SlideShare a Scribd company logo

Privacy

Holla Advocaten
Holla Advocaten

Presentatie subsessie Privacyrecht: de uitwisseling van gegevens in het publieke domein.

Law
1 of 27
Download to read offline
Business Ethics & Legal De uitwisseling van gegevens in het publieke domein en de impact van de AVG en UAVG na 25 mei 2018 in algemene zin Kim de Bonth 21 juni 2018
Programma • Inleiding • Stand van zaken • Zwarte lijsten • Toestemming • Uitwisselen van gegevens (verwerkersovereenkomsten) • Conclusie
Inleiding • Voor 25 mei 2018: de AVG leek wel de nieuwe millenniumbug • Recent: onrust bij Autoriteit Persoonsgegevens • Handhaving nu nog tijdelijk soepel?
Stand van zaken (i) • Sinds 25 mei 2018: AVG • Sinds 25 mei 2018 ook: UAVG • Wbp weer terug voor zover het gaat om bijzondere persoonsgegevens • BSN houdt speciale status • Speciale uitzondering voor biometrische gegevens: verwerking is toegestaan voor authenticatie of beveiligingsdoeleinden
Stand van zaken (ii) • AVG (zeker samen met UAVG) wijkt minder af van Wbp dan vaak gedacht • Wat is gebleven: • Proportionaliteit (staat doel verwerking in verhouding tot inbreuk op privacy; incl. bewaartermijn) • Subsidiariteit (kan het doel niet op een andere wijze worden bereikt?)
Stand van zaken (iii) • Doelbinding • persoonsgegevens alleen verzamelen voor uitdrukkelijk bepaald doel • niet méér gegevens verzamelen dan nodig voor doel • gegevens alleen verder gebruiken voor niet- onverenigbaar doel • Op proportionaliteit, subsidiariteit en doelbinding liep het voor de gemeenten Zaanstad en Nijmegen begin dit jaar mis met de Zelfredzaamheidsmatrix (AP: “onder de AVG was dit niet anders geweest”)
Stand van zaken (iv) • Nog steeds dezelfde 6 grondslagen voor verwerking: • Toestemming • Uitvoering overeenkomst • Wettelijke verplichting • Vitaal belang • Uitvoeren publiekrechtelijke taak • Gerechtvaardigd belang • Bijzondere persoonsgegevens: uitgangspunt is nog steeds: verwerking is nog steeds verboden, tenzij er een wettelijke bepaling is die zegt dat het mag (naast een grondslag)
Stand van zaken (v) • Startpunt compliance AVG: • Registers van verwerkingen (als verantwoordelijke en als verwerker) • Moet er een FG worden benoemd? Vastleggen en verantwoorden • Privacy statements updaten, inclusief inregelen rechten van betrokkenen (inzage, correctie) • Verwerkersovereenkomsten sluiten • PIA’s uitvoeren
Stand van zaken (vi) • In 2019: e-Privacy Verordening (spam en cookies) • Nog geen definitieve tekst • Ook een verordening, geen richtlijn • Versimpeling cookieregels: • Geen toestemming nodig voor privacy-vriendelijke cookies, zoals analytische cookies die aantal bezoekers bijhouden • Toestemming voor andere cookies via browserinstellingen • Geïnformeerde toestemming voor tracking cookies
Zwarte lijsten (i) • Vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag, zoals fraude of huurdersoverlast • Voor intern gebruik: • Gerechtvaardigd belang: wangedrag, fraude bestrijden • Noodzakelijk: kan het niet anders? • Zwaarwegend belang: bedrijfsbelang weegt zwaarder dan privacy; letten op ernst gedraging en gevolgen aanwezigheid op lijst
Zwarte lijsten (ii) • Delen met derden: • Vergunning nodig van de AP (vergunning van vóór 25 mei wordt automatisch omgezet in AVG-vergunning) • Checklist zwarte lijst van AP, o.a: • doel van de lijst • criteria (welke gedragingen) • hoe essentieel is voorziening voor betrokkene • waarborgen tegen overmatige verzameling gegevens • hoe wordt betrokkene geïnformeerd • wanneer wordt betrokkene verwijderd • periodieke evaluatie/audit na 5 jaar
Zwarte lijsten (iii) • Lijst komt in openbaar register • Goedgekeurde modelprotocollen voor detailhandel en horeca: verkorte procedure om deel te nemen aan lijsten • Aansluiten bij goegekeurde lijsten is mogelijk
Zwarte lijsten (iv) • Rechten van betrokkenen gelden ook bij zwarte lijsten • Informeren over aanwezigheid op zwarte lijst, tenzij betrokkene al weet dat organisatie gegevens verwerkt of indien noodzakelijk voor opsporing • Inzage/correctie-rechten • Opnemen in privacy statement
Zwarte lijsten (v) • Let op: sinds de AVG moet er een PIA worden uitgevoerd voordat een zwarte lijst wordt gebruikt (recente publicatie lijst met verplichte PIA’s van AP)
Toestemming (i) • Toestemming is één van de 6 AVG- grondslagen voor verwerking • Toestemming is vaak de meest lastige grondslag • In het social domein of andere afhankelijkheidsrelaties (werknemers!) werkt toestemming meestal niet als grondslag (“onvrij”) • Toestemming kan worden ingetrokken
Toestemming (ii) • Rapport AP 2016: rol van toestemming in het sociaal domein • Gemeenten vermijden ten onrechte vraag of er een grondslag is door toestemming te vragen • Taken gemeenten in Jeugdwet, Wmo 2015, Participatiewet, Wet gemeentelijke schulhulpverlening, wet passend onderwijs • Geen overkoepelende wettelijke regeling voor integrale aanpak van problemen
Toestemming (iii) • Andere grondslagen in het sociaal domein: • Nakoming wettelijke verplichting; o.a. dossierplicht Jeugdwet • Uitvoering publiekrechtelijke taak; o.a. in kader van beslissing aanvraag maatwerkvoorziening • Uitvoeren overeenkomst; o.a. bij vrijwillige hulpverlening; geneeskundige behandelingsovereenkomst • Vrijwaring vitaal belang betrokkene; o.a. bij onvrijwillige hulpverlening: zeer beperkt uitleggen
Toestemming (iv) • Beroepsgeheim: moet ook doorbroken kunnen worden (niet automatisch als er een grondslag is) • Integrale aanpak: vaak resteert toch echt alleen toestemming • Wees dan transparent: leg in beleid de grondslagen vast, motiveer waarom toestemming resteert, informeer betrokkenen uitgebreid en in begrijpelijke taal
Toestemming (v) • Géén impliciete toestemming (“ik ben er mee bekend dat mijn persoonsgegevens worden gebruikt” / “als u het aanvraagformulier ondertekent, verleent u toestemming voor verwerken persoonsgegevens”) • Gebruik modelformulier verlenen toestemming Autoriteit Persoonsgegevens (bij rapport uit 2016)
Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (i) • Er worden véél “verwerkers- overeenkomsten” ten onrechte gesloten • Verwerker: daaraan worden bedrijfsprocessen uitbesteed; verantwoordelijke heeft instructie-recht • IT-diensten in de cloud • Externe salarisadministratie • Verantwoordelijke bepaalt het doel en de middelen van de verwerking (waarom en hoe)
Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (ii) • Inhoud verwerkersovereenkomst: voor een deel vastgesteld door AVG, maar ruimte voor onderhandeling, o.a. over aansprakelijkheid • Branchemodellen staan vaak lijnrecht tegenover elkaar • Kan ook in de vorm van “algemene voorwaarden” (vb Google Analytics, Microsoft)
Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (iii) • Onderscheid tussen verantwoordelijke en verwerker is vaak lastig te maken • Vaak is er sprake van “doorgifte”: de ontvangende partij verwerkt voor eigen doelen • Leasemaatschappij of pensioenfonds krijgt gegevens van werknemers, onderhoudsbedrijf krijgt adressen van een woningcorporatie • Postie van een Arbo-dienst?
Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (iv) • Doorgifte: de dienstverlening ziet primair op iets anders dan de verwerking van persoonsgegevens • Bij doorgifte géén verwerkersovereenkomst sluiten • Wel een overeenkomst sluiten met afspraken over beveiligde doorgifte, transparantie (wie informeert de betrokkenen, waar kunnen betrokkenen correctieverzoek indienen) én over aansprakelijkheid
Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (v) • Nog een variant: gezamenlijke verantwoordelijkheid • Bijvoorbeeld twee partijen die samen doel en middelen vaststellen, bijvoorbeeld partijen in een Zorg- en Veiligheidshuis, of camera’s op een bedrijventerrein die gezamenlijk worden gebruikt • Intensievere samenwerking dan doorgifte • AVG: “regeling” tussen partijen verplicht: convenant • NB: ook hier weer is een PIA verplicht
Conclusie • AVG brengt zeker nieuws ten opzichte van Wbp, maar m.n. door UAVG blijft ook veel hetzelfde • Zwarte lijsten: toegestaan, ook delen met derden, maar let op alle waarborgen • Toestemming: vermijden als dat kan • Verwerkersovereenkomsten: niet klakkeloos ondertekenen/aanbieden, soms is er een andere relatie
Vragen? Kim de Bonth Tel: 088 – 440 23 47 Mail: k.debonth@holla.nl
Ons team is aanwezig bij de borrel!

Recommended

Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Sirius legal
Sirius legalSirius legal
Sirius legalWebshopVakbeurs
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 

Recommended

Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Sirius legal
Sirius legalSirius legal
Sirius legalWebshopVakbeurs
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018VNG Realisatie
 
Presentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesPresentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesKING
 
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...Bart Van Den Brande
 
Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018 Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018 01Ram
 
Imbor bij gemeente amsterdam
Imbor bij gemeente amsterdamImbor bij gemeente amsterdam
Imbor bij gemeente amsterdamKING
 
Doe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVGDoe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVGKING
 
Schrems II, wat nu?
Schrems II, wat nu?Schrems II, wat nu?
Schrems II, wat nu?Bart Van Den Brande
 
GGI werksessie oktober en november
GGI werksessie oktober en novemberGGI werksessie oktober en november
GGI werksessie oktober en novemberKING
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
Workshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter RambagsWorkshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter Rambags01Ram
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Ronde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstRonde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstCongrestival
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
1704 gibit doe dag
1704 gibit doe dag1704 gibit doe dag
1704 gibit doe dagKING
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KINGKING
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag ZwolleKING
 

More Related Content

What's hot

De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018VNG Realisatie
 
Presentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesPresentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesKING
 
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...Bart Van Den Brande
 
Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018 Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018 01Ram
 
Imbor bij gemeente amsterdam
Imbor bij gemeente amsterdamImbor bij gemeente amsterdam
Imbor bij gemeente amsterdamKING
 
Doe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVGDoe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVGKING
 
GGI werksessie oktober en november
GGI werksessie oktober en novemberGGI werksessie oktober en november
GGI werksessie oktober en novemberKING
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
Workshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter RambagsWorkshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter Rambags01Ram
 

What's hot (15)

De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatie
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
 
Presentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesPresentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistraties
 
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
Sirius Legal presentatie voor Voka: 10 praktische tips om correct om te gaan ...
 
Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018 Kennisfestival 2018 blockchain workshop augustus 2018
Kennisfestival 2018 blockchain workshop augustus 2018
 
Imbor bij gemeente amsterdam
Imbor bij gemeente amsterdamImbor bij gemeente amsterdam
Imbor bij gemeente amsterdam
 
Doe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVGDoe dagen najaar 2017 AVG
Doe dagen najaar 2017 AVG
 
Schrems II, wat nu?
Schrems II, wat nu?Schrems II, wat nu?
Schrems II, wat nu?
 
GGI werksessie oktober en november
GGI werksessie oktober en novemberGGI werksessie oktober en november
GGI werksessie oktober en november
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten
 
Workshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter RambagsWorkshop blockchaintechnologie - door Peter Rambags
Workshop blockchaintechnologie - door Peter Rambags
 

Similar to Privacy

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Ronde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstRonde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstCongrestival
 
1704 gibit doe dag
1704 gibit doe dag1704 gibit doe dag
1704 gibit doe dagKING
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KINGKING
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag ZwolleKING
 
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...KING
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart KING
 
20170630 Leveranciersdag
20170630 Leveranciersdag 20170630 Leveranciersdag
20170630 Leveranciersdag KING
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de PraktijkBartLieben
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
Silo 61 ronde 2 Gibit congres da2020
Silo 61 ronde 2 Gibit congres da2020Silo 61 ronde 2 Gibit congres da2020
Silo 61 ronde 2 Gibit congres da2020CongresDA2020
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMZinnovation
 
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersOlivier Oosterbaan
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 

Similar to Privacy (20)

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
Ronde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstRonde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomst
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
1704 gibit doe dag
1704 gibit doe dag1704 gibit doe dag
1704 gibit doe dag
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KING
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag Zwolle
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
 
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...
Werkconferentie 3D: Nut en noodzaak van zaakgericht werken in de keten van he...
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboete
 
Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
 
20170630 Leveranciersdag
20170630 Leveranciersdag 20170630 Leveranciersdag
20170630 Leveranciersdag
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de Praktijk
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
Update Wet DBA
Update Wet DBA Update Wet DBA
Update Wet DBA
 
Silo 61 ronde 2 Gibit congres da2020
Silo 61 ronde 2 Gibit congres da2020Silo 61 ronde 2 Gibit congres da2020
Silo 61 ronde 2 Gibit congres da2020
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRM
 
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishers
 
Bigdata
BigdataBigdata
Bigdata
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 

More from Holla Advocaten

Goed bestuur en goed toezicht
Goed bestuur en goed toezichtGoed bestuur en goed toezicht
Goed bestuur en goed toezichtHolla Advocaten
 
Ethische dilemma's bij distributievormen
Ethische dilemma's bij distributievormenEthische dilemma's bij distributievormen
Ethische dilemma's bij distributievormenHolla Advocaten
 

More from Holla Advocaten (6)

#Metoo
#Metoo#Metoo
#Metoo
 
Klimaatshoppen
KlimaatshoppenKlimaatshoppen
Klimaatshoppen
 
IP rechten
IP rechtenIP rechten
IP rechten
 
Goed bestuur en goed toezicht
Goed bestuur en goed toezichtGoed bestuur en goed toezicht
Goed bestuur en goed toezicht
 
Ethische dilemma's bij distributievormen
Ethische dilemma's bij distributievormenEthische dilemma's bij distributievormen
Ethische dilemma's bij distributievormen
 
Duurzaam aanbesteden
Duurzaam aanbestedenDuurzaam aanbesteden
Duurzaam aanbesteden
 

Privacy

  • 1. Business Ethics & Legal De uitwisseling van gegevens in het publieke domein en de impact van de AVG en UAVG na 25 mei 2018 in algemene zin Kim de Bonth 21 juni 2018
  • 2. Programma • Inleiding • Stand van zaken • Zwarte lijsten • Toestemming • Uitwisselen van gegevens (verwerkersovereenkomsten) • Conclusie
  • 3. Inleiding • Voor 25 mei 2018: de AVG leek wel de nieuwe millenniumbug • Recent: onrust bij Autoriteit Persoonsgegevens • Handhaving nu nog tijdelijk soepel?
  • 4. Stand van zaken (i) • Sinds 25 mei 2018: AVG • Sinds 25 mei 2018 ook: UAVG • Wbp weer terug voor zover het gaat om bijzondere persoonsgegevens • BSN houdt speciale status • Speciale uitzondering voor biometrische gegevens: verwerking is toegestaan voor authenticatie of beveiligingsdoeleinden
  • 5. Stand van zaken (ii) • AVG (zeker samen met UAVG) wijkt minder af van Wbp dan vaak gedacht • Wat is gebleven: • Proportionaliteit (staat doel verwerking in verhouding tot inbreuk op privacy; incl. bewaartermijn) • Subsidiariteit (kan het doel niet op een andere wijze worden bereikt?)
  • 6. Stand van zaken (iii) • Doelbinding • persoonsgegevens alleen verzamelen voor uitdrukkelijk bepaald doel • niet méér gegevens verzamelen dan nodig voor doel • gegevens alleen verder gebruiken voor niet- onverenigbaar doel • Op proportionaliteit, subsidiariteit en doelbinding liep het voor de gemeenten Zaanstad en Nijmegen begin dit jaar mis met de Zelfredzaamheidsmatrix (AP: “onder de AVG was dit niet anders geweest”)
  • 7. Stand van zaken (iv) • Nog steeds dezelfde 6 grondslagen voor verwerking: • Toestemming • Uitvoering overeenkomst • Wettelijke verplichting • Vitaal belang • Uitvoeren publiekrechtelijke taak • Gerechtvaardigd belang • Bijzondere persoonsgegevens: uitgangspunt is nog steeds: verwerking is nog steeds verboden, tenzij er een wettelijke bepaling is die zegt dat het mag (naast een grondslag)
  • 8. Stand van zaken (v) • Startpunt compliance AVG: • Registers van verwerkingen (als verantwoordelijke en als verwerker) • Moet er een FG worden benoemd? Vastleggen en verantwoorden • Privacy statements updaten, inclusief inregelen rechten van betrokkenen (inzage, correctie) • Verwerkersovereenkomsten sluiten • PIA’s uitvoeren
  • 9. Stand van zaken (vi) • In 2019: e-Privacy Verordening (spam en cookies) • Nog geen definitieve tekst • Ook een verordening, geen richtlijn • Versimpeling cookieregels: • Geen toestemming nodig voor privacy-vriendelijke cookies, zoals analytische cookies die aantal bezoekers bijhouden • Toestemming voor andere cookies via browserinstellingen • Geïnformeerde toestemming voor tracking cookies
  • 10. Zwarte lijsten (i) • Vaak strafrechtelijke gegevens of gegevens over ongewenst gedrag, zoals fraude of huurdersoverlast • Voor intern gebruik: • Gerechtvaardigd belang: wangedrag, fraude bestrijden • Noodzakelijk: kan het niet anders? • Zwaarwegend belang: bedrijfsbelang weegt zwaarder dan privacy; letten op ernst gedraging en gevolgen aanwezigheid op lijst
  • 11. Zwarte lijsten (ii) • Delen met derden: • Vergunning nodig van de AP (vergunning van vóór 25 mei wordt automatisch omgezet in AVG-vergunning) • Checklist zwarte lijst van AP, o.a: • doel van de lijst • criteria (welke gedragingen) • hoe essentieel is voorziening voor betrokkene • waarborgen tegen overmatige verzameling gegevens • hoe wordt betrokkene geïnformeerd • wanneer wordt betrokkene verwijderd • periodieke evaluatie/audit na 5 jaar
  • 12. Zwarte lijsten (iii) • Lijst komt in openbaar register • Goedgekeurde modelprotocollen voor detailhandel en horeca: verkorte procedure om deel te nemen aan lijsten • Aansluiten bij goegekeurde lijsten is mogelijk
  • 13. Zwarte lijsten (iv) • Rechten van betrokkenen gelden ook bij zwarte lijsten • Informeren over aanwezigheid op zwarte lijst, tenzij betrokkene al weet dat organisatie gegevens verwerkt of indien noodzakelijk voor opsporing • Inzage/correctie-rechten • Opnemen in privacy statement
  • 14. Zwarte lijsten (v) • Let op: sinds de AVG moet er een PIA worden uitgevoerd voordat een zwarte lijst wordt gebruikt (recente publicatie lijst met verplichte PIA’s van AP)
  • 15. Toestemming (i) • Toestemming is één van de 6 AVG- grondslagen voor verwerking • Toestemming is vaak de meest lastige grondslag • In het social domein of andere afhankelijkheidsrelaties (werknemers!) werkt toestemming meestal niet als grondslag (“onvrij”) • Toestemming kan worden ingetrokken
  • 16. Toestemming (ii) • Rapport AP 2016: rol van toestemming in het sociaal domein • Gemeenten vermijden ten onrechte vraag of er een grondslag is door toestemming te vragen • Taken gemeenten in Jeugdwet, Wmo 2015, Participatiewet, Wet gemeentelijke schulhulpverlening, wet passend onderwijs • Geen overkoepelende wettelijke regeling voor integrale aanpak van problemen
  • 17. Toestemming (iii) • Andere grondslagen in het sociaal domein: • Nakoming wettelijke verplichting; o.a. dossierplicht Jeugdwet • Uitvoering publiekrechtelijke taak; o.a. in kader van beslissing aanvraag maatwerkvoorziening • Uitvoeren overeenkomst; o.a. bij vrijwillige hulpverlening; geneeskundige behandelingsovereenkomst • Vrijwaring vitaal belang betrokkene; o.a. bij onvrijwillige hulpverlening: zeer beperkt uitleggen
  • 18. Toestemming (iv) • Beroepsgeheim: moet ook doorbroken kunnen worden (niet automatisch als er een grondslag is) • Integrale aanpak: vaak resteert toch echt alleen toestemming • Wees dan transparent: leg in beleid de grondslagen vast, motiveer waarom toestemming resteert, informeer betrokkenen uitgebreid en in begrijpelijke taal
  • 19. Toestemming (v) • Géén impliciete toestemming (“ik ben er mee bekend dat mijn persoonsgegevens worden gebruikt” / “als u het aanvraagformulier ondertekent, verleent u toestemming voor verwerken persoonsgegevens”) • Gebruik modelformulier verlenen toestemming Autoriteit Persoonsgegevens (bij rapport uit 2016)
  • 20. Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (i) • Er worden véél “verwerkers- overeenkomsten” ten onrechte gesloten • Verwerker: daaraan worden bedrijfsprocessen uitbesteed; verantwoordelijke heeft instructie-recht • IT-diensten in de cloud • Externe salarisadministratie • Verantwoordelijke bepaalt het doel en de middelen van de verwerking (waarom en hoe)
  • 21. Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (ii) • Inhoud verwerkersovereenkomst: voor een deel vastgesteld door AVG, maar ruimte voor onderhandeling, o.a. over aansprakelijkheid • Branchemodellen staan vaak lijnrecht tegenover elkaar • Kan ook in de vorm van “algemene voorwaarden” (vb Google Analytics, Microsoft)
  • 22. Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (iii) • Onderscheid tussen verantwoordelijke en verwerker is vaak lastig te maken • Vaak is er sprake van “doorgifte”: de ontvangende partij verwerkt voor eigen doelen • Leasemaatschappij of pensioenfonds krijgt gegevens van werknemers, onderhoudsbedrijf krijgt adressen van een woningcorporatie • Postie van een Arbo-dienst?
  • 23. Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (iv) • Doorgifte: de dienstverlening ziet primair op iets anders dan de verwerking van persoonsgegevens • Bij doorgifte géén verwerkersovereenkomst sluiten • Wel een overeenkomst sluiten met afspraken over beveiligde doorgifte, transparantie (wie informeert de betrokkenen, waar kunnen betrokkenen correctieverzoek indienen) én over aansprakelijkheid
  • 24. Uitwisseling van gegevens: verwerkers- en andere overeenkomsten (v) • Nog een variant: gezamenlijke verantwoordelijkheid • Bijvoorbeeld twee partijen die samen doel en middelen vaststellen, bijvoorbeeld partijen in een Zorg- en Veiligheidshuis, of camera’s op een bedrijventerrein die gezamenlijk worden gebruikt • Intensievere samenwerking dan doorgifte • AVG: “regeling” tussen partijen verplicht: convenant • NB: ook hier weer is een PIA verplicht
  • 25. Conclusie • AVG brengt zeker nieuws ten opzichte van Wbp, maar m.n. door UAVG blijft ook veel hetzelfde • Zwarte lijsten: toegestaan, ook delen met derden, maar let op alle waarborgen • Toestemming: vermijden als dat kan • Verwerkersovereenkomsten: niet klakkeloos ondertekenen/aanbieden, soms is er een andere relatie
  • 26. Vragen? Kim de Bonth Tel: 088 – 440 23 47 Mail: k.debonth@holla.nl
  • 27. Ons team is aanwezig bij de borrel!