Privacy en compliance accept easy paydays
-
Upload
patrick-jordens -
Category
Presentations & Public Speaking
-
view
19 -
download
0
Transcript of Privacy en compliance accept easy paydays
AcceptEasy Paydays
“De praktijk van de nieuwe Privacy-wetgeving”
Patrick Jordens – DMCC Nederland B.V.
© 20171
• De Algemene Verordening Gegevensbescherming (AVG/GDPR) in het kort
• High lights uit het 10-stappenplan van de Autoriteit Persoonsgegevens
• Rechten van de betrokkene
• Privacy by design
DMCC Nederland B.V.DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren.
Programma van vandaag
2 www.dmcc.nl
3
Privacy Quiz
© 2017
© 20174
Impact
Privacyparadox: Hoe meer we weten hoe minder we storen.
Wanneer we kijken naar de verdeling in leeftijd is de jonge digital native tussen de 25 en 34 relatief het minst bezorgd over zijn privacy (algemeen 6,0/ online 6,6).
Privacy is niet zwart-wit
Bron: DDMA Privacy Onderzoek 2016
Awareness bij de consument / burger
Geachte heer/mevrouw,
Voor een artikel dat ik voor onze Digitaalgids schrijf, doe ik onderzoek naar het delen van contactgegevens met Facebook t.b.v. retargeting via Facebook Custom Audience.
Uw organisatie deelt of deelde contactgegevens, zoals e-mailadres of telefoonnummer, met Facebook. Wellicht gebeurde dat versleuteld/gehasht.
Wettelijk gezien is dat alleen toegestaan indien de eigenaar van dit/deze contactgegevens(s) toestemming heeft gegeven om zijn/haar gegevens met Facebook te delen.
Zie ook de toepasselijke voorwaarden van Facebook zelf:Je garandeert dat jij (of je gegevensprovider) voldoende kennis hebt gegeven aan en toestemming hebt gevraagd van de personen van wie je de gegevens codeert om hashgegevens te creëren in overeenstemming met alle geldende wetten, regelgeving en industriële richtlijnen.
Uit mijn onderzoek is niet gebleken dat uw organisatie aan haar gebruikers/klanten/leden om een dergelijke toestemming heeft gevraagd. Ik ben dan ook voornemens uw organisatie in mijn artikel op te nemen bij de partijen die zonder toestemming contactgegevens met Facebook delen.
In het kader van wederhoor stel ik u in de gelegenheid om op mijn bevindingen te reageren; als u kunt aantonen dat u wel uitdrukkelijke toestemming had, ontvang ik daarvan graag stukken waaruit dat blijkt.
Graag ontvang ik uiterlijk aanstaande maandag om 12.00 uur een reactie van u. Indien u niet reageert, ga ik ervan uit dat mijn bevindingen juist zijn.
Wettelijk kader
9
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
Stap 1: Bewustwording
Stap 2: Rechten van betrokkenen
Stap 3: Overzicht verwerkingen
Stap 4: Privacy Impact Assessment
Stap 5: Privacy by design & privacy by default
Stap 6: Functionaris voor de gegevensbescherming
Stap 7: Meldplicht datalekken
Stap 8: Bewerkersovereenkomsten
Stap 9: Leidende toezichthouder
Stap 10: Toestemming
10
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
Stap 1: Bewustwording
Stap 2: Rechten van betrokkenen
Stap 3: Overzicht verwerkingen
Stap 4: Privacy Impact Assessment
Stap 5: Privacy by design & privacy by default
Stap 6: Functionaris voor de gegevensbescherming
Stap 7: Meldplicht datalekken
Stap 8: Verwerkersovereenkomsten
Stap 9: Leidende toezichthouder
Stap 10: Toestemming
11
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
Stap 2: Rechten van Betrokkenen
Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterdeprivacy-rechten. Zorg er daarom voor dat zij hun privacy-rechten goed kunnen uitoefenen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maarhou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoorzorgen dat betrokkenen hun gegevens makkelijk kunnen verkrijgen en vervolgens kunnen doorgeven aan eenandere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP isverplicht deze klachten te behandelen.
12
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
• Recht op informatie
• Recht van inzage
• Recht op rectificatie
• Recht op gegevenswissing ("recht op vergetelheid")
• Recht op beperking van de verwerking
• Recht op overdraagbaarheid van gegevens
• Recht van bezwaar
• Recht niet te worden onderworpen aan profilering
13
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
Recht op gegevenswissing (recht op vergetelheid)
Artikel 17 van de AVG creëert een nieuw recht op vergetelheid. De betrokkene heeft het recht van deverwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens teverkrijgen en de verwerkingsverantwoordelijke is in gedefinieerde situaties verplicht persoonsgegevens zonderonredelijke vertraging te wissen.
Recht niet te worden onderworpen aan profilering
Iedereen heeft het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming.Hierbij kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediendekredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst.
14
Privacy Quiz
© 2017
15
Privacy Quiz
© 2017
16
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
Stap 5: Privacy by design & privacy by default
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design enprivacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt datpersoonsgegevens goed worden beschermd.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgendat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wiltbereiken. Bijvoorbeeld door:
• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
17
De 10 stappen van de Autoriteit Persoonsgegevens
© 2017
De Europese wetgever geeft handvatten voor de implementatie. Zo valt in artikel 25 te lezen dat de privacy by design niet alleen een IT feest is. Voor u aan de slag gaat moet u:
1. Bepalen welke persoonsgegevens noodzakelijk zijn voor de dienstverlening. U dient te waarborgen dat u niet meer gegevens vastlegt (dataminimalisatie);
2. De persoonsgegevens na een bepaalde tijd weggooien/ wissen als u ze niet meer nodig heeft (data retentie);
3. De gegevens adequaat beschermen (informatiebeveiliging).
Patrick Jordens (06-15058797)
DMCC Nederland B.V.
DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren.
18
Telefoon : 088-7779311E-mail: [email protected]: www.dmcc.nl
Voor meer Info
© 2017
Partner van :