De nieuwe Privacywetgeving persoonsgegevens WAT BETEKENT DIT VOOR
De nieuwe Privacywetgeving persoonsgegevens WAT BETEKENT DIT VOOR UW ORGANISATIE Frank Terstappen Privacy Consultant (FG)
INHOUDSOPGAVE Inhoudelijk AVG 1. 2. 3. 4. 5. 6. Wat is de AVG op hoofdlijnen Wat wordt gezien als persoonsgegevens Betrokkenen & Rechten betrokkenen Wanneer persoonsgegevens verwerken Spelregels opvragen persoonsgegevens Invulling AVG 1. Wat moet er gebeuren
ALGEMENE VERORDENING GEGEVENSBESCHERMING • Start AVG: 25 mei 2018 • Europese Unie: dezelfde Privacywetgeving • AVG is een wetgeving over hoe om te gaan met persoonsgegevens. • Eisen aan organisaties: aanbieden van voldoende bescherming persoonsgegevens.
WAT BETEKENT DE AVG OP HOOFDLIJNEN • Sprake verwerken persoonsgegevens? Dan voldoen AVG. • Meer verplichtingen en verantwoordelijkheid organisaties: Aantoonbare documentatieplicht! • Hogere boetes, Imago verlies • Bij uitbesteding verwerking persoonsgegevens: Organisatie blijft verantwoordelijk!
WAT WORDT GEZIEN ALS PERSOONSGEGEVENS Alle informatie direct of indirect gekoppeld aan een natuurlijk persoon (ofwel hem identificeren). Soorten persoonsgegevens 1. Normale Persoonsgegevens • NAWT, Geboortedatum 2. Bijzondere Persoonsgegevens • Gezondheid, Ras/afkomst, • Politieke opvatting, Strafrechtelijk verleden, • Seksuele geaardheid, enz. 3. Gevoelige Persoonsgegeven • Financiële gegevens zoals salaris, bankrekeningnummer, voorgaande aankopen, BSN
WIE ZIJN DE BETROKKENEN 1. Medewerkers 2. Vrijwilligers 3. Relaties 4. (Bruikleen)gevers 5. Solicitanten 6. Bezoekers Persoonsgegevens
RECHTEN VAN BETROKKENEN Doel : waarborgen eerlijke verwerking van persoonsgegevens • Inzage • Verwijdering • Beperking doel • Bezwaar • Dataportabiliteit • Geen geautomatseerde besluitvoering (marketing doelen)
WANNEER MOGEN WE PERSOONSGEGEVENS VERWERKEN • Toestemming betrokkenen • Vitale belang (ernstige bedreiging gezondheid betrokkenen) • Wettelijke verplichting (Belastingdienst, Gemeente, Rechtbank) • Uitvoeren overeenkomst (een contract) • Gerechtvaardigd belang (belangen organisatie boven belangen betrokken)
SPELREGELS BIJ HET OPVRAGEN VAN PERSOONSGEGEVENS • Niet meer verzamelen dan nodig • Beschrijven doel waarvoor de gegevens nodig zijn • Niet beschikken over meer dan nodig voor werkzaamheden • Niet langer bewaren dan strikt noodzakelijk • Up to date/actualiseren.
WAT MOET ER GEBEUREN Bewustwording Organisatie Rechten van betrokkenen Privacy-Team (Aanspreekpunten) Privacy-Officer Overzicht verwerkingen Privacy Missie & Reglement Verwerkingsovereenkomsten Meldplicht Datalekken Risico-analyse
BEWUSTWORDING Bewustzijn creëren en actief voorlichting/informatie geven ü Op de hoogte zijn van de (nieuwe) privacyregels. ü Transparantie: kunnen uitleggen/ en aantonen wat je waarom doet met persoonsgegevens.
REGISTER GEGEVENSVERWERKINGEN Doel register gegevensvewerkingen 1. 2. 3. Vastleggen rechtmatigheid verwerkingen Risico-analyse Verantwoordingsplicht Wat leg je vast 1. 2. 3. 4. 5. 6. Gegevensverwerkingsactiviteiten Doeleinde gegevensverwerking Categorieën persoonsgegevens en betrokkenen De bewaartermijnen Verwerker/verwerkingsverantwoordelijke Technische/organisatorische beveiligingsmaatregelingen
MELDPLICHT DATALEKKEN Wat is een datalek: • Beveiligingsincident, waarbij (persoons)gegevens zijn verloren of per ongelukt verstrekt zijn aan niet bevoegde derden Voorbeeld: • Verlies telefoon, USB-stick, laptop, dossier Een datalek altijd melden Risico betrokkenen? Melden aan Autoriteit Persoonsgegevens
RISICOANALYSE Risico-inventarisaties en risicoanalyses: � vooraf de privacy risico’s gegevensverwerking in kaart brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen en/of deze te kunnen voorkomen. Data protection impact assessment (DPIA) = alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert. Voorbeeld: op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Privacy impact assessment (PIA) = proactief na te denken over vragen als “Wat is de impact van het beoogde project op de privacy van de betrokkenen?
VERWERKERSOVEREENKOMST � Hiermee regel je dat een derde partij (een verwerker) zorgvuldig met de persoonsgegevens omgaat waar jij als verwerkersverantwoordelijke verantwoordelijk voor bent. � De verwerker moet zich houden aan de afspraken die jij met de betrokkenen van de persoonsgegevens hebt gemaakt. Advies: laat een verwerkersovereenkomst (altijd) juridische toetsen.
FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Ø Ø Ø Overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen. Organisaties die vanuit hun kernactiviteiten op grote schaal mensen volgen. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is.
GEDRAGSREGELS
- Slides: 17