Recommended
Recommended
More Related Content
Similar to AVG/GDPR Stoomcursus 16 maart - Nerd as a Service
Similar to AVG/GDPR Stoomcursus 16 maart - Nerd as a Service (20)
AVG/GDPR Stoomcursus 16 maart - Nerd as a Service
- 1. Algemene verordening persoonsgegevens_ A bite-sized privacy masterclass nerd as a service_ Jeroen Bulters jeroen@nrds.eu Wiebe Zwaan wiebe@dutchcrownit.nl
- 2. nerd as a service_ Wat leer je vandaag_ Wat is de AVG Wat zijn de 3 grootste privacy-risico’s Wat kan je zelf doen
- 3. nerd as a service_ Wie is Wiebe_ Jurist/ondernemer Oprichter Dutch Crown Legal Advice Politicologie VU Amsterdam Civiel Recht Universiteit Leiden Deloitte Privacy Team
- 4. nerd as a service_ Wat is de AVG
- 5. nerd as a service_ Wat is de AVG_ Algemene verordening gegevensbescherming (General Data Protection Regulation) Per 25 mei 2018 van toepassing Waarborgt privacyrechten
- 6. nerd as a service_ Kernbegrippen_ Persoonsgegevens (Personal data) Verwerken (Processing) Verwerkingsverantwoordelijke (Controller) Betrokkene (Data subject)
- 7. nerd as a service_ Toepassingsgebied AVG_Toepassingsgebied AVG_ Materieel ● Van toepassing op verwerking van persoonsgegevens ● Behalve in de huishoudelijke sfeer en bij verwerking door autoriteiten voor (strafrechtelijk)onderzoek Territoriaal ● Verwerkingsverantwoor- delijke gevestigd in de Europese Unie ● Verwerkingsverantwoor- delijke gevestigd buiten de Unie die gegevens van EU-burgers verwerkt
- 8. nerd as a service_ Wat zijn persoonsgegevens_ “Alle informatie over een (reeds) geïdentificeerde of direct of indirect identificeerbare natuurlijke persoon (‘de betrokkene’)” Natuurlijke persoon Geïdentificeerd Indentificeerbaar (direct of indirect)
- 9. nerd as a service_
- 10. nerd as a service_
- 11. nerd as a service_
- 12. nerd as a service_
- 13. nerd as a service_
- 14. nerd as a service_ Samenvattend_ Vrijwel alles is een persoonsgegeven + Vrijwel alles is een verwerking = De AVG is vrijwel altijd van toepassing
- 15. nerd as a service_ De drie privacyrisico’s
- 16. nerd as a service_ Ken je organisatie_ Welke data hebben we? Hoe verwerken we persoonsgegevens? Wat voor soort persoonsgegevens verwerken we? Hoogrisico-verwerking..? Verplichte DPIA “Gegevensbeschermingseffectbeoordeling“
- 17. nerd as a service_ Risico-categorieën_ Schade door inadequate beveiliging van persoonsgegevens Schade door gebruik onjuiste persoonsgegevens Schade door oneigenlijk gebruik van persoonsgegevens
- 18. nerd as a service_ Inadequate beveiliging_ Vereist: Adequaat niveau van beveiliging gelet op de gevoeligheid van de verwerking (het verwerkingsrisico) Maatregelen: ● Security-assessments ● Geïdentificeerde risico’s opvolgen en mitigeren ● Documenteren
- 19. nerd as a service_ Onjuiste persoonsgegevens_ Vereist: Verwerkte persoonsgegevens moeten actueel en accuraat zijn Maatregelen: ● Pro-actief en periodiek controleren op juistheid ● Het recht van betrokkene op inzage, rectificatie en gegevenswissing (technisch) mogelijk maken ● Documenteren
- 20. nerd as a service_ Oneigenlijk gebruik_ Vereist: Verwerking alleen in geval van welbepaald, uitdrukkelijk en gerechtvaardigd doeleinde: ● Op basis van een wettelijke grondslag ● Strikt beperkt tot wat hiervoor noodzakelijk is Maatregelen: ● Kies je grondslag en formuleer duidelijke doeleinde(n) ● Communiceer beiden naar betrokkene(n) (bijv. privacy statement) ● Documenteren
- 21. nerd as a service_ Takeaway
- 22. nerd as a service_
- 23. nerd as a service_
- 24. nerd as a service_
Editor's Notes
- AVG Europese wetgeving: invulling begrippen door EU hof van Justitie Verordening: directe werking, toepassing door NL rechter Opvolger van Richtlijn (die is omgezet in de Wbp) 25 mei 2018 Veel verplichtingen gelden al via Wbp Waarborgt privacyrechten Is een afgeleide van recht op privacy uit EVRM (art. 8), maar dan gericht op verwerking van persoonsgegevens
- Persoonsgegevens: informatie/data die gaat over een persoon. Zie latere slide. Verwerken: alles dat je doet met die gegevens. Vastleggen, verzamelen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, combineren, afschermen, wissen of vernietigen. Dus: alles. Verwerkingsverantwoordelijke: degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bijv. AH met bonuspasjes. Betrokkene: degene over wie die gegevens gaan
- Materieel toepassingsgebied (art. 2 AVG) Huishoudelijke sfeer (bijv. adressenboekje): dus gaat eigenlijk om organisaties Autoriteiten: hebben eigen wetgeving, anders moet politie toestemming vragen Holleeder aftappen Territoriaal toepassingsgebied (art. 3 AVG): Gevestigd binnen EU: bijv. AH met bonuspasjes Gevestigd buiten EU: Alleen doorgifte data EU-burgers buiten EU indien ‘passend beveiligingsniveau’ Gevestigd binnen EU maar verwerking NIET EU-burger: niet duidelijk. AVG sluit niet uit, dus van toepassing
- Natuurlijke persoon: geen rechtspersoon (bedrijf), geen dood iemand Geïdentificeerd: je weet al wie ik ben Identificeerbaar: je weet nog niet wie ik ben, maar kan dat herleiden Direct: naam in paspoort Indirect: met behulp van andere informatie (afh. van je capabilities ”geen onevenredige inspanning”)
- Afh. van capabilities Normaal: nee (bijv. bedrijf maakt voor presentatie foto’s van random voetsporen in bos) CSI: ja (bijv. politie maakt voor dossier foto’s van voetsporen crime scene)
- Natuurlijke persoon: geen rechtspersoon (bedrijf), geen dood iemand Geïdentificeerd: je weet al wie ik ben Identificeerbaar: je weet nog niet wie ik ben, maar kan dat herleiden Direct: naam in paspoort Indirect: met behulp van andere informatie (afh. van je capabilities ”geen onevenredige inspanning”)
- Eigenlijk 3.5 risico’s….. Hoogrisico-verwerking (in ieder geval bij…) Systematisch en uitvoerig persoonlijke aspecten evalueren (bijv. profiling) Grote schaal verwerken bijzondere persoonsgegevens Afkomst (ras/etnischiteit) Gezondheid Seksualiteit Religie Politieke voorkeur / lidmaatschap vakbond Genetische/biometrische gegevens Grote schaal en systematisch mensen volgen publieke ruimte (bijv. cameratoezicht).
- Beveiliging (art. 32 AVG): Passende technische en organisatorische maatregelen Risico VS moeite: (stand van de techniek/uitvoeringskosten) VS (soort gegevens/omvang etc.)
- Voorbeeld rijbewijs Rijbewijs gestolen, aangifte diefstal gedaan Rijbewijs pas ongeldig bij aanvraag nieuwe, gebeurde niet 1700 voertuigen op gestolen paspoort geregistreerd, stortvloed boetes, 2x in gijzeling genomen Traumatische ervaring, ondergedoken bij tante, jarenlange rechtzaken Beginsel van juistheid (art. 5 sub 1 lid d AVG): Grote zelfstandige inspanningsverplichting verwerkingsverantwoordelijke Maar: betrokkene moet ook invloed kunnen uitoefenen Inzage (art. 15) Rectificatie (art. 16) Gegevenswissing (art. 17)
- Grondslagen (art. 8 lid 1 AVG): Toestemming (geïnformeerd, vrij, ondubbelzinnig, dus opt-in) Uitvoering overeenkomst (winkelier adresgegevens voor levering producten) Wettelijke verplichting (bank verplicht gegevens te bewaren van klanten) Vitaal belang (door bijv. arts, medische noodzaak) Algemeen belang (vervulling publiekrechtelijke taak) Gerechtvaardigd belang (normale bedrijfsvoering, bijv. beveiligingscamera’s in het gebouw) belangenafweging tussen recht op privacy en het belang. MOET worden gemaakt Big-Data? Je mag niet random (zvm) informatie verzamelen om ooit in de toekomst iets mee te doen. Mag dus niet zomaar..