Algemene Verordering Gevensbescherming (AVG ) General Data ... · –de verwerking is noodzakelijk...
48
Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)
Transcript of Algemene Verordering Gevensbescherming (AVG ) General Data ... · –de verwerking is noodzakelijk...
Algemene Verordering Gevensbescherming (AVG )
General Data Protection Regulation (GDPR)
2
Uit HR trends
3
4
De elf basisprincipes van privacy wetgeving
5
6
10 persoonsgegevens
Art 4 letter (1) AVG/GDPRalle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
IQ
VingerafdrukkenIP adres
RijbewijsRelationele
staatStrafrechtelijk
verleden
Gezondheid
Ras
Lidmaatschappen
Sekse
Politieke voorkeur
Wat zijn persoons gegevens?
Naam Adres
Woonplaats
Godsdienst
BSN
SalarisKenteken
Telefoonnummer
8
2 Betrokkene
Art 1 letter f WBP (niet in GDPR/AVG) degene op wie een persoonsgegeven betrekking heeft
9
3 verwerken
Art 4 letter (2) GDPR/AVG„verwerking”:een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoons-gegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
10
4 verwerkings-verantwoordelijke
Art 4 (7) GDPR/AVGde natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
11
5 Rechtmatigheid
Art 6 GDPR/AVGVerwerking is alleen rechtmatig als:
12
6 Verwerker
Art 4 (8) GDPR/AVG degene die ten behoeve van de verwerkingsverant-woordelijke persoonsgegevens verwerkt
13
7 Verwerkers-overeenkomst
Art 28 lid 3 GDPR/AVG De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
14
8 Doel (binding)
Art 5 lid 1 letter b GDPR/AVG Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld
15
9 Beveiliging Art 5 lid 1 letter f GDPR/AVGPersoonsgegevens moeten:door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
16
11 informatieplicht Art 13 GDPR/AVG Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
Rechtmatigheid voor verwerking persoonsgegevens
17
18
Rechtmatigheid artikel 6 GDPR/AVG
• De verwerking is alleen rechtmatig als: – De betrokkene toestemming heeft gegeven voor een of meer
specifieke doeleinden;
– de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
– de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
19
Rechtmatigheid artikel 6 GDPR/AVG (2)
• De verwerking is alleen rechtmatig als:
– de verwerking is noodzakelijk om de vitale belangen van de
betrokkene of van een andere natuurlijke persoon te
beschermen;
– de verwerking is noodzakelijk voor de vervulling van een taak
van algemeen belang of van een taak in het kader van de
uitoefening van het openbaar gezag dat aan de
verwerkingsverantwoordelijke is opgedragen;
20
Rechtmatigheid artikel 6 GDPR/AVG (3)
• De verwerking is alleen rechtmatig als:
– de verwerking is noodzakelijk voor de behartiging van de
gerechtvaardigde belangen van de verwerkingsverantwoordelijke
of van een derde, behalve wanneer de belangen of de
grondrechten en de fundamentele vrijheden van de betrokkene
die tot bescherming van persoonsgegevens nopen, zwaarder
wegen dan die belangen, met name wanneer de betrokkene een
kind is.
21
Toestemming vlgs. Art. 4 lid 11 AVG/GDPR
• „toestemming” van de betrokkene:
– elke vrije, specifieke, geïnformeerde en ondubbelzinnige
wilsuiting waarmee de betrokkene door middel van een
verklaring of een ondubbelzinnige actieve handeling hem
betreffende verwerking van persoonsgegevens aanvaardt;
22
• Wordt begrensd door:
– Subsidiariteitsbeginsel
• Het doel kan niet op een andere voor betrokkene minder nadelige
manier worden bereikt
– Proportionaliteitsbeginsel
• Inbreuk op de (privacy)belangen van betrokkene mag niet
onevenredig zijn in verhouding tot het doel
Rechtmatigheid
Informatieplicht
23
24
Art. 13 lid 1 GDPR/AVG
• Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverant-woordelijke de betrokkene bij de verkrijging van de persoons-gegevens al de volgende informatie: – de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd,
alsook de rechtsgrond voor de verwerking;
– de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f, is gebaseerd;
– in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
25
Art. 13 lid 2 GDPR/AVG • Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de
betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
– de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
– dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
– wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
– dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
– of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
26
Bijzondere persoonsgegevens
27
Hoofdregel art. 9 GDPR/AVG
• Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
28
Ziekmelding (wat mag wel)
• Een werkgever mag als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren: – het telefoonnummer en (verpleeg)adres;
– de vermoedelijke duur van het verzuim;
– de lopende afspraken en werkzaamheden;
– of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
– of de ziekte verband houdt met een arbeidsongeval;
– of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid
29
Ziekmelding (wat mag niet)
• De werkgever mag in principe geen andere gegevens over de
gezondheid verwerken dan de hiervoor genoemde gegevens.
• Ook niet met toestemming van de werknemer.
• Uitzondering• Alleen wanneer een werknemer een ziekte heeft waarbij het
noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe
te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag de
werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn
ziekte registreren.
30
Europese privacy wetgeving
31
Europese privacy wetgeving
• Europese richtlijn 1995
– Wel bindend, geen directe werking
• Vanaf 25 mei 2018
– Algemene Verordening Gegevensverwerking (AVG)
– General Data Protection Regulation (GDPR)
• Bindend en directe werking
• WBP vervalt
32
Waarom nieuwe privacywetgeving ?
33% Afbeelding 3x
Waarom nieuwe privacywetgeving?
Digitale samenleving 1 Europese wet
1995
Europese privacyrichtlijn
Uitgangspunten van de GDPR
Transparantie
Doel-beperking
Gegevens-beperking
Juistheid
Bewaar-beperking
Integriteit en vertrouwelijk-
heid
Verantwoor-ding
33% Afbeelding 3x
Wat betekent de wet voor burgers
Versterking en uitbreiding
privacyrechtenToestemming Klacht bij AP
36
Rechten van betrokkenen
• Recht op inzage
• Recht op vergetelheid
• Recht op dataportabiliteit
36
37
• Betrokkene heeft recht op duidelijkheid of gegevens worden
bewerkt en inzage in (o.a.) de volgende informatie
– Verwerkingsdoeleinden
– Welke persoonsgegevens
– Aan welke derden worden de gegevens verstrekt
– Indien mogelijk de periode hoe lang ze zullen worden opgeslagen
– Mogelijkheid tot indienen van een klacht bij de AP
Recht op inzage
37
38
• Betrokkene kan vragen om gegevens te wissen en verwerkingsverantwoordelijke is verplicht mee te werken
• Voorwaarden: – Persoonsgegevens zijn niet langer nodig voor het doel
– Betrokkene trekt toestemming in
– Betrokkene maakt bezwaar (specifiek)
– Gegevens zijn onrechtmatig verwerkt
– Wettelijke verplichting om gegevens na bepaalde tijd te wissen
– Betrokkene < 16 jaar en gegevens verzameld via app of website
Recht op vergetelheid
38
39
• Overdraagbaarheid van gegevens
• Geldt alleen als de verwerking gebeurt op grond van:
– Toestemming
– Overeenkomst o.g.v. art. 6 lid letter b waarbij de betrokkene
partij is
Recht op dataportabiliteit
39
Iconen 6x
Wat betekent de wet voor organisaties
1 wet in de hele EU
Verantwoordelijkheid en accountability
Documentatieplicht
Data protection impact assessment (DPIA)
Functionaris voor de gegevensbescherming
Hulpinstrumenten
41
Data protection impact assesment
• Verplicht als verwerking waarschijnlijk een hoog
privacyrisico oplevert
– systematisch en uitvoerig persoonlijke aspecten evalueert,
waaronder profiling;
– Op grote schaal bijzondere persoonsgegevens verwerkt;
– op grote schaal en systematisch mensen volgt in een publiek
toegankelijk gebied (bijvoorbeeld met cameratoezicht).
41
42
Functionaris voor de gegevensbescherming
• Intern verlengstuk van de AP
• Verplicht bij:
– Overheid en publieke organisaties
– Kernactiviteit is op grote schaal individuen volgen
– Op grote schaal verwerken van bijzondere persoonsgegevens
42
100% Tekst
Boetebevoegdheid
43
Max €10 miljoen of
2% wereldwijde jaaromzet
Max €20 miljoen of
4% wereldwijde jaaromzet
VERPLICHTINGEN VERANTWOORDELIJKEN
BEGINSELEN, GRONDSLAGEN, RECHTEN
100% Afbeelding
Meldplicht datalekken - Wat is een datalek?
Beveiligings-incident
Persoonsgegevens
Verloren gegaan
Onrechtmatig verwerkt
Custom
Hoe kunnen organisaties zich voorbereiden
Bewustwording Functionaris voor de gegevensbescherming (FG)
Rechten van betrokkenen Meldplicht datalekken
Overzicht verwerkingen Bewerkersovereenkomsten
Data protection impact assessment (DPIA) Leidende toezichthouder
Privacy by design & default Toestemming
46
Welke gegevens?
• Inventarisatie
• Kernactiviteit
Mag het? • Rechtmatigheid
• Bijzondere persoonsgegevens
Hoe gaan wij er mee om?
• Beveiliging
• Bewaartermijnen
Hoe richt je je organisatie en processen
in?
• FG?
• Meldplicht
• Medewerkers
• Communicatie
Bewustwording
46
50% Tekst + 50% Afbeelding
Bewustwording
• Nieuwe privacyregels bekend? (bij bijv. beleidsmakers)
• Impact AVG inschatten op huidige processen, diensten en goederen
• Welke aanpassingen nodig?
• Begin op tijd!
Bedankt voor jullie aandacht!
