#IABnl

AVG & E-PRIVACY

Terugblik en zoom-in op meest

bevraagde onderwerpen

Deloitte Privacy Advisory & Deloitte

Legal - 12 september 2017

#IABnl

EVEN VOORSTELLEN

Nicole VreemanPrivacy Advisor Deloitte

Marloes DankertPrivacy Advisor Deloitte

#IABnl

25 mei 2018

ALGEMENE VERORDENING

GEGEVENS-BESCHERMING

#IABnl

“elk gegeven betreffende een

geïdentificeerde of identificeerbare

natuurlijke persoon”

PERSOONSGEGEVENS

#IABnl

VOORBEELDEN

#IABnl

VERANTWOORDELIJKEVerplichtingen:

• Aantoonbaar voldoen aan de AVG, o.a. door

• Duidelijk vastleggen privacybeleid;

• Overzicht van alle verwerkingen persoonsgegevens.

• Implementeren Privacy by Design

• Passende technische en organisatorische

beveiligingsmaatregelen

• Aangaan verwerkersovereenkomst

• Aanwijzen van een Functionaris Gegevensbescherming

(niet altijd)

#IABnl

VERWERKERVerplichtingen:

• Werk in opdracht van verantwoordelijke

• Register persoonsgegevens

• Passende technische en organisatorische

beveiligingsmaatregelen

• Toestemming voor sub-verwerkers

• Functionaris gegevensbescherming (soms)

• Aantoonbaar voldoen aan de AVG

#IABnl

TOP TIP

De verantwoordelijke:

• Naam en contactgegevens van de verantwoordelijke, eventuele

gezamenlijke verwerkingsverantwoordelijken en de Functionaris

Gegevensbescherming (de FG);

• Doeleinden voor gegevensverwerking;

• Categorieën betrokkenen en persoonsgegevens;

• De (voorgenomen) categorieën ontvangers;

• Vermelding van verstrekking van persoonsgegevens aan derde landen;

• De (voorgenomen) bewaartermijnen

• Algemene beschrijving van de beveiligingsmaatregelen.

De verwerker:

• Naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de

eventuele FG;

• Categorieën verwerkingsactiviteiten;

• Vermelding van verstrekking van persoonsgegevens aan derde landen;

• Algemene beschrijving van de beveiligingsmaatregelen.

Ken je risico’s!

Breng je verwerkingen in kaart met een verwerkingsregister.

#IABnl

GRONDSLAGHet verwerken van persoonsgegevens is verboden op grond

van de AVG, tenzij er een juiste grondslag is.

• Toestemming

• Uitvoering overeenkomst

• Wettelijke verplichting

• Vitaal belang

• Vervulling van een taak in het algemeen belang

• Gerechtvaardigd belang

• Bedrijfsbelang

• Let op: Niet voor overheidsorganen

#IABnl

DOELBINDING• Welbepaalde, uitdrukkelijk omschreven en

gerechtvaardigde doeleinden

• Verbod verwerking onverenigbaar met doeleinden

• Uitzondering: verdere verwerking

• Verband tussen beide doeleinden

• Aard persoonsgegevens

• Gevolgen verdere verwerking

• Aanwezigheid passende waarborgen

#IABnl

TOP TIP Denk aan de doelbinding en zorg voor de

juiste wettelijke grondslag!

• Waren al van toepassing onder Wbp maar vaak

makkelijk vergeten.

• Extra belangrijk i.v.m. hogere boetes

• Tot 10 miljoen of 2% van de jaaromzet; of

• Tot 20 miljoen of 4% van de jaaromzet.

#IABnl

RECHTEN BETROKKENEN…Toegang

Rectificatie

Recht op vergetelheid (‘right to be forgotten’)

Beperking van de verwerking

Overdraagbaarheid van gegevens (‘data portabiliteit’)

Bezwaar

Geautomatiseerde individuele besluitvorming, inclusief

profileren

#IABnl

TOP TIP Weet hoe je om wil gaan met rechten van

betrokkenen!

Hoe reageer je op verzoeken van betrokkenen?

Wat zijn de procedures binnen de organisatie?

Is het technisch mogelijk om de rechten van betrokkenen te

waarborgen?

#IABnl

TRANSPARANTIE• Het is belangrijk om transparant naar de betrokkene te zijn over

de verwerkingen van persoonsgegevens die plaatsvinden.

• Wees duidelijk over de informatie, en de redenen waarvoor de

verwerking plaatsvind.

• Zorg voor een heldere privacy policy.

#IABnl

TOESTEMMINGToestemmingsvereiste aangescherpt

Toestemming moet:

• Ondubbelzinnig

• Vrijwillig

• Specifiek

• Geïnformeerd

Kinderen vanaf 16 jaar

#IABnl

ART. 7 LID 4 AVG

Bij de beoordeling van de vraag of de toestemming vrijelijk kan

worden gegeven, wordt onder meer ten sterkste rekening gehouden

met de vraag of voor de uitvoering van een overeenkomst, met

inbegrip van een dienstenovereenkomst, toestemming vereist is voor

een verwerking van persoonsgegevens die niet noodzakelijk is voor de

uitvoering van die overeenkomst.

#IABnl

TOP TIP Informeer, wees transparant over je verwerkingen!

Deze transparantie gaat niet alleen op richting de toezichthouder maar

ook naar de betrokkene.

Denk aan een duidelijke, heldere privacy policy.

Toestemming kan alleen als betrokkene goed geïnformeerd is.

#IABnl

PROFILEREN“Elke vorm van geautomatiseerde verwerking

van persoonsgegevens, waarbij aan de hand van

persoonsgegevens bepaalde persoonlijke

aspecten van een natuurlijke persoon worden

geëvalueerd”

• Betrokkene krijgt het recht op bezwaar.

• Direct marketing ≠ zwaarder wegend belang.

#IABnl

AUTOMATISCHE BESLUITVORMING

• Geen automatische besluitvorming n.a.v. profileren

Rechtsgevolgen

• Aanmerkelijke mate getroffen betrokkene

Tenzij:

• Noodzakelijk voor uitvoeren contract

• Geautoriseerd door wetgeving EU (lidstaat)

• Gebaseerd op expliciete toestemming

#IABnl

TOP TIP Zorg voor privacy bewustheid binnen de organisatie!

Verdeel taken en en laat mensen zich verantwoordelijk voelen.

Zorg voor extra kennis bij werknemers die veel met persoonsgegevens

werken.

Ken en communiceer je beleid omtrent privacy, in het bijzonder

wanneer je gebruik maakt van technologieën als profileren of

automatische besluitvorming.

#IABnl

CONCLUSIEKen je risico’s!

Denk aan de doelbinding en zorg voor de juiste wettelijke

grondslag!

Weet hoe je om wil gaan met rechten van betrokkenen!

Informeer, weest transparant over verwerkingen

Zorg voor privacybewustzijn binnen de organisatie!

#IABnl

E-PRIVACY VERORDENING Recap: Geschiedenis

2002: Richtlijn 2002/58/EC e-Privacy richtlijn

2012: Implementatie in Telecommunicatiewet van (inmiddels gewijzigde) e-Privacy richtlijn

2015: Cookies zonder toestemming

• … indien noodzakelijk of geringe inbreuk op privacy

Cookiewall mag, tenzij…

Doorsurfen toestemming

2017: Publicatie CONCEPT e-Privacy Verordening

• 10 januari 2017

#IABnl

HEADLINESRecap: belangrijkste punten conceptvoorstel

• “OTT included”

• Vertrouwelijkheid van elektronische

communicatiegegevens

• Omgang met metadata / verkeersgegevens

• Voorwaarden voor toestemming

#IABnl

RELATIE MET AVG

• Boetes & handhaving

• Extraterritoriaal effect

• Europese dataprotectie autoriteiten

• Inwerkingtreding

• Toestemmingsvereisten

#IABnl

CONTENT• Beginsel: interferentie niet toegestaan

Netwerken + dienstenaanbieders

• transmissie…

• veiligheid, storingen, bewaking

Dienstaanbieders:

• toestemming + noodzaak

• toestemming + raadpleging AP + anonimiseren niet

werkbaar

#IABnl

METADATA

Metadata = elektronisch communicatiegegeven

Dus vertrouwelijk

Verwerken toegestaan als:

• Noodzaak: kwaliteitsdoeleinden

• Noodzaak: facturering

• Toestemming eindgebruiker

#IABnl

COOKIES• Noodzakelijk voor overdracht

• Toestemming

• Noodzakelijk voor aanbieden

aangevraagde dienst

• Noodzakelijk voor meten omvang

publiek website (first party)

#IABnl

TOESTEMMINGArt. 7 lid 4 AVG

• Bij de beoordeling van de vraag of de toestemming vrijelijk kan

worden gegeven, wordt onder meer ten sterkste rekening

gehouden met de vraag of voor de uitvoering van een

overeenkomst, met inbegrip van een dienstenovereenkomst,

toestemming vereist is voor een verwerking van

persoonsgegevens die niet noodzakelijk is voor de uitvoering

van die overeenkomst.

• Opinie WP 29: geen cookiemuur want geen vrije toestemming

Standaard toestemming via browserinstellingen mogelijk

#IABnl

DIRECT & TELEMARKETING• Toestemming

• Uitbreiding spamverbod

• Opt in of bel-me-niet

• Gebruik van een herkenbaar nummer

• Telefoon apps & push notificaties

- Opt-in noodzakelijk?

- Mogelijkheid om toestemming in te trekken noodzakelijk?

#IABnl

BOETESOmvang

10 miljoen of 2% van de jaaromzet

Soms 20 miljoen of 4% van de jaaromzet:

• Inbreuk op vertrouwelijkheid elektronische communicatiegegevens

• Niet toegestane verwerking elektronische communicatiegegevens

• Opslag elektronische communicatiegegevens strijdig met artikel 7.

• Negeren bevel toezichthouder.

Handhaving

Nu: ACM

Straks: AP (mogelijk in samenwerking met ACM)

#IABnl

TOP TIPBlijf op de hoogte!