Presentatie AVG in de praktijk.pptx [Alleen-lezen]...•Corrigeren van professionele indrukken,...
Transcript of Presentatie AVG in de praktijk.pptx [Alleen-lezen]...•Corrigeren van professionele indrukken,...
De AVG in de praktijkMR. N.J .A. (NICO) VA N VLIMMERENN . J . A .VA N V L I M M E R E N @ H O T M A I L . C O M
De AVG in de praktijkPrivacywetgeving
De Algemene Verordening Gegevensbescherming (AVG)
Uitgangspunten bij verwerken
Datalekken
Rechten van betrokkenen
Stappenplan implementatie
25 mei 2018
Vragen?
Privacywetgeving - I1983 – Grondwetherziening
“Ieder heeft, behoudens bij wet te stellen beperkingen, recht op eerbiediging van de persoonlijke levenssfeer”
1988 – Wet persoonsregistratie
1995 – Richtlijn 95/46/EG
2001 – Wet bescherming persoonsgegevens
25 mei 2018 – Algemene Verordening Gegevensbescherming• Consistent niveau bescherming en toezicht, transparant en rechtszekerheid
Privacywetgeving - IIAVG leidend, nationaal aanvullend of versterkend
Wat is nieuw t.a.v. Wbp?• Meer verantwoordelijkheden voor organisaties
• Uitbreiding en versterking privacyrechten betrokkenen
• Strengere verantwoordingsplicht
• Strenger toezicht: Autoriteit Persoonsgegevens
• Grotere risico’s! Kosten en ongemak onderzoek Boetes oplopen tot 20 miljoen of 4% jaaromzet Schadevergoedingen Reputatieschade
De Algemene Verordening GegevensbeschermingPersoonsgegeven
Verantwoordelijke, verwerker & betrokkene
Verwerken
Persoonsgegeven - IElk gegeven dat direct of indirect herleidbaar is naar een natuurlijk
persoon• Personeelsgegevens, klantgegevens, financiële gegevens, patiëntgegevens NAW, tel.nr., e-mailadres, BSN Bankrekeningnummer, creditcardgegevens Medische gegevens, bloed, DNA IP-adres, IMEI-nummer, camerabeelden
Onderscheid• Gewone persoonsgegevens
• Bijzondere persoonsgegevens
Persoonsgegeven - IIBijzondere persoonsgegevens• Ras, etnische afkomst
• Godsdienst
• Politieke voorkeur
• Gezondheid , medische gegevens• Seksuele leven
• Strafrechtelijk verleden
BSN (Uitvoeringswet AVG)
LET OP DE CONTEXT!
Verantwoordelijke, verwerker & betrokkene
Verantwoordelijke• Persoon of organisatie die (alleen of samen met anderen) doelen en middelen
voor gebruik van persoonsgegevens bepaalt
Verwerker (bewerker)• Persoon of organisatie die ten behoeve van verantwoordelijke persoonsgegevens
verwerkt
Betrokkene• Persoon op wie de persoonsgegevens zien
Verwerken(Een geheel van) bewerkingen m.b.t. (een geheel van)
persoonsgegevens, al dan niet geautomatiseerd uitgevoerd
Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens
Verwerken bijzondere persoonsgegevens mag niet, tenzij…
Uitgangspunten bij verwerkenDoelbinding
Grondslagen
Bewaartermijnen
Beveiliging
Rode draad: • Maatwerk
• Informatieplicht / aantoonbaar maken
DoelbindingVerwerken van persoonsgegevens mag voor doel dat• Expliciet, uitdrukkelijk omschreven
• Gerechtvaardigd: proportioneel en subsidiair
• Vooraf vastgelegd en kenbaar gemaakt
Aantoonbaar maken
Doelbinding is cumulatieve voorwaarde met grondslagen
BewaartermijnenNiet langer dan noodzakelijk• Geen doel meer? verwijderen
• Geen grondslag meer? verwijderen
Zelf bepalen, tenzij: wettelijke bewaartermijn• o.a. fiscale wetgeving, arbeidswetgeving vb. huisarts patiëntdossier 15 jaar na einde medische behandeling vb. werkgever 2 jaar, tenzij fiscale documenten dan 5 jaar
Periodiek opschonen• Aantoonbaar maken
Beveiliging IPassende technische en organisatorische beschermingsmaatregelen
Rekening houden met:• Stand van de techniek
• Uitvoeringskosten
• Aard, omvang, context en doel verwerking
• Waarschijnlijkheid en ernst risico’s (inbreuk)
Voldoen aan de beginselen van • Privacy by design (vorm is DPIA)
• Privacy by default
Beveiliging IITechnische maatregelen• Virusscanner, software tegen malware Hou dit up-to-date Gebruik automatische updates en scans Plan zelf periodiek een scan
• Gebruik firewall
• Log uit wanneer je ergens niet meer hoeft te zijn
• Leeg de prullenbak
• Maak back-ups Niet automatisch, maar ook zelf
Beveiliging IIIGebruik internet veilig• Zoekmachine zonder digitale sporen Bijv. www.duckduckgo.com Er zijn mogelijkheden tot anoniem surfen (bijv. www.torproject.org)
• Wis webgeschiedenis, zodat trackers niet gelezen kunnen worden• Wis cookies (https://ccleaner.nl.softonic.com/)
Mail veilig• Let op phisingmails• Versleutel bestanden Bijv. gratis via https://protonmail.com/
Beveiliging IVGebruik anti-diefstalfuncties• https://www.maakhetzeniettemakkelijk.nl/boefproof/smartphone-boefproof-
maken
Gebruik geen of zo min mogelijk Open Wifi
Wachtwoorden• Sterke wachtwoorden, varieer. Denk over wachtzinnen Maak gebruik van tools als Wachtwoord Wisselaar
(https://www.wisseljewachtwoord.nl/categorie/wachtwoord-generator.html)
• Bewaar wachtwoorden niet in de computer of telefoon, maar gebruik bijv. KeePass (https://keepass.info/ ), LastPass (https://www.lastpass.com/nl)
Beveiliging VTechnische maatregelen• Gebruik vingerafdruk i.p.v. wachtwoord
• Wijzig de standaardcode op de telefoon en voeg tweede factor toe, bijv. patroon
• Tweefactorauthenticatie
• Opvragen genomen beveiligingsmaatregelen derden
• DPIA/risico-analyse systemen
• Hackercheck / Pen-test
• Logging
Beveiliging VIOrganisatorische maatregelen• Clean desk policy• Printen via follow me• Geheimhoudingsplicht• Vertrouwelijke papieren vernietigen• Maak onnodige gegevens onleesbaar• Uitsluitend werken in beveiligde omgeving
• Bij twijfel over een persoon: check of deze bekend staat als oplichter (https://www.politie.nl/themas/internetoplichting.html)
Kopie identiteitsbewijs• Gebruik app KopieID van de overheid
(https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs)
Beveiliging VIIPapieren dossier• Opbergen in afsluitbare ruimte /kast
• Aantal kopieën beperkt houden
• Zorgvuldigheid bij vervoer
• Versnipper wat niet meer nodig is, gooi het niet zo weg.
• Beveilig de brievenbus, dat niet iedereen erin kan
DENK GOED EN LOGISCH NA
Datalekken - IInbreuk op beveiliging van persoonsgegevens• Toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat
dit de bedoeling is
Melding binnen 72 uur bij AP• Informatie over inbreuk, mogelijke gevolgen en maatregelen
• Vergt intern protocol (afhankelijk van organisatie)
Registratie
Recht om in te zienVolledig overzicht in begrijpelijke vorm van persoonsgegevens, plus:• Doel van verwerken van gegevens
• Soorten gegevens die verwerkt worden voor dit doel
• Welke (soorten) organisaties gegevens ontvangen
• Hoe aan de gegevens is gekomen
Geen inzage in:• Gegevens van anderen
• Interne aantekeningen
Termijn afhandeling maximaal 4 weken
• Voer voorafgaand aan toepassing identiteitscontrole uit
Recht om te wijzigenBetreft wijziging van persoonsgegevens die:• Feitelijk onjuist zijn;
• Onvolledig zijn of niet ter zake doen voor het doel;
• Op andere manier in strijd met de wet worden gebruikt
Betreft niet:• Corrigeren van professionele indrukken, meningen en conclusies
Termijn afhandeling maximaal 4 weken
Let op: indien verstrekt aan anderen ook corrigeren
Recht om vergeten te wordenWissen van persoonsgegevens als betrokkene hierom verzoekt
Geldt alleen bij:• Geen noodzaak meer voor het doel
• Intrekken toestemming
• Bezwaar
• Onrechtmatige verwerking
• Wettelijk bepaalde bewaartermijn
Termijn afhandeling maximaal 4 weken
Let op: grondslagen kunnen in de weg staan aan verwijdering
Let op: indien verstrekt aan anderen ook corrigeren
Recht om gegevens over te dragenHet recht om persoonsgegevens te ontvangen die organisatie heeft
Betreft:• Bewuste verstrekte en afgeleide gegevens
• alleen digitale gegevens,
• en alleen bij “Toestemming” en “Overeenkomst”
Verstrekken in een vorm die hergebruik door betrokkene mogelijk maakt: gestructureerd, veelgebruikt en machine leesbaar formaat
Grens: Geen verplichting om technisch compatibele systemen op te zetten of houden
Denk na over formaat (verschil per organisatie)
Termijn afhandeling maximaal 4 weken
Recht op informatieInformeer betrokkenen over:• Welke gegevens verwerkt worden
• Wijze waarop gegevens worden verwerkt
• Doel en grondslag
• Met wie gegevens worden gedeeld
Termijn afhandeling maximaal 4 weken
Stappenplan implementatie
1) Bewustwording
2) Verwerkingsregister
3) Verwerkersovereenkomst
4) Functionaris Gegevensbescherming
5) DPIA
6) Meldplicht datalekken
7) Privacyverklaring
8) Toestemmingsverklaring
9) Borging rechten betrokkenen
10) Andere beheersmaatregelen
1) BewustwordingVerantwoordingsplicht en informatieplicht
Praktische toepassing• Dossierbeheer inzichtelijk maken
• Benoem het in documenten
• Gebruik ‘levende documenten’
• Laat zien wat je doet!
In organisatieGeef presentaties
Benoem ambassadeurs per afdeling
2) Verwerkingsregister - IVerplicht tot opstellen?• Meer dan 250 werknemers
• Minder dan 250 werknemers, maar met hoog risico vallen in de categorie ‘bijzondere persoonsgegevens’ waarvan verwerking niet incidenteel is
Aard van de werkzaamheden: verplicht!
Voordelen• Grip en inzicht op persoonsgegevens en verwerkingen
• Basis voor o.a. privacystatement, rechten van betrokkenen
2) Verwerkingsregister - IIInhoud• Contactgegevens eigen organisatie
• Doeleinden
• Categorieën betrokkenen (klanten, werknemers, patiënten)
• Categorieën persoonsgegevens
• Categorieën ontvangers
• Bewaartermijnen
Voorbeeld in Excel• Verwerkersregister.xlsx
3) Verwerkersovereenkomst - ISchriftelijke overeenkomst verantwoordelijke / verwerker
Inhoud:• Schriftelijke instructies verwerking
• Categorieën betrokken en doel van de (specifieke) verwerking
• Geheimhouding en beveiliging
• Toestemming inschakelen subbewerkers
• Privacyrechten betrokkenen
• Handelswijze bij datalekken
• Audits
• Afspraken omtrent aansprakelijkheden
3) Verwerkersovereenkomst - IIMag in algemene voorwaarden, maar nadelen• Zijn de voorwaarden van toepassing?
• Zijn de voorwaarden rechtsgeldig?
• AVG eist specifieke afspraken
Aandachtspunten• Modellen op internet nog niet allemaal actueel
• Zelf initiatief: afspraken over verantwoordelijkheden en aansprakelijkheid gunstiger
• Verwerkersovereenkomst 1.1.docx
4) Functionaris gegevensbeschermingOnafhankelijk toezicht binnen organisatie op AVG• Tevens adviserende rol
Verplicht voor:• Overheidsinstanties of –organen
• Organisaties die op grote schaal individuen observeren
• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken Aantal betrokkenen, hoeveelheid gegevens, duur verwerking, geografische reikwijdte
Concreet:• Niet noodzakelijk, tenzij …
5) DPIAData Protection Impact Assessment
Verplicht bij hoog privacyrisico van betrokkenen, ten minste bij• Systematisch en uitvoerig persoonlijke aspecten evalueren (profiling)
• Op grote schaal bijzondere persoonsgegevens verwerken
• Op grote schaal systematisch mensen in publiek toegankelijk gebied volgen
Doel: vooraf privacyrisico’s in beeld brengen• Privacy by design
Komende periode meer voorbeelden vanuit AP
6) Meldplicht datalekkenIntern protocol datalekken• ZZP: opnemen in privacyverklaring hoe hiermee om te gaan
• Procesbeschrijving, voorbeelden: Vb. protocol datalekken.docx
Register• Blanco logboek datalekken.xlsx
Informatie verschaffen
7) PrivacyverklaringDoel: verantwoording en informatie verschaffen over:• Contactgegevens informatie
• Persoonsgegevens
• Doel en grondslag verwerking
• Verwerkers
• Handelswijze uitoefening rechten van betrokkenen
Eenvoudig, duidelijk en overzichtelijk• https://veiliginternetten.nl/privacyverklaring/
ZZP enkel privacyverklaring, (grote) organisatie privacybeleid
8) ToestemmingsverklaringGrondslag voor de gegevensverwerking• Let op de vereisten!
• Terughoudend: overeenkomst, wettelijke verplichting staan vast
Benoem de gegevens, het doel
Maak mogelijkheid intrekking kenbaar
Voorbeelden• Toestemmingsverklaring.docx
9) Borging rechten betrokkenenOpnemen in privacybeleid / -verklaring• Welke rechten
• Hoe hieraan gevolg te geven
Kanaliseren vraagstukken• Bijv. e-mailadres met georganiseerd beheer
Aanleggen register• Overzicht rechten betrokkenen.xlsx
10) Andere beheersmaatregelenGedragscode beroepsgroep
Certificeringsmechanisme• Bijv. inbedden ISO-normen
Geen doorgifte naar buiten EU en beperkt binnen EU
Sluit een cyber risk verzekering af
25 mei 2018Hanteer een planningZoveel mogelijk gereed voor 25 mei 2018
Prioriteiten• Verwerkingsregister• Privacyverklaring• Meldplicht datalekken
Laat zien wat wanneer opgepakt wordt
Bij nieuwe zaken pas gelijk toe (privacy by design)
Zorg voor een continu proces, zowel in beleid als toepassing• Organisatie: onderdeel intern controleplan (privacy by default)
Informatie
Tekst AVG en Uitvoeringswet AVG• http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32016R0679• https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-
uitvoeringswet-algemene-verordening-gegevensbescherming
Informatie• www.autoriteitpersoonsgegevens.nl• https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_me
ldplicht_datalekken_0.pdf• https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/bescherming-
persoonsgegevens/algemene-verordening-gegevensbescherming• https://www.kvk.nl/advies-en-informatie/avg/• https://ictrecht.nl/privacy/• https://veiliginternetten.nl/
Informatie
Protocol datalekken• http://www.vil.nl/app/webroot/img/userfiles/files/VIL%20Factsheet%20-
%20Protocol%20meldplicht%20datalekken.pdf
• http://www.niwo.nl/images/html/Aanvragen/2017_-_NIWO_PROTOCOL_MELDING_DATALEKKEN_.pdf
Toestemmingsformulier• https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/bijlage_iii_to
estemmingsformulier.pdf
• http://www.kfhein.nl/media/images/subsidies/documenten/Toestemmingsverklaring%20K.F.Hein%20Stichting.pdf