Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Digitale privacy zo voorkomt u een miljoenenboete

842 views

Published on

Het vinden van een balans tussen persoonsgegevensgebruik en het respecteren van privacy-wetgeving is één van de grotere uitdagingen in dit digitale tijdperk. Met de Algemene Verordening Gegevensbescherming (AVG) handhaaft de Europese Commissie de grenzen. En streng ook; overtreding kan leiden tot een administratieve boete van maar liefst 20 miljoen euro.

Published in: Marketing
  • Be the first to comment

  • Be the first to like this

Digitale privacy zo voorkomt u een miljoenenboete

  1. 1. Digitale Privacy: zó voorkomt u een miljoenenboete 5 oktober 2017 Michelle Wijnant ICTRecht
  2. 2. PROGRAMMA • Ontwikkeling privacywetgeving • Persoonsgegevens/bijzondere persoonsgegevens • Partijen & rolverdeling • AVG-Checklist: Wat te doen? • Vragen? 14.30-15.30
  3. 3. ONTWIKKELING PRIVACYWETGEVING
  4. 4. PERSOONSGEGEVENS • Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. • Direct herleidbaar; • Indirect herleidbaar; • Mogelijkheid tot herleiding. • Persoonsgegevens & hosting: (gehashte) IP-adressen, Whois, cookies, webformulieren etc.
  5. 5. BIJZONDERE PERSOONSGEGEVENS • Godsdienst/levensovertuiging • Ras • Politieke gezindheid • seksuele leven • lidmaatschap van een vakvereniging • strafrechtelijke gegevens • Genetische gegevens • Biometrische gegevens • Gezondheid (zowel fysiek als geestelijk)
  6. 6. PARTIJEN & ROLVERDELING Verwerkt uitsluitend in opdracht van Doel en de middelen Betrokkene Verwerker Verwerkings- verantwoordelijke
  7. 7. CHECKLIST: WAT TE DOEN? 1. Verwerkersovereenkomsten sluiten; 2. Beginselen inzake gegevensverwerking opvolgen; 3. Informatieplicht; 4. Rechten van betrokkenen; 5. Privacy by design & privacy by default; 6. PIA; 7. Instellen van een FG; 8. Registerplicht; 9. Passende beveiligingsmaatregelen nemen; 10. Meldplicht datalekken.
  8. 8. 1) VERWERKERSOVEREENKOMST • Vastleggen onderlinge rolverdeling; • Inschakelen van derden (sub-verwerkers); • Verwerken binnen/buiten EU; • Beveiligingsmaatregelen; • Geheimhouding; • Verzoeken betrokkenen; • Meldplicht datalekken; • Audits; • (Aansprakelijkheid).
  9. 9. 2) BEGINSELEN INZAKE GEGEVENSVERWERKING • Rechtmatig, behoorlijk en transparant; • Doelbinding/doelbeperking; • Dataminimalisatie; • Accuraat en relevant; • Niet langer dan nodig bewaren; • Afdoende beveiligd; • Verwerkingsverantwoordelijke draagt verantwoordelijkheid voor bovenstaande.
  10. 10. 3) INFORMATIEPLICHT • Toegankelijk & zichtbaar; • Helder & begrijpelijk; • Identiteit en Contactgegevens; • Verzameling en Gebruik; • Doeleinde; • Bewaartermijnen; • Beveiliging; • Verstrekking aan derden; • Rechten van de betrokkene; • (voorafgaand aan toestemming).
  11. 11. 4) RECHTEN VAN BETROKKENEN • Recht op inzage; • Recht op rectificatie; • Recht op wissing; • Recht op beperking; • Recht om vergeten te worden; • Recht op dataportabiliteit; • Recht op bezwaar; • Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (waaronder profilering).
  12. 12. 5) PRIVACY BY DESIGN • Privacy vanaf de ontwikkeling; • technische aspecten; • organisatorische aspecten. • Voorbeeld: PET Technologies, Standaarden en pseudonimisering.
  13. 13. 5) PRIVACY BY DEFAULT • Standaard instellingen van een programma, website, dienst of apparaat; • Relevantie; • Noodzakelijk; • Wissen a.s.a.p.; • Standaard instelling: zo beperkt mogelijk; • Voorbeeld: beheer door betrokkene.
  14. 14. 6) PRIVACY IMPACT ASSESSMENT (PIA) Wie? • Verantwoordelijke Wat? • Voorafgaand onderzoek privacy- effecten nieuw Project Waarnaar? • Welke persoonsgegevens, Doel, Noodzakelijk, Beveiliging, Doorgeven van gegevens; • Doel: privacy-vriendelijk maken. Wanneer? • (waarschijnlijke) Risico’s privacy betrokkenen; • Automatisch beoordelen; • Gevoelige gegevens; • Openbare ruimten monitoren; • Grote schaal combineren (Big Data).
  15. 15. 7) FUNCTIONARIS GEGEVENSBESCHERMING (FG) Wanneer? • Overheidsinstanties; • Publieke taken; • Observeren; • Grote schaal bijzondere persoonsgegevens; • Twijfel? Onderbouwing. Taken? • Vraagbaak, adviseren, Toezien op naleving AVG, PIA, registerplicht, datalekken, verwerkersovereenkomst. wie? • Interne bedrijfsregels + procedures; • Integer + zeer professioneel; • Direct rapporteren directie; • Geheimhouding.
  16. 16. 8) REGISTERPLICHT Register verwerker: • Naam + contactgegevens; • Categorieën verwerkingen; • Doorgifte naar landen buiten de EU; • Beveiligingsmaatregelen. Register verantwoordelijke: + doeleinden, categorieën gegevens & betrokkenen, ontvangers en bewaartermijnen.
  17. 17. 9) BEVEILIGING Passende technische en organisatorische maatregelen • Afhankelijk van: • Gevoeligheid + hoeveelheid persoonsgegevens; • Kosten; • Stand van de techniek. • Passend, zoals • Pseudonimisering en encryptie; • Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen; • Adequaat en tijdig kunnen reageren op incidenten; • Regelmatig testen, evalueren en bijschaven
  18. 18. 10) MELDPLICHT DATALEKKEN Beveiligingslek • inbreuk op de beveiliging, bijvoorbeeld via: • Hacking; • Ransomware; • ‘verkeerde’ e-mails; • Brand datacenter; • Verlies wachtwoorden. Datalek • wanneer bij een beveiligingslek persoonsgegevens: • verloren zijn gegaan; • als er een aanzienlijke kans is dat ze verloren zijn gegaan; • of als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet is uit te sluiten. registerplicht
  19. 19. 10) MELDPLICHT DATALEKKEN Verwerker: • Onverwijld melden aan verantwoordelijke volgens afspraken verwerkersovereenkomst. Verantwoordelijke: • Onverwijld melden aan Autoriteit Persoonsgegevens uiterlijk binnen 72 uur na ontdekking lek. • Afhankelijk van het lek: melden aan betrokkenen.
  20. 20. MILJOENENBOETES….. • Schriftelijke waarschuwing • Regelmatige audits • Boetes tot het maximum van • € 20.000.000 • 4% van wereldwijde jaaromzet
  21. 21. DANK U WEL! M.WIJNANT@ICTRECHT.NL / 020 – 663 1941

×