Weergave van de presentatie van RAADHUIS Creative Agency zoals gegeven tijdens het seminar 'AVG - Is jouw organisatie al AVG Proof?' op 11 januari 2018 bij Rensen Advocaten.
Door: Danny de Boer en Jorgen Holzmann
11. Huidige situatie
wat doen we al bij RAADHUIS?
● Cookie-kennisgeving
● Verwerkersovereenkomst derde partijen
(Google Analytics, Mailchimp et cetera)
● Opt-in verplichting e-mailmarketing
● Geen opslag gegevens op fileserver
● Privacybeleid op de site
Hosting
● TLS (SSL)
● Automatische backups
● Gegevens versleuteld bewaard
● Auto scaling/failover
● DNSSEC
● Mail: SPF/ DKIM
14. Wat doe jij al in je organisatie?
Organisatorisch
● Is er iemand verantwoordelijk voor de privacy? (privacy officer)
● Is er een privacy beleid?
Technisch
● Is alle software up-to-date?
● Is er een beleid op omtrent beveiliging en kent iedereen binnen je
organisatie dit?
● Is er een geheimhoudingsovereenkomst?
● Is er een procedure voor de omgang met incidenten?
16. 8 rechten
● Recht op informatie
● Recht van inzage
● Recht op rectificatie
● Recht op gegevens uitwissing / vergetelheid
● Recht op beperking van de verwerking
● Recht op dataportabiliteit
● Recht van bezwaar
● Recht niet te worden onderworpen aan geautomatiseerde individuele
besluitvorming / profiling
17. Recht op informatie
Cookies en Privacy statement
● informatie over de periode,
● de rechten van betrokkene,
● de bron van gegevens
● de juridische grondslag voor de verwerking
23. Recht op beperking
van de verwerking
Betrokkene heeft het recht om te vragen om een beperking van de verwerking van zijn/of haar
gegevens door bv. onjuistheid van gegevens.
24. Recht van bezwaar
● Tegen verwerking
● Verwerking direct staken
Nodig:
Privacy Officer / contactmogelijkheid
25. Life-cycle marketing
Eerste twee maanden:
● 50 mails winkel en gelieerde
ondernemingen o.a:
● 2 mails van Nutricia,
● 1 van Pampers
● 19 van Prénatal
● 27 van WIJ
- WIJ foto’s,
- WIJ vakantie,
- WIJ babywinkel,
- WIJ voordeelclub
26. Recht niet te worden onderworpen
aan geautomatiseerde individuele
besluitvorming / profiling
● Automatische kredietaanvraag afhandeling
● Sollicitatieprocedure zonder menselijke tussenkomst
● Combineren van gegevens
● Chain of responsibility
28. Meldplicht Datalek
Mocht het gebeuren dat een website of account met toegang tot persoonsgegevens
gehackt wordt dan bestaat er een meldplicht: binnen 72 uur moet er melding gemaakt
worden aan de Autoriteit Persoonsgegevens.
Voorbeeld Uber:
“The only way one can have direct liability under security breach notification statutes is to
not give notice. Thus, it makes little sense to cover up a breach.”
30. Privacy by default
● Betrokkene is standaard beschermt tegen privacy
risico’s
● Minimaliseer aantal data ‘touchpoints’:
- aantal (verplichte) velden in formulier
- grondslag informatiewinning op orde
● Delen met derden niet zonder toestemming
33. Werk aan de winkel
In 8 stappen AVG proof
1. Breng de gegevensverwerkingen in kaart
2. Bepaal of er een rechtmatige grondslag van je gegevensverwerkingen is
3. Zorg ervoor dat de rechten van betrokkenen zijn gewaarborgd
4. Houd rekening met Privacy by Design en Privacy by Default
5. Zorg voor passende technische en organisatorische beveiligingsmaatregelen
6. Stel indien nodig een Privacy officer aan
7. Controleer en sluit verwerkersovereenkomsten
8. Wees op de hoogte van de Meldplicht Datalekken
34. AVG op maat
Workshop
● Organisatie onder de loep
● Roadmap (to-do per ‘recht’ binnen de AVG)
● ...
Dit alles in een workshop van 4 uur.
Eindresultaat: rapport met hands-on acties en aanbevelingen.
Gebruikers moeten op de hoogte worden gesteld van het feit dat verwerking van hun persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn. De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt. In de regel wordt dit soort informatie in een privacybeleid vastgelegd.
Gebruikers moeten op de hoogte worden gesteld van het feit dat verwerking van hun persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn. De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt. In de regel wordt dit soort informatie in een privacybeleid vastgelegd.
Gebruikers hebben het recht te weten of hun betreffende persoonsgegevens worden verwerkt. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Je moet als aanbieder van een app, software of website de gebruikers en bezoekers een kopie kunnen verstrekken van de persoonsgegevens die worden verwerkt.
Rectificatie
Gebruikers hebben het recht op rectificatie van persoonsgegevens die onjuist zijn. De rectificatie moet meteen plaatsvinden. Je bent als aanbieder van software, app of website verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt op de hoogte te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.
Je bent als aanbieder verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, de gebruiker zijn toestemming intrekt, bezwaar maakt óf indien zijn persoonsgegevens onrechtmatig verwerkt zijn.
Dit recht houdt in dat je gebruikers van je software of app hun persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm moet kunnen aanbieden. Dit zodat zij deze gegevens bij een andere aanbieder kunnen (laten) onderbrengen. Het idee hierachter is dat een zogenaamde vendor lock-in wordt voorkomen.
Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door jou als aanbieder duidelijk in je database zijn aangegeven, zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de gebruiker hiervan op de hoogte worden gebracht.
Volgens dit recht kan een gebruiker vanwege redenen die verband houden met zijn specifieke situatie bezwaar maken tegen de verwerking van hem betreffende persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen. Als een gebruiker bezwaar maakt moet je als aanbieder van je app of software in beginsel de verwerking staken, tenzij dwingende gerechtvaardigde gronden anders bepalen.
Volgens dit recht kan een gebruiker vanwege redenen die verband houden met zijn specifieke situatie bezwaar maken tegen de verwerking van hem betreffende persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen. Als een gebruiker bezwaar maakt moet je als aanbieder van je app of software in beginsel de verwerking staken, tenzij dwingende gerechtvaardigde gronden anders bepalen.
Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. De geautomatiseerde besluitvorming is wél toegestaan als deze berust op uitdrukkelijke toestemming van je gebruiker, een overeenkomst of een andere wettelijke bepaling.
Mocht het gebeuren dat een website of Mailchimp account gehackt wordt dan bestaat er een meldplicht: binnen 72 uur moet er melding gemaakt worden aan de Autoriteit Persoonsgegevens.