Workshop AVG voor het bestuur van Vereniging Yogadocenten

Nederland

Cees Boon en Berdjan Klatter

1

Programma• We behandelden de 10 algemeen aanvaarde aandachtspunten. • Resultaat: Deelnemers zijn in staat de AVG problematiek op de kaart te

zetten en de valkuilen te herkennen.

• Doorlopen van de Regelhulp van de AP.• Resultaat: Bestuur VYN weet wat er nog moet gebeuren om AVG-

conform te worden

2

3

4

5

INLEIDINGWaarom is er een nieuwe pricacywetgeving?• Ieder EU-land heeft nu eigen privacy wet.• Het ontstaan van Internet noopte tot internationale harmonisering

Wat verandert er voor burgers?• Toestemming• Aanvullende rechten• Recht op inzage• Recht op vergetelheid• Recht op dataportabiliteit

6

7

8

9

10

11

In 10 stappen voorbereid op de AVG1. Bewustwording2. Rechten van betrokkenen3. Overzicht verwerkingen4. Data protection impact assessment (DPIA)5. Privacy by design & privacy by default6. Functionaris voor de gegevensbescherming7. Meldplicht datalekken8. Bewerkersovereenkomsten9. Leidende toezichthouder10. Toestemming

12

1. Bewustwording• Zorg dat relevante mensen in uw organisatie op de hoogte zijn van de

nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is.

• Implementatie van de AVG kan veel tijd vragen van de organisatie .• De Autoriteit Persoonsgegevens (AP) biedt instrumenten die kunnen

helpen om de AVG na te leven, • de AP kan sancties opleggen van maximaal 20 miljoen euro of 4% van

de wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

13

2. Rechten van betrokkenen• Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten.

Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.• Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht

op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

• Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

14

2. Rechten van betrokkenenA. Onder de AVG krijgen betrokkenen meer en verbeterde

privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.• Betrokkenen zijn natuurlijke personen met het recht op het gebruik van de

eigen persoonlijke informatie• Ze kunnen toestemming verlenen aan anderen om deze gegevens te

verwerken• Maar toestemming is niet altijd noodzakelijk• En rechten brengen ook plichten met zich mee

15

2. Rechten van betrokkenenB. Denk daarbij aan bestaande rechten, zoals het recht op inzage en

het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.• Vergetelheid is het laten wissen van gegevens bij een

verwerkingsverantwoordelijke (VV)• Dataportabiliteit is het kunnen meenemen van persoonlijke informatie van de

ene naar de andere VV

16

2. Rechten van betrokkenenC. Ook kunnen mensen bij de AP klachten indienen over de manier

waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.• Klachtenprocedure• Niet over Direct Marketing

17

3. Overzicht verwerkingenA. Breng uw gegevensverwerkingen in kaart. Documenteer welke

persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

B. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten(verwerkingsregister) is onderdeel van de verantwoordingsplicht.

C. U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

18

3. Overzicht verwerkingenA. Breng uw gegevensverwerkingen in kaart. Documenteer welke

persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. • Aantal medewerkers > 250?• Grootschalig, wel of niet?• Verantwoordelijke of verwerker?• Verzamelen, Vastleggen, Ordenen, structureren, Opslaan, Bijwerken of Wijzigen, Opvragen,

Raadplegen, Gebruiken, Verstrekken d.m.v. Doorzending, Verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, Zie definities pag. 33 artikel 4

• Toestemming, wel of niet?

19

3. Overzicht verwerkingenB. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet

kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht.• Verantwoordingsplicht, (Accountability) is vooral een ethische zaak• Gegevensbeschermingsbeleid, niet verplicht maar altijd verstandig• Aantonen dat je je aan de regels houdt voorkomt imagoschade• Technische en organisatorische maatregelen• Rechtmatigheid, Transparantie, Doelbinding en Juistheid

20

3. Overzicht verwerkingenC. U kunt het verwerkingsregister ook nodig hebben als betrokkenen

hun privacy rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.• Register van verwerkingen• Inzageverzoek, inclusief verwerkingen• Verzoek tot verstrekking, exclusief verwerkingen• Wie heeft toegang gehad? Dus toegangscontrole en logging• Is er gelekt? Dus een register van calamiteiten

21

4. Data protection impact assessment 1(DPIA = Gegevensbeschermingseffectbeoordeling)

• DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

• U moet DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

• Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start.

• Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

22

4. Data protection impact assessment (DPIA)

• Wanneer is DPIA verplicht? Als verwerking hoog risico inhoudt. (Schema: zie volgende sheet)

• Oefening: Lees artikel 35 lid 3a en bedenk een voorbeeld van een verwerking waarvoor DPIA vereist is. (blacklisting)

23

24

4. Data protection impact assessment (DPIA) 3

Voorbeelden van verwerkingen met hoog risico

• Financiële instelling die haar klanten screent op basis van krediereferentiedatabank.

• Biotechbedrijf dat consumenten test aanbiedt om ziekte/gezondheidsrisicio’s te voorspellen.

• Bedrijf dat gedrags- of marketingprofielen opstelt op basis van gebruik of navigatie op zijn website.

25

5. Privacy by design & privacy by default• Maak uw organisatie vertrouwd met de onder de AVG verplichte

uitgangspunten van privacy by design en privacy by default.• Privacy by design houdt in dat u er al bij het ontwerpen van producten en

diensten voor zorgt dat persoonsgegevens goed worden beschermd.• Privacy by default houdt in dat u technische en organisatorische

maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet

nodig is;• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan

nodig is.

26

5. Profiling• Samenvatting en voorbeelden van profiling en automatische

beslissingen zoals beschreven in: Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

• Zie bijlage

27

6. Functionaris Gegevensbescherming 1.

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen.

• Wanneer verplicht? (art. 37)

• Overheden

• organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen.

Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-

inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.

• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

(kernactiviteit). Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands

gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

28

6. Functionaris Gegevensbescherming 2.

Wat is zijn positie? (artikel 38)• U mag de FG geen instructies geven hoe hij zijn taken als FG moet uitvoeren.• U mag de FG niet ontslaan of een sanctie geven als gevolg van de uitoefening van zijn

FG-taken.• Er mag geen belangenverstrengeling zijn tussen de FG-taken en de eventuele andere

taken of functies van de FG.

Wie mag de rol van FG vervullen?• Om belangenverstrengeling te voorkomen, mag de FG binnen de organisatie niet ook

een functie hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt.

• Dit kan bijvoorbeeld zo zijn als de FG een managementpositie vervult, zoals hoofd financiën, strategie, marketing, IT of HRM.

29

6. Functionaris Gegevensbescherming 3.

Wat zijn de taken? (artikel 39)• informatie verzamelen over gegevensverwerkingen binnen de organisatie;• deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;• informatie, adviezen en aanbevelingen geven aan de organisatie.

De FG is niet persoonlijk aansprakelijk als er binnen zijn organisatie een overtreding van de privacywet is.

30

6. Functionaris Gegevensbescherming 4.Wat zijn kerntaken? • Ziekenhuis heeft als kerntaak gezondheidszorg bieden. Medische

dossiers zijn hierbij nodig => FG verplicht• Beveiligingsbedrijf heeft als kerntaak bewaking. Gebruikt

cameratoezicht => FG verplichtWanneer FG niet nodig?• Lees pagina 11 richtlijn FG.

31

7. Meldplicht datalekken 1 (Berdjan)

32

7. Meldplicht datalekken 1.Facts & figures 2016: bijna 5.500 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP).Regelmatig voorkomende datalekken:

• Een klant ziet in een klantportaal de gegevens van iemand anders.

• Iemand raakt een USB-stick of andere gegevensdrager kwijt waarop persoonsgegevens staan. De persoonsgegevens zijn dan vaak niet versleuteld.

• Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen.

• Een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug.

• Een e-mail met persoonsgegevens komt bij de verkeerde ontvanger terecht.

33

7. Meldplicht datalekken 2.

34

7. Meldplicht datalekken 3.• De AVG stelt strenge eisen aan uw eigen registratie van de datalekken die

zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.

• Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

• De Europese privacytoezichthouders hebben in oktober 2017 richtlijnen gepubliceerd over het melden van datalekken onder de AVG (deze richtlijnen zijn nog niet definitief, nu nog allen in het Engels)

35

7. Meldplicht datalekken 4.Waar en hoe melden?

Bij het Meldloket

36

8. BewerkersovereenkomstenHeeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

37

8. BewerkersovereenkomstenWie kunnen we identificeren als verwerker• Een partij die toestemming heeft gekregen voor het verwerken van

persoonsgegevens• Dat kan een natuurlijk of rechtspersoon zijn maar is meestal een dienst,

overheidsinstantie of een bedrijf.• Niet te verwarren met ontvangers of derden

38

8. BewerkersovereenkomstenAlgemene beschrijvingEen omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).

39

8. BewerkersovereenkomstenInstructies verwerkingDe verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

40

8. BewerkersovereenkomstenGeheimhoudingsplichtPersonen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

41

8. BewerkersovereenkomstenBeveiligingDe verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

42

8. BewerkersovereenkomstenSubverwerkersDe verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

43

8. BewerkersovereenkomstenPrivacyrechtenDe verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

44

8. BewerkersovereenkomstenAndere verplichtingenDe verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

45

8. BewerkersovereenkomstenGegevens verwijderenNa afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

46

8. BewerkersovereenkomstenAuditsDe verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

47

9. Leidende toezichthouderHeeft uw organisatie vestigingen in meerdere EU-lidstaten? • Dan hoeft u onder de AVG nog maar met één privacytoezichthouder

zaken te doen. Dit wordt de leidende toezichthouder genoemd.• Geldt dit voor uw organisatie, bepaal dan onder welke

privacytoezichthouder u valt.• De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de

hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.

• Er is een guideline (Nederlands)

48

10. Toestemming• Uw gegevensverwerking kan gebaseerd zijn op toestemming van de

betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

• Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

49

10. Toestemming• Verwerkt u persoonsgegevens die gebaseerd is op toestemming van

de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

50

10. ToestemmingSpecifiek en geïnformeerdTwee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

51

10. ToestemmingOnline toestemming• Vraagt u online toestemming aan mensen voor het verwerken van hun

persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:• documentatie over het proces waarin u heeft vastgelegd op welke manier u

toestemming ontvangt en vastlegt.• een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan

de gegeven toestemming.• Verwijzen naar automatische registratie van toestemming door uw website is

onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

52

10. ToestemmingTen slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

53

10. ToestemmingU moet kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:• rechtmatigheid;• transparantie;• doelbinding;• juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

54

10. Toestemming• Krijgt u van de betrokkene• Krijgt u van de wet• Of hebt u niet nodig omdat de wet het u verplicht.

55

Wat kan VYN doen om AVG conform te worden?

56

57

58