Post on 06-Jul-2020
#IABnl
AVG & E-PRIVACY
Terugblik en zoom-in op meest
bevraagde onderwerpen
Deloitte Privacy Advisory & Deloitte
Legal - 12 september 2017
#IABnl
EVEN VOORSTELLEN
Nicole VreemanPrivacy Advisor Deloitte
Marloes DankertPrivacy Advisor Deloitte
#IABnl
25 mei 2018
ALGEMENE VERORDENING
GEGEVENS-BESCHERMING
#IABnl
“elk gegeven betreffende een
geïdentificeerde of identificeerbare
natuurlijke persoon”
PERSOONSGEGEVENS
#IABnl
VOORBEELDEN
#IABnl
VERANTWOORDELIJKEVerplichtingen:
• Aantoonbaar voldoen aan de AVG, o.a. door
• Duidelijk vastleggen privacybeleid;
• Overzicht van alle verwerkingen persoonsgegevens.
• Implementeren Privacy by Design
• Passende technische en organisatorische
beveiligingsmaatregelen
• Aangaan verwerkersovereenkomst
• Aanwijzen van een Functionaris Gegevensbescherming
(niet altijd)
#IABnl
VERWERKERVerplichtingen:
• Werk in opdracht van verantwoordelijke
• Register persoonsgegevens
• Passende technische en organisatorische
beveiligingsmaatregelen
• Toestemming voor sub-verwerkers
• Functionaris gegevensbescherming (soms)
• Aantoonbaar voldoen aan de AVG
#IABnl
TOP TIP
De verantwoordelijke:
• Naam en contactgegevens van de verantwoordelijke, eventuele
gezamenlijke verwerkingsverantwoordelijken en de Functionaris
Gegevensbescherming (de FG);
• Doeleinden voor gegevensverwerking;
• Categorieën betrokkenen en persoonsgegevens;
• De (voorgenomen) categorieën ontvangers;
• Vermelding van verstrekking van persoonsgegevens aan derde landen;
• De (voorgenomen) bewaartermijnen
• Algemene beschrijving van de beveiligingsmaatregelen.
De verwerker:
• Naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de
eventuele FG;
• Categorieën verwerkingsactiviteiten;
• Vermelding van verstrekking van persoonsgegevens aan derde landen;
• Algemene beschrijving van de beveiligingsmaatregelen.
Ken je risico’s!
Breng je verwerkingen in kaart met een verwerkingsregister.
#IABnl
GRONDSLAGHet verwerken van persoonsgegevens is verboden op grond
van de AVG, tenzij er een juiste grondslag is.
• Toestemming
• Uitvoering overeenkomst
• Wettelijke verplichting
• Vitaal belang
• Vervulling van een taak in het algemeen belang
• Gerechtvaardigd belang
• Bedrijfsbelang
• Let op: Niet voor overheidsorganen
#IABnl
DOELBINDING• Welbepaalde, uitdrukkelijk omschreven en
gerechtvaardigde doeleinden
• Verbod verwerking onverenigbaar met doeleinden
• Uitzondering: verdere verwerking
• Verband tussen beide doeleinden
• Aard persoonsgegevens
• Gevolgen verdere verwerking
• Aanwezigheid passende waarborgen
#IABnl
TOP TIP Denk aan de doelbinding en zorg voor de
juiste wettelijke grondslag!
• Waren al van toepassing onder Wbp maar vaak
makkelijk vergeten.
• Extra belangrijk i.v.m. hogere boetes
• Tot 10 miljoen of 2% van de jaaromzet; of
• Tot 20 miljoen of 4% van de jaaromzet.
#IABnl
RECHTEN BETROKKENEN…Toegang
Rectificatie
Recht op vergetelheid (‘right to be forgotten’)
Beperking van de verwerking
Overdraagbaarheid van gegevens (‘data portabiliteit’)
Bezwaar
Geautomatiseerde individuele besluitvorming, inclusief
profileren
#IABnl
TOP TIP Weet hoe je om wil gaan met rechten van
betrokkenen!
Hoe reageer je op verzoeken van betrokkenen?
Wat zijn de procedures binnen de organisatie?
Is het technisch mogelijk om de rechten van betrokkenen te
waarborgen?
#IABnl
TRANSPARANTIE• Het is belangrijk om transparant naar de betrokkene te zijn over
de verwerkingen van persoonsgegevens die plaatsvinden.
• Wees duidelijk over de informatie, en de redenen waarvoor de
verwerking plaatsvind.
• Zorg voor een heldere privacy policy.
#IABnl
TOESTEMMINGToestemmingsvereiste aangescherpt
Toestemming moet:
• Ondubbelzinnig
• Vrijwillig
• Specifiek
• Geïnformeerd
Kinderen vanaf 16 jaar
#IABnl
ART. 7 LID 4 AVG
Bij de beoordeling van de vraag of de toestemming vrijelijk kan
worden gegeven, wordt onder meer ten sterkste rekening gehouden
met de vraag of voor de uitvoering van een overeenkomst, met
inbegrip van een dienstenovereenkomst, toestemming vereist is voor
een verwerking van persoonsgegevens die niet noodzakelijk is voor de
uitvoering van die overeenkomst.
#IABnl
TOP TIP Informeer, wees transparant over je verwerkingen!
Deze transparantie gaat niet alleen op richting de toezichthouder maar
ook naar de betrokkene.
Denk aan een duidelijke, heldere privacy policy.
Toestemming kan alleen als betrokkene goed geïnformeerd is.
#IABnl
PROFILEREN“Elke vorm van geautomatiseerde verwerking
van persoonsgegevens, waarbij aan de hand van
persoonsgegevens bepaalde persoonlijke
aspecten van een natuurlijke persoon worden
geëvalueerd”
• Betrokkene krijgt het recht op bezwaar.
• Direct marketing ≠ zwaarder wegend belang.
#IABnl
AUTOMATISCHE BESLUITVORMING
• Geen automatische besluitvorming n.a.v. profileren
Rechtsgevolgen
• Aanmerkelijke mate getroffen betrokkene
Tenzij:
• Noodzakelijk voor uitvoeren contract
• Geautoriseerd door wetgeving EU (lidstaat)
• Gebaseerd op expliciete toestemming
#IABnl
TOP TIP Zorg voor privacy bewustheid binnen de organisatie!
Verdeel taken en en laat mensen zich verantwoordelijk voelen.
Zorg voor extra kennis bij werknemers die veel met persoonsgegevens
werken.
Ken en communiceer je beleid omtrent privacy, in het bijzonder
wanneer je gebruik maakt van technologieën als profileren of
automatische besluitvorming.
#IABnl
CONCLUSIEKen je risico’s!
Denk aan de doelbinding en zorg voor de juiste wettelijke
grondslag!
Weet hoe je om wil gaan met rechten van betrokkenen!
Informeer, weest transparant over verwerkingen
Zorg voor privacybewustzijn binnen de organisatie!
#IABnl
E-PRIVACY VERORDENING Recap: Geschiedenis
2002: Richtlijn 2002/58/EC e-Privacy richtlijn
2012: Implementatie in Telecommunicatiewet van (inmiddels gewijzigde) e-Privacy richtlijn
2015: Cookies zonder toestemming
• … indien noodzakelijk of geringe inbreuk op privacy
Cookiewall mag, tenzij…
Doorsurfen toestemming
2017: Publicatie CONCEPT e-Privacy Verordening
• 10 januari 2017
#IABnl
HEADLINESRecap: belangrijkste punten conceptvoorstel
• “OTT included”
• Vertrouwelijkheid van elektronische
communicatiegegevens
• Omgang met metadata / verkeersgegevens
• Voorwaarden voor toestemming
#IABnl
RELATIE MET AVG
• Boetes & handhaving
• Extraterritoriaal effect
• Europese dataprotectie autoriteiten
• Inwerkingtreding
• Toestemmingsvereisten
#IABnl
CONTENT• Beginsel: interferentie niet toegestaan
Netwerken + dienstenaanbieders
• transmissie…
• veiligheid, storingen, bewaking
Dienstaanbieders:
• toestemming + noodzaak
• toestemming + raadpleging AP + anonimiseren niet
werkbaar
#IABnl
METADATA
Metadata = elektronisch communicatiegegeven
Dus vertrouwelijk
Verwerken toegestaan als:
• Noodzaak: kwaliteitsdoeleinden
• Noodzaak: facturering
• Toestemming eindgebruiker
#IABnl
COOKIES• Noodzakelijk voor overdracht
• Toestemming
• Noodzakelijk voor aanbieden
aangevraagde dienst
• Noodzakelijk voor meten omvang
publiek website (first party)
#IABnl
TOESTEMMINGArt. 7 lid 4 AVG
• Bij de beoordeling van de vraag of de toestemming vrijelijk kan
worden gegeven, wordt onder meer ten sterkste rekening
gehouden met de vraag of voor de uitvoering van een
overeenkomst, met inbegrip van een dienstenovereenkomst,
toestemming vereist is voor een verwerking van
persoonsgegevens die niet noodzakelijk is voor de uitvoering
van die overeenkomst.
• Opinie WP 29: geen cookiemuur want geen vrije toestemming
Standaard toestemming via browserinstellingen mogelijk
#IABnl
DIRECT & TELEMARKETING• Toestemming
• Uitbreiding spamverbod
• Opt in of bel-me-niet
• Gebruik van een herkenbaar nummer
• Telefoon apps & push notificaties
- Opt-in noodzakelijk?
- Mogelijkheid om toestemming in te trekken noodzakelijk?
#IABnl
BOETESOmvang
10 miljoen of 2% van de jaaromzet
Soms 20 miljoen of 4% van de jaaromzet:
• Inbreuk op vertrouwelijkheid elektronische communicatiegegevens
• Niet toegestane verwerking elektronische communicatiegegevens
• Opslag elektronische communicatiegegevens strijdig met artikel 7.
• Negeren bevel toezichthouder.
Handhaving
Nu: ACM
Straks: AP (mogelijk in samenwerking met ACM)
#IABnl
TOP TIPBlijf op de hoogte!