 22 21 E: amsterdam.advocaten@pellicaan.nl T: +31 88 627 22 87 F: +31 88 627 22 80 E: rotterdam.advocaten@pellicaan.nl T: +31 88 627 22 60 F: +31 88 627 22 61 E: utrecht.advocaten@pellicaan.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback