Download - Privacy voor Webwinkels - ecommerce essentials

Transcript

tekstP R I VA C Y

VO O R W E B W I N K E L S

mr. charlotte meindersma

AVG AVG = Algemene Verordening Gegevensbescherming of GDPR = General Data Protection Regulation

is al in werking getreden vanaf 25 mei 2018 direct van toepassing

wetswijziging in Nederland nodig (Wbp)

NIEUW • Boetes tot €20.000.000,- of 4% jaaromzet

• Meer bewerkersovereenkomsten

• Meldplicht Datalekken

• PIA (soms)

• Privacy Officer (soms)

• Zelf registers bijhouden en verwerking documenteren

• Nieuwe privacyverklaring!

• en meer

BEWERKERSOVK verplicht bij verwerking door derden

(e-commerce platform, logistiek, hosting etc.)

• Doel

• Soort persoonsgegevens

• Categorieën van betrokkenen (soort personen)

• Passende beveiliging

• Melding datalekken

• Uitvoeren van audits

• Bij beëindiging: vernietiging of teruggave gegevens

DATALEKKEN IN AVG meldplicht datalekken nu ook in AVG dus voor heel EU

datalek: elke onrechtmatige verwerking die niet kan worden

uitgesloten

• verwerker moet melden aan verantwoordelijke

• <72 uur melden aan autoriteit (tenzij geen risico)

• bij hoog risico ook aan betrokkene melden

• ALLE inbreuken administreren

PIA Privacy Impact Assessment (PIA) vóór verwerking, indien aard,

omvang, context en doeleinde een hoog risico vormen voor

rechten en vrijheden van natuurlijke personen - risico beoordelen

• systematische beoordeling persoonlijke aspecten (profiling)

• verwerking bijzondere gegevens op grote schaal

• systematische monitoring publiek op grote schaal

U I TG E B R E I D E P R I VA C Y V E R K L A R I N G

NIEUWE PRIVACYVERKLARING

Elke website zal een nieuwe privacyverklaring nodig hebben

“beknopte, transparante, begrijpelijke en gemakkelijk

toegankelijke vorm en in duidelijke en eenvoudige taal”

Transparantie = meer informatie verstrekken

Maar: zo eenvoudig en compact mogelijk

NIEUWE PRIVACYVERKLARING

• identiteit + contactgegevens organisatie • contactgegevens privacy officer, indien aangesteld • doel van verwerking • rechtsgrond verwerking (bijvoorbeeld: toestemming gegeven of uitvoering ovk) • aan wie gegevens worden doorgegeven • gegevens opgeslagen/doorgegeven buiten EU? + getroffen waarborgen • bewaartermijn of criteria • rechten betrokkene • dat toestemming kan worden ingetrokken, maar geen terugwerkende kracht heeft • mogelijkheid klachten indienen bij toezichthouder • of verstrekken gegevens verplicht is + gevolgen niet verstrekking • of er sprake is van geautomatiseerde besluitvorming + gevolgen • bij meerdere verantwoordelijken: rolverdeling

lijst is niet limitatief. valt er meer te vertellen, dan moet er meer verteld worden

REGISTRATIEPLICHT Registratieplicht bij >250 medewerkers, of gevoelige gegevens

Register waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Zowel verantwoordelijke als verwerker moeten een register bijhouden

• schriftelijk (digitaal) • contactgegevens • doeleinde verwerking • beschrijving categorie betrokkenen • ontvangers van de gegevens • beschrijving beveiligingsmaatregelen • bewaartermijnen

DOCUMENTATIEPLICHT Nu: gegevensverwerking melden bij Autoriteit Persoonsgegevens (AP)

AVG: accountability

Aantonen dat er organisatorische en technische maatregelen zijn getroffen om aan AVG te voldoen. AP kan om deze documenten vragen t.b.v. controle.

Bijvoorbeeld: • welke gegevens worden verzameld • waar ze worden opgeslagen • hoe lang ze worden opgeslagen • hoe ze worden beveiligd • wie toegang heeft tot de gegevens

EN OOK • vraag zoveel mogelijk eenduidige toestemming voor

verwerking gegevens

• consumenten hebben recht op inzage, correctie en verwijdering van gegevens en moeten dit digitaal kunnen verzoeken

• consumenten moeten hun data kunnen ontvangen en overdragen aan andere partijen (dataportabiliteit)

NOG ONZEKER • EU Uitvoeringswet AVG

• Nederlandse wet + invulling ‘open’ bepalingen

• Nieuw beleid AP

CHARLOTTE MEINDERSMA | [email protected] | 06 28 917 463

twitter @charlotteslaw | facebook.com/charlotteslaw | instagram @charlotteslaw