Digital TransactionsHoe om te gaan met persoonsgegevens onder de nieuwe Algemene Verordening Gegevensbescherming (AVG)

Track 1 Customer Journey

Mr. Dr. Léon MölenbergSenior beleidsadviseur - JuristThuiswinkel.org

Senior policy advisorEcommerce Europe

B2C-Contractenrecht * Privacy & databescherming * Mededingingsrecht

leonmolenberg@thuiswinkel.org

leonmolenberg@ecommerce-europe.nl

Uiterlijk 25 mei 2018 dient iedereen die persoonsgegevens verwerkt te

voldoen aan de nieuwe regels van de AVG

De AVG legt op de ondernemer (verantwoordelijke voor de verwerking) een aantal duidelijke plichten inzake de verwerking van persoonsgegevens, de

beveiliging daarvan en privacy.

De ondernemer die data verwerkt moet kunnen

verantwoorden en laten zien dat hij conform de regels is

omgegaan met de persoonsgegevens van zijn

klanten.

De ondernemer die zich niet aan de regels houdt of zich niet kan verantwoorden, loopt het risico van forse

boetes door de toezichthouder en

mogelijk verontruste klanten die recht

hebben op schadevergoeding.

Administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.De boete kan worden opgelegd aan de verwerkingsverantwoordelijke en/of de verwerker.

Eenieder die materiële of immateriële scha-de heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverant-woordelijke of de verwerker schadever-goeding te ontvangen voor de geleden schade.

Artikel 82 AVG

Persoonsgegevens“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”

Bijzonder gevoelige persoonsgegevens

Verwerking van persoonsgegevens“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”

Verantwoordelijke voor de verwerking”een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”

Verwerker“een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”

Algemene beginselen voor verwerking

• rechtmatig• behoorlijk• transparant• doel gebonden• doelreikend (dataminimalisatie)• veilig (integer en vertrouwelijk)• opgeslagen in juiste vorm

(toegang, anonymisering en pseudonimisering)

• verantwoordelijkheid en verantwoordingsverplichting

• privacy by design

Rechtmatigheid van verwerkinga) de betrokkene heeft toestemming gegeven voor de verwerking van zijn

persoonsgegevens voor een of meer specifieke doeleinden;b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de

betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag opgedragen aan de verwerkingsverantwoordelijke;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de privacy belangen van de betrokkenen zwaarder wegen.

Toestemming van de betrokkene“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”

Andere begrippen• profiling en tracking• big data• automatische besluitvorming• data portabiliteit• inzagerecht• recht om te worden vergeten• pseudonymisering en

anonymisering• meldplicht data lekken

Verwerk ik persoonsgegevens?Analyseer gegevensstromen en processen:- Persoonsgegevens- Andere data

Leg vast in welke processen persoonsgegevens worden verwerkt

Ben ik verwerkingsverantwoordelijke of verwerker?

Privacy by design!

Doelbinding en rechtmatigheidIs er een helder verwerkingsdoel en wie heeft inzage in de gegevens?

Heb ik deze data nodig voor het bereiken van het doel? Dataminimalisatie! Hoe lang wil ik gezien het verwerkingsdoel de date bewaren?

Moet ik een privacy impact assessment doen?

Verwerk ik de gegevens rechtmatig? Heb ik de benodigde toestemming of is dat niet nodig?

VeiligheidHoe zorg ik er voor dat onbevoegden geen kennis kunnen nemen van verwerkte persoonsgegevens?- Opslag- Transport- Juiste data- Toegang bij storing

Rechten van de klantTransparantie: informeer ik de klant helder over hem betreffende verwerkingen

Inzage, Correctie en VerwijderingIntrekken toestemming

Recht om te worden vergeten

Recht om niet te worden onderworpen aan direct marketing en profilering

Recht om niet te worden onderworpen aan automatische besluitvorming

VerantwoordingsplichtDocumentatie van veilige en rechtmatige verwerking

Privacy Impact Assessment of Gegevensbeschermingseffectbeoor-deling

Meldplicht

Meldplicht datalekken

Moet ik een functionaris voor gegevensbescherming benoemen?