Post on 12-Apr-2017
Digital TransactionsHoe om te gaan met persoonsgegevens onder de nieuwe Algemene Verordening Gegevensbescherming (AVG)
Track 1 Customer Journey
Mr. Dr. Léon MölenbergSenior beleidsadviseur - JuristThuiswinkel.org
Senior policy advisorEcommerce Europe
B2C-Contractenrecht * Privacy & databescherming * Mededingingsrecht
leonmolenberg@thuiswinkel.org
leonmolenberg@ecommerce-europe.nl
Uiterlijk 25 mei 2018 dient iedereen die persoonsgegevens verwerkt te
voldoen aan de nieuwe regels van de AVG
De AVG legt op de ondernemer (verantwoordelijke voor de verwerking) een aantal duidelijke plichten inzake de verwerking van persoonsgegevens, de
beveiliging daarvan en privacy.
De ondernemer die data verwerkt moet kunnen
verantwoorden en laten zien dat hij conform de regels is
omgegaan met de persoonsgegevens van zijn
klanten.
De ondernemer die zich niet aan de regels houdt of zich niet kan verantwoorden, loopt het risico van forse
boetes door de toezichthouder en
mogelijk verontruste klanten die recht
hebben op schadevergoeding.
Administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.De boete kan worden opgelegd aan de verwerkingsverantwoordelijke en/of de verwerker.
Eenieder die materiële of immateriële scha-de heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverant-woordelijke of de verwerker schadever-goeding te ontvangen voor de geleden schade.
Artikel 82 AVG
Persoonsgegevens“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”
Bijzonder gevoelige persoonsgegevens
Verwerking van persoonsgegevens“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”
Verantwoordelijke voor de verwerking”een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”
Verwerker“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”
Algemene beginselen voor verwerking
• rechtmatig• behoorlijk• transparant• doel gebonden• doelreikend (dataminimalisatie)• veilig (integer en vertrouwelijk)• opgeslagen in juiste vorm
(toegang, anonymisering en pseudonimisering)
• verantwoordelijkheid en verantwoordingsverplichting
• privacy by design
Rechtmatigheid van verwerkinga) de betrokkene heeft toestemming gegeven voor de verwerking van zijn
persoonsgegevens voor een of meer specifieke doeleinden;b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag opgedragen aan de verwerkingsverantwoordelijke;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de privacy belangen van de betrokkenen zwaarder wegen.
Toestemming van de betrokkene“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”
Andere begrippen• profiling en tracking• big data• automatische besluitvorming• data portabiliteit• inzagerecht• recht om te worden vergeten• pseudonymisering en
anonymisering• meldplicht data lekken
Verwerk ik persoonsgegevens?Analyseer gegevensstromen en processen:- Persoonsgegevens- Andere data
Leg vast in welke processen persoonsgegevens worden verwerkt
Ben ik verwerkingsverantwoordelijke of verwerker?
Privacy by design!
Doelbinding en rechtmatigheidIs er een helder verwerkingsdoel en wie heeft inzage in de gegevens?
Heb ik deze data nodig voor het bereiken van het doel? Dataminimalisatie! Hoe lang wil ik gezien het verwerkingsdoel de date bewaren?
Moet ik een privacy impact assessment doen?
Verwerk ik de gegevens rechtmatig? Heb ik de benodigde toestemming of is dat niet nodig?
VeiligheidHoe zorg ik er voor dat onbevoegden geen kennis kunnen nemen van verwerkte persoonsgegevens?- Opslag- Transport- Juiste data- Toegang bij storing
Rechten van de klantTransparantie: informeer ik de klant helder over hem betreffende verwerkingen
Inzage, Correctie en VerwijderingIntrekken toestemming
Recht om te worden vergeten
Recht om niet te worden onderworpen aan direct marketing en profilering
Recht om niet te worden onderworpen aan automatische besluitvorming
VerantwoordingsplichtDocumentatie van veilige en rechtmatige verwerking
Privacy Impact Assessment of Gegevensbeschermingseffectbeoor-deling
Meldplicht
Meldplicht datalekken
Moet ik een functionaris voor gegevensbescherming benoemen?