AVG Algemene Verordening Gegevensbescherming Inhoud presentatie 1 Wat
AVG Algemene Verordening Gegevensbescherming
Inhoud presentatie 1. Wat is de AVG? 1. 2. 3. 4. Algemene introductie Wat zijn persoonsgegevens? Is mijn gegevensverwerking rechtmatig? Ben ik verwerkingsverantwoordelijke of verwerker? 1. Plichten verwerkingsverantwoordelijke 5. Welke rechten hebben de betrokkene? 6. Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen?
Inhoud presentatie 2. Wat moet ik doen? 1. Register verwerkingsactiviteiten 2. Informatievoorziening betrokkenen 3. Gegevenbeschermingseffectbeoordeling 4. Toestemming van betrokkene 1. Hoe vraag je het? 2. Bewijs dat de toestemming is verleend 5. Processen voor omgang rechten betrokkenen 6. Verwerkersovereenkomsten opstellen 7. Procedures omtrent datalekken documenteren 8. Register van datalekken
Wat is de AVG?
Algemene introductie AVG • Bekend als GDPR • opvolger van WBP (Wet Bescherming Persoonsgegevens) • Doel • Bescherming van natuurlijke personen in verband met het verwerken van hun gegevens • Boetes van maximaal 20 miljoen of 4% van de wereldweide omzet indien deze hoger is
Wat zijn persoonsgegevens? • Alle gegevens die: 1. 2. 3. 4. Betrekking hebben op; Een geidentificeerde, of; Identificeerbare; Natuurlijke persoon; “Logging gegevens gekoppeld aan mijn IP adres? ”
Is mijn gegevensverwerking rechtmatig? • Rechtmatige doeleinden voor verwerking? • Grondslagen gegevensverwerking • Toereikend (niet te veel/niet te weinig)
Ben ik verwerkingsverantwoordelijke of verwerker? Antwoord op de vraag: • Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Ben ik verwerkingsverantwoordelijke of verwerker? Plichten verwerkingsverantwoordelijke • ‘registerplicht’ • Functionaris gegevensbescherming aanstellen • Gegevensbeschermingseffectbeoordeling uitvoeren bij risicovolle verwerkingsactiviteiten • Bij risicovolle verwerkingsactiviteit, AP raadplegen • Rekening houden met ‘privacy by design & default’ • Passende beveiligingsmaatregelen • Overeenkomsten met verwerkers
Welke rechten hebben de betrokkene? • Het recht op informatie over de verwerkingen; • Het recht op inzage in zijn gegevens; • Het recht op correctie van de gegevens als deze niet kloppen; • Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
Welke rechten hebben de betrokkene? • Het recht op beperking van de gegevensverwerking; • Het recht op verzet tegen de gegevensverwerking; • Het recht op overdracht van zijn gegevens (dataportabiliteit); • Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen? • Uw identiteit en uw contactgegevens, of de contactgegevens van uw vertegenwoordiger; • Indien u een functionaris voor gegevensbescherming hebt aangesteld, de contactgegevens van deze functionaris; • De doelen waarvoor u persoonsgegevens verwerkt; • De grondslag waarop u de verwerking baseert; • Wanneer u de verwerking baseert op de grondslag ‘gerechtvaardigd belang’: wat uw gerechtvaardigd belang is; • De eventuele ontvangers of categorieën ontvangers van de gegevens; • In geval van verstrekking aan derde landen: of er een adequaatheidsbesluit van de Commissie bestaat, of passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden verkregen, dan wel waar die waarborgen kunnen worden geraadpleegd;
Welke informatie moet ik aan mijn betrokkene verstrekken en wanneer moet ik dit doen? • De bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan; • De rechten van de betrokkene (beschreven in dit hoofdstuk); • In het geval van toestemming, dat de betrokkene die toestemming altijd weer kan intrekken; • Dat de betrokkene het recht heeft een klacht in te dienen over uw verwerking bij de Autoriteit Persoonsgegevens; • Of het verwerken van persoonsgegevens een wettelijke verplichting is of noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst • Ingeval van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica, het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkene.
Wat moet ik doen? Aantoonplicht
Aantoonplicht 1. Register verwerkingsactiviteiten 2. Informatievoorziening betrokkenen 3. Gegevenbeschermingseffectbeoordeling • Enkel maatregelen niet voldoende • Aantoonbaar maken aan de AP 4. Toestemming van betrokkene 1. Hoe vraag je het? 2. Bewijs dat de toestemming is verleend 5. Processen voor omgang rechten betrokkenen 6. Verwerkersovereenkomsten opstellen • Wat moet je kunnen aantonen? 7. Procedures omtrent datalekken documenteren 8. Register van datalekken
Register verwerkingsactiviteiten • Wat moet erin? • Contactgegevens (FG) • Verwerkingsactiviteiten bijhouden waarvoor je verwerkingsverantwoordelijke bent • Doeleinden • Categorieen betrokkenen & persoonsgegevens • Vormvereiste • Doorgifte persoonsgegevens buiten de EU (indien van toepassing) • Bewaartermijnen persoonsgegevens (indien mogelijk) • Technische en organisatorische beveiligingsmaatregelen (indien mogelijk)
Informatievoorziening betrokkenen (privacy policy) • Contactgegevens FG (indien aangesteld) • Doelen voor gegevensverwerking • Grondslagen gegevensverwerking • Eventuele ontvangers van de gegevens of categorieeen
Gegevenbeschermingseffectbeoord eling (PIA) • Noodzakelijk bij hoog risico • Hoog risico: • Geautomatiseerde profilering waaruit besluiten komen met rechtsgevolgen voor de betrokkene • Op grote schaal bijzondere categorieen persoonsgegevens verwerken • Grootschalig en stelselmatig mensen volgen in openbare ruimtes (camera toezicht)
Toestemming van betrokkene • Documenteren hoe de toestemming gevraagd wordt • Vastleggen dat de toestemming verleend is
Processen voor omgang rechten betrokkenen Welke rechten hebben betrokkenen? • Het recht op informatie over de verwerkingen • Het recht op inzage in zijn gegevens • Het recht op correctie van de gegevens als deze niet kloppen • Het recht op verwijdering van de gegevens • Het recht op beperking van de gegevensbewerking • Het recht op verzet tegen de gegevensverwerking • Het recht op overdracht van zijn gegevens (dataportabiliteit) • Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming
Processen voor omgang rechten betrokkenen Wat moet ik doen? • Procedures opstellen voor omgang met rechten
Verwerkersovereenkomsten opstellen Wat is het? • Overeenkomst • Verwerkingsverantwoordelijke • verwerker
Verwerkersovereenkomsten opstellen Wat moet er in staan? • Onderwerp en duur verwerking • Aard en doel verwerking • Niveau beveiliging van verw. en verantw. Hetzelfde is • Soort persoonsgegevens wat verwerkt wordt • Handelswijze rechten betrokkenen • Rechten en verplichtingen van de • Meldplicht datalekken verantwoordelijke • Persoonsgegevens niet voor andere doeleinden worden gebruikt • Verwerking van gegevens door gemachtigde personen • Eindigen overeenkomst = wissen gegevens • Mogelijkheid uitvoeren audits • Afspraken sub-verwerkers
Procedures omtrent datalekken documenteren • Handelswijze opstellen omtrent datalekken • Proces vastleggen • • • Wat te doen bij het vinden? Oorzaak lek vinden Achterhalen gedupeerde betrokkene Betrokkene informeren Melden bij AP
Register van datalekken • Opstellen register van ontstane datalekken
Samenvattend • Cookiemelding (tracking cookies) • Privacy policy • Verwerkersovereenkomsten • Rechten betrokkenen
Vragen?
Bronnen • https: //autoriteitpersoonsgegevens. nl/sites/d efault/files/atoms/files/handleidingalgemene verordeninggegevensbescherming. pdf
- Slides: 28