De AVG in de praktijkMR. N.J .A. (NICO) VA N VLIMMERENN . J . A .VA N V L I M M E R E N @ H O T M A I L . C O M

De AVG in de praktijkPrivacywetgeving

De Algemene Verordening Gegevensbescherming (AVG)

Uitgangspunten bij verwerken

Datalekken

Rechten van betrokkenen

Stappenplan implementatie

25 mei 2018

Vragen?

Privacywetgeving - I1983 – Grondwetherziening

“Ieder heeft, behoudens bij wet te stellen beperkingen, recht op eerbiediging van de persoonlijke levenssfeer”

1988 – Wet persoonsregistratie

1995 – Richtlijn 95/46/EG

2001 – Wet bescherming persoonsgegevens

25 mei 2018 – Algemene Verordening Gegevensbescherming• Consistent niveau bescherming en toezicht, transparant en rechtszekerheid

Privacywetgeving - IIAVG leidend, nationaal aanvullend of versterkend

Wat is nieuw t.a.v. Wbp?• Meer verantwoordelijkheden voor organisaties

• Uitbreiding en versterking privacyrechten betrokkenen

• Strengere verantwoordingsplicht

• Strenger toezicht: Autoriteit Persoonsgegevens

• Grotere risico’s! Kosten en ongemak onderzoek Boetes oplopen tot 20 miljoen of 4% jaaromzet Schadevergoedingen Reputatieschade

De Algemene Verordening GegevensbeschermingPersoonsgegeven

Verantwoordelijke, verwerker & betrokkene

Verwerken

Persoonsgegeven - IElk gegeven dat direct of indirect herleidbaar is naar een natuurlijk

persoon• Personeelsgegevens, klantgegevens, financiële gegevens, patiëntgegevens NAW, tel.nr., e-mailadres, BSN Bankrekeningnummer, creditcardgegevens Medische gegevens, bloed, DNA IP-adres, IMEI-nummer, camerabeelden

Onderscheid• Gewone persoonsgegevens

• Bijzondere persoonsgegevens

Persoonsgegeven - IIBijzondere persoonsgegevens• Ras, etnische afkomst

• Godsdienst

• Politieke voorkeur

• Gezondheid , medische gegevens• Seksuele leven

• Strafrechtelijk verleden

BSN (Uitvoeringswet AVG)

LET OP DE CONTEXT!

Verantwoordelijke, verwerker & betrokkene

Verantwoordelijke• Persoon of organisatie die (alleen of samen met anderen) doelen en middelen

voor gebruik van persoonsgegevens bepaalt

Verwerker (bewerker)• Persoon of organisatie die ten behoeve van verantwoordelijke persoonsgegevens

verwerkt

Betrokkene• Persoon op wie de persoonsgegevens zien

Verwerken(Een geheel van) bewerkingen m.b.t. (een geheel van)

persoonsgegevens, al dan niet geautomatiseerd uitgevoerd

Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens

Verwerken bijzondere persoonsgegevens mag niet, tenzij…

Uitgangspunten bij verwerkenDoelbinding

Grondslagen

Bewaartermijnen

Beveiliging

Rode draad: • Maatwerk

• Informatieplicht / aantoonbaar maken

DoelbindingVerwerken van persoonsgegevens mag voor doel dat• Expliciet, uitdrukkelijk omschreven

• Gerechtvaardigd: proportioneel en subsidiair

• Vooraf vastgelegd en kenbaar gemaakt

Aantoonbaar maken

Doelbinding is cumulatieve voorwaarde met grondslagen

Grondslagen - I

BewaartermijnenNiet langer dan noodzakelijk• Geen doel meer? verwijderen

• Geen grondslag meer? verwijderen

Zelf bepalen, tenzij: wettelijke bewaartermijn• o.a. fiscale wetgeving, arbeidswetgeving vb. huisarts patiëntdossier 15 jaar na einde medische behandeling vb. werkgever 2 jaar, tenzij fiscale documenten dan 5 jaar

Periodiek opschonen• Aantoonbaar maken

Beveiliging IPassende technische en organisatorische beschermingsmaatregelen

Rekening houden met:• Stand van de techniek

• Uitvoeringskosten

• Aard, omvang, context en doel verwerking

• Waarschijnlijkheid en ernst risico’s (inbreuk)

Voldoen aan de beginselen van • Privacy by design (vorm is DPIA)

• Privacy by default

Beveiliging IITechnische maatregelen• Virusscanner, software tegen malware Hou dit up-to-date Gebruik automatische updates en scans Plan zelf periodiek een scan

• Gebruik firewall

• Log uit wanneer je ergens niet meer hoeft te zijn

• Leeg de prullenbak

• Maak back-ups Niet automatisch, maar ook zelf

Beveiliging IIIGebruik internet veilig• Zoekmachine zonder digitale sporen Bijv. www.duckduckgo.com Er zijn mogelijkheden tot anoniem surfen (bijv. www.torproject.org)

• Wis webgeschiedenis, zodat trackers niet gelezen kunnen worden• Wis cookies (https://ccleaner.nl.softonic.com/)

Mail veilig• Let op phisingmails• Versleutel bestanden Bijv. gratis via https://protonmail.com/

Beveiliging IVGebruik anti-diefstalfuncties• https://www.maakhetzeniettemakkelijk.nl/boefproof/smartphone-boefproof-

maken

Gebruik geen of zo min mogelijk Open Wifi

Wachtwoorden• Sterke wachtwoorden, varieer. Denk over wachtzinnen Maak gebruik van tools als Wachtwoord Wisselaar

(https://www.wisseljewachtwoord.nl/categorie/wachtwoord-generator.html)

• Bewaar wachtwoorden niet in de computer of telefoon, maar gebruik bijv. KeePass (https://keepass.info/ ), LastPass (https://www.lastpass.com/nl)

Beveiliging VTechnische maatregelen• Gebruik vingerafdruk i.p.v. wachtwoord

• Wijzig de standaardcode op de telefoon en voeg tweede factor toe, bijv. patroon

• Tweefactorauthenticatie

• Opvragen genomen beveiligingsmaatregelen derden

• DPIA/risico-analyse systemen

• Hackercheck / Pen-test

• Logging

Beveiliging VIOrganisatorische maatregelen• Clean desk policy• Printen via follow me• Geheimhoudingsplicht• Vertrouwelijke papieren vernietigen• Maak onnodige gegevens onleesbaar• Uitsluitend werken in beveiligde omgeving

• Bij twijfel over een persoon: check of deze bekend staat als oplichter (https://www.politie.nl/themas/internetoplichting.html)

Kopie identiteitsbewijs• Gebruik app KopieID van de overheid

(https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs)

Beveiliging VIIPapieren dossier• Opbergen in afsluitbare ruimte /kast

• Aantal kopieën beperkt houden

• Zorgvuldigheid bij vervoer

• Versnipper wat niet meer nodig is, gooi het niet zo weg.

• Beveilig de brievenbus, dat niet iedereen erin kan

DENK GOED EN LOGISCH NA

Datalekken - IInbreuk op beveiliging van persoonsgegevens• Toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat

dit de bedoeling is

Melding binnen 72 uur bij AP• Informatie over inbreuk, mogelijke gevolgen en maatregelen

• Vergt intern protocol (afhankelijk van organisatie)

Registratie

Datalekken - II

Rechten van betrokkenen

Recht om in te zienVolledig overzicht in begrijpelijke vorm van persoonsgegevens, plus:• Doel van verwerken van gegevens

• Soorten gegevens die verwerkt worden voor dit doel

• Welke (soorten) organisaties gegevens ontvangen

• Hoe aan de gegevens is gekomen

Geen inzage in:• Gegevens van anderen

• Interne aantekeningen

Termijn afhandeling maximaal 4 weken

• Voer voorafgaand aan toepassing identiteitscontrole uit

Recht om te wijzigenBetreft wijziging van persoonsgegevens die:• Feitelijk onjuist zijn;

• Onvolledig zijn of niet ter zake doen voor het doel;

• Op andere manier in strijd met de wet worden gebruikt

Betreft niet:• Corrigeren van professionele indrukken, meningen en conclusies

Termijn afhandeling maximaal 4 weken

Let op: indien verstrekt aan anderen ook corrigeren

Recht om vergeten te wordenWissen van persoonsgegevens als betrokkene hierom verzoekt

Geldt alleen bij:• Geen noodzaak meer voor het doel

• Intrekken toestemming

• Bezwaar

• Onrechtmatige verwerking

• Wettelijk bepaalde bewaartermijn

Termijn afhandeling maximaal 4 weken

Let op: grondslagen kunnen in de weg staan aan verwijdering

Let op: indien verstrekt aan anderen ook corrigeren

Recht om gegevens over te dragenHet recht om persoonsgegevens te ontvangen die organisatie heeft

Betreft:• Bewuste verstrekte en afgeleide gegevens

• alleen digitale gegevens,

• en alleen bij “Toestemming” en “Overeenkomst”

Verstrekken in een vorm die hergebruik door betrokkene mogelijk maakt: gestructureerd, veelgebruikt en machine leesbaar formaat

Grens: Geen verplichting om technisch compatibele systemen op te zetten of houden

Denk na over formaat (verschil per organisatie)

Termijn afhandeling maximaal 4 weken

Recht op informatieInformeer betrokkenen over:• Welke gegevens verwerkt worden

• Wijze waarop gegevens worden verwerkt

• Doel en grondslag

• Met wie gegevens worden gedeeld

Termijn afhandeling maximaal 4 weken

Stappenplan implementatie

1) Bewustwording

2) Verwerkingsregister

3) Verwerkersovereenkomst

4) Functionaris Gegevensbescherming

5) DPIA

6) Meldplicht datalekken

7) Privacyverklaring

8) Toestemmingsverklaring

9) Borging rechten betrokkenen

10) Andere beheersmaatregelen

1) BewustwordingVerantwoordingsplicht en informatieplicht

Praktische toepassing• Dossierbeheer inzichtelijk maken

• Benoem het in documenten

• Gebruik ‘levende documenten’

• Laat zien wat je doet!

In organisatieGeef presentaties

Benoem ambassadeurs per afdeling

2) Verwerkingsregister - IVerplicht tot opstellen?• Meer dan 250 werknemers

• Minder dan 250 werknemers, maar met hoog risico vallen in de categorie ‘bijzondere persoonsgegevens’ waarvan verwerking niet incidenteel is

Aard van de werkzaamheden: verplicht!

Voordelen• Grip en inzicht op persoonsgegevens en verwerkingen

• Basis voor o.a. privacystatement, rechten van betrokkenen

2) Verwerkingsregister - IIInhoud• Contactgegevens eigen organisatie

• Doeleinden

• Categorieën betrokkenen (klanten, werknemers, patiënten)

• Categorieën persoonsgegevens

• Categorieën ontvangers

• Bewaartermijnen

Voorbeeld in Excel• Verwerkersregister.xlsx

3) Verwerkersovereenkomst - ISchriftelijke overeenkomst verantwoordelijke / verwerker

Inhoud:• Schriftelijke instructies verwerking

• Categorieën betrokken en doel van de (specifieke) verwerking

• Geheimhouding en beveiliging

• Toestemming inschakelen subbewerkers

• Privacyrechten betrokkenen

• Handelswijze bij datalekken

• Audits

• Afspraken omtrent aansprakelijkheden

3) Verwerkersovereenkomst - IIMag in algemene voorwaarden, maar nadelen• Zijn de voorwaarden van toepassing?

• Zijn de voorwaarden rechtsgeldig?

• AVG eist specifieke afspraken

Aandachtspunten• Modellen op internet nog niet allemaal actueel

• Zelf initiatief: afspraken over verantwoordelijkheden en aansprakelijkheid gunstiger

• Verwerkersovereenkomst 1.1.docx

4) Functionaris gegevensbeschermingOnafhankelijk toezicht binnen organisatie op AVG• Tevens adviserende rol

Verplicht voor:• Overheidsinstanties of –organen

• Organisaties die op grote schaal individuen observeren

• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken Aantal betrokkenen, hoeveelheid gegevens, duur verwerking, geografische reikwijdte

Concreet:• Niet noodzakelijk, tenzij …

5) DPIAData Protection Impact Assessment

Verplicht bij hoog privacyrisico van betrokkenen, ten minste bij• Systematisch en uitvoerig persoonlijke aspecten evalueren (profiling)

• Op grote schaal bijzondere persoonsgegevens verwerken

• Op grote schaal systematisch mensen in publiek toegankelijk gebied volgen

Doel: vooraf privacyrisico’s in beeld brengen• Privacy by design

Komende periode meer voorbeelden vanuit AP

6) Meldplicht datalekkenIntern protocol datalekken• ZZP: opnemen in privacyverklaring hoe hiermee om te gaan

• Procesbeschrijving, voorbeelden: Vb. protocol datalekken.docx

Register• Blanco logboek datalekken.xlsx

Informatie verschaffen

7) PrivacyverklaringDoel: verantwoording en informatie verschaffen over:• Contactgegevens informatie

• Persoonsgegevens

• Doel en grondslag verwerking

• Verwerkers

• Handelswijze uitoefening rechten van betrokkenen

Eenvoudig, duidelijk en overzichtelijk• https://veiliginternetten.nl/privacyverklaring/

ZZP enkel privacyverklaring, (grote) organisatie privacybeleid

8) ToestemmingsverklaringGrondslag voor de gegevensverwerking• Let op de vereisten!

• Terughoudend: overeenkomst, wettelijke verplichting staan vast

Benoem de gegevens, het doel

Maak mogelijkheid intrekking kenbaar

Voorbeelden• Toestemmingsverklaring.docx

9) Borging rechten betrokkenenOpnemen in privacybeleid / -verklaring• Welke rechten

• Hoe hieraan gevolg te geven

Kanaliseren vraagstukken• Bijv. e-mailadres met georganiseerd beheer

Aanleggen register• Overzicht rechten betrokkenen.xlsx

10) Andere beheersmaatregelenGedragscode beroepsgroep

Certificeringsmechanisme• Bijv. inbedden ISO-normen

Geen doorgifte naar buiten EU en beperkt binnen EU

Sluit een cyber risk verzekering af

25 mei 2018Hanteer een planningZoveel mogelijk gereed voor 25 mei 2018

Prioriteiten• Verwerkingsregister• Privacyverklaring• Meldplicht datalekken

Laat zien wat wanneer opgepakt wordt

Bij nieuwe zaken pas gelijk toe (privacy by design)

Zorg voor een continu proces, zowel in beleid als toepassing• Organisatie: onderdeel intern controleplan (privacy by default)

Informatie

Tekst AVG en Uitvoeringswet AVG• http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679• https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-

uitvoeringswet-algemene-verordening-gegevensbescherming

Informatie• www.autoriteitpersoonsgegevens.nl• https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_me

ldplicht_datalekken_0.pdf• https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/bescherming-

persoonsgegevens/algemene-verordening-gegevensbescherming• https://www.kvk.nl/advies-en-informatie/avg/• https://ictrecht.nl/privacy/• https://veiliginternetten.nl/

Informatie

Protocol datalekken• http://www.vil.nl/app/webroot/img/userfiles/files/VIL%20Factsheet%20-

%20Protocol%20meldplicht%20datalekken.pdf

• http://www.niwo.nl/images/html/Aanvragen/2017_-_NIWO_PROTOCOL_MELDING_DATALEKKEN_.pdf

Toestemmingsformulier• https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/bijlage_iii_to

estemmingsformulier.pdf

• http://www.kfhein.nl/media/images/subsidies/documenten/Toestemmingsverklaring%20K.F.Hein%20Stichting.pdf

VRAGEN?