Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.
2. 2
Onderwerpen
1. In welke wetten staan bepalingen over privacy?
2. Definities en kernbepalingen
3. Opvallende bepalingen en praktische uitwerking
4. Valkuilen en misverstanden
5. Varia
6. Hulpmiddelen
3. 3
3
Welke wetten zijn relevant?
In verschillende wetten zijn bepalingen opgenomen over
“privacy”. Het begrip privacy kan worden onderscheiden in twee
concepten:
Onderscheid:
- Omgaan met persoonsgegevens (informationele privacy) en
- omgaan met de persoonlijke levenssfeer (relationele privacy)
5. 5
Alles Verandert Gigantisch
Angstzaaien Voor Geld
of Aanpraten Van Gevaar
Afschuiven Verantwoordelijkheid Gelukt
Afvinken Verplichtingen Gedaan
Alleen Voor Gevorderden
Waar staat AVG voor?
6. 6
Op Europees niveau geldt vanaf 25 mei 2018 de AVG.
In de Nederlandse Uitvoeringswet AVG worden afwijkingen en
uitzonderingen gegeven op de AVG
(uitgangspunt: beleidsneutrale implementatie AVG t.o.v. Wbp).
Daarnaast zijn in Nederland in sectorspecifieke wetten concrete
grondslagen voor verwerking van persoonsgegevens en
bijzondere persoonsgegevens opgenomen.
Algemene Verordening Gegevensbescherming
Daarnaast Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.
7. 7
• Wet op de geneeskundige behandelingsovereenkomst (WGBO);
• Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
• Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
• Zorgverzekeringswet (Zvw);
• Wet marktordening gezondheidszorg (Wmg);
Voorbeeld sectorspecifieke wetgeving: Zorg
8. 8
De AVG is dus niet de enige wet dat
bepalingen bevat over “privacy”.
De AVG is niet de “Wet op de Privacy”
9. 9
9
Toepasselijke wetgeving: Grondwet
Basisbepalingen persoonlijke levenssfeer
• Art. 10 Grondwet: Erkent het recht op eerbiediging van de
persoonlijke levenssfeer en schrijft voor dat inbreuken daarop bij of
krachtens een wet in formele zin moeten zijn geregeld.
Art. 10 geldt niet voor de omgang met persoonsgegevens = AVG)
• Art. 13 Grondwet: brief- en telefoongeheim
(vertrouwelijke communicatie) (“reasonable expectation of privacy”);
10. 10
Toepasselijke wetgeving: BW en WvSr
Basisbepalingen persoonlijke levenssfeer
• 7:611 BW (goed werknemerschap, goed werkgeverschap)
Goed werkgever controleert in beginsel niet “heimelijk”
• 7:660 BW (instructierecht werkgever - gedragsregels)
Basisbepalingen Wetboek van Strafrecht (WvSr)
• Onder andere artikelen 139a – 139f, 138ab en 441b WvSr
11. 11
Toepasselijke wetgeving: WOR
Basisbepalingen brede concept “privacy”
• Art. 27 k WOR: instemmingsrecht bij een regeling omtrent
verwerking persoonsgegevens van in onderneming werkzame
personen
• Art. 27 l WOR: instemmingsrecht bij een regeling inzake voorziening
gericht op aanwezigheid/gedrag/prestaties van in onderneming
werkzame personen
12. 12
Wetgeving over omgang met persoonsgegevens
Algemene Verordening Gegevensbescherming (AVG en UAVG)
• Incidentenregister, waarschuwingslijsten, collectieve ontzeggingen
• onderzoek integriteitsschendingen door medewerkers en uitgevoerd
door werkgevers (profit en niet-profit sector), fraudeonderzoek door
niet-opsporingsambtenaren
• Employmentscreening (anders dan Wet Veiligheidsonderzoeken)
Wet justitiële en strafvorderlijke gegevens
• Onder andere: VOG en gegevensverstrekking aan benadeelden
Wet politiegegevens
• Onder meer: gegevensverkrijging als benadeelde en
gegevensuitwisseling in samenwerkingsverbanden
14. 14
Toepasselijkheid AVG
De AVG richt zich op de bescherming van
persoonsgegevens.
Een persoonsgegeven is elk gegeven
betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon.
indien sprake is van:
geheel of gedeeltelijk geautomatiseerde
verwerking van persoonsgegevens.
15. 15
Begrip persoonsgegevens
Een persoonsgegeven is elk gegeven betreffende een
geïdentificeerde of identificeerbare natuurlijke persoon.
Een persoonsgegeven kan direct of indirect identificerend zijn.
Identificerende gegevens zijn gegevens als naam, bestelnummer
toegangskaart via online ticketbureau, vingerafdruk,
gelaatsafbeelding of burgerservicenummer.
Alleen of in combinatie met elkaar zijn deze gegevens dermate
uniek en kenmerkend voor iemand dat hij met een vrij grote
mate van zekerheid kan worden geïdentificeerd.
17. 17
Algemene beginselen AVG
1 Beginsel van rechtmatigheid, behoorlijkheid en transparantie
(artikel 5 lid 1 onder a AVG)
2 Beginsel van doelbepaling en doelbinding (5 lid 1 onder b AVG)
3 Beginsel van de deugdelijke verwerkingsgrondslag
(artikel 6 lid 1 AVG)
4 Beginsel van niet-verenigbare verdere verwerking
(artikel 6 lid 4 AVG)
5 Beginsel van opslagbeperking (artikel 5 lid 1 onder e AVG)
6 Beginsel van minimale gegevensverwerking (artikel 5 lid 1 onder c)
7 Beginsel van integriteit en vertrouwelijkheid (artikel 5 lid 1 onder f )
8 Beginsel van juistheid (artikel 5 lid 1 onder d AVG)
18. 18
Wbp
• Art. 6: Rechtmatig en behoorlijk
• art. 7: Doelbepaling en -binding
• art. 8: Deugdelijke verwerkings-
grondslag
• art. 9: Niet-verenigbare verdere
verwerking
• art. 11: Minimale verwerking van
persoonsgegevens
• art. 33: Transparantie (+ art.34)
• art. 10: Opslagbeperking
• art. 43: Uitzonderingsbepaling
transparantie
AVG
• art. 5 lid 1 onder a AVG
• art. 5 lid 1 onder b AVG
• art. 6 lid 1 AVG
• art. 6 lid 4 AVG
• art. 5 lid 1 onder c AVG
• art. 13 en 14 AVG
• art. 5 lid 1 onder e AVG
• art. 23 AVG jo art. 41
Uitvoeringswet AVG
Conversie +/- gelijkluidende artikelen
19. 19
1. De rechten van betrokkenen worden versterkt
- artikel 17 AVG: recht op vergetelheid
- artikel 20 AVG: recht op dataportabiliteit
- Art. 13 en 14 AVG: meer transparantie en
verantwoording
- Art. 22 AVG: besluitvorming op basis van
profilering niet toegestaan, tenzij met menselijke
tussenkomst en mits transparant (denk aan
kredietwaardigheidsbeoordeling)
In materieel opzicht beperkt aantal wijzigingen (1)
20. 20
2. Wel een paar nieuwe “gadgets”, zoals:
- artikel 37 AVG: in meer gevallen verplichting tot
het aanwijzen van een functionaris voor
gegevensbescherming (FG)
- artikel 30 AVG: verantwoordingsplicht (art. 5 lid 2
AVG) vergt dat informatiestromen in kaart worden
gebracht en verwerkingen van persoonsgegevens
worden bijgehouden (AVG-register).
- Als gevolg van deze bepalingen hoeven
gegevensverwerkingen niet vooraf meer gemeld
te worden bij de AP;
- Voor een aantal situaties is een vergunning of
voorafgaande raadpleging AP vereist
In materieel opzicht beperkt aantal wijzigingen (2)
21. 21
3. Het voorafgaand onderzoek door de AP voor
heimelijke gegevensvergaring* is vervallen:
- In plaats daarvan moet de
verwerkingsverantwoordelijke een DPIA uitvoeren
en soms de AP consulteren (voorafgaande
raadpleging) (art. 35 AVG).
Voorbeeld:
- Inzet (verborgen) camera’s door werkgevers
- Informatievergaring in de onderzoeksfase zonder
dat betrokkene hierover vooraf geïnformeerd
wordt
In materieel opzicht beperkt aantal wijzigingen (3)
* Vergaren van persoonsgegevens d.m.v. eigen onderzoek zonder betrokkene vooraf te informeren
22. 22
• rechtmatig, behoorlijk en transparant
(beginsel van rechtmatigheid, behoorlijkheid en
transparantie)
- Persoonsgegevens mogen alleen worden verwerkt indien dat
rechtmatig, eerlijk en transparant gebeurt.
• doelbinding (beginsel van doelbepaling en doelbinding)
- Persoonsgegevens mogen alleen voor welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doeleinden
worden verzameld en mogen niet verder op een met die
doeleinden onverenigbare wijze worden verwerkt.
Algemene beginselen (1)
23. 23
• Verbod om “persoonsgegevens van strafrechtelijke
aard” te verwerken (art. 10 AVG)
- Van belang voor waarschuwingssystemen en collectieve
toegangsverboden
• tenzij de UAVG een uitzondering geeft
1. Strafrechtelijke gegevens mogen “ten eigen behoeve” (voor
de eigen onderneming) worden verwerkt (art. 33 lid 2 UAVG)
2. Strafrechtelijk gegevens mogen “voor derden” worden
verwerkt, indien deze derde een rechtspersoon is die in
dezelfde groep is verbonden als bedoeld in artikel 24b van
Boek 2 van het Burgerlijk Wetboek (art. 33 lid 4 onder b
UAVG);
Algemene beginselen (2)
UAVG = Uitvoeringswet AVG
24. 24
• tenzij de UAVG een uitzondering geeft
3. Strafrechtelijke gegevens mogen “voor derden” worden
verwerkt ten behoeve van derden worden verwerkt:
a. door verwerkingsverantwoordelijken die optreden
krachtens een vergunning op grond van de Wet
particuliere beveiligingsorganisaties en recherchebureaus
b. met een vergunning van de Autoriteit Persoonsgegevens
(branchewaarschuwingslijsten) (art. 33 lid 4 onder c en art.
34 UAVG)
Algemene beginselen (2a)
UAVG = Uitvoeringswet AVG
25. 25
• Verbod om “bijzondere persoonsgegevens” te
verwerken (art. 9 AVG juncto art. 22 UAVG)
• tenzij Nationaalrechtelijke algemene uitzonderingen
- Art. 23 UAVG: Het verbod om bijzondere categorieën van
persoonsgegevens te verwerken niet van toepassing, indien:
de verwerking noodzakelijk is in aanvulling op de verwerking
van persoonsgegevens van strafrechtelijke aard voor de
doeleinden waarvoor deze gegevens worden verwerkt.
Algemene beginselen (2b)
UAVG = Uitvoeringswet AVG
26. 26
In aanvulling op beginsel 2 is de verwerking alleen rechtmatig
indien en voor zover aan ten minste één van de onderstaande
voorwaarden is voldaan (beginsel van de deugdelijke
verwerkingsgrondslag):
- de betrokkene heeft toestemming gegeven* of
- de verwerking is noodzakelijk:
- voor de uitvoering van een overeenkomst
- om te voldoen aan een wettelijke verplichting
- om de vitale belangen van de betrokkene of van een ander te beschermen
- voor de vervulling van een taak van algemeen belang
- voor de behartiging van een gerechtvaardigd belang van de
verwerkingsverantwoordelijke of van een derde, tenzij de belangen van
betrokkene (lees: betrokkene) zwaarder wegen
(Dit is de “privacytoets” van art. 8 aanhef en onder f WBP / art. 6 lid 1 onder f
AVG )
Algemene beginselen (3)
* Het geven van toestemming door werknemers kan niet worden toegepast in arbeidsverhoudingen.
27. 27
• Niet meer dan nodig („minimale gegevensverwerking”)
- Verwerken persoonsgegevens moet toereikend, ter zake
dienend en beperkt worden tot wat noodzakelijk is voor het
doel waarvoor de gegevens worden verwerkt
• Juistheid (beginsel van juistheid)
- de gegevens moeten juist zijn en anders onverwijld wissen of
rectificeren
Algemene beginselen (4)
28. 28
• Opslagduur beperken (beginsel van opslagbeperking)
- persoonsgegevens niet langer bewaren dan noodzakelijk is
voor de verwezenlijking van de doeleinden waarvoor zij
worden verwerkt
• Beveiligen persoonsgegevens
(beginsel van integriteit en vertrouwelijkheid)
- Persoonsgegevens moeten worden beschermd tegen
ongeoorloofde of onrechtmatige verwerking en tegen
onopzettelijk verlies, vernietiging of beschadiging door het
nemen van passende, technische en organisatorische
maatregelen
Algemene beginselen (5)
29. 29
• Te verstrekken informatie wanneer persoonsgegevens
van de betrokkene worden verzameld
- de identiteit en de contactgegevens van de voor de verwerking
verantwoordelijke
- de contactgegevens van de FG (indien aanwezig)
- de doeleinden waarvoor de gegevens worden verzameld
- de ontvangers of categorieën van ontvangers van de
gegevens
- de rechtsgrondslag voor de verwerking van de
persoonsgegevens en een toelichting daarop, alsmede
- Facultatief de bewaartermijn van de gegevens.
Algemene beginselen (6)
Art. 33 WBP is uitgebreid. Nieuw art. 13 AVG van belang voor interviewen en beheersvoorzieningen
30. 30
• Te verstrekken informatie wanneer persoonsgegevens
van de betrokkene worden verzameld
- de identiteit en de contactgegevens van de voor de verwerking
verantwoordelijke
- de contactgegevens van de FG (indien aanwezig)
- de doeleinden waarvoor de gegevens worden verzameld
- de ontvangers of categorieën van ontvangers van de
gegevens
- de rechtsgrondslag voor de verwerking van de
persoonsgegevens en een toelichting daarop, alsmede
- Facultatief de bewaartermijn van de gegevens.
Algemene beginselen (6)
Art. 33 WBP is uitgebreid. Nieuwe art. 13 AVG van belang voor interviewen en beheersvoorzieningen
31. 31
• Te verstrekken informatie wanneer persoonsgegevens
niet van de betrokkene zijn verzameld
- de identiteit en de contactgegevens van de voor de verwerking
verantwoordelijke
- de contactgegevens van de FG (indien aanwezig)
- de doeleinden waarvoor de gegevens zijn verzameld
- de ontvangers of categorieën van ontvangers van de
verzamelde gegevens
- de soort (categorieën) persoonsgegevens die zijn vastgelegd
- de rechtsgrondslag voor de verwerking van de
persoonsgegevens en een toelichting daarop, alsmede
- facultatief de bewaartermijn van de gegevens.
Algemene beginselen (7)
Art. 34 WBP wordt uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
32. 32
• Te verstrekken informatie wanneer persoonsgegevens
niet van de betrokkene zijn verzameld
- de identiteit en de contactgegevens van de voor de verwerking
verantwoordelijke
- de contactgegevens van de FG (indien aanwezig)
- de doeleinden waarvoor de gegevens zijn verzameld
- de ontvangers of categorieën van ontvangers van de
verzamelde gegevens
- de soort (categorieën) persoonsgegevens die zijn vastgelegd
- de rechtsgrondslag voor de verwerking van de
persoonsgegevens en een toelichting daarop, alsmede
- facultatief de bewaartermijn van de gegevens.
Algemene beginselen (7)
Art. 34 WBP is uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
34. 34
Wbp
• Verantwoordelijke (controller)
• Bewerker (processor)
'processor' means
a natural or legal person, public
authority, agency or other body
which processes personal data
on behalf of the controller.
AVG
• Verwerkingsverantwoordelijke
• Verwerker
De verwerkingsverantwoordelijke
beslist zelf of persoonsgegevens
worden verwerkt, voor welk doel
de organisatie dat doet, om
welke persoonsgegevens het
gaat en welke middelen hiervoor
worden inzet.
De vv vergaart en analyseert en
voegt zo nodig gegevens toe.
Ander woord gelijke betekenis
35. 35
Verwerker
Een verwerker is een partij aan wie
de ‘verwerkingsverantwoordelijke’ de
gegevensverwerking heeft uitbesteed,
bijvoorbeeld een administratiekantoor
voor de salarisadministratie.
In de verhouding verwerker en
verwerkingsverantwoordelijke is een
verwerkersovereenkomst vereist
Misverstanden
• Ontvangers zijn geen
“verwerkers”, hoewel
ontvangers wel “gegevens
verwerken”.
• Geen uitbesteding bij
verdeling werkzaamheden
tussen afdelingen van
dezelfde organisatie.
Dus: GEEN
Verwerkersovereenkomst
Verwerkers en misverstanden
36. 36
Verwerken
• Het gehele proces dat een
persoonsgegeven doormaakt
vanaf het moment van verzamelen
tot en met het moment van
vernietigen.
• De AVG noemt onder meer het
verzamelen, vastleggen, ordenen,
structureren, opslaan, bijwerken of
wijzigen, opvragen, raadplegen,
gebruiken en verstrekken van
persoonsgegevens.
Verder verwerken
• Verwerken van gegevens
voor een ander doel dan
dat waarvoor de gegevens
verzameld zijn.
• Dient plaats te vinden met
terughoudendheid en
hiervoor zijn in twee
artikelen mogelijkheden
gecreëerd.
(art. 6 lid 4 en art. 23 AVG)
Begrip “verwerken” en “verder verwerken”
37. 37
Verdere verwerking (voor een ander doel) wordt expliciet
toegestaan in een drietal situaties:
1. Verdere verwerking voor een ander doel dat verenigbaar is met het
doel waarvoor de gegevens oorspronkelijk zijn verzameld
(verenigbare verdere verwerking).
De verwerkingsverantwoordelijke moet toetsen of dat zo is aan de
hand van de in artikel 6, vierde lid, opgenomen criteria;
2. Niet verenigbare verdere verwerking is mogelijk op basis van
uitdrukkelijk toestemming van de betrokkene;
3. Niet-verenigbare verdere verwerking is mogelijk op basis van een
specifieke wettelijke bepaling in de Nederlandse wet met het oog
op de in artikel 23, lid 1, bedoelde doelstellingen (doorbreking van
de doelbinding)
Mogelijkheden verdere verwerking
DE NIET-VERENIGBARE VERDERE VERWERKING ANDERS DAN ad 2 VERGT EEN WETTELIJKE BASIS!
38. 38
De verwerkingsverantwoordelijke houdt bij de beoordeling van
de vraag of sprake is van verenigbare verdere verwerking, onder
meer rekening houdt met:
1. Het verband tussen de doeleinden waarvoor de persoonsgegevens
zijn verzameld en de doeleinden van de voorgenomen verdere
verwerking;
2. het kader waarin de persoonsgegevens zijn verzameld, met name
wat de verhouding tussen de betrokkene en de
verwerkingsverantwoordelijke betreft;
3. de aard van de persoonsgegevens (bijzondere categorieën van
persoonsgegevens, art. 9 AVG, en of strafrechtelijke gegevens, art.
10 AVG);
4. de mogelijke gevolgen van de voorgenomen verdere verwerking
voor de betrokkene
Toepassen art. 6 lid 4 AVG om verder te verwerken
Art. 6 lid 4 AVG (oude art. 9 Wbp) vormt basis voor gegevensuitwisseling in samenwerkingsverbanden (zoals ECTF)
39. 39
Wanneer de verwerkingsverantwoordelijke voornemens is de
persoonsgegevens verder te verwerken voor een ander doel
dan dat waarvoor de persoonsgegevens zijn verkregen,
verstrekt de verwerkingsverantwoordelijke de betrokkene vóór
die verdere verwerking informatie over dat andere doel en
relevante verdere informatie, waaronder:
1. Het verwerkingsdoel
2. de (voorgenomen) ontvanger
3. het gerechtvaardigd belang om verder te verstrekken
4. het recht tegen de verwerking bezwaar te maken
5. De mogelijkheid om een klacht in te dienen bij de toezichthouder
Voorwaarde om verder te mogen verwerken
Art. 13 lid 3 en art. 14 lid 4 AVG. Geldt niet in geval van wettelijke geheimhoudingsbepalingen (bijv. 126bb WvSv)
41. 41
Register van verwerkingen
Organisaties* moeten een accuraat overzicht hebben
van activiteiten waarmee zij persoonsgegevens
“verwerken” (art. 30 AVG).
Voor dit “AVG-register” of “verwerkingsregister” moeten de
datastromen in kaart worden gebracht en zo mogelijk
worden geclusterd tot een overzichtelijk geheel.
HIER GAAT HET MIS IN DE PRAKTIJK!!
Registratie en verantwoording (1)
* In ieder geval verplicht bij meer dan 250 medewerkers.
42. 42
In het “AVG-register” moeten per (cluster van
verwerkingsactiviteit (en) de volgende gegevens worden
opgenomen:
• De verwerkingsdoeleinden (lees: ”verzameldoeleiden);
• een beschrijving van de categorieën van betrokkenen
• een beschrijving van de categorieën van persoonsgegevens die
worden verwerkt;
• de categorieën van ontvangers aan wie de persoonsgegevens zijn
of zullen worden verstrekt;
• de bewaarduur van gegevens en
• indien mogelijk, een algemene beschrijving van de technische en
organisatorische beveiligingsmaatregelen
Het register wordt opgesteld en beheerd door de FG
Wat moet worden geregistreerd?
46. 46
Verantwoordingsplicht (art. 5 lid 2 AVG)
Organisaties hebben een verantwoordingsplicht. Dat
betekent dat organisaties moeten kunnen aantonen dat zij
voldoen aan de algemene beginselen van art. 5 lid 1AVG.
Bijvoorbeeld door:
• Aan te tonen op welke wijze gegevensdragers zijn beschermd
tegen virussen (key-loggers) en hacken;
• aan te tonen dat procedures zijn opgesteld om alleen bevoegden
toegang te geven tot persoonsgegevens;
• aan te tonen dat met externe partijen die gegevens verwerken
afspraken zijn gemaakt worden over het gebruik, het beveiligen en
het vernietigen van de gegevens na gebruik.
Registratie en verantwoording (2)
48. 48
Rechtsoverweging 78 AVG, uitgewerkt in art. 25 AVG
In order to be able to demonstrate compliance with this
Regulation, the controller should adopt internal policies
and implement measures which meet in particular the
principles of data protection by design and data
protection by default.
Gegevensbescherming by design en by default
49. 49
Dit betekent twee dingen.
Ten eerste. Bij het ontwerpen van een nieuwe
verwerking van persoonsgegevens, zijn organisaties
verplicht om bescherming van persoonsgegevens vanaf
het begin in het ontwerpproces mee te nemen.
Vervolgens moeten organisaties ook achteraf aan
kunnen tonen dat ze dit inderdaad hebben gedaan.
Gegevensbescherming by design en by default
50. 50
Dit betekent twee dingen.
Ten tweede. De standaard gedachte is dat privacy
zoveel mogelijk gewaarborgd wordt.
De standaard is dat persoonsgegevens alleen gedeeld
mogen worden als dat noodzakelijk is.
Gegevensbescherming by design en by default
51. 51
Voorbeeld Privacy by design en by default
Uitgangspunt brancheverenigingen in
Nederland.
Er wordt niet geconcurreerd op veiligheid en
integriteit.
Dit vergt samenwerking en dat betekent dat
gegeven worden uitgewisseld indien dat
noodzakelijk om de schadelast als gevolg van
fraude te beheersen.
52. 52
Branchewaarschuwingssystemen in NL
- Detailhandel (via Stichting Fraude
Aanpak Detailhandel)
- Logistieke sector (Transport en
Logistiek Nederland, ACN, EVO, Fenex
en KNV).
- Financiële sector
- Zorg en Welzijn
53. 53
Kenmerk branchewaarschuwingssystemen
Kenmerkend voor fraudedossiers is dat
persoonsgegevens “van strafrechtelijke aard”
worden verwerkt.
Verbod verwerking “strafrechtelijke gegevens”,
tenzij de Uitvoeringswet AVG (UAVG) dat
toestaat.
UAVG: Ondernemingen mogen strafrechtelijke
gegevens verwerken:
• "ten eigen behoeve“: Rabobank
• binnen een groep/concern: Rabogroep
• "voor derden" onder voorwaarden: branche
54. 54
Branchewaarschuwingssystemen en de AVG
Voor een branchewaarschuwingssysteem is een
vergunning nodig van de AP.
De juridische basis voor de vergunningverlening
zijn brancheprotocollen.
In de financiële sector: het Protocol
Incidentenwaarschuwingssysteem Financiële
Instellingen (PIFI).
Het PIFI beschrijft de werking van het
branchewaarschuwingssysteem.
55. 55
Voorbeeld Financiële instellingen
Verwijzingsindices
Van de fraudeur worden de identificerende gegevens die zijn
vastgelegd in het incidentenregister opgenomen in het extern
verwijzingsregister (EVR). Andere deelnemers aan het
systeem kunnen vaststellen of iemand voorkomt in het
incidentenregister van een andere deelnemer
Raadpleging verwijzingsregister door deelnemers
Uitsluitend voor cliëntacceptatie en acceptatie van personeel
op basis van:
– hit/no hit
– doormelding van de hit aan de bron
– Verplichting om te informeren naar de reden van opname
56. 56
Verwijzings-
Applicatie
EVR
Deelnemer A Deelnemer B
raadpleegfunctie
Incidentenregister Incidentenregister
Veiligheids-
afdeling
X
Medewerker
frontoffice
Veiligheids-
afdeling
Y
Medewerker
frontoffice
Schematisch: gegevensuitwisseling FI
verwijzingsgegevens EVR verwijzingsgegevens EVR
58. 58
Een “gegevensbeschermingseffectbeoordeling”, ofwel
data privacy impact assessment (afgekort DPIA) is
verplicht bij bepaalde vormen van gegevensverwerking.
In de DPIA moet onder andere de noodzaak en de
evenredigheid van de verwerkingen ten opzichte van
betrokkene(n) in relatie tot de te bereiken doeleinden
worden beoordeeld.
De Autoriteit Persoonsgegevens heeft criteria
gepubliceerd om te bepalen of een DPIA moet worden
uitgevoerd en tevens voor verschillende situaties
bepaald dat een DPIA verplicht is.
Data Privacy impact assessment (art. 35 AVG)
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/data-protection-impact-
assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879
59. 59
1. Onderneming overweegt om structureel of
gedurende een langere periode cameratoezicht in te
zetten om verliezen en schade door diefstal en
fraude te beheersen.
2. Werkgever die een incidentele verborgen camera wil
inzetten om vast te stellen wie betrokken is bij
ernstige misstanden in de onderneming.
Wanneer DPIA bij cameratoezicht?
Bron: website AP: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/cameratoezicht/cameratoezicht-
op-de-werkplek
60. 60
1. Zorg dat het DPIA-document is opgenomen in het
dossier over de kwestie waarvoor de verborgen
camera is ingezet. Het kan dan worden ingebracht in
een rechtszaak, indien noodzakelijk.
2. Het DPIA-document heeft de volgende opbouw:
a. Aanleiding om een verborgen camera in te zetten;
b. Beschrijving waarom het gerechtvaardigd is om een
verborgen camera in te zetten (“de overwegingen”);
c,. Motivering dat geen alternatieven voorhanden zijn die een
minder grote inbreuk op de persoonlijke levenssfeer van
betrokkene maken;
d. De inzetcriteria die de risico’s voor de rechten en vrijheden
van betrokkene tot een acceptabel niveau beperken.
Tip voor ondernemers
62. 62
Extra eisen voor totstandkoming:
Bij de opstelling van een gedragscode, of bij wijziging of
uitbreiding van een dergelijke code, moeten verenigingen
en andere organen die categorieën van verwerkings-
verantwoordelijken of verwerkers vertegenwoordigen,
overleg plegen met de belanghebbenden ter zake,
waaronder waar mogelijk met betrokkenen, en rekening
houden met bijdragen en standpunten naar aanleiding
van dit overleg.
Rechtsoverweging 98 en 99
Sectorale privacygedragscodes (art. 40 AVG)
63. 63
Privacygedragscode recherchebureaus
De jurisprudentie heeft gaande weg vuistregels
gegeven voor particuliere onderzoeksmethoden
en onderzoeksmiddelen.
Vuistregels zijn opgenomen in de Privacygedragscode
voor particuliere onderzoeksbureaus (PPO) van
de Nederlandse Veiligheidsbranche.
PPO is goedgekeurd door Autoriteit Persoonsgegevens
en door Minister van Justitie & Veiligheid algemeen
verbindend verklaard voor alle recherchebureaus met
een vergunning op grond van de Wpbr.
64. 64
Kernbepalingen PPO: artikel 5 en 6 AVG
Voorgenomen
onderzoeks-
handeling
5 en 6
AVG
vastleggen
bevindingen in
het dossier
“verwerking”
dat onder
AVG valt
besluit door opdrachtgever
op basis van bevindingen
Art. 5 lid 1 onder a AVG: rechtmatig, behoorlijk en transparant
Art. 6 lid 1 AVG: rechtmatige verwerkingsgrondslag vereist
Art. 5 lid 1 onder c AVG : ter zake dienend + beperkt tot wat nodig is
65. 65
Door het opnemen van het bestanddeel “wederrechtelijk” in de
strafbepalingen wordt ruimte geschapen voor een afweging van belangen
in concrete situaties.
Die afweging is uitgewerkt in de vuistregels van de PPO
Rekening houden met Wetboek van Strafrecht
Voorkom overtreding van:
• Art. 138: Huisvredebreuk
• Art. 139f: heimelijke camera
• Art. 139a en 139b: heimelijk afluisteren of
aftappen gesprek
• Artikel 139c: aftappen / opnemen
telefoongesprekken e/o emailberichten
66. 66
Privacygedragscode recherchebureaus
De vuistregels worden door de rechter gebruikt om vast te
stellen of een particulier onderzoeksbureau zich aan de regels
heeft gehouden.
PPO biedt ook goede normering voor onderzoeken die
werkgevers zelf uitvoeren.
67. 67
1. De aan de AVG aangepaste PPO is in concept gereed,
maar, kan deze op dit moment nog niet formeel aan de
AP ter goedkeuring worden aangeboden. Eerst moet
advies worden ingewonnen bij organisaties die
belanghebbenden vertegenwoordigen.
2. De huidige PPO blijft geldig zolang de aangepaste
PPO nog niet is goedgekeurd.
3. Onderzoeksbureaus worden geacht de bepalingen van
de huidige PPO zoveel mogelijk in overeenstemming
met de AVG uit te leggen en toe te passen.
Stand van zaken PPO (1)
69. 69
Nieuw:
Biometrische gegevens met het oog op de identificatie
van een persoon
Uitzondering op verwerkingsverbod:
Uitdrukkelijke toestemming voor de verwerking van die
biometrische gegevens (art. 9 lid 2 onder a AVG)
De lidstaten kunnen bijkomende voorwaarden, waaronder
beperkingen, met betrekking tot de verwerking van,
biometrische gegevens invoeren (art. 9 lid 4 AVG).
Biometrische gegevens
70. 70
Art. 29 UAVG:
Het verbod om biometrische gegevens te verwerken met
het oog op de unieke identificatie van een persoon is niet
van toepassing indien de verwerking noodzakelijk is voor
authenticatie of beveiligingsdoeleinden.
Uitvoeringswet AVG