Post on 22-May-2020
AVG/GDPR
VANKRACHTPER25MEI2018
1
AVG/GDPR• DeAlgemeneVerordeningGegevensbescherming(AVG/GDPR)isde
vervangervaneenEuropeseRichtlijnoverprivacyuit1995,debasisvooronzeWetbeschermingpersoonsgegevens(Wbp).
• DeAVGisvanaf25mei2018indeheleEuropeseUniedirectvantoepassing.DangeldtinallelandenvandeEUhetzelfderechtalshetomdeprivacyvanburgersgaatenhebbentoezichthoudersoveraldezelfdebevoegdheden.
• VanafdiedatumvervaltinNederlanddeWpbenzaldeAutoriteitPersoonsgegevenscontrolerenofdeAVGwordtgevolgd.
2
PERSOONSGEGEVENS
• Watzijnpersoonsgegevens?
DeAVGisvantoepassingophetverwerkenvanpersoonsgegevens.Wanneerisdaarsprakevan?‘persoongegeven:elkgegevenbetreffendeeengeïdentificeerdeofidentificeerbarenatuurlijkepersoon’Duselkgegevendatkanleidentoteennatuurlijkpersoon,directofindirect,isduseenpersoonsgegeven!Voorbeeldenzijn:Naam,foto,postcode+huisnummer,emailadres,kenteken,IP-adres,locatie
3
BIJZONDEREPERSOONSGEGEVENSVerbodenteverwerken,tenzijHetisverbodenombijzonderepersoonsgegevensteverwerken,tenzijindeAVGeenspecifiekegrondslagisvermeld.Leterdusopdatdezegegevensnietzomaarwordenverwerkt/verzameld.Hetgaatom:• Rasofetnischeafkomst• Gezondheidsgegevens• Biomedischegegevens• Politiekeopvattingen• Lidmaatschapvaneenvakbond• Strafrechtelijkegegevens• Religieuzeovertuigingen• Genetischegegevens• Gegevensm.b.t.seksueelgedragofvoorkeur
4
VERWERKEN
Wanneerverwerkje?
Alleenalsjepersoonsgegevensverwerkt,moetjejeaandeprivacyregelsvandeAVGhouden.Maar,vanverwerkingisalheelsnelsprake.Verwerkingbeginteigenlijkalbijtoegangtotpersoonsgegevens.DeAVGsomtopdatjeverwerktbij:• verzamelen,vastleggen,ordenen,• structureren,opslaan,bijwerkenofwijzigen,• opvragen,raadplegen,gebruiken,• verstrekkendmvdoorzending,• verspreidenofandersterbeschikkingstellen,• alignerenofcombineren,afschermen,• wissenofvernietigenvangegevens
5
VERWERKENWanneermagjeverwerken?
Verwerkingvanpersoonsgegevensisalleentoegestaanalsdaareengrondslagvoorbestaat.Datmagalleenalshetnoodzakelijkis:• Voordeuitvoeringvaneenovereenkomst;• Voordeuitvoeringvameenwettelijkeplicht;• Vooreenvitaalbelangvandebetrokkene;• Voordegoedevervullingpubliekrechtelijketaak;• Vooreengerechtvaardigdbelang(alsdatnietismgrondrechten/fundamentele
vrijhedenvandebetrokkene).• Ofmetondubbelzinnigetoestemmingvanbetrokkene.Alsdebetrokkenegoedis
geïnformeerdenvoorafgaandaandeverwerking.LETOP!toestemmingisgeengeldigegrondslagindearbeidsrelatieenkanwordeningetrokken.
6
HOOFDROLSPELERS
Metwiekrijgjetemaken?Verwerkingsverantwoordelijke:Degenediedoelenmiddelenvandeverwerkingvaststeltenvoorzichzelfpersoonsgegevensverwerkt.Bijv.:dewerkgeverdiegegevensvanwerknemersvastlegtvoorloonbetaling.Betrokkene:Denatuurlijkpersoonoverwiepersoonsgegevenswordenverzameld.Bijv.:dewerknemerofdeklant.Verwerker:Degenedievooreenanderverwerkt.Bijv.:loonburoLETOP!Metdeverwerkermoetjeeenverwerkersovereenkomstsluitendieaandeeisenvoldoet. 7
RECHTVANBETROKKENEN
BetrokkenenhebbenmeerrechtenDoordeAVGkrijgenbetrokkenenmeerrechtenalshunpersoonsgegevensverwerktworden.Zijhebbenhet:• Rechtomgeïnformeerdteworden;• Rechtvaninzage;• Rechtoprectificatie• Rechtopvergetelheid(‘tobeforgotten’);• Rechtopbeperkingvandeverwerking;• Rechtopdataportabiliteit;• Rechtvanbezwaar;• Rechtomtoestemmingintetrekken.
8
STAPPENPLAN
EnnuconcreetJerealiseertjenuwaarschijnlijkdatbinnenjouwondernemingmeerpersoonsgegevenswordenverwerkt,danjedacht.Depersoneelsdossiersvanwerknemersstaanvolmetpersoonsgegevens,binnenenbuitenhangencamera’sinverbandmetveiligheidenfraude,werknemershoudenhunurenbij,eriseenvolgsysteemvoordebedrijfsauto’s,laatstaanalle(bijzondere)persoonsgegevensdieverzameldwordenm.b.t.ziekewerknemers.TIP:wijséénwerknemeraandieverantwoordelijkisvoorprivacybinnenhetbedrijf.Diekanvoorbereidingentreffenenistegelijkertijdaanspreekpuntbijvragen.Legallestappenvast,zodatubijcontrolekuntlatenziendatuaandeAVGvoldoet.
9
STAP1
Welkepersoonsgegevenswordenverwerkt?Nujeweetwatpersoonsgegevenszijnenwanneersprakeisvanverwerking,brenginkaartwaarenwelkepersoonsgegevenswordenverwerktbinnenhetbedrijf.Metwelkdoelwordendiegegevensverzameldofbewaard?Iserweleengoedgrondslagvoorverwerkingenwordengegevensnietonnodigoftelangbewaard?DoelbindingDeAVGkenthetbegrip‘doelbinding’.Datbetekentdatpersoonsgegevensnietmeteenanderdanhetoorspronkelijkedoelmogenwordenverwerkt.LETOP!Toestemmingvoorverwerkingmoetaltijdexplicietengoedgeïnformeerdzijngegeven.
10
STAP2
Legalleverwerkingenvastineenverwerkingsregister.VolgensdeAutoriteitPersoonsgegevensiselkbedrijf/werkgeververplichtomeenverwerkingsregisterbijtehouden.Daarmoethetvolgendeinstaan:• Contactgegevensbedrijfenevt.Functionaris;• Doelenverwerkingen;• Categorieënpersonen(bijv.werknemers);• Categorieënpersoonsgegevens(bijv.NAW,BSN,videobeelden);• Bewaartermijnen(bijv.2jaarmbtpersoneelsdossiernaontslag);• Categorieënontvangersvanpersoonsgegevens;• Algemenebeschrijvingtechnischeenorganisatorischebeveiligingsmaatregelen.SpreadsheetszoalsExcelzijnpraktischomalsregistertegebruiken.
11
STAP3PrivacybeleidHetopstellenvaneenprivacybeleidisnietaltijdverplicht,maarhelptbijeengoedevoorbereidingopdekomstvandeAVG.Bijhetopstellendaarvankanweereenskritischwordengekekennaaralleverwerkingen,grondslagenendemaniervanwerkenmetpersoonsgegevensbinnenhetbedrijf.Naastdeinformatiedieookinhetverwerkingsregisterstaat,bevathetbeleiduitleghoeaandebeginselenvandeAVGwordtvoldaan,oferwelofnieteenfunctionarisis,hoewordtgezorgddatrechtenvanbetrokkenenuitgeoefendkunnenwordenenuitlegtavbeveiliging.Bijv.;inzageinhetpersoneelsdossierenhetcorrectierechtbijfeitelijkeonjuistheden.LETOP!IsereenOR,danmoettoestemmingwordengevraagdmbthetprivacybeleid
12
STAP4ProtocoldatalekkenBijeendatalekgaathetomtoegangtotofvernietiging,wijzigingofvrijkomenvaanpersoonsgegevensbijeenorganisatiezonderdatditdebedoelingisvandezeorganisatie.Hetisverstandigomeendatalekprotocoltemaken.Daarinstaatvermeldhoetehandelenalseendatalekwordtgeconstateerd.Datalekkenmoetenalleengemeldwordenbijernstigenadeligegevolgenofeenrisicodaarop.Ermoetweleendatalekregisterkomenmet:• Feitenengegevensoverdeaardvanhetdatalek• Categoerieënvandegetroffenbetrokkenen• Gevolgenenmaatregelenvanhetdatalek• OfdatalekisgemeldbijAP/betrokkenen
13
STAP5
BeveiligingPersoonsgegevensmogennietzomaaropstraatkomenteliggen.Jemoetpassendetechnologischeenorganisatorischemaatregelennemenomdepersoonsgegevenstebeveiligen.Dusmodernetechniekengebruikenendeorganisatieerbewustvanmakenvanmogelijkedatalekkenenprivacyrisico’s.BewustwordingOrganiseerbijv.eenbijeenkomstwaarindewerknemerswordengeïnformeerdoverwatprivacyinhoudtenwatdeAVGinhoudt.
14
STAP6InformeerdewerknemersNualleverwerkingenvanpersoonsgegevensinkaartzijngebracht,ennietmeerteveeloftelangwordtverwerkt,ishetzaakdewerknemersteinformeren.Laatdewerknemersweten:• Welkegegevensvanzewordenverwerkt.Denkaangegevensinhetdossier,bij
ziekte,videobeelden,trackandtrace,etc.;• Metwelkdoelengrondslagwordtverwerkt;• Hoelangdegegevensbewaardworden;• Aanwiewordendiegegevensverstrekt.Denkaandearbodienst,loonburoof
klanten;• Welkerechtenhebbenze.Laatexpliciettekenenvoorverwerkingenwaartoestemmingonvermijdelijkvoornodigis.Deeenmaligeinformatiekannuperbriefwordengegevenendaarnaverwerktineenreglementofhandboek.
15
STAP7
Functionarisgegevensbescherming(FG)Hetisverplichtalsje:• Eenoverheidsinstantiebentofeenpublieketaakhebt;• Alskerntaakopgroteschaalpersonenregelmatigenstelselmatigobserveertof;• Opgroteschaalbijzonderepersoonsgegevensverwerkt.
• EenFGmoetwordenaangemeldbijdeAPenopgenomeninhetregister,ookbijvrijwilligeaanstelling.
• Gebruikdaaromeenanderetitelvoordeinterneverantwoordelijkevoorprivacy.
16
STAP8
Gegevensbeschermingseffectbeoordeling(DPIA)EengegevensbeschermingseffectbeoordelingofDataProtectionImpactAssessment(DPIA)iseentoetsvoorrisico’sbijverwerking.Hetisaltijdverplichtalsje:• Systematischenuitgebreidpersoonlijkeaspectenvanpersonenbeoordeelt,op
grondwaarvanbesluitenwordengenomenenwaaraanvoordepersoonrechtsgevolgenzijnverbonden.Bijv.Profilering,eenbedrijfdatbezoekersopzijnwebsitevolgtenopbasisdaarvanprofielenvandezemensenopstelt,eenbedrijfdatDNAtestenaanconsumentenlevertomgezondheidsrisico’stetesten;
• Opgroteschaalbijzonderepersoonsgegevensverwerkt;• Opgroteschaalenstelselmatigmensenvolgtinopenbareruimte(bijvaande
handvancameratoezicht).
17
STAP9VerwerkersovereenkomstenaanpassenAlsjepersoonsgegevensdooranderenlaatverwerken,danmoetjemetdieverwerkerseenverwerkersovereenkomstsluiten.DoordieovereenkomstmoetnakomingvandeAVGgegarandeerdworden.Watstaaterin?• Algemenebeschrijvingverwerkingen;• Verwerkinguitsluitendobvschriftelijkeinstructies;• Geheimhoudingsplicht;• Beveiliging;• Alleensubverwerkingmettoestemming• Bijstandbijvervullenrechtenvanbetrokkenen;• BijstandbijvervullenplichtenogvAVG;• Gegevensverwijderennaeindeovereenkomst;• Audits.
18
CONTROLEENBOETES
AutoriteitPersoonsgegevensDeAutoriteitPersoonsgegevenscontroleertinNederlandofdeAVGnietwordtoverschreven.DeAPkanmaximaleboetesopleggenvanEUR20miljoenof4%vandeomzet.RecentisdoordeTweedeKamerdeNederlandseUitvoeringswetaangenomen.Specifiekeregelsvoorhetarbeidsrechtzijnnietafgesproken.WeldatdeAPheteerstejaarvooralpraktischeinformatieverschaftoverdeAVGaanhetMKB.
19
COOKIESOPHETPLAATSENVANCOOKIESISOOKVANAF25MEI2018DEAVGVANTOEPASSING.Cookie-popupsencookiewallzijniniedergevalnietmeertoegestaan.Soortencookies:• Functionelecookies.Ditzijncookiesdienodigzijnvoorhetfunctionerenvanjewebsite.Deze
kunnenzondertoestemmingvandebezoekergeplaatstworden.• Analyticscookies.Wordengebruiktomstatistiekenoverjewebsiteteverzamelen.Kanzonder
toestemming,tenzijdegebruikersgegevensverzameldwordenendeinformatiegeheimblijft.• Marketingcookies.Wordengeplaatstombezoekerstevolgeneninfoovereenwebsitegedrag
teverzamelen.Ditkanzonderexplicietetoestemmingnietmeer.Indienjedezecookieswelwensttegebruikenishetverstandigeencookiebeleidenverklaringoptestellen.HetbestisomgespecialiseerdepartijenzoalsCookieinfo.nettebenaderenomAVGbestendigcookiestekunnengebruiken.
20
WELKEVERANDERINGENKOMENERAAN
DEBELANGRIJKSTEVERANDERINGENINHETGEBRUIKVANCOOKIESZIJN:
• Hetverkrijgenvantoestemming(consent)voordatdecookiesgeplaatstworden;• De‘keuzevakjes’voorsoortencookiesmogennietvoorafzijnaangevinkt;• Dewebsitemoettoegankelijkzijngedurendedetoestemmingkeuze;• Datdetoestemmingnetzomakkelijkaangepastofverwijderdkanwordenals
datdezegemaaktis;• Hetregistrerenvandegemaaktetoestemmingineenlog.
21
INEENNOTENDOP
22