AcceptEasy Paydays

“De praktijk van de nieuwe Privacy-wetgeving”

Patrick Jordens – DMCC Nederland B.V.

© 20171

• De Algemene Verordening Gegevensbescherming (AVG/GDPR) in het kort

• High lights uit het 10-stappenplan van de Autoriteit Persoonsgegevens

• Rechten van de betrokkene

• Privacy by design

DMCC Nederland B.V.DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren.

Programma van vandaag

2 www.dmcc.nl

3

Privacy Quiz

© 2017

© 20174

Impact

Privacyparadox: Hoe meer we weten hoe minder we storen.

Wanneer we kijken naar de verdeling in leeftijd is de jonge digital native tussen de 25 en 34 relatief het minst bezorgd over zijn privacy (algemeen 6,0/ online 6,6).

Privacy is niet zwart-wit

Bron: DDMA Privacy Onderzoek 2016

Awareness bij de consument / burger

Geachte heer/mevrouw,

Voor een artikel dat ik voor onze Digitaalgids schrijf, doe ik onderzoek naar het delen van contactgegevens met Facebook t.b.v. retargeting via Facebook Custom Audience.

Uw organisatie deelt of deelde contactgegevens, zoals e-mailadres of telefoonnummer, met Facebook. Wellicht gebeurde dat versleuteld/gehasht.

Wettelijk gezien is dat alleen toegestaan indien de eigenaar van dit/deze contactgegevens(s) toestemming heeft gegeven om zijn/haar gegevens met Facebook te delen.

Zie ook de toepasselijke voorwaarden van Facebook zelf:Je garandeert dat jij (of je gegevensprovider) voldoende kennis hebt gegeven aan en toestemming hebt gevraagd van de personen van wie je de gegevens codeert om hashgegevens te creëren in overeenstemming met alle geldende wetten, regelgeving en industriële richtlijnen.

Uit mijn onderzoek is niet gebleken dat uw organisatie aan haar gebruikers/klanten/leden om een dergelijke toestemming heeft gevraagd. Ik ben dan ook voornemens uw organisatie in mijn artikel op te nemen bij de partijen die zonder toestemming contactgegevens met Facebook delen.

In het kader van wederhoor stel ik u in de gelegenheid om op mijn bevindingen te reageren; als u kunt aantonen dat u wel uitdrukkelijke toestemming had, ontvang ik daarvan graag stukken waaruit dat blijkt.

Graag ontvang ik uiterlijk aanstaande maandag om 12.00 uur een reactie van u. Indien u niet reageert, ga ik ervan uit dat mijn bevindingen juist zijn.

Wettelijk kader

9

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

Stap 1: Bewustwording

Stap 2: Rechten van betrokkenen

Stap 3: Overzicht verwerkingen

Stap 4: Privacy Impact Assessment

Stap 5: Privacy by design & privacy by default

Stap 6: Functionaris voor de gegevensbescherming

Stap 7: Meldplicht datalekken

Stap 8: Bewerkersovereenkomsten

Stap 9: Leidende toezichthouder

Stap 10: Toestemming

10

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

Stap 1: Bewustwording

Stap 2: Rechten van betrokkenen

Stap 3: Overzicht verwerkingen

Stap 4: Privacy Impact Assessment

Stap 5: Privacy by design & privacy by default

Stap 6: Functionaris voor de gegevensbescherming

Stap 7: Meldplicht datalekken

Stap 8: Verwerkersovereenkomsten

Stap 9: Leidende toezichthouder

Stap 10: Toestemming

11

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

Stap 2: Rechten van Betrokkenen

Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterdeprivacy-rechten. Zorg er daarom voor dat zij hun privacy-rechten goed kunnen uitoefenen.

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maarhou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoorzorgen dat betrokkenen hun gegevens makkelijk kunnen verkrijgen en vervolgens kunnen doorgeven aan eenandere organisatie als ze dat willen.

Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP isverplicht deze klachten te behandelen.

12

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

• Recht op informatie

• Recht van inzage

• Recht op rectificatie

• Recht op gegevenswissing ("recht op vergetelheid")

• Recht op beperking van de verwerking

• Recht op overdraagbaarheid van gegevens

• Recht van bezwaar

• Recht niet te worden onderworpen aan profilering

13

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

Recht op gegevenswissing (recht op vergetelheid)

Artikel 17 van de AVG creëert een nieuw recht op vergetelheid. De betrokkene heeft het recht van deverwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens teverkrijgen en de verwerkingsverantwoordelijke is in gedefinieerde situaties verplicht persoonsgegevens zonderonredelijke vertraging te wissen.

Recht niet te worden onderworpen aan profilering

Iedereen heeft het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming.Hierbij kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediendekredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst.

14

Privacy Quiz

© 2017

15

Privacy Quiz

© 2017

16

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

Stap 5: Privacy by design & privacy by default

Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design enprivacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt datpersoonsgegevens goed worden beschermd.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgendat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wiltbereiken. Bijvoorbeeld door:

• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;

• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;

• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

17

De 10 stappen van de Autoriteit Persoonsgegevens

© 2017

De Europese wetgever geeft handvatten voor de implementatie. Zo valt in artikel 25 te lezen dat de privacy by design niet alleen een IT feest is. Voor u aan de slag gaat moet u:

1. Bepalen welke persoonsgegevens noodzakelijk zijn voor de dienstverlening. U dient te waarborgen dat u niet meer gegevens vastlegt (dataminimalisatie);

2. De persoonsgegevens na een bepaalde tijd weggooien/ wissen als u ze niet meer nodig heeft (data retentie);

3. De gegevens adequaat beschermen (informatiebeveiliging).

Patrick Jordens (06-15058797)

DMCC Nederland B.V.

DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren.

18

Telefoon : 088-7779311E-mail: info@dmcc.nlWebsite: www.dmcc.nl

Voor meer Info

© 2017

Partner van :