2. nerd as a service_
Wat leer je vandaag_
Wat is de AVG
Wat zijn de 3 grootste privacy-risico’s
Wat kan je zelf doen
3. nerd as a service_
Wie is Wiebe_
Jurist/ondernemer
Oprichter Dutch Crown Legal Advice
Politicologie VU Amsterdam
Civiel Recht Universiteit Leiden
Deloitte Privacy Team
5. nerd as a service_
Wat is de AVG_
Algemene verordening
gegevensbescherming
(General Data Protection Regulation)
Per 25 mei 2018 van toepassing
Waarborgt privacyrechten
6. nerd as a service_
Kernbegrippen_
Persoonsgegevens
(Personal data)
Verwerken
(Processing)
Verwerkingsverantwoordelijke
(Controller)
Betrokkene
(Data subject)
7. nerd as a service_
Toepassingsgebied AVG_Toepassingsgebied AVG_
Materieel
● Van toepassing op verwerking
van persoonsgegevens
● Behalve in de huishoudelijke
sfeer en bij verwerking door
autoriteiten voor
(strafrechtelijk)onderzoek
Territoriaal
● Verwerkingsverantwoor-
delijke gevestigd in de
Europese Unie
● Verwerkingsverantwoor-
delijke gevestigd buiten
de Unie die gegevens van
EU-burgers verwerkt
8. nerd as a service_
Wat zijn persoonsgegevens_
“Alle informatie over een (reeds)
geïdentificeerde of direct of indirect
identificeerbare natuurlijke persoon
(‘de betrokkene’)”
Natuurlijke persoon
Geïdentificeerd
Indentificeerbaar (direct of indirect)
16. nerd as a service_
Ken je organisatie_
Welke data hebben we?
Hoe verwerken we persoonsgegevens?
Wat voor soort persoonsgegevens verwerken
we?
Hoogrisico-verwerking..?
Verplichte DPIA
“Gegevensbeschermingseffectbeoordeling“
17. nerd as a service_
Risico-categorieën_
Schade door inadequate beveiliging
van persoonsgegevens
Schade door gebruik onjuiste
persoonsgegevens
Schade door oneigenlijk gebruik van
persoonsgegevens
18. nerd as a service_
Inadequate beveiliging_
Vereist:
Adequaat niveau van beveiliging gelet op de
gevoeligheid van de verwerking
(het verwerkingsrisico)
Maatregelen:
● Security-assessments
● Geïdentificeerde risico’s opvolgen en
mitigeren
● Documenteren
19. nerd as a service_
Onjuiste persoonsgegevens_
Vereist:
Verwerkte persoonsgegevens moeten actueel
en accuraat zijn
Maatregelen:
● Pro-actief en periodiek controleren op
juistheid
● Het recht van betrokkene op inzage,
rectificatie en gegevenswissing
(technisch) mogelijk maken
● Documenteren
20. nerd as a service_
Oneigenlijk gebruik_
Vereist:
Verwerking alleen in geval van welbepaald,
uitdrukkelijk en gerechtvaardigd doeleinde:
● Op basis van een wettelijke grondslag
● Strikt beperkt tot wat hiervoor noodzakelijk is
Maatregelen:
● Kies je grondslag en formuleer duidelijke
doeleinde(n)
● Communiceer beiden naar betrokkene(n)
(bijv. privacy statement)
● Documenteren
AVG
Europese wetgeving: invulling begrippen door EU hof van Justitie
Verordening: directe werking, toepassing door NL rechter
Opvolger van Richtlijn (die is omgezet in de Wbp)
25 mei 2018
Veel verplichtingen gelden al via Wbp
Waarborgt privacyrechten
Is een afgeleide van recht op privacy uit EVRM (art. 8), maar dan gericht op verwerking van persoonsgegevens
Persoonsgegevens: informatie/data die gaat over een persoon. Zie latere slide.
Verwerken: alles dat je doet met die gegevens. Vastleggen, verzamelen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, combineren, afschermen, wissen of vernietigen. Dus: alles.
Verwerkingsverantwoordelijke: degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bijv. AH met bonuspasjes.
Betrokkene: degene over wie die gegevens gaan
Materieel toepassingsgebied (art. 2 AVG)
Huishoudelijke sfeer (bijv. adressenboekje): dus gaat eigenlijk om organisaties
Autoriteiten: hebben eigen wetgeving, anders moet politie toestemming vragen Holleeder aftappen
Territoriaal toepassingsgebied (art. 3 AVG):
Gevestigd binnen EU: bijv. AH met bonuspasjes
Gevestigd buiten EU: Alleen doorgifte data EU-burgers buiten EU indien ‘passend beveiligingsniveau’
Gevestigd binnen EU maar verwerking NIET EU-burger: niet duidelijk. AVG sluit niet uit, dus van toepassing
Natuurlijke persoon: geen rechtspersoon (bedrijf), geen dood iemand
Geïdentificeerd: je weet al wie ik ben
Identificeerbaar: je weet nog niet wie ik ben, maar kan dat herleiden
Direct: naam in paspoort
Indirect: met behulp van andere informatie (afh. van je capabilities ”geen onevenredige inspanning”)
Afh. van capabilities
Normaal: nee (bijv. bedrijf maakt voor presentatie foto’s van random voetsporen in bos)
CSI: ja (bijv. politie maakt voor dossier foto’s van voetsporen crime scene)
Natuurlijke persoon: geen rechtspersoon (bedrijf), geen dood iemand
Geïdentificeerd: je weet al wie ik ben
Identificeerbaar: je weet nog niet wie ik ben, maar kan dat herleiden
Direct: naam in paspoort
Indirect: met behulp van andere informatie (afh. van je capabilities ”geen onevenredige inspanning”)
Eigenlijk 3.5 risico’s…..
Hoogrisico-verwerking (in ieder geval bij…)
Systematisch en uitvoerig persoonlijke aspecten evalueren (bijv. profiling)
Grote schaal verwerken bijzondere persoonsgegevens
Afkomst (ras/etnischiteit)
Gezondheid
Seksualiteit
Religie
Politieke voorkeur / lidmaatschap vakbond
Genetische/biometrische gegevens
Grote schaal en systematisch mensen volgen publieke ruimte (bijv. cameratoezicht).
Beveiliging (art. 32 AVG):
Passende technische en organisatorische maatregelen
Risico VS moeite: (stand van de techniek/uitvoeringskosten) VS (soort gegevens/omvang etc.)
Voorbeeld rijbewijs
Rijbewijs gestolen, aangifte diefstal gedaan
Rijbewijs pas ongeldig bij aanvraag nieuwe, gebeurde niet
1700 voertuigen op gestolen paspoort geregistreerd, stortvloed boetes, 2x in gijzeling genomen
Traumatische ervaring, ondergedoken bij tante, jarenlange rechtzaken
Beginsel van juistheid (art. 5 sub 1 lid d AVG):
Grote zelfstandige inspanningsverplichting verwerkingsverantwoordelijke
Maar: betrokkene moet ook invloed kunnen uitoefenen
Inzage (art. 15)
Rectificatie (art. 16)
Gegevenswissing (art. 17)
Grondslagen (art. 8 lid 1 AVG):
Toestemming (geïnformeerd, vrij, ondubbelzinnig, dus opt-in)
Uitvoering overeenkomst (winkelier adresgegevens voor levering producten)
Wettelijke verplichting (bank verplicht gegevens te bewaren van klanten)
Vitaal belang (door bijv. arts, medische noodzaak)
Algemeen belang (vervulling publiekrechtelijke taak)
Gerechtvaardigd belang (normale bedrijfsvoering, bijv. beveiligingscamera’s in het gebouw) belangenafweging tussen recht op privacy en het belang. MOET worden gemaakt
Big-Data?
Je mag niet random (zvm) informatie verzamelen om ooit in de toekomst iets mee te doen. Mag dus niet zomaar..