SlideShare a Scribd company logo

Privacy

Download as PPTX, PDF
Wilma van de Meerakker
Wilma van de Meerakker

Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen: -Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet? -Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf? -Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u? -Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?

Law
1 of 44
Privacy 18 november 2015 © Wilma van de Meerakker – Het Juristencollectief
Nieuws
Agenda  Wanneer is Wet bescherming persoonsgegevens (Wbp) van toepassing?  Wat mag wel en wat niet?  Meldplicht datalekken  Aansprakelijkheid en risico’s  Toekomst
Wanneer is Wbp van toepassing? – 1  Juridisch kader - EU richtlijn 1995 - Wet bescherming persoonsgegevens (Wbp) - Meldplicht datalekken 2015 - Europese Verordening (2016?)  Verder - CBP richtsnoeren - artikel 29 Werkgroep opinies - gedragscodes - specifieke wetten (bv Telecommunicatiewet)
Wanneer is Wbp van toepassing? – 2  Definities - persoonsgegeven - betrokkene - verantwoordelijke - bewerker  Voorbeelden - winkel wist eerder van zwangerschap meisje dan haar ouders (2012) - verzekeringen geweigerd op basis van profielen social media - smart TV kijkt met je mee (TPVision)
 Wbp is van toepassing op de verwerking van persoonsgegevens  Verwerking elk geheel van handelingen met betrekking tot persoonsgegevens  Persoonsgegevens alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon Wanneer is Wbp van toepassing? – 3
Wanneer is Wbp van toepassing? – 4  Verwerking  verzamelen, vastleggen en ordenen  bewaren, bijwerken en wijzigen  opvragen, raadplegen, gebruiken  verstrekken door middel van doorzending  verspreiding of enige andere vorm van terbeschikkingstelling  samenbrengen, met elkaar in verband brengen  afschermen, uitwissen of vernietigen van gegeven  Persoonsgegevens  NAW-gegevens / e-mailadres / telefoonnummer  IP-adres  Locatiedata  Foto’s
Persoonsgegeven - foto
Wanneer is Wbp van toepassing? – 5  Bijzondere persoonsgegevens  Godsdienst of levensovertuiging  Ras  Politieke gezindheid  Gezondheid  Seksuele leven  Lidmaatschap van een vakbond  Strafrechtelijk verleden Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet
Wanneer is Wbp van toepassing? – 6  Elke verwerking? persoonsgegevens mbv computer opslaan, verwerken etc. handmatig verwerken alleen als er sprake is van een bestand  Uitzonderingen ongestructureerd handmatig dossier verwerking persoonlijk/huiselijk gebruik verwerking uitsluitend voor journalistieke, literaire of artistieke doeleinden
Wanneer is Wbp van toepassing? – 7  Betrokkene degene op wie persoonsgegeven betrekking heeft  Verantwoordelijke de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt  Bewerker de partij aan wie de verantwoordelijke verwerking van persoonsgegevens heeft uitbesteed
Wat mag wel en wat mag niet? – 1 VERANTWOORDELIJKE  Vereisten verwerking Wbp  verwerking op behoorlijke & zorgvuldige wijze  in overeenstemming met de wet  Doel  welbepaald  uitdrukkelijk omschreven  gerechtvaardigd
Nieuws
Wat mag wel en wat mag niet? – 2  Verwerking slechts toegestaan indien noodzakelijk  voor de uitvoering van een overeenkomst  voor de uitvoering van een wettelijke plicht  voor een vitaal belang van de betrokkene  voor de goede vervulling van een publiekrechtelijke taak  voor een gerechtvaardigd belang OF  op grond van ondubbelzinnige toestemming van betrokkene
Wat mag wel en wat mag niet? – 3  Niet verenigbaar met doeleinden Persoonsgegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (denk aan pizza- bestelling)  Bewaartermijn Niet langer bewaren dan noodzakelijk
Wat mag wel en wat mag niet? – 4  Maatregelen zodat persoonsgegevens juist en nauwkeurig zijn  Plicht tot geheimhouding voor personeel  Melden verwerking persoonsgegevens tenzij uitzondering vrijstellingsbesluit  Informatie verstrekken aan betrokkenen gegevens over verantwoordelijke voor welk doel/doeleinden gegevens worden verzameld en verwerkt privacyverklaring  Op verzoek van betrokkene Inzage/correctie persoonsgegevens
Rechten betrokkene
Wat mag wel en wat mag niet? – 5  Beveiliging Passende technische en organisatorische maatregelen
Beveiliging
Wat mag wel en wat mag niet? – 6 BEWERKER  In opdracht verantwoordelijke  uitsluitend persoonsgegevens verwerken in opdracht van verantwoordelijke  handelen conform bewerkersovereenkomst  zelfstandig verplichtingen tot:  Geheimhouding  Beveiliging
Wat mag wel en wat mag niet? – 7 BEWERKER  TIP  hanteer zelf een “standaard” bewerkersovereenkomst met opdrachtgevers  in het kader van Meldplicht datalekken nog meer van belang
Meldplicht datalekken – 1  Ingangsdatum 1 januari 2016 wijziging van Wbp loopt vooruit op Europese Privacy Verordening  CBP wordt Autoriteit Persoonsgegevens  Verplichting tot melding datalekken  Uitbreiding opleggen bestuurlijke boetes
Meldplicht datalekken – 2 Datalek?  Alle beveiligingsincidenten waardoor de bescherming op enig moment is doorbroken  Waardoor de bescherming van persoonsgegevens op enig moment is doorbroken  Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking  Voorbeelden  Kwijtgeraakte usb-stick / gestolen laptop  Inbraak door hacker / malware-besmetting  Verzending van mail waarin gegevens van anderen zichtbaar zijn  Maar ook: calamiteit zoals brand
Meldplicht datalekken – 3 Verplichting tot Melding Datalek  Melden datalek Autoriteit Persoonsgegevens  Datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of  Aanzienlijke kans hierop bestaat  Melden datalek betrokkene  Datalek heeft ongunstige gevolgen voor hun persoonlijke levenssfeer
Meldplicht datalekken – 4 Melding verplicht?  Vanaf 1 januari via formulier website CBP  Verantwoordelijke heeft verplichting  Belang van goede bewerkersovereenkomsten  Beoordeling of sprake is van (aanzienlijke kans op) ernstige nadelige gevolgen aan de hand van richtsnoeren  Richtsnoeren zijn in concept aanwezig op de website van het CBP  Consultatieversie
Meldplicht datalekken – 5
Meldplicht datalekken – 6  Aanzienlijke kans op ernstige nadelige gevolgen  Groot aantal persoonsgegevens (kans op misbruik groter)  Persoonsgegevens van kwetsbare groepen (kinderen/ouderen)  Termijn melding  Uiterlijk op 2e werkdag NA ontdekking  Melding kan later worden aangevuld of ingetrokken
Meldplicht datalekken – 7
Meldplicht datalekken – 8
Meldplicht datalekken – 9  Melding aan betrokkene  Aard van de inbreuk  Instanties waar betrokkene meer informatie kan verkrijgen  Aanbeveling van maatregelen die betrokkene kan nemen om de negatieve gevolgen te beperken (veranderen gebruikersnaam / wachtwoord)  Termijn melding  Onverwijld  Termijn zelf aangeven in melding aan Autoriteit Persoonsgegevens
Meldplicht datalekken – 10  Verplichtingen  Doen van de meldingen  Bijhouden overzicht van alle datalekken  Overzicht hoeft niet openbaar te worden gemaakt  Bewaartermijn minimaal 1 jaar  Autoriteit Persoonsgegevens  Ontvangstbevestiging  Als nadere actie is gewenst wordt contact opgenomen  Register (niet-openbaar)  Opleggen boete
Meldplicht datalekken – 11 Werknemers? Alleen als er sprake is van opzet of bewuste roekeloosheid werknemer WEL : ICT-protocol aan te raden met mogelijke sancties
Meldplicht datalekken – 12 Bestuurder Bestuurdersaansprakelijkheid Bestuurders wel aansprakelijk voor beslissingen of grove nalatigheid in de besluitvorming
Meldplicht datalekken – 13 Uitbreiding boetebevoegdheid Doel = Naleving Wbp bevorderen Preventieve werking boetes website CBP concept
Aansprakelijkheid & risico’s - 1  Artikel 49 Wbp aansprakelijkheid verantwoordelijke & bewerker  Benadeelde (=iemand die schade lijdt) heeft recht op schadevergoeding (zowel materieel als immaterieel)  Verantwoordelijke is aansprakelijk  Bewerker aansprakelijk voor de schade die is ontstaan door de exacte werkzaamheden van bewerker  Strafrechtelijk aansprakelijk  Geldboete maximaal 4.500 EUR  Actie CBP  Bestuurlijke boete opleggen maximaal 4.500 EUR  Altijd vooraf mogelijk overtreding ongedaan te maken
Aansprakelijkheid & risico’s - 2  Meldplicht datalekken  Verhoging boetebevoegdheid CBP  Boetes verhoogd tot 810.000 EUR of 10% van de omzet  Concept boetebeleidsregels
Aansprakelijkheid & risico’s - 3  Verzekerbaar?  Beroepsaansprakelijkheidsverzekering?  Schending privacy -> beroepsfout?  Reputatieschade?  LET OP evt. uitsluiting beveiligingsinbreuken  LET OP evt. uitsluiting verlies van gegevens  Cyber & Data risks verzekering  Hacking, systeeminbraak  Verlies data
Toekomst  Europese verordening  Harmonisatie Europa  Boetebevoegdheid  Privacy Officer / Data Protection Officer  Privacy Impact Assessment (PIA)  Privacy steeds belangrijker issue  Privacy- & securitybeleid  Commercieel  Safe Harbour?  Doorgifte naar US verboden  Aanpassen?  Politieke oplossing
Privacy Impact Assessment
!? &
  PRIVACY … ook wanneer je niks te verbergen hebt  
Privacy

Recommended

Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
Bart Van Den Brande
 
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Ann Wuyts
 
Introductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid BestuurIntroductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid Bestuurfniehorster
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
Kim Koster
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
Wilma van de Meerakker
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHRmagazine
 

Recommended

Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
Bart Van Den Brande
 
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...
Ann Wuyts
 
Introductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid BestuurIntroductie Wet Openbaarheid Bestuur
Introductie Wet Openbaarheid Bestuurfniehorster
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
Kim Koster
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
Wilma van de Meerakker
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHRmagazine
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
Recht & social media 16062015
Recht & social media 16062015Recht & social media 16062015
Recht & social media 16062015
Wilma van de Meerakker
 
Recht & Social Media
Recht & Social Media Recht & Social Media
Recht & Social Media
Wilma van de Meerakker
 
Auteursrecht
AuteursrechtAuteursrecht
Auteursrecht
Wilma van de Meerakker
 
(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk
Wilma van de Meerakker
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Wilma van de Meerakker
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Ikinnoveer
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
Axon Lawyers
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
GDPR. Et alors?
GDPR. Et alors?GDPR. Et alors?
GDPR. Et alors?
Matthias Dobbelaere-Welvaert
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
Ann Wuyts
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
Media Perspectives
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
AKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
webwinkelvakdag
 

More Related Content

Viewers also liked

Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
Recht & social media 16062015
Recht & social media 16062015Recht & social media 16062015
Recht & social media 16062015
Wilma van de Meerakker
 
Recht & Social Media
Recht & Social Media Recht & Social Media
Recht & Social Media
Wilma van de Meerakker
 
Auteursrecht
AuteursrechtAuteursrecht
Auteursrecht
Wilma van de Meerakker
 
(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk
Wilma van de Meerakker
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Wilma van de Meerakker
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 

Viewers also liked (7)

Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Recht & social media 16062015
Recht & social media 16062015Recht & social media 16062015
Recht & social media 16062015
 
Recht & Social Media
Recht & Social Media Recht & Social Media
Recht & Social Media
 
Auteursrecht
AuteursrechtAuteursrecht
Auteursrecht
 
(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk(Auteurs-)recht - in een digitaal tijdperk
(Auteurs-)recht - in een digitaal tijdperk
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 

Similar to Privacy

Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Ikinnoveer
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
Axon Lawyers
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
GDPR. Et alors?
GDPR. Et alors?GDPR. Et alors?
GDPR. Et alors?
Matthias Dobbelaere-Welvaert
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
Ann Wuyts
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
Media Perspectives
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
AKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
webwinkelvakdag
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPaul van Osch
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
Stefano Verkooy
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
SLBdiensten
 
Aangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens CbplAangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens Cbplcorve
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overheden
AKD
 

Similar to Privacy (20)

Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
 
GDPR. Et alors?
GDPR. Et alors?GDPR. Et alors?
GDPR. Et alors?
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 
AKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacyAKD Compliance Forum 2017 Martin Hemmer privacy
AKD Compliance Forum 2017 Martin Hemmer privacy
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese Privacyverordening
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
 
Aangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens CbplAangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens Cbpl
 
Privacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overhedenPrivacy: de AVG voor decentrale overheden
Privacy: de AVG voor decentrale overheden
 

More from Wilma van de Meerakker

Auteursrecht
AuteursrechtAuteursrecht
Auteursrecht
Wilma van de Meerakker
 
Presentatie ie s2mstrijps
Presentatie ie s2mstrijpsPresentatie ie s2mstrijps
Presentatie ie s2mstrijps
Wilma van de Meerakker
 
Presentatie IPC
Presentatie IPC Presentatie IPC
Presentatie IPC
Wilma van de Meerakker
 
Ouderavond Social Media basisschool
Ouderavond Social Media basisschoolOuderavond Social Media basisschool
Ouderavond Social Media basisschool
Wilma van de Meerakker
 
Presentatie IE, gastcollege opleiding zelfstandig ondernemer
Presentatie IE, gastcollege opleiding zelfstandig ondernemerPresentatie IE, gastcollege opleiding zelfstandig ondernemer
Presentatie IE, gastcollege opleiding zelfstandig ondernemer
Wilma van de Meerakker
 
Presentatie stamtafel merkbescherming
Presentatie stamtafel merkbeschermingPresentatie stamtafel merkbescherming
Presentatie stamtafel merkbescherming
Wilma van de Meerakker
 
Recht & Social Media
Recht & Social MediaRecht & Social Media
Recht & Social Media
Wilma van de Meerakker
 
Workshop hetbesteideevandommelstreek
Workshop hetbesteideevandommelstreekWorkshop hetbesteideevandommelstreek
Workshop hetbesteideevandommelstreek
Wilma van de Meerakker
 

More from Wilma van de Meerakker (10)

Auteursrecht
AuteursrechtAuteursrecht
Auteursrecht
 
Presentatie ie s2mstrijps
Presentatie ie s2mstrijpsPresentatie ie s2mstrijps
Presentatie ie s2mstrijps
 
Presentatie IPC
Presentatie IPC Presentatie IPC
Presentatie IPC
 
Ouderavond Social Media basisschool
Ouderavond Social Media basisschoolOuderavond Social Media basisschool
Ouderavond Social Media basisschool
 
Presentatie IE, gastcollege opleiding zelfstandig ondernemer
Presentatie IE, gastcollege opleiding zelfstandig ondernemerPresentatie IE, gastcollege opleiding zelfstandig ondernemer
Presentatie IE, gastcollege opleiding zelfstandig ondernemer
 
Presentatie stamtafel merkbescherming
Presentatie stamtafel merkbeschermingPresentatie stamtafel merkbescherming
Presentatie stamtafel merkbescherming
 
Presentatie 28082012 ip&business
Presentatie 28082012 ip&businessPresentatie 28082012 ip&business
Presentatie 28082012 ip&business
 
Recht & Social Media
Recht & Social MediaRecht & Social Media
Recht & Social Media
 
Workshop hetbesteideevandommelstreek
Workshop hetbesteideevandommelstreekWorkshop hetbesteideevandommelstreek
Workshop hetbesteideevandommelstreek
 
Praktisch Auteursrecht
Praktisch AuteursrechtPraktisch Auteursrecht
Praktisch Auteursrecht
 

Privacy

  • 1. Privacy 18 november 2015 © Wilma van de Meerakker – Het Juristencollectief
  • 3. Agenda  Wanneer is Wet bescherming persoonsgegevens (Wbp) van toepassing?  Wat mag wel en wat niet?  Meldplicht datalekken  Aansprakelijkheid en risico’s  Toekomst
  • 4.
  • 5. Wanneer is Wbp van toepassing? – 1  Juridisch kader - EU richtlijn 1995 - Wet bescherming persoonsgegevens (Wbp) - Meldplicht datalekken 2015 - Europese Verordening (2016?)  Verder - CBP richtsnoeren - artikel 29 Werkgroep opinies - gedragscodes - specifieke wetten (bv Telecommunicatiewet)
  • 6. Wanneer is Wbp van toepassing? – 2  Definities - persoonsgegeven - betrokkene - verantwoordelijke - bewerker  Voorbeelden - winkel wist eerder van zwangerschap meisje dan haar ouders (2012) - verzekeringen geweigerd op basis van profielen social media - smart TV kijkt met je mee (TPVision)
  • 7.  Wbp is van toepassing op de verwerking van persoonsgegevens  Verwerking elk geheel van handelingen met betrekking tot persoonsgegevens  Persoonsgegevens alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon Wanneer is Wbp van toepassing? – 3
  • 8. Wanneer is Wbp van toepassing? – 4  Verwerking  verzamelen, vastleggen en ordenen  bewaren, bijwerken en wijzigen  opvragen, raadplegen, gebruiken  verstrekken door middel van doorzending  verspreiding of enige andere vorm van terbeschikkingstelling  samenbrengen, met elkaar in verband brengen  afschermen, uitwissen of vernietigen van gegeven  Persoonsgegevens  NAW-gegevens / e-mailadres / telefoonnummer  IP-adres  Locatiedata  Foto’s
  • 10. Wanneer is Wbp van toepassing? – 5  Bijzondere persoonsgegevens  Godsdienst of levensovertuiging  Ras  Politieke gezindheid  Gezondheid  Seksuele leven  Lidmaatschap van een vakbond  Strafrechtelijk verleden Gebruik van bijzondere persoonsgegevens niet toegestaan tenzij uitzondering in de wet
  • 11. Wanneer is Wbp van toepassing? – 6  Elke verwerking? persoonsgegevens mbv computer opslaan, verwerken etc. handmatig verwerken alleen als er sprake is van een bestand  Uitzonderingen ongestructureerd handmatig dossier verwerking persoonlijk/huiselijk gebruik verwerking uitsluitend voor journalistieke, literaire of artistieke doeleinden
  • 12. Wanneer is Wbp van toepassing? – 7  Betrokkene degene op wie persoonsgegeven betrekking heeft  Verantwoordelijke de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt  Bewerker de partij aan wie de verantwoordelijke verwerking van persoonsgegevens heeft uitbesteed
  • 13. Wat mag wel en wat mag niet? – 1 VERANTWOORDELIJKE  Vereisten verwerking Wbp  verwerking op behoorlijke & zorgvuldige wijze  in overeenstemming met de wet  Doel  welbepaald  uitdrukkelijk omschreven  gerechtvaardigd
  • 15. Wat mag wel en wat mag niet? – 2  Verwerking slechts toegestaan indien noodzakelijk  voor de uitvoering van een overeenkomst  voor de uitvoering van een wettelijke plicht  voor een vitaal belang van de betrokkene  voor de goede vervulling van een publiekrechtelijke taak  voor een gerechtvaardigd belang OF  op grond van ondubbelzinnige toestemming van betrokkene
  • 16.
  • 17. Wat mag wel en wat mag niet? – 3  Niet verenigbaar met doeleinden Persoonsgegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (denk aan pizza- bestelling)  Bewaartermijn Niet langer bewaren dan noodzakelijk
  • 18. Wat mag wel en wat mag niet? – 4  Maatregelen zodat persoonsgegevens juist en nauwkeurig zijn  Plicht tot geheimhouding voor personeel  Melden verwerking persoonsgegevens tenzij uitzondering vrijstellingsbesluit  Informatie verstrekken aan betrokkenen gegevens over verantwoordelijke voor welk doel/doeleinden gegevens worden verzameld en verwerkt privacyverklaring  Op verzoek van betrokkene Inzage/correctie persoonsgegevens
  • 20. Wat mag wel en wat mag niet? – 5  Beveiliging Passende technische en organisatorische maatregelen
  • 22. Wat mag wel en wat mag niet? – 6 BEWERKER  In opdracht verantwoordelijke  uitsluitend persoonsgegevens verwerken in opdracht van verantwoordelijke  handelen conform bewerkersovereenkomst  zelfstandig verplichtingen tot:  Geheimhouding  Beveiliging
  • 23. Wat mag wel en wat mag niet? – 7 BEWERKER  TIP  hanteer zelf een “standaard” bewerkersovereenkomst met opdrachtgevers  in het kader van Meldplicht datalekken nog meer van belang
  • 24. Meldplicht datalekken – 1  Ingangsdatum 1 januari 2016 wijziging van Wbp loopt vooruit op Europese Privacy Verordening  CBP wordt Autoriteit Persoonsgegevens  Verplichting tot melding datalekken  Uitbreiding opleggen bestuurlijke boetes
  • 25. Meldplicht datalekken – 2 Datalek?  Alle beveiligingsincidenten waardoor de bescherming op enig moment is doorbroken  Waardoor de bescherming van persoonsgegevens op enig moment is doorbroken  Waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking  Voorbeelden  Kwijtgeraakte usb-stick / gestolen laptop  Inbraak door hacker / malware-besmetting  Verzending van mail waarin gegevens van anderen zichtbaar zijn  Maar ook: calamiteit zoals brand
  • 26. Meldplicht datalekken – 3 Verplichting tot Melding Datalek  Melden datalek Autoriteit Persoonsgegevens  Datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of  Aanzienlijke kans hierop bestaat  Melden datalek betrokkene  Datalek heeft ongunstige gevolgen voor hun persoonlijke levenssfeer
  • 27. Meldplicht datalekken – 4 Melding verplicht?  Vanaf 1 januari via formulier website CBP  Verantwoordelijke heeft verplichting  Belang van goede bewerkersovereenkomsten  Beoordeling of sprake is van (aanzienlijke kans op) ernstige nadelige gevolgen aan de hand van richtsnoeren  Richtsnoeren zijn in concept aanwezig op de website van het CBP  Consultatieversie
  • 29. Meldplicht datalekken – 6  Aanzienlijke kans op ernstige nadelige gevolgen  Groot aantal persoonsgegevens (kans op misbruik groter)  Persoonsgegevens van kwetsbare groepen (kinderen/ouderen)  Termijn melding  Uiterlijk op 2e werkdag NA ontdekking  Melding kan later worden aangevuld of ingetrokken
  • 32. Meldplicht datalekken – 9  Melding aan betrokkene  Aard van de inbreuk  Instanties waar betrokkene meer informatie kan verkrijgen  Aanbeveling van maatregelen die betrokkene kan nemen om de negatieve gevolgen te beperken (veranderen gebruikersnaam / wachtwoord)  Termijn melding  Onverwijld  Termijn zelf aangeven in melding aan Autoriteit Persoonsgegevens
  • 33. Meldplicht datalekken – 10  Verplichtingen  Doen van de meldingen  Bijhouden overzicht van alle datalekken  Overzicht hoeft niet openbaar te worden gemaakt  Bewaartermijn minimaal 1 jaar  Autoriteit Persoonsgegevens  Ontvangstbevestiging  Als nadere actie is gewenst wordt contact opgenomen  Register (niet-openbaar)  Opleggen boete
  • 34. Meldplicht datalekken – 11 Werknemers? Alleen als er sprake is van opzet of bewuste roekeloosheid werknemer WEL : ICT-protocol aan te raden met mogelijke sancties
  • 35. Meldplicht datalekken – 12 Bestuurder Bestuurdersaansprakelijkheid Bestuurders wel aansprakelijk voor beslissingen of grove nalatigheid in de besluitvorming
  • 36. Meldplicht datalekken – 13 Uitbreiding boetebevoegdheid Doel = Naleving Wbp bevorderen Preventieve werking boetes website CBP concept
  • 37. Aansprakelijkheid & risico’s - 1  Artikel 49 Wbp aansprakelijkheid verantwoordelijke & bewerker  Benadeelde (=iemand die schade lijdt) heeft recht op schadevergoeding (zowel materieel als immaterieel)  Verantwoordelijke is aansprakelijk  Bewerker aansprakelijk voor de schade die is ontstaan door de exacte werkzaamheden van bewerker  Strafrechtelijk aansprakelijk  Geldboete maximaal 4.500 EUR  Actie CBP  Bestuurlijke boete opleggen maximaal 4.500 EUR  Altijd vooraf mogelijk overtreding ongedaan te maken
  • 38. Aansprakelijkheid & risico’s - 2  Meldplicht datalekken  Verhoging boetebevoegdheid CBP  Boetes verhoogd tot 810.000 EUR of 10% van de omzet  Concept boetebeleidsregels
  • 39. Aansprakelijkheid & risico’s - 3  Verzekerbaar?  Beroepsaansprakelijkheidsverzekering?  Schending privacy -> beroepsfout?  Reputatieschade?  LET OP evt. uitsluiting beveiligingsinbreuken  LET OP evt. uitsluiting verlies van gegevens  Cyber & Data risks verzekering  Hacking, systeeminbraak  Verlies data
  • 40. Toekomst  Europese verordening  Harmonisatie Europa  Boetebevoegdheid  Privacy Officer / Data Protection Officer  Privacy Impact Assessment (PIA)  Privacy steeds belangrijker issue  Privacy- & securitybeleid  Commercieel  Safe Harbour?  Doorgifte naar US verboden  Aanpassen?  Politieke oplossing
  • 42. !? &
  • 43.   PRIVACY … ook wanneer je niks te verbergen hebt  

Editor's Notes

  1. Nike past hardloop-app aan na onderzoek CBP Nike berekent via de app loopafstanden, -snelheden en -tijden. Om dit te kunnen doen, maakt de app onder meer gebruik van de locatiegegevens uit de telefoon. De app berekent ook verbrande calorieën en paslengte op basis van het geslacht, de lichaamslengte en het gewicht die gebruikers moeten opgeven. Daarnaast berekent Nike op basis van de meetgegevens uit de app zogenaamde 'Fuel-punten', een eigen maatstaf van Nike voor de mate van geleverde inspanning. Nike dus bijvoorbeeld wat je weegt, hoeveel calorieën je ongeveer verbrandt, hoeveel, hoe vaak en hoe intensief je sport. Dit zijn gevoelige persoonsgegevens die iets zeggen over de gezondheid. Hoe vaak en intensief je sport heeft een relatie met je levensverwachting. Nike mag deze bijzondere persoonsgegevens alleen verwerken met uitdrukkelijke toestemming van de gebruikers. Naar aanleiding van het CBP-onderzoek heeft Nike een aantal maatregelen getroffen. Nieuwe gebruikers van de app zijn sinds deze zomer niet meer verplicht hun lengte en gewicht op te geven. Ook bevatten nieuwe versies van de app extra informatie over het verwerken van lengte en gewicht. Nike heeft aangekondigd de komende maanden nadere maatregelen te treffen om álle gebruikers beter te informeren over de verwerking van gezondheidsgegevens. Ook heeft Nike aangekondigd dat zij alsnog toestemming gaat vragen aan de bestaande gebruikers voor de verwerking van hun gezondheidsgegevens.
  2. Dochter ontving coupons in haar mail voor wiegjes en babykleertjes. De winkelketen had informatie over haar verzameld via een guestID en elke keer wanneer ze iets kocht, de website bezocht of zoiets werd dat geregistreerd. Op basis van 25 specifieke producten die ze had bekeken en/of gekocht kon de computer een pregnancy predition score uitrekenen en wist ook hoe ver ze in haar zwangerschap was. In 2011 zet een verzekering een autoverzekering stop van een verzekerde van wie op zijn Facebook pagina blijkt dat hij meedoet aan straatraces. Dat mag op basis van openbare informatie (geen privacy profiel) TP Vision verzamelt en bewaart gegevens over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv’s. Het bedrijf gebruikt deze gegevens om persoonlijke kijkaanbiedingen te doen. TP Vision verzamelt en bewaart per smart tv wanneer er tv wordt gekeken, welke uitzendingen en apps favoriet zijn, welke uitzendingen de tv-kijker opneemt, welke video's deze huurt en welke 'uitzending gemist'-uitzendingen deze bekijkt.
  3. elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
  4. Aangezien je via de app een uniek nummer toegewezen krijgt kunnen jullie als verantwoordelijke partij indirect personen identificeren door het unieke nummer te combineren met een of meer berekende locaties. Het enkele feit dat dit tot de mogelijkheden behoort brengt specifieke privacy issues met zich mee althans volgens de Europese Commissie. Als aanbieder kun je namelijk op indirecte wijze een gedetailleerd overzicht van de gewoonten en patronen van een eigenaar van een apparaat verkrijgen en uitgebreide profielen opstellen. Zo kan uit een patroon van inactiviteit in de nacht de slaapplaats worden afgeleid en uit een regelmatig reispatroon in de ochtend de locatie van een mogelijk werkgever. Een gedragspatroon kan ook speciale categorieën gegevens opleveren, bijvoorbeeld wanneer dat patroon duidt op bezoeken aan ziekenhuizen of religieuze plaatsen, de aanwezigheid bij politieke demonstraties of de aanwezigheid op andere specifieke locaties die gegevens over bijvoorbeeld iemands seksleven kunnen opleveren.
  5. Echter een foto is een persoonsgegeven en er dient aldus voldaan te worden aan de Wet bescherming persoonsgegevens.
  6. Foto : ras zichtbaar Dus bijzonder persoonsgegeven: dan vaak alleen op basis van toestemming verwerking mogelijk Informed consent : geïnformeerde toestemming
  7. Bestand : gestructureerd geheel van gegevens Gegevens moeten onderling samenhang vertonen en systeem moet systematisch toegankelijk zijn Adresboek in een telefoon in beginsel ook persoonlijk en valt dus niet onder Wbp. Maakt niet uit als zzp-er. Staat ook telefoonnummer van oppas en poetshulp in. Kan anders zijn als je echt 2 verschillende telefoons hebt.
  8. In veel gevallen wordt de verwerking van persoonsgegevens door verantwoordelijken uitbesteed aan “bewerkers”. Denk hierbij bijvoorbeeld aan een hostingpartij of een administratiekantoor dat het salarisbeheer verzorgt. De wet richt zich tot de verantwoordelijke en de bewerker heeft een geheimhoudingsplicht en een beveiligingsplicht. Als verantwoordelijk de plicht om bewerkersovereenkomst af te sluiten.
  9. processed fairly [and] lawfully Voorwaarde voor een eerlijke verwerking van gegevens is - zo stelt een overweging 38 bij de richtlijn - dat de betrokkenen van het bestaan van de verwerkingen kennis kunnen hebben en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen. Je mag dus niet heimelijk gegevens verzamelen.
  10. In artikel in ED wordt ook ingegaan op de privacyschending en het feit dat de camera's dus noodzakelijk moeten zijn om de openbare orde te handhaven. Ik ben wel benieuwd welke aanvullende maatregelen worden genomen (bijv. betere straatverlichting of extra surveillance op straat)
  11. Als u van de betrokkene een onbepaalde machtiging hebt gekregen om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, dan is er geen sprake van rechtsgeldige toestemming. De toestemming moet dus gericht zijn op de door u beoogde verwerking of groep van verwerkingen. U moet de betrokkene vóór het geven van de toestemming zo informeren dat hij begrijpt waarvoor hij toestemming geeft. U mag er dus niet vanuit gaan dat de betrokkene wel weet wat u met de gegevens gaat doen. Als de betrokkene bij u als restauranthouder zijn visitekaartje in een daartoe bestemd bakje achterlaat om mailings over nieuwe menu’s te ontvangen, dan blijkt uit die gedraging ondubbelzinnige toestemming voor de verwerking van persoonsgegevens voor dat doel. 2.De tweede grondslag voor verwerking is de verwerking die noodzakelijk is voor de uitvoering van een overeenkomst. Als u met iemand een overeenkomst hebt gesloten, mag u de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren. U mag op basis van deze grondslag ook gegevens verwerken in de fase vóór het sluiten van de overeenkomst.(b.v. de gegevens die u heeft uit een offerte om daar een overeenkomst mee te maken) 3. Om uw gegevensverwerking op de derde grondslag van de Wbp te kunnen baseren moet de verwerking noodzakelijk zijn voor de uitvoering van een wettelijke plicht. 4. Als het voor een vitaal belang van de betrokkene noodzakelijk is zijn of haar persoonsgegevens te verwerken, is die verwerking op de vierde grondslag van de Wbp toegestaan. U moet hierbij met name denken aan een dringende medische noodzaak. 5. U mag persoonsgegevens verwerken op basis van de vijfde grondslag als het verwerken van gegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt. 6. U mag op basis van de zesde grondslag persoonsgegevens verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren. U moet een gerechtvaardigd belang hebben. (b.v. een goede bedrijfsvoering, dit kan ook zijn het sturen van reclame over nieuwe producten).
  12. Gegevens mogen niet langer bewaard worden dan noodzakelijk (is niet concreet aan termijn gebonden, hoe lang zijn de gegevens nodig voor het doel waarvoor ze zijn verzameld of worden gebruikt, daarna vernietigen en ook dat dient zorgvuldig te gebeuren)
  13. interactief: bijvoorbeeld laat deelnemers voorbeelden verzinnen die voor hun branche/bedrijf relevant zouden kunnen zijn in deze categorie
  14. De maatregelen moeten een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging en gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Van belang bij Meldplicht datalekken
  15. Echter een foto is een persoonsgegeven en er dient aldus voldaan te worden aan de Wet bescherming persoonsgegevens.
  16. elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Aangezien je via de app een uniek nummer toegewezen krijgt kunnen jullie als verantwoordelijke partij indirect personen identificeren door het unieke nummer te combineren met een of meer berekende locaties. Het enkele feit dat dit tot de mogelijkheden behoort brengt specifieke privacy issues met zich mee althans volgens de Europese Commissie. Als aanbieder kun je namelijk op indirecte wijze een gedetailleerd overzicht van de gewoonten en patronen van een eigenaar van een apparaat verkrijgen en uitgebreide profielen opstellen. Zo kan uit een patroon van inactiviteit in de nacht de slaapplaats worden afgeleid en uit een regelmatig reispatroon in de ochtend de locatie van een mogelijk werkgever. Een gedragspatroon kan ook speciale categorieën gegevens opleveren, bijvoorbeeld wanneer dat patroon duidt op bezoeken aan ziekenhuizen of religieuze plaatsen, de aanwezigheid bij politieke demonstraties of de aanwezigheid op andere specifieke locaties die gegevens over bijvoorbeeld iemands seksleven kunnen opleveren.
  17. Formulier is nog niet beschikbaar
  18. encryptie als technische beschermingsmaatregel om persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor onbevoegden.
  19. Werknemer verklaart persoonsgegevens waarvoor werkgever verantwoordelijk is, strikt vertrouwelijk te behandelen en alleen gebruiken voor de door werkgever aangewezen bedrijfsdoeleinden. Werknemer realiseert het belang van een goede omgang met persoonsgegevens. Indien werknemer de persoonsgegevens in strijd met voornoemd behandelt en werkgever hierdoor schade lijdt, zal werknemer deze schade vergoeden.
  20. Stel dat je besluit, we doen even niets aan security-updates want dat is me te duur, dan is een datalek als gevolg van zo’n gemiste update jou persoonlijk aan te rekenen
  21. stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen.
  22. Privacy kan commercieel ook interessant zijn! Profileer je als bedrijf dat privacy als speerpunt van diensten heeft gemaakt. Bedrijven die nu met een beroep op de Safe Harbour-overeenkomst persoonsgegevens doorgeven aan de VS, werken in strijd met de wet. De privacytoezichthouders benadrukken dat zij zullen optreden als eind januari 2016 hiervoor geen (politieke) oplossing is gevonden. Gelukkig zijn er nog een aantal mogelijkheden om rechtmatig gegevens door te geven naar de VS. Ten eerste kan aan de betrokkene toestemming worden gevraagd voor de doorgifte. Dit zal echter in veel gevallen praktisch onmogelijk blijken, bijvoorbeeld vanwege het grote aantal betrokkenen. Een andere mogelijkheid is het sluiten van EU Model Clauses. Deze standaard contracten voorzien in een juridisch kader waardoor het ontvangende bedrijf contractueel verplicht wordt tot het bieden van een passend beschermingsniveau. Indien ongewijzigd getekend biedt dit een grondslag voor de doorgifte naar derde landen, waaronder de VS. De Commissie is overigens al (geruime tijd) in overleg met de VS om de Beschikking te herzien, of dit echter op korte termijn tot een nieuwe beschikking zal leiden valt nog te bezien. Op dit moment hebben bedrijven daar in ieder geval niets aan. De Europese Unie en de Verenigde Staten zijn bijna klaar om een nieuwe versie van het dataverdrag Safe Harbor met elkaar te sluiten. Er wordt al twee jaar gediscussieerd over een nieuw Safe Harbor-verdrag, dat de opslag van Europese privégegevens in de Verenigde Staten regelt, maar nu zijn wetgevers in de twee regio's het bijna met elkaar eens.