SlideShare a Scribd company logo

ASMC 2018 Sessie 1.5 Privacy onder de plint

P
PlatformSecurityManagement

Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.

Business
1 of 71
Download to read offline
Privacy onder de plint Spreker: Felix Olijslager
2 Onderwerpen 1. In welke wetten staan bepalingen over privacy? 2. Definities en kernbepalingen 3. Opvallende bepalingen en praktische uitwerking 4. Valkuilen en misverstanden 5. Varia 6. Hulpmiddelen
3 3 Welke wetten zijn relevant? In verschillende wetten zijn bepalingen opgenomen over “privacy”. Het begrip privacy kan worden onderscheiden in twee concepten: Onderscheid: - Omgaan met persoonsgegevens (informationele privacy) en - omgaan met de persoonlijke levenssfeer (relationele privacy)
4 AVG of GDPR
5 Alles Verandert Gigantisch Angstzaaien Voor Geld of Aanpraten Van Gevaar Afschuiven Verantwoordelijkheid Gelukt Afvinken Verplichtingen Gedaan Alleen Voor Gevorderden Waar staat AVG voor?
6 Op Europees niveau geldt vanaf 25 mei 2018 de AVG. In de Nederlandse Uitvoeringswet AVG worden afwijkingen en uitzonderingen gegeven op de AVG (uitgangspunt: beleidsneutrale implementatie AVG t.o.v. Wbp). Daarnaast zijn in Nederland in sectorspecifieke wetten concrete grondslagen voor verwerking van persoonsgegevens en bijzondere persoonsgegevens opgenomen. Algemene Verordening Gegevensbescherming Daarnaast Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.
7 • Wet op de geneeskundige behandelingsovereenkomst (WGBO); • Wet kwaliteit, klachten en geschillen zorg (Wkkgz); • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG); • Zorgverzekeringswet (Zvw); • Wet marktordening gezondheidszorg (Wmg); Voorbeeld sectorspecifieke wetgeving: Zorg
8 De AVG is dus niet de enige wet dat bepalingen bevat over “privacy”. De AVG is niet de “Wet op de Privacy”
9 9 Toepasselijke wetgeving: Grondwet Basisbepalingen persoonlijke levenssfeer • Art. 10 Grondwet: Erkent het recht op eerbiediging van de persoonlijke levenssfeer en schrijft voor dat inbreuken daarop bij of krachtens een wet in formele zin moeten zijn geregeld. Art. 10 geldt niet voor de omgang met persoonsgegevens = AVG) • Art. 13 Grondwet: brief- en telefoongeheim (vertrouwelijke communicatie) (“reasonable expectation of privacy”);
10 Toepasselijke wetgeving: BW en WvSr Basisbepalingen persoonlijke levenssfeer • 7:611 BW (goed werknemerschap, goed werkgeverschap) Goed werkgever controleert in beginsel niet “heimelijk” • 7:660 BW (instructierecht werkgever - gedragsregels) Basisbepalingen Wetboek van Strafrecht (WvSr) • Onder andere artikelen 139a – 139f, 138ab en 441b WvSr
11 Toepasselijke wetgeving: WOR Basisbepalingen brede concept “privacy” • Art. 27 k WOR: instemmingsrecht bij een regeling omtrent verwerking persoonsgegevens van in onderneming werkzame personen • Art. 27 l WOR: instemmingsrecht bij een regeling inzake voorziening gericht op aanwezigheid/gedrag/prestaties van in onderneming werkzame personen
12 Wetgeving over omgang met persoonsgegevens Algemene Verordening Gegevensbescherming (AVG en UAVG) • Incidentenregister, waarschuwingslijsten, collectieve ontzeggingen • onderzoek integriteitsschendingen door medewerkers en uitgevoerd door werkgevers (profit en niet-profit sector), fraudeonderzoek door niet-opsporingsambtenaren • Employmentscreening (anders dan Wet Veiligheidsonderzoeken) Wet justitiële en strafvorderlijke gegevens • Onder andere: VOG en gegevensverstrekking aan benadeelden Wet politiegegevens • Onder meer: gegevensverkrijging als benadeelde en gegevensuitwisseling in samenwerkingsverbanden
13 Toepasselijkheid AVG
14 Toepasselijkheid AVG De AVG richt zich op de bescherming van persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. indien sprake is van: geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens.
15 Begrip persoonsgegevens Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoonsgegeven kan direct of indirect identificerend zijn. Identificerende gegevens zijn gegevens als naam, bestelnummer toegangskaart via online ticketbureau, vingerafdruk, gelaatsafbeelding of burgerservicenummer. Alleen of in combinatie met elkaar zijn deze gegevens dermate uniek en kenmerkend voor iemand dat hij met een vrij grote mate van zekerheid kan worden geïdentificeerd.
16 Algemene beginselen AVG
17 Algemene beginselen AVG 1 Beginsel van rechtmatigheid, behoorlijkheid en transparantie (artikel 5 lid 1 onder a AVG) 2 Beginsel van doelbepaling en doelbinding (5 lid 1 onder b AVG) 3 Beginsel van de deugdelijke verwerkingsgrondslag (artikel 6 lid 1 AVG) 4 Beginsel van niet-verenigbare verdere verwerking (artikel 6 lid 4 AVG) 5 Beginsel van opslagbeperking (artikel 5 lid 1 onder e AVG) 6 Beginsel van minimale gegevensverwerking (artikel 5 lid 1 onder c) 7 Beginsel van integriteit en vertrouwelijkheid (artikel 5 lid 1 onder f ) 8 Beginsel van juistheid (artikel 5 lid 1 onder d AVG)
18 Wbp • Art. 6: Rechtmatig en behoorlijk • art. 7: Doelbepaling en -binding • art. 8: Deugdelijke verwerkings- grondslag • art. 9: Niet-verenigbare verdere verwerking • art. 11: Minimale verwerking van persoonsgegevens • art. 33: Transparantie (+ art.34) • art. 10: Opslagbeperking • art. 43: Uitzonderingsbepaling transparantie AVG • art. 5 lid 1 onder a AVG • art. 5 lid 1 onder b AVG • art. 6 lid 1 AVG • art. 6 lid 4 AVG • art. 5 lid 1 onder c AVG • art. 13 en 14 AVG • art. 5 lid 1 onder e AVG • art. 23 AVG jo art. 41 Uitvoeringswet AVG Conversie +/- gelijkluidende artikelen
19 1. De rechten van betrokkenen worden versterkt - artikel 17 AVG: recht op vergetelheid - artikel 20 AVG: recht op dataportabiliteit - Art. 13 en 14 AVG: meer transparantie en verantwoording - Art. 22 AVG: besluitvorming op basis van profilering niet toegestaan, tenzij met menselijke tussenkomst en mits transparant (denk aan kredietwaardigheidsbeoordeling) In materieel opzicht beperkt aantal wijzigingen (1)
20 2. Wel een paar nieuwe “gadgets”, zoals: - artikel 37 AVG: in meer gevallen verplichting tot het aanwijzen van een functionaris voor gegevensbescherming (FG) - artikel 30 AVG: verantwoordingsplicht (art. 5 lid 2 AVG) vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoonsgegevens worden bijgehouden (AVG-register). - Als gevolg van deze bepalingen hoeven gegevensverwerkingen niet vooraf meer gemeld te worden bij de AP; - Voor een aantal situaties is een vergunning of voorafgaande raadpleging AP vereist In materieel opzicht beperkt aantal wijzigingen (2)
21 3. Het voorafgaand onderzoek door de AP voor heimelijke gegevensvergaring* is vervallen: - In plaats daarvan moet de verwerkingsverantwoordelijke een DPIA uitvoeren en soms de AP consulteren (voorafgaande raadpleging) (art. 35 AVG). Voorbeeld: - Inzet (verborgen) camera’s door werkgevers - Informatievergaring in de onderzoeksfase zonder dat betrokkene hierover vooraf geïnformeerd wordt In materieel opzicht beperkt aantal wijzigingen (3) * Vergaren van persoonsgegevens d.m.v. eigen onderzoek zonder betrokkene vooraf te informeren
22 • rechtmatig, behoorlijk en transparant (beginsel van rechtmatigheid, behoorlijkheid en transparantie) - Persoonsgegevens mogen alleen worden verwerkt indien dat rechtmatig, eerlijk en transparant gebeurt. • doelbinding (beginsel van doelbepaling en doelbinding) - Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Algemene beginselen (1)
23 • Verbod om “persoonsgegevens van strafrechtelijke aard” te verwerken (art. 10 AVG) - Van belang voor waarschuwingssystemen en collectieve toegangsverboden • tenzij de UAVG een uitzondering geeft 1. Strafrechtelijke gegevens mogen “ten eigen behoeve” (voor de eigen onderneming) worden verwerkt (art. 33 lid 2 UAVG) 2. Strafrechtelijk gegevens mogen “voor derden” worden verwerkt, indien deze derde een rechtspersoon is die in dezelfde groep is verbonden als bedoeld in artikel 24b van Boek 2 van het Burgerlijk Wetboek (art. 33 lid 4 onder b UAVG); Algemene beginselen (2) UAVG = Uitvoeringswet AVG
24 • tenzij de UAVG een uitzondering geeft 3. Strafrechtelijke gegevens mogen “voor derden” worden verwerkt ten behoeve van derden worden verwerkt: a. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus b. met een vergunning van de Autoriteit Persoonsgegevens (branchewaarschuwingslijsten) (art. 33 lid 4 onder c en art. 34 UAVG) Algemene beginselen (2a) UAVG = Uitvoeringswet AVG
25 • Verbod om “bijzondere persoonsgegevens” te verwerken (art. 9 AVG juncto art. 22 UAVG) • tenzij Nationaalrechtelijke algemene uitzonderingen - Art. 23 UAVG: Het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien: de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt. Algemene beginselen (2b) UAVG = Uitvoeringswet AVG
26 In aanvulling op beginsel 2 is de verwerking alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan (beginsel van de deugdelijke verwerkingsgrondslag): - de betrokkene heeft toestemming gegeven* of - de verwerking is noodzakelijk: - voor de uitvoering van een overeenkomst - om te voldoen aan een wettelijke verplichting - om de vitale belangen van de betrokkene of van een ander te beschermen - voor de vervulling van een taak van algemeen belang - voor de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen van betrokkene (lees: betrokkene) zwaarder wegen (Dit is de “privacytoets” van art. 8 aanhef en onder f WBP / art. 6 lid 1 onder f AVG ) Algemene beginselen (3) * Het geven van toestemming door werknemers kan niet worden toegepast in arbeidsverhoudingen.
27 • Niet meer dan nodig („minimale gegevensverwerking”) - Verwerken persoonsgegevens moet toereikend, ter zake dienend en beperkt worden tot wat noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt • Juistheid (beginsel van juistheid) - de gegevens moeten juist zijn en anders onverwijld wissen of rectificeren Algemene beginselen (4)
28 • Opslagduur beperken (beginsel van opslagbeperking) - persoonsgegevens niet langer bewaren dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt • Beveiligen persoonsgegevens (beginsel van integriteit en vertrouwelijkheid) - Persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging door het nemen van passende, technische en organisatorische maatregelen Algemene beginselen (5)
29 • Te verstrekken informatie wanneer persoonsgegevens van de betrokkene worden verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens worden verzameld - de ontvangers of categorieën van ontvangers van de gegevens - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - Facultatief de bewaartermijn van de gegevens. Algemene beginselen (6) Art. 33 WBP is uitgebreid. Nieuw art. 13 AVG van belang voor interviewen en beheersvoorzieningen
30 • Te verstrekken informatie wanneer persoonsgegevens van de betrokkene worden verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens worden verzameld - de ontvangers of categorieën van ontvangers van de gegevens - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - Facultatief de bewaartermijn van de gegevens. Algemene beginselen (6) Art. 33 WBP is uitgebreid. Nieuwe art. 13 AVG van belang voor interviewen en beheersvoorzieningen
31 • Te verstrekken informatie wanneer persoonsgegevens niet van de betrokkene zijn verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens zijn verzameld - de ontvangers of categorieën van ontvangers van de verzamelde gegevens - de soort (categorieën) persoonsgegevens die zijn vastgelegd - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - facultatief de bewaartermijn van de gegevens. Algemene beginselen (7) Art. 34 WBP wordt uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
32 • Te verstrekken informatie wanneer persoonsgegevens niet van de betrokkene zijn verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens zijn verzameld - de ontvangers of categorieën van ontvangers van de verzamelde gegevens - de soort (categorieën) persoonsgegevens die zijn vastgelegd - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - facultatief de bewaartermijn van de gegevens. Algemene beginselen (7) Art. 34 WBP is uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
33 Terminologie begrijpen
34 Wbp • Verantwoordelijke (controller) • Bewerker (processor) 'processor' means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. AVG • Verwerkingsverantwoordelijke • Verwerker De verwerkingsverantwoordelijke beslist zelf of persoonsgegevens worden verwerkt, voor welk doel de organisatie dat doet, om welke persoonsgegevens het gaat en welke middelen hiervoor worden inzet. De vv vergaart en analyseert en voegt zo nodig gegevens toe. Ander woord gelijke betekenis
35 Verwerker Een verwerker is een partij aan wie de ‘verwerkingsverantwoordelijke’ de gegevensverwerking heeft uitbesteed, bijvoorbeeld een administratiekantoor voor de salarisadministratie. In de verhouding verwerker en verwerkingsverantwoordelijke is een verwerkersovereenkomst vereist Misverstanden • Ontvangers zijn geen “verwerkers”, hoewel ontvangers wel “gegevens verwerken”. • Geen uitbesteding bij verdeling werkzaamheden tussen afdelingen van dezelfde organisatie. Dus: GEEN Verwerkersovereenkomst Verwerkers en misverstanden
36 Verwerken • Het gehele proces dat een persoonsgegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietigen. • De AVG noemt onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken en verstrekken van persoonsgegevens. Verder verwerken • Verwerken van gegevens voor een ander doel dan dat waarvoor de gegevens verzameld zijn. • Dient plaats te vinden met terughoudendheid en hiervoor zijn in twee artikelen mogelijkheden gecreëerd. (art. 6 lid 4 en art. 23 AVG) Begrip “verwerken” en “verder verwerken”
37 Verdere verwerking (voor een ander doel) wordt expliciet toegestaan in een drietal situaties: 1. Verdere verwerking voor een ander doel dat verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld (verenigbare verdere verwerking). De verwerkingsverantwoordelijke moet toetsen of dat zo is aan de hand van de in artikel 6, vierde lid, opgenomen criteria; 2. Niet verenigbare verdere verwerking is mogelijk op basis van uitdrukkelijk toestemming van de betrokkene; 3. Niet-verenigbare verdere verwerking is mogelijk op basis van een specifieke wettelijke bepaling in de Nederlandse wet met het oog op de in artikel 23, lid 1, bedoelde doelstellingen (doorbreking van de doelbinding) Mogelijkheden verdere verwerking DE NIET-VERENIGBARE VERDERE VERWERKING ANDERS DAN ad 2 VERGT EEN WETTELIJKE BASIS!
38 De verwerkingsverantwoordelijke houdt bij de beoordeling van de vraag of sprake is van verenigbare verdere verwerking, onder meer rekening houdt met: 1. Het verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking; 2. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke betreft; 3. de aard van de persoonsgegevens (bijzondere categorieën van persoonsgegevens, art. 9 AVG, en of strafrechtelijke gegevens, art. 10 AVG); 4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkene Toepassen art. 6 lid 4 AVG om verder te verwerken Art. 6 lid 4 AVG (oude art. 9 Wbp) vormt basis voor gegevensuitwisseling in samenwerkingsverbanden (zoals ECTF)
39 Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en relevante verdere informatie, waaronder: 1. Het verwerkingsdoel 2. de (voorgenomen) ontvanger 3. het gerechtvaardigd belang om verder te verstrekken 4. het recht tegen de verwerking bezwaar te maken 5. De mogelijkheid om een klacht in te dienen bij de toezichthouder Voorwaarde om verder te mogen verwerken Art. 13 lid 3 en art. 14 lid 4 AVG. Geldt niet in geval van wettelijke geheimhoudingsbepalingen (bijv. 126bb WvSv)
40 Opvallende bepalingen AVG (1) VERWERKINGSREGISTER
41 Register van verwerkingen Organisaties* moeten een accuraat overzicht hebben van activiteiten waarmee zij persoonsgegevens “verwerken” (art. 30 AVG). Voor dit “AVG-register” of “verwerkingsregister” moeten de datastromen in kaart worden gebracht en zo mogelijk worden geclusterd tot een overzichtelijk geheel. HIER GAAT HET MIS IN DE PRAKTIJK!! Registratie en verantwoording (1) * In ieder geval verplicht bij meer dan 250 medewerkers.
42 In het “AVG-register” moeten per (cluster van verwerkingsactiviteit (en) de volgende gegevens worden opgenomen: • De verwerkingsdoeleinden (lees: ”verzameldoeleiden); • een beschrijving van de categorieën van betrokkenen • een beschrijving van de categorieën van persoonsgegevens die worden verwerkt; • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; • de bewaarduur van gegevens en • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen Het register wordt opgesteld en beheerd door de FG Wat moet worden geregistreerd?
43 Overzicht verwerking van persoonsgegevens Klanten Personeel Crediteuren Beheersvoorzieningen Cameratoezicht Toegangsbeheer Internet Telefonie E-mail Logging handelingen etc. Incidentenregister (EVR) Beheersvoorzieningen kennen verschillende beheerders binnen onderneming, waardoor afstemming nodig is voor verzameldoelen en bewaarduur gegevens. Als deze gegevens worden gebruikt als personeelsvolgsysteem moet de OR instemming geven. Transparantie wederom van groot belang, aangezien we hier te maken hebben met informationele privacy. Doelen goed omschrijven: - bewaren t.b.v. belastingdienst - betaling leveranciers - gegevens leaseauto / telefoon ook relevant voor fraudeonderzoeken Gegevens uit personeelsadministratie van belang voor beheersvoorzieningen (personeelsnummers, user-id’s) © mr. F.B.M. Olijslager - NISeR Directie
44 Verwerkingsregister Toegangsregistratie verzameldoel(en) Categorie gegevens Ontvangers gegevens Bewaarduur gegevens a - - - - - - - - Voor het doel onder a Voor het doel onder a b Voor het doel onder b Voor het doel onder c c etc etc d etc etc
45 Verwerkingsregister Cameratoezicht verzameldoel(en) Categorie gegevens Ontvangers gegevens Bewaarduur gegevens a reconstrueren van voorvallen die een inbreuk hebben gemaakt op grondrechten - - - - - - - - Voor het doel onder a Voor het doel onder a b onderzoeken van vermeende integriteits- schendingen en/of overtreding van gedragsregels en/of wettelijke voorschriften Voor het doel onder b Voor het doel onder c c verlenen van toegang van personen en/of voertuigen etc etc d analyseren van…. etc etc
46 Verantwoordingsplicht (art. 5 lid 2 AVG) Organisaties hebben een verantwoordingsplicht. Dat betekent dat organisaties moeten kunnen aantonen dat zij voldoen aan de algemene beginselen van art. 5 lid 1AVG. Bijvoorbeeld door: • Aan te tonen op welke wijze gegevensdragers zijn beschermd tegen virussen (key-loggers) en hacken; • aan te tonen dat procedures zijn opgesteld om alleen bevoegden toegang te geven tot persoonsgegevens; • aan te tonen dat met externe partijen die gegevens verwerken afspraken zijn gemaakt worden over het gebruik, het beveiligen en het vernietigen van de gegevens na gebruik. Registratie en verantwoording (2)
47 Opvallende bepalingen AVG (2) BESCHERMING PRIVACY BY DESIGN AND BY DEFAULT
48 Rechtsoverweging 78 AVG, uitgewerkt in art. 25 AVG In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Gegevensbescherming by design en by default
49 Dit betekent twee dingen. Ten eerste. Bij het ontwerpen van een nieuwe verwerking van persoonsgegevens, zijn organisaties verplicht om bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen. Vervolgens moeten organisaties ook achteraf aan kunnen tonen dat ze dit inderdaad hebben gedaan. Gegevensbescherming by design en by default
50 Dit betekent twee dingen. Ten tweede. De standaard gedachte is dat privacy zoveel mogelijk gewaarborgd wordt. De standaard is dat persoonsgegevens alleen gedeeld mogen worden als dat noodzakelijk is. Gegevensbescherming by design en by default
51 Voorbeeld Privacy by design en by default Uitgangspunt brancheverenigingen in Nederland. Er wordt niet geconcurreerd op veiligheid en integriteit. Dit vergt samenwerking en dat betekent dat gegeven worden uitgewisseld indien dat noodzakelijk om de schadelast als gevolg van fraude te beheersen.
52 Branchewaarschuwingssystemen in NL - Detailhandel (via Stichting Fraude Aanpak Detailhandel) - Logistieke sector (Transport en Logistiek Nederland, ACN, EVO, Fenex en KNV). - Financiële sector - Zorg en Welzijn
53 Kenmerk branchewaarschuwingssystemen Kenmerkend voor fraudedossiers is dat persoonsgegevens “van strafrechtelijke aard” worden verwerkt. Verbod verwerking “strafrechtelijke gegevens”, tenzij de Uitvoeringswet AVG (UAVG) dat toestaat. UAVG: Ondernemingen mogen strafrechtelijke gegevens verwerken: • "ten eigen behoeve“: Rabobank • binnen een groep/concern: Rabogroep • "voor derden" onder voorwaarden: branche
54 Branchewaarschuwingssystemen en de AVG Voor een branchewaarschuwingssysteem is een vergunning nodig van de AP. De juridische basis voor de vergunningverlening zijn brancheprotocollen. In de financiële sector: het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Het PIFI beschrijft de werking van het branchewaarschuwingssysteem.
55 Voorbeeld Financiële instellingen Verwijzingsindices Van de fraudeur worden de identificerende gegevens die zijn vastgelegd in het incidentenregister opgenomen in het extern verwijzingsregister (EVR). Andere deelnemers aan het systeem kunnen vaststellen of iemand voorkomt in het incidentenregister van een andere deelnemer Raadpleging verwijzingsregister door deelnemers Uitsluitend voor cliëntacceptatie en acceptatie van personeel op basis van: – hit/no hit – doormelding van de hit aan de bron – Verplichting om te informeren naar de reden van opname
56 Verwijzings- Applicatie EVR Deelnemer A Deelnemer B raadpleegfunctie Incidentenregister Incidentenregister Veiligheids- afdeling X Medewerker frontoffice Veiligheids- afdeling Y Medewerker frontoffice Schematisch: gegevensuitwisseling FI verwijzingsgegevens EVR verwijzingsgegevens EVR
57 Opvallende bepalingen AVG (3) DATA PRIVACY IMPACT ASSESSMENT
58 Een “gegevensbeschermingseffectbeoordeling”, ofwel data privacy impact assessment (afgekort DPIA) is verplicht bij bepaalde vormen van gegevensverwerking. In de DPIA moet onder andere de noodzaak en de evenredigheid van de verwerkingen ten opzichte van betrokkene(n) in relatie tot de te bereiken doeleinden worden beoordeeld. De Autoriteit Persoonsgegevens heeft criteria gepubliceerd om te bepalen of een DPIA moet worden uitgevoerd en tevens voor verschillende situaties bepaald dat een DPIA verplicht is. Data Privacy impact assessment (art. 35 AVG) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/data-protection-impact- assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879
59 1. Onderneming overweegt om structureel of gedurende een langere periode cameratoezicht in te zetten om verliezen en schade door diefstal en fraude te beheersen. 2. Werkgever die een incidentele verborgen camera wil inzetten om vast te stellen wie betrokken is bij ernstige misstanden in de onderneming. Wanneer DPIA bij cameratoezicht? Bron: website AP: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/cameratoezicht/cameratoezicht- op-de-werkplek
60 1. Zorg dat het DPIA-document is opgenomen in het dossier over de kwestie waarvoor de verborgen camera is ingezet. Het kan dan worden ingebracht in een rechtszaak, indien noodzakelijk. 2. Het DPIA-document heeft de volgende opbouw: a. Aanleiding om een verborgen camera in te zetten; b. Beschrijving waarom het gerechtvaardigd is om een verborgen camera in te zetten (“de overwegingen”); c,. Motivering dat geen alternatieven voorhanden zijn die een minder grote inbreuk op de persoonlijke levenssfeer van betrokkene maken; d. De inzetcriteria die de risico’s voor de rechten en vrijheden van betrokkene tot een acceptabel niveau beperken. Tip voor ondernemers
61 Opvallende bepalingen AVG (4) PRIVACYGEDRAGSCODES
62 Extra eisen voor totstandkoming: Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkings- verantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg. Rechtsoverweging 98 en 99 Sectorale privacygedragscodes (art. 40 AVG)
63 Privacygedragscode recherchebureaus De jurisprudentie heeft gaande weg vuistregels gegeven voor particuliere onderzoeksmethoden en onderzoeksmiddelen. Vuistregels zijn opgenomen in de Privacygedragscode voor particuliere onderzoeksbureaus (PPO) van de Nederlandse Veiligheidsbranche. PPO is goedgekeurd door Autoriteit Persoonsgegevens en door Minister van Justitie & Veiligheid algemeen verbindend verklaard voor alle recherchebureaus met een vergunning op grond van de Wpbr.
64 Kernbepalingen PPO: artikel 5 en 6 AVG Voorgenomen onderzoeks- handeling 5 en 6 AVG vastleggen bevindingen in het dossier “verwerking” dat onder AVG valt besluit door opdrachtgever op basis van bevindingen Art. 5 lid 1 onder a AVG: rechtmatig, behoorlijk en transparant Art. 6 lid 1 AVG: rechtmatige verwerkingsgrondslag vereist Art. 5 lid 1 onder c AVG : ter zake dienend + beperkt tot wat nodig is
65 Door het opnemen van het bestanddeel “wederrechtelijk” in de strafbepalingen wordt ruimte geschapen voor een afweging van belangen in concrete situaties. Die afweging is uitgewerkt in de vuistregels van de PPO Rekening houden met Wetboek van Strafrecht Voorkom overtreding van: • Art. 138: Huisvredebreuk • Art. 139f: heimelijke camera • Art. 139a en 139b: heimelijk afluisteren of aftappen gesprek • Artikel 139c: aftappen / opnemen telefoongesprekken e/o emailberichten
66 Privacygedragscode recherchebureaus De vuistregels worden door de rechter gebruikt om vast te stellen of een particulier onderzoeksbureau zich aan de regels heeft gehouden. PPO biedt ook goede normering voor onderzoeken die werkgevers zelf uitvoeren.
67 1. De aan de AVG aangepaste PPO is in concept gereed, maar, kan deze op dit moment nog niet formeel aan de AP ter goedkeuring worden aangeboden. Eerst moet advies worden ingewonnen bij organisaties die belanghebbenden vertegenwoordigen. 2. De huidige PPO blijft geldig zolang de aangepaste PPO nog niet is goedgekeurd. 3. Onderzoeksbureaus worden geacht de bepalingen van de huidige PPO zoveel mogelijk in overeenstemming met de AVG uit te leggen en toe te passen. Stand van zaken PPO (1)
68 Varia
69 Nieuw: Biometrische gegevens met het oog op de identificatie van een persoon Uitzondering op verwerkingsverbod: Uitdrukkelijke toestemming voor de verwerking van die biometrische gegevens (art. 9 lid 2 onder a AVG) De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van, biometrische gegevens invoeren (art. 9 lid 4 AVG). Biometrische gegevens
70 Art. 29 UAVG: Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Uitvoeringswet AVG
71 1. https://onlineavgcheck.detailhandel.nl 2. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files /2017-11_stappenplan_avg_online_v2.pdf 3. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files /richtlijnen_fg.pdf 4. https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads /rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf 5. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese- privacywetgeving/data-protection-impact-assessment-dpia#in- welke-gevallen-moet-ik-een-dpia-uitvoeren-5879 6. https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom Hulpmiddelen

Recommended

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Griet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenGriet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenimec
 
Privacy in het arbeidsrecht
Privacy in het arbeidsrecht Privacy in het arbeidsrecht
Privacy in het arbeidsrecht AKD
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Intern Onderzoek Fraude
Intern Onderzoek FraudeIntern Onderzoek Fraude
Intern Onderzoek FraudeLydian
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenAKD
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 

Recommended

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD
 
Griet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenGriet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenimec
 
Privacy in het arbeidsrecht
Privacy in het arbeidsrecht Privacy in het arbeidsrecht
Privacy in het arbeidsrecht AKD
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Intern Onderzoek Fraude
Intern Onderzoek FraudeIntern Onderzoek Fraude
Intern Onderzoek FraudeLydian
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenAKD
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Sofie van der Meulen
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Axon Lawyers
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
 
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLCookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLclickdistrict
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacyFruytier Lawyers in Business
 
Presentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerPresentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerAKD
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Axon Lawyers
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie Suzanne Bruseker
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbpRob van Hees
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...verzekeringsbranchedag
 
Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Axon Lawyers
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Wim Lowet
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
AVG en archiefregelgeving - vrienden of vijanden
AVG en archiefregelgeving - vrienden of vijandenAVG en archiefregelgeving - vrienden of vijanden
AVG en archiefregelgeving - vrienden of vijandenVlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'PlatformSecurityManagement
 
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...PlatformSecurityManagement
 

More Related Content

Similar to ASMC 2018 Sessie 1.5 Privacy onder de plint

Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Axon Lawyers
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
 
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLCookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLclickdistrict
 
Presentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerPresentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerAKD
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Axon Lawyers
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...verzekeringsbranchedag
 
Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Axon Lawyers
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Wim Lowet
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 

Similar to ASMC 2018 Sessie 1.5 Privacy onder de plint (20)

Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en Overheid
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
 
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLCookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacy
 
Presentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerPresentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloer
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017
 
Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"Workshop "Privacy en ICT in de zorg"
Workshop "Privacy en ICT in de zorg"
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbp
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...
 
Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Mini symposium egpo maart 2017
Mini symposium egpo maart 2017
 
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...Algemene verordening gegevensbescherming (General Data Protection Regulation)...
Algemene verordening gegevensbescherming (General Data Protection Regulation)...
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten
 
AVG en archiefregelgeving - vrienden of vijanden
AVG en archiefregelgeving - vrienden of vijandenAVG en archiefregelgeving - vrienden of vijanden
AVG en archiefregelgeving - vrienden of vijanden
 

More from PlatformSecurityManagement

ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'PlatformSecurityManagement
 
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...PlatformSecurityManagement
 
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’PlatformSecurityManagement
 
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilienceASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resiliencePlatformSecurityManagement
 
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseurs
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseursASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseurs
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseursPlatformSecurityManagement
 
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'PlatformSecurityManagement
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?PlatformSecurityManagement
 
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...PlatformSecurityManagement
 
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?PlatformSecurityManagement
 
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)PlatformSecurityManagement
 
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professional
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professionalASMC - Sjoerd van der Meulen - Cybercrime vs Security professional
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professionalPlatformSecurityManagement
 
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...PlatformSecurityManagement
 
ASMC2017 - Looking after your mobile workforce in a globalising economy
ASMC2017 - Looking after your mobile workforce in a globalising economyASMC2017 - Looking after your mobile workforce in a globalising economy
ASMC2017 - Looking after your mobile workforce in a globalising economyPlatformSecurityManagement
 
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartner
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartnerASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartner
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartnerPlatformSecurityManagement
 
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...PlatformSecurityManagement
 

More from PlatformSecurityManagement (20)

ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
 
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
ASMC 2018 sessie 2.3 Een schip met meerdere kapiteins? Security in een Campus...
 
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’
ASMC Sessie 2.2 Aantoonbaar compliant beveiligen door middel van ‘human systems’
 
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilienceASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
ASMC 2018 Sessie 1.3 BCM en cyber security is cyber resilience
 
ASMC 2018 Sessie Privacy onder de plint
ASMC 2018 Sessie Privacy onder de plintASMC 2018 Sessie Privacy onder de plint
ASMC 2018 Sessie Privacy onder de plint
 
ASMC 2018 Sessie 1.4 Beyond surveillance
ASMC 2018 Sessie 1.4 Beyond surveillanceASMC 2018 Sessie 1.4 Beyond surveillance
ASMC 2018 Sessie 1.4 Beyond surveillance
 
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseurs
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseursASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseurs
ASMC 2018 Sessie 1.2 Verzekeraars als veiligheidsregisseurs
 
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
ASMC 2018 Keynote 3: 'Over het sterke en zwakke van ketens'
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
 
ASMC 2018
ASMC 2018 ASMC 2018
ASMC 2018
 
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...
ASMC 2017 - Cor Treure - Cloud-benefits for the Customers: van concept naar a...
 
ASMC2017 - rondetafel young professionals
ASMC2017 - rondetafel young professionalsASMC2017 - rondetafel young professionals
ASMC2017 - rondetafel young professionals
 
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?
ASMC 2017 - Gertj-Jan Poelman - Het nieuwe werken, nieuwe risico's?
 
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)
ASMC2017 - Gert-Jan Poelman - Het nieuwe werken, nieuwe risico’s? (lightversie)
 
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professional
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professionalASMC - Sjoerd van der Meulen - Cybercrime vs Security professional
ASMC - Sjoerd van der Meulen - Cybercrime vs Security professional
 
ASMC 2017 - Marcel Spit
ASMC 2017 - Marcel Spit ASMC 2017 - Marcel Spit
ASMC 2017 - Marcel Spit
 
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...
ASMC2017 - Maatwerk in safety: met 6 stappen naar een effectieve bedrijfshulp...
 
ASMC2017 - Looking after your mobile workforce in a globalising economy
ASMC2017 - Looking after your mobile workforce in a globalising economyASMC2017 - Looking after your mobile workforce in a globalising economy
ASMC2017 - Looking after your mobile workforce in a globalising economy
 
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartner
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartnerASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartner
ASMC 2017 - Rudy Neefs - Van bedrijfspolitieman naar kritieke businesspartner
 
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...
Asmc 2017 - Ernst Westerhoff - Uw organisatie wordt flexibel, uw toegangsbehe...
 

ASMC 2018 Sessie 1.5 Privacy onder de plint

  • 1. Privacy onder de plint Spreker: Felix Olijslager
  • 2. 2 Onderwerpen 1. In welke wetten staan bepalingen over privacy? 2. Definities en kernbepalingen 3. Opvallende bepalingen en praktische uitwerking 4. Valkuilen en misverstanden 5. Varia 6. Hulpmiddelen
  • 3. 3 3 Welke wetten zijn relevant? In verschillende wetten zijn bepalingen opgenomen over “privacy”. Het begrip privacy kan worden onderscheiden in twee concepten: Onderscheid: - Omgaan met persoonsgegevens (informationele privacy) en - omgaan met de persoonlijke levenssfeer (relationele privacy)
  • 5. 5 Alles Verandert Gigantisch Angstzaaien Voor Geld of Aanpraten Van Gevaar Afschuiven Verantwoordelijkheid Gelukt Afvinken Verplichtingen Gedaan Alleen Voor Gevorderden Waar staat AVG voor?
  • 6. 6 Op Europees niveau geldt vanaf 25 mei 2018 de AVG. In de Nederlandse Uitvoeringswet AVG worden afwijkingen en uitzonderingen gegeven op de AVG (uitgangspunt: beleidsneutrale implementatie AVG t.o.v. Wbp). Daarnaast zijn in Nederland in sectorspecifieke wetten concrete grondslagen voor verwerking van persoonsgegevens en bijzondere persoonsgegevens opgenomen. Algemene Verordening Gegevensbescherming Daarnaast Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en aanverwante wetgeving.
  • 7. 7 • Wet op de geneeskundige behandelingsovereenkomst (WGBO); • Wet kwaliteit, klachten en geschillen zorg (Wkkgz); • Wet op de beroepen in de individuele gezondheidszorg (Wet BIG); • Zorgverzekeringswet (Zvw); • Wet marktordening gezondheidszorg (Wmg); Voorbeeld sectorspecifieke wetgeving: Zorg
  • 8. 8 De AVG is dus niet de enige wet dat bepalingen bevat over “privacy”. De AVG is niet de “Wet op de Privacy”
  • 9. 9 9 Toepasselijke wetgeving: Grondwet Basisbepalingen persoonlijke levenssfeer • Art. 10 Grondwet: Erkent het recht op eerbiediging van de persoonlijke levenssfeer en schrijft voor dat inbreuken daarop bij of krachtens een wet in formele zin moeten zijn geregeld. Art. 10 geldt niet voor de omgang met persoonsgegevens = AVG) • Art. 13 Grondwet: brief- en telefoongeheim (vertrouwelijke communicatie) (“reasonable expectation of privacy”);
  • 10. 10 Toepasselijke wetgeving: BW en WvSr Basisbepalingen persoonlijke levenssfeer • 7:611 BW (goed werknemerschap, goed werkgeverschap) Goed werkgever controleert in beginsel niet “heimelijk” • 7:660 BW (instructierecht werkgever - gedragsregels) Basisbepalingen Wetboek van Strafrecht (WvSr) • Onder andere artikelen 139a – 139f, 138ab en 441b WvSr
  • 11. 11 Toepasselijke wetgeving: WOR Basisbepalingen brede concept “privacy” • Art. 27 k WOR: instemmingsrecht bij een regeling omtrent verwerking persoonsgegevens van in onderneming werkzame personen • Art. 27 l WOR: instemmingsrecht bij een regeling inzake voorziening gericht op aanwezigheid/gedrag/prestaties van in onderneming werkzame personen
  • 12. 12 Wetgeving over omgang met persoonsgegevens Algemene Verordening Gegevensbescherming (AVG en UAVG) • Incidentenregister, waarschuwingslijsten, collectieve ontzeggingen • onderzoek integriteitsschendingen door medewerkers en uitgevoerd door werkgevers (profit en niet-profit sector), fraudeonderzoek door niet-opsporingsambtenaren • Employmentscreening (anders dan Wet Veiligheidsonderzoeken) Wet justitiële en strafvorderlijke gegevens • Onder andere: VOG en gegevensverstrekking aan benadeelden Wet politiegegevens • Onder meer: gegevensverkrijging als benadeelde en gegevensuitwisseling in samenwerkingsverbanden
  • 14. 14 Toepasselijkheid AVG De AVG richt zich op de bescherming van persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. indien sprake is van: geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens.
  • 15. 15 Begrip persoonsgegevens Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoonsgegeven kan direct of indirect identificerend zijn. Identificerende gegevens zijn gegevens als naam, bestelnummer toegangskaart via online ticketbureau, vingerafdruk, gelaatsafbeelding of burgerservicenummer. Alleen of in combinatie met elkaar zijn deze gegevens dermate uniek en kenmerkend voor iemand dat hij met een vrij grote mate van zekerheid kan worden geïdentificeerd.
  • 17. 17 Algemene beginselen AVG 1 Beginsel van rechtmatigheid, behoorlijkheid en transparantie (artikel 5 lid 1 onder a AVG) 2 Beginsel van doelbepaling en doelbinding (5 lid 1 onder b AVG) 3 Beginsel van de deugdelijke verwerkingsgrondslag (artikel 6 lid 1 AVG) 4 Beginsel van niet-verenigbare verdere verwerking (artikel 6 lid 4 AVG) 5 Beginsel van opslagbeperking (artikel 5 lid 1 onder e AVG) 6 Beginsel van minimale gegevensverwerking (artikel 5 lid 1 onder c) 7 Beginsel van integriteit en vertrouwelijkheid (artikel 5 lid 1 onder f ) 8 Beginsel van juistheid (artikel 5 lid 1 onder d AVG)
  • 18. 18 Wbp • Art. 6: Rechtmatig en behoorlijk • art. 7: Doelbepaling en -binding • art. 8: Deugdelijke verwerkings- grondslag • art. 9: Niet-verenigbare verdere verwerking • art. 11: Minimale verwerking van persoonsgegevens • art. 33: Transparantie (+ art.34) • art. 10: Opslagbeperking • art. 43: Uitzonderingsbepaling transparantie AVG • art. 5 lid 1 onder a AVG • art. 5 lid 1 onder b AVG • art. 6 lid 1 AVG • art. 6 lid 4 AVG • art. 5 lid 1 onder c AVG • art. 13 en 14 AVG • art. 5 lid 1 onder e AVG • art. 23 AVG jo art. 41 Uitvoeringswet AVG Conversie +/- gelijkluidende artikelen
  • 19. 19 1. De rechten van betrokkenen worden versterkt - artikel 17 AVG: recht op vergetelheid - artikel 20 AVG: recht op dataportabiliteit - Art. 13 en 14 AVG: meer transparantie en verantwoording - Art. 22 AVG: besluitvorming op basis van profilering niet toegestaan, tenzij met menselijke tussenkomst en mits transparant (denk aan kredietwaardigheidsbeoordeling) In materieel opzicht beperkt aantal wijzigingen (1)
  • 20. 20 2. Wel een paar nieuwe “gadgets”, zoals: - artikel 37 AVG: in meer gevallen verplichting tot het aanwijzen van een functionaris voor gegevensbescherming (FG) - artikel 30 AVG: verantwoordingsplicht (art. 5 lid 2 AVG) vergt dat informatiestromen in kaart worden gebracht en verwerkingen van persoonsgegevens worden bijgehouden (AVG-register). - Als gevolg van deze bepalingen hoeven gegevensverwerkingen niet vooraf meer gemeld te worden bij de AP; - Voor een aantal situaties is een vergunning of voorafgaande raadpleging AP vereist In materieel opzicht beperkt aantal wijzigingen (2)
  • 21. 21 3. Het voorafgaand onderzoek door de AP voor heimelijke gegevensvergaring* is vervallen: - In plaats daarvan moet de verwerkingsverantwoordelijke een DPIA uitvoeren en soms de AP consulteren (voorafgaande raadpleging) (art. 35 AVG). Voorbeeld: - Inzet (verborgen) camera’s door werkgevers - Informatievergaring in de onderzoeksfase zonder dat betrokkene hierover vooraf geïnformeerd wordt In materieel opzicht beperkt aantal wijzigingen (3) * Vergaren van persoonsgegevens d.m.v. eigen onderzoek zonder betrokkene vooraf te informeren
  • 22. 22 • rechtmatig, behoorlijk en transparant (beginsel van rechtmatigheid, behoorlijkheid en transparantie) - Persoonsgegevens mogen alleen worden verwerkt indien dat rechtmatig, eerlijk en transparant gebeurt. • doelbinding (beginsel van doelbepaling en doelbinding) - Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Algemene beginselen (1)
  • 23. 23 • Verbod om “persoonsgegevens van strafrechtelijke aard” te verwerken (art. 10 AVG) - Van belang voor waarschuwingssystemen en collectieve toegangsverboden • tenzij de UAVG een uitzondering geeft 1. Strafrechtelijke gegevens mogen “ten eigen behoeve” (voor de eigen onderneming) worden verwerkt (art. 33 lid 2 UAVG) 2. Strafrechtelijk gegevens mogen “voor derden” worden verwerkt, indien deze derde een rechtspersoon is die in dezelfde groep is verbonden als bedoeld in artikel 24b van Boek 2 van het Burgerlijk Wetboek (art. 33 lid 4 onder b UAVG); Algemene beginselen (2) UAVG = Uitvoeringswet AVG
  • 24. 24 • tenzij de UAVG een uitzondering geeft 3. Strafrechtelijke gegevens mogen “voor derden” worden verwerkt ten behoeve van derden worden verwerkt: a. door verwerkingsverantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus b. met een vergunning van de Autoriteit Persoonsgegevens (branchewaarschuwingslijsten) (art. 33 lid 4 onder c en art. 34 UAVG) Algemene beginselen (2a) UAVG = Uitvoeringswet AVG
  • 25. 25 • Verbod om “bijzondere persoonsgegevens” te verwerken (art. 9 AVG juncto art. 22 UAVG) • tenzij Nationaalrechtelijke algemene uitzonderingen - Art. 23 UAVG: Het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien: de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt. Algemene beginselen (2b) UAVG = Uitvoeringswet AVG
  • 26. 26 In aanvulling op beginsel 2 is de verwerking alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan (beginsel van de deugdelijke verwerkingsgrondslag): - de betrokkene heeft toestemming gegeven* of - de verwerking is noodzakelijk: - voor de uitvoering van een overeenkomst - om te voldoen aan een wettelijke verplichting - om de vitale belangen van de betrokkene of van een ander te beschermen - voor de vervulling van een taak van algemeen belang - voor de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde, tenzij de belangen van betrokkene (lees: betrokkene) zwaarder wegen (Dit is de “privacytoets” van art. 8 aanhef en onder f WBP / art. 6 lid 1 onder f AVG ) Algemene beginselen (3) * Het geven van toestemming door werknemers kan niet worden toegepast in arbeidsverhoudingen.
  • 27. 27 • Niet meer dan nodig („minimale gegevensverwerking”) - Verwerken persoonsgegevens moet toereikend, ter zake dienend en beperkt worden tot wat noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt • Juistheid (beginsel van juistheid) - de gegevens moeten juist zijn en anders onverwijld wissen of rectificeren Algemene beginselen (4)
  • 28. 28 • Opslagduur beperken (beginsel van opslagbeperking) - persoonsgegevens niet langer bewaren dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt • Beveiligen persoonsgegevens (beginsel van integriteit en vertrouwelijkheid) - Persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging door het nemen van passende, technische en organisatorische maatregelen Algemene beginselen (5)
  • 29. 29 • Te verstrekken informatie wanneer persoonsgegevens van de betrokkene worden verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens worden verzameld - de ontvangers of categorieën van ontvangers van de gegevens - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - Facultatief de bewaartermijn van de gegevens. Algemene beginselen (6) Art. 33 WBP is uitgebreid. Nieuw art. 13 AVG van belang voor interviewen en beheersvoorzieningen
  • 30. 30 • Te verstrekken informatie wanneer persoonsgegevens van de betrokkene worden verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens worden verzameld - de ontvangers of categorieën van ontvangers van de gegevens - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - Facultatief de bewaartermijn van de gegevens. Algemene beginselen (6) Art. 33 WBP is uitgebreid. Nieuwe art. 13 AVG van belang voor interviewen en beheersvoorzieningen
  • 31. 31 • Te verstrekken informatie wanneer persoonsgegevens niet van de betrokkene zijn verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens zijn verzameld - de ontvangers of categorieën van ontvangers van de verzamelde gegevens - de soort (categorieën) persoonsgegevens die zijn vastgelegd - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - facultatief de bewaartermijn van de gegevens. Algemene beginselen (7) Art. 34 WBP wordt uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
  • 32. 32 • Te verstrekken informatie wanneer persoonsgegevens niet van de betrokkene zijn verzameld - de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke - de contactgegevens van de FG (indien aanwezig) - de doeleinden waarvoor de gegevens zijn verzameld - de ontvangers of categorieën van ontvangers van de verzamelde gegevens - de soort (categorieën) persoonsgegevens die zijn vastgelegd - de rechtsgrondslag voor de verwerking van de persoonsgegevens en een toelichting daarop, alsmede - facultatief de bewaartermijn van de gegevens. Algemene beginselen (7) Art. 34 WBP is uitgebreid. Nieuwe art. 14 AVG van belang voor onderzoek en nadien pas confrontatiegesprek
  • 34. 34 Wbp • Verantwoordelijke (controller) • Bewerker (processor) 'processor' means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller. AVG • Verwerkingsverantwoordelijke • Verwerker De verwerkingsverantwoordelijke beslist zelf of persoonsgegevens worden verwerkt, voor welk doel de organisatie dat doet, om welke persoonsgegevens het gaat en welke middelen hiervoor worden inzet. De vv vergaart en analyseert en voegt zo nodig gegevens toe. Ander woord gelijke betekenis
  • 35. 35 Verwerker Een verwerker is een partij aan wie de ‘verwerkingsverantwoordelijke’ de gegevensverwerking heeft uitbesteed, bijvoorbeeld een administratiekantoor voor de salarisadministratie. In de verhouding verwerker en verwerkingsverantwoordelijke is een verwerkersovereenkomst vereist Misverstanden • Ontvangers zijn geen “verwerkers”, hoewel ontvangers wel “gegevens verwerken”. • Geen uitbesteding bij verdeling werkzaamheden tussen afdelingen van dezelfde organisatie. Dus: GEEN Verwerkersovereenkomst Verwerkers en misverstanden
  • 36. 36 Verwerken • Het gehele proces dat een persoonsgegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietigen. • De AVG noemt onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken en verstrekken van persoonsgegevens. Verder verwerken • Verwerken van gegevens voor een ander doel dan dat waarvoor de gegevens verzameld zijn. • Dient plaats te vinden met terughoudendheid en hiervoor zijn in twee artikelen mogelijkheden gecreëerd. (art. 6 lid 4 en art. 23 AVG) Begrip “verwerken” en “verder verwerken”
  • 37. 37 Verdere verwerking (voor een ander doel) wordt expliciet toegestaan in een drietal situaties: 1. Verdere verwerking voor een ander doel dat verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld (verenigbare verdere verwerking). De verwerkingsverantwoordelijke moet toetsen of dat zo is aan de hand van de in artikel 6, vierde lid, opgenomen criteria; 2. Niet verenigbare verdere verwerking is mogelijk op basis van uitdrukkelijk toestemming van de betrokkene; 3. Niet-verenigbare verdere verwerking is mogelijk op basis van een specifieke wettelijke bepaling in de Nederlandse wet met het oog op de in artikel 23, lid 1, bedoelde doelstellingen (doorbreking van de doelbinding) Mogelijkheden verdere verwerking DE NIET-VERENIGBARE VERDERE VERWERKING ANDERS DAN ad 2 VERGT EEN WETTELIJKE BASIS!
  • 38. 38 De verwerkingsverantwoordelijke houdt bij de beoordeling van de vraag of sprake is van verenigbare verdere verwerking, onder meer rekening houdt met: 1. Het verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking; 2. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke betreft; 3. de aard van de persoonsgegevens (bijzondere categorieën van persoonsgegevens, art. 9 AVG, en of strafrechtelijke gegevens, art. 10 AVG); 4. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkene Toepassen art. 6 lid 4 AVG om verder te verwerken Art. 6 lid 4 AVG (oude art. 9 Wbp) vormt basis voor gegevensuitwisseling in samenwerkingsverbanden (zoals ECTF)
  • 39. 39 Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en relevante verdere informatie, waaronder: 1. Het verwerkingsdoel 2. de (voorgenomen) ontvanger 3. het gerechtvaardigd belang om verder te verstrekken 4. het recht tegen de verwerking bezwaar te maken 5. De mogelijkheid om een klacht in te dienen bij de toezichthouder Voorwaarde om verder te mogen verwerken Art. 13 lid 3 en art. 14 lid 4 AVG. Geldt niet in geval van wettelijke geheimhoudingsbepalingen (bijv. 126bb WvSv)
  • 40. 40 Opvallende bepalingen AVG (1) VERWERKINGSREGISTER
  • 41. 41 Register van verwerkingen Organisaties* moeten een accuraat overzicht hebben van activiteiten waarmee zij persoonsgegevens “verwerken” (art. 30 AVG). Voor dit “AVG-register” of “verwerkingsregister” moeten de datastromen in kaart worden gebracht en zo mogelijk worden geclusterd tot een overzichtelijk geheel. HIER GAAT HET MIS IN DE PRAKTIJK!! Registratie en verantwoording (1) * In ieder geval verplicht bij meer dan 250 medewerkers.
  • 42. 42 In het “AVG-register” moeten per (cluster van verwerkingsactiviteit (en) de volgende gegevens worden opgenomen: • De verwerkingsdoeleinden (lees: ”verzameldoeleiden); • een beschrijving van de categorieën van betrokkenen • een beschrijving van de categorieën van persoonsgegevens die worden verwerkt; • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; • de bewaarduur van gegevens en • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen Het register wordt opgesteld en beheerd door de FG Wat moet worden geregistreerd?
  • 43. 43 Overzicht verwerking van persoonsgegevens Klanten Personeel Crediteuren Beheersvoorzieningen Cameratoezicht Toegangsbeheer Internet Telefonie E-mail Logging handelingen etc. Incidentenregister (EVR) Beheersvoorzieningen kennen verschillende beheerders binnen onderneming, waardoor afstemming nodig is voor verzameldoelen en bewaarduur gegevens. Als deze gegevens worden gebruikt als personeelsvolgsysteem moet de OR instemming geven. Transparantie wederom van groot belang, aangezien we hier te maken hebben met informationele privacy. Doelen goed omschrijven: - bewaren t.b.v. belastingdienst - betaling leveranciers - gegevens leaseauto / telefoon ook relevant voor fraudeonderzoeken Gegevens uit personeelsadministratie van belang voor beheersvoorzieningen (personeelsnummers, user-id’s) © mr. F.B.M. Olijslager - NISeR Directie
  • 44. 44 Verwerkingsregister Toegangsregistratie verzameldoel(en) Categorie gegevens Ontvangers gegevens Bewaarduur gegevens a - - - - - - - - Voor het doel onder a Voor het doel onder a b Voor het doel onder b Voor het doel onder c c etc etc d etc etc
  • 45. 45 Verwerkingsregister Cameratoezicht verzameldoel(en) Categorie gegevens Ontvangers gegevens Bewaarduur gegevens a reconstrueren van voorvallen die een inbreuk hebben gemaakt op grondrechten - - - - - - - - Voor het doel onder a Voor het doel onder a b onderzoeken van vermeende integriteits- schendingen en/of overtreding van gedragsregels en/of wettelijke voorschriften Voor het doel onder b Voor het doel onder c c verlenen van toegang van personen en/of voertuigen etc etc d analyseren van…. etc etc
  • 46. 46 Verantwoordingsplicht (art. 5 lid 2 AVG) Organisaties hebben een verantwoordingsplicht. Dat betekent dat organisaties moeten kunnen aantonen dat zij voldoen aan de algemene beginselen van art. 5 lid 1AVG. Bijvoorbeeld door: • Aan te tonen op welke wijze gegevensdragers zijn beschermd tegen virussen (key-loggers) en hacken; • aan te tonen dat procedures zijn opgesteld om alleen bevoegden toegang te geven tot persoonsgegevens; • aan te tonen dat met externe partijen die gegevens verwerken afspraken zijn gemaakt worden over het gebruik, het beveiligen en het vernietigen van de gegevens na gebruik. Registratie en verantwoording (2)
  • 47. 47 Opvallende bepalingen AVG (2) BESCHERMING PRIVACY BY DESIGN AND BY DEFAULT
  • 48. 48 Rechtsoverweging 78 AVG, uitgewerkt in art. 25 AVG In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Gegevensbescherming by design en by default
  • 49. 49 Dit betekent twee dingen. Ten eerste. Bij het ontwerpen van een nieuwe verwerking van persoonsgegevens, zijn organisaties verplicht om bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen. Vervolgens moeten organisaties ook achteraf aan kunnen tonen dat ze dit inderdaad hebben gedaan. Gegevensbescherming by design en by default
  • 50. 50 Dit betekent twee dingen. Ten tweede. De standaard gedachte is dat privacy zoveel mogelijk gewaarborgd wordt. De standaard is dat persoonsgegevens alleen gedeeld mogen worden als dat noodzakelijk is. Gegevensbescherming by design en by default
  • 51. 51 Voorbeeld Privacy by design en by default Uitgangspunt brancheverenigingen in Nederland. Er wordt niet geconcurreerd op veiligheid en integriteit. Dit vergt samenwerking en dat betekent dat gegeven worden uitgewisseld indien dat noodzakelijk om de schadelast als gevolg van fraude te beheersen.
  • 52. 52 Branchewaarschuwingssystemen in NL - Detailhandel (via Stichting Fraude Aanpak Detailhandel) - Logistieke sector (Transport en Logistiek Nederland, ACN, EVO, Fenex en KNV). - Financiële sector - Zorg en Welzijn
  • 53. 53 Kenmerk branchewaarschuwingssystemen Kenmerkend voor fraudedossiers is dat persoonsgegevens “van strafrechtelijke aard” worden verwerkt. Verbod verwerking “strafrechtelijke gegevens”, tenzij de Uitvoeringswet AVG (UAVG) dat toestaat. UAVG: Ondernemingen mogen strafrechtelijke gegevens verwerken: • "ten eigen behoeve“: Rabobank • binnen een groep/concern: Rabogroep • "voor derden" onder voorwaarden: branche
  • 54. 54 Branchewaarschuwingssystemen en de AVG Voor een branchewaarschuwingssysteem is een vergunning nodig van de AP. De juridische basis voor de vergunningverlening zijn brancheprotocollen. In de financiële sector: het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Het PIFI beschrijft de werking van het branchewaarschuwingssysteem.
  • 55. 55 Voorbeeld Financiële instellingen Verwijzingsindices Van de fraudeur worden de identificerende gegevens die zijn vastgelegd in het incidentenregister opgenomen in het extern verwijzingsregister (EVR). Andere deelnemers aan het systeem kunnen vaststellen of iemand voorkomt in het incidentenregister van een andere deelnemer Raadpleging verwijzingsregister door deelnemers Uitsluitend voor cliëntacceptatie en acceptatie van personeel op basis van: – hit/no hit – doormelding van de hit aan de bron – Verplichting om te informeren naar de reden van opname
  • 56. 56 Verwijzings- Applicatie EVR Deelnemer A Deelnemer B raadpleegfunctie Incidentenregister Incidentenregister Veiligheids- afdeling X Medewerker frontoffice Veiligheids- afdeling Y Medewerker frontoffice Schematisch: gegevensuitwisseling FI verwijzingsgegevens EVR verwijzingsgegevens EVR
  • 57. 57 Opvallende bepalingen AVG (3) DATA PRIVACY IMPACT ASSESSMENT
  • 58. 58 Een “gegevensbeschermingseffectbeoordeling”, ofwel data privacy impact assessment (afgekort DPIA) is verplicht bij bepaalde vormen van gegevensverwerking. In de DPIA moet onder andere de noodzaak en de evenredigheid van de verwerkingen ten opzichte van betrokkene(n) in relatie tot de te bereiken doeleinden worden beoordeeld. De Autoriteit Persoonsgegevens heeft criteria gepubliceerd om te bepalen of een DPIA moet worden uitgevoerd en tevens voor verschillende situaties bepaald dat een DPIA verplicht is. Data Privacy impact assessment (art. 35 AVG) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/data-protection-impact- assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879
  • 59. 59 1. Onderneming overweegt om structureel of gedurende een langere periode cameratoezicht in te zetten om verliezen en schade door diefstal en fraude te beheersen. 2. Werkgever die een incidentele verborgen camera wil inzetten om vast te stellen wie betrokken is bij ernstige misstanden in de onderneming. Wanneer DPIA bij cameratoezicht? Bron: website AP: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/cameratoezicht/cameratoezicht- op-de-werkplek
  • 60. 60 1. Zorg dat het DPIA-document is opgenomen in het dossier over de kwestie waarvoor de verborgen camera is ingezet. Het kan dan worden ingebracht in een rechtszaak, indien noodzakelijk. 2. Het DPIA-document heeft de volgende opbouw: a. Aanleiding om een verborgen camera in te zetten; b. Beschrijving waarom het gerechtvaardigd is om een verborgen camera in te zetten (“de overwegingen”); c,. Motivering dat geen alternatieven voorhanden zijn die een minder grote inbreuk op de persoonlijke levenssfeer van betrokkene maken; d. De inzetcriteria die de risico’s voor de rechten en vrijheden van betrokkene tot een acceptabel niveau beperken. Tip voor ondernemers
  • 61. 61 Opvallende bepalingen AVG (4) PRIVACYGEDRAGSCODES
  • 62. 62 Extra eisen voor totstandkoming: Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkings- verantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg. Rechtsoverweging 98 en 99 Sectorale privacygedragscodes (art. 40 AVG)
  • 63. 63 Privacygedragscode recherchebureaus De jurisprudentie heeft gaande weg vuistregels gegeven voor particuliere onderzoeksmethoden en onderzoeksmiddelen. Vuistregels zijn opgenomen in de Privacygedragscode voor particuliere onderzoeksbureaus (PPO) van de Nederlandse Veiligheidsbranche. PPO is goedgekeurd door Autoriteit Persoonsgegevens en door Minister van Justitie & Veiligheid algemeen verbindend verklaard voor alle recherchebureaus met een vergunning op grond van de Wpbr.
  • 64. 64 Kernbepalingen PPO: artikel 5 en 6 AVG Voorgenomen onderzoeks- handeling 5 en 6 AVG vastleggen bevindingen in het dossier “verwerking” dat onder AVG valt besluit door opdrachtgever op basis van bevindingen Art. 5 lid 1 onder a AVG: rechtmatig, behoorlijk en transparant Art. 6 lid 1 AVG: rechtmatige verwerkingsgrondslag vereist Art. 5 lid 1 onder c AVG : ter zake dienend + beperkt tot wat nodig is
  • 65. 65 Door het opnemen van het bestanddeel “wederrechtelijk” in de strafbepalingen wordt ruimte geschapen voor een afweging van belangen in concrete situaties. Die afweging is uitgewerkt in de vuistregels van de PPO Rekening houden met Wetboek van Strafrecht Voorkom overtreding van: • Art. 138: Huisvredebreuk • Art. 139f: heimelijke camera • Art. 139a en 139b: heimelijk afluisteren of aftappen gesprek • Artikel 139c: aftappen / opnemen telefoongesprekken e/o emailberichten
  • 66. 66 Privacygedragscode recherchebureaus De vuistregels worden door de rechter gebruikt om vast te stellen of een particulier onderzoeksbureau zich aan de regels heeft gehouden. PPO biedt ook goede normering voor onderzoeken die werkgevers zelf uitvoeren.
  • 67. 67 1. De aan de AVG aangepaste PPO is in concept gereed, maar, kan deze op dit moment nog niet formeel aan de AP ter goedkeuring worden aangeboden. Eerst moet advies worden ingewonnen bij organisaties die belanghebbenden vertegenwoordigen. 2. De huidige PPO blijft geldig zolang de aangepaste PPO nog niet is goedgekeurd. 3. Onderzoeksbureaus worden geacht de bepalingen van de huidige PPO zoveel mogelijk in overeenstemming met de AVG uit te leggen en toe te passen. Stand van zaken PPO (1)
  • 69. 69 Nieuw: Biometrische gegevens met het oog op de identificatie van een persoon Uitzondering op verwerkingsverbod: Uitdrukkelijke toestemming voor de verwerking van die biometrische gegevens (art. 9 lid 2 onder a AVG) De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van, biometrische gegevens invoeren (art. 9 lid 4 AVG). Biometrische gegevens
  • 70. 70 Art. 29 UAVG: Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Uitvoeringswet AVG
  • 71. 71 1. https://onlineavgcheck.detailhandel.nl 2. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files /2017-11_stappenplan_avg_online_v2.pdf 3. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files /richtlijnen_fg.pdf 4. https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads /rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf 5. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese- privacywetgeving/data-protection-impact-assessment-dpia#in- welke-gevallen-moet-ik-een-dpia-uitvoeren-5879 6. https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom Hulpmiddelen