Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Ann Wuyts
Korte privacy introductie gegeven op Medialab SETUP's '16.8 miljoen cadeausuggesties' hackathon/sprint:
"Hoe moeilijk is het om een database van alle Nederlanders te bouwen? Medialab SETUP onderzoekt de kansen en risico's van big data en bouwt De Nationale Verjaardagskalender; een database met de verjaardagen van alle 16.8 miljoen Nederlanders. Inclusief cadeausuggesties voor iedereen, op basis van ieders persoonlijke interesses. Zodat jouw cadeau altijd in de smaak valt!"
Meer info hierover op http://setup.nl/content/168-miljoen-cadeausuggesties-sprint
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Op de IPON 2016 presenteerde Joni Wagner op beide dagen 'Voorproefje Privacy goed geregeld'. Exclusief voor het onderwijs heeft zij een Privacy training ontwikkeld. In verband met de aangescherpte Wet Bescherming Persoonsgegevens stelde zij de aanwezigen een aantal vragen. Hoe is het bij u op school geregeld? Joni verzorgt een aantal workshops, u vindt deze op de site van SLBdiensten.nl. Wij zijn in de veronderstelling dat dit voor elke school een bruikbare workshop is!
Privacy Intro voor SETUP Utrecht's "16.8 miljoen Nederlanders in één verjaard...Ann Wuyts
Korte privacy introductie gegeven op Medialab SETUP's '16.8 miljoen cadeausuggesties' hackathon/sprint:
"Hoe moeilijk is het om een database van alle Nederlanders te bouwen? Medialab SETUP onderzoekt de kansen en risico's van big data en bouwt De Nationale Verjaardagskalender; een database met de verjaardagen van alle 16.8 miljoen Nederlanders. Inclusief cadeausuggesties voor iedereen, op basis van ieders persoonlijke interesses. Zodat jouw cadeau altijd in de smaak valt!"
Meer info hierover op http://setup.nl/content/168-miljoen-cadeausuggesties-sprint
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Op de IPON 2016 presenteerde Joni Wagner op beide dagen 'Voorproefje Privacy goed geregeld'. Exclusief voor het onderwijs heeft zij een Privacy training ontwikkeld. In verband met de aangescherpte Wet Bescherming Persoonsgegevens stelde zij de aanwezigen een aantal vragen. Hoe is het bij u op school geregeld? Joni verzorgt een aantal workshops, u vindt deze op de site van SLBdiensten.nl. Wij zijn in de veronderstelling dat dit voor elke school een bruikbare workshop is!
Een presentatie bij Social Media Club 0495 op 16 juni 2015 over de grenzen op social media vanuit juridisch oogpunt bekeken. Hierin heb ik vooral ingezoomd op de arbeidsrechtelijke zaken.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Natuurlijk kan je nooit genoeg over privacy weten, maar als ik - momenteel - 9 dingen moet uitkiezen:
1. Aangifteplicht
2. Vrijstelling klantencommunicatie
3. Verantwoordelijkheden verantwoordelijke van de verwerking
4. Wat een digitale handtekening is
5. Een icon set voor de gestandaardiseerde privacy mededeling?
6. Je werkgever mag niet (zomaar) in je mail snuffelen
7. Bewaartermijnen hou je best zo kort mogelijk
8. Beveilig ook alle persoonlijke 'devices'
9. Verplichting tot informeren & sensibiliseren personeel
Een presentatie bij Social Media Club 0495 op 16 juni 2015 over de grenzen op social media vanuit juridisch oogpunt bekeken. Hierin heb ik vooral ingezoomd op de arbeidsrechtelijke zaken.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
Natuurlijk kan je nooit genoeg over privacy weten, maar als ik - momenteel - 9 dingen moet uitkiezen:
1. Aangifteplicht
2. Vrijstelling klantencommunicatie
3. Verantwoordelijkheden verantwoordelijke van de verwerking
4. Wat een digitale handtekening is
5. Een icon set voor de gestandaardiseerde privacy mededeling?
6. Je werkgever mag niet (zomaar) in je mail snuffelen
7. Bewaartermijnen hou je best zo kort mogelijk
8. Beveilig ook alle persoonlijke 'devices'
9. Verplichting tot informeren & sensibiliseren personeel
Op IPON 2016 presenteerde Joni Wagner een 'Voorproefje Privacy goed geregeld'. Hoe gaat is de privacy binnen uw school geregeld? Heeft u alles goed vastgelegd, rekening houdend met de aangescherpte wet bescherming persoonsgegevens? Op SLBdiensten.nl vindt u meer info over de workshops Privacy goed geregeld. Een interessante workshop voor alle scholen!
Het doel is informatie te verschaffen over het nut van merkbescherming voor het MKB / een zelfstandige. Hiervoor zal ik eerst algemene uitleg geven over intellectuele eigendom en vervolgens inzoomen op het merkrecht. Wat kan als merk dienen en wat zijn de verschillende soorten merkrechten. Ook zal ik de verschillen tussen handelsnaam en merk en domeinnaam en merk toelichten.
3. Agenda
Wanneer is Wet bescherming persoonsgegevens
(Wbp) van toepassing?
Wat mag wel en wat niet?
Meldplicht datalekken
Aansprakelijkheid en risico’s
Toekomst
4.
5. Wanneer is Wbp van toepassing? – 1
Juridisch kader
- EU richtlijn 1995
- Wet bescherming persoonsgegevens (Wbp)
- Meldplicht datalekken 2015
- Europese Verordening (2016?)
Verder
- CBP richtsnoeren
- artikel 29 Werkgroep opinies
- gedragscodes
- specifieke wetten (bv Telecommunicatiewet)
6. Wanneer is Wbp van toepassing? – 2
Definities
- persoonsgegeven
- betrokkene
- verantwoordelijke
- bewerker
Voorbeelden
- winkel wist eerder van zwangerschap meisje
dan haar ouders (2012)
- verzekeringen geweigerd op basis van
profielen social media
- smart TV kijkt met je mee (TPVision)
7. Wbp is van toepassing op de verwerking
van persoonsgegevens
Verwerking
elk geheel van handelingen met betrekking tot
persoonsgegevens
Persoonsgegevens
alle gegevens die informatie kunnen
verschaffen over een identificeerbare
natuurlijke persoon
Wanneer is Wbp van toepassing? – 3
8. Wanneer is Wbp van toepassing? – 4
Verwerking
verzamelen, vastleggen en ordenen
bewaren, bijwerken en wijzigen
opvragen, raadplegen, gebruiken
verstrekken door middel van doorzending
verspreiding of enige andere vorm van terbeschikkingstelling
samenbrengen, met elkaar in verband brengen
afschermen, uitwissen of vernietigen van gegeven
Persoonsgegevens
NAW-gegevens / e-mailadres / telefoonnummer
IP-adres
Locatiedata
Foto’s
10. Wanneer is Wbp van toepassing? – 5
Bijzondere persoonsgegevens
Godsdienst of levensovertuiging
Ras
Politieke gezindheid
Gezondheid
Seksuele leven
Lidmaatschap van een vakbond
Strafrechtelijk verleden
Gebruik van bijzondere persoonsgegevens niet
toegestaan tenzij uitzondering in de wet
11. Wanneer is Wbp van toepassing? – 6
Elke verwerking?
persoonsgegevens mbv computer opslaan,
verwerken etc.
handmatig verwerken alleen als er sprake is
van een bestand
Uitzonderingen
ongestructureerd handmatig dossier
verwerking persoonlijk/huiselijk gebruik
verwerking uitsluitend voor journalistieke,
literaire of artistieke doeleinden
12. Wanneer is Wbp van toepassing? – 7
Betrokkene
degene op wie persoonsgegeven betrekking
heeft
Verantwoordelijke
de partij die het doel en de middelen voor de
verwerking van persoonsgegevens vaststelt
Bewerker
de partij aan wie de verantwoordelijke
verwerking van persoonsgegevens heeft
uitbesteed
13. Wat mag wel en wat mag niet? – 1
VERANTWOORDELIJKE
Vereisten verwerking Wbp
verwerking op behoorlijke & zorgvuldige wijze
in overeenstemming met de wet
Doel
welbepaald
uitdrukkelijk omschreven
gerechtvaardigd
15. Wat mag wel en wat mag niet? – 2
Verwerking slechts toegestaan indien
noodzakelijk
voor de uitvoering van een overeenkomst
voor de uitvoering van een wettelijke plicht
voor een vitaal belang van de betrokkene
voor de goede vervulling van een publiekrechtelijke taak
voor een gerechtvaardigd belang
OF
op grond van ondubbelzinnige toestemming van
betrokkene
16.
17. Wat mag wel en wat mag niet? – 3
Niet verenigbaar met doeleinden
Persoonsgegevens mogen niet worden verwerkt op
een wijze die onverenigbaar is met de doeleinden
waarvoor ze zijn verkregen (denk aan pizza-
bestelling)
Bewaartermijn
Niet langer bewaren dan noodzakelijk
18. Wat mag wel en wat mag niet? – 4
Maatregelen zodat persoonsgegevens juist en
nauwkeurig zijn
Plicht tot geheimhouding voor personeel
Melden verwerking persoonsgegevens
tenzij uitzondering vrijstellingsbesluit
Informatie verstrekken aan betrokkenen
gegevens over verantwoordelijke
voor welk doel/doeleinden gegevens worden verzameld en
verwerkt
privacyverklaring
Op verzoek van betrokkene
Inzage/correctie persoonsgegevens
22. Wat mag wel en wat mag niet? – 6
BEWERKER
In opdracht verantwoordelijke
uitsluitend persoonsgegevens verwerken in
opdracht van verantwoordelijke
handelen conform bewerkersovereenkomst
zelfstandig verplichtingen tot:
Geheimhouding
Beveiliging
23. Wat mag wel en wat mag niet? – 7
BEWERKER
TIP
hanteer zelf een “standaard”
bewerkersovereenkomst met opdrachtgevers
in het kader van Meldplicht datalekken nog
meer van belang
24. Meldplicht datalekken – 1
Ingangsdatum 1 januari 2016
wijziging van Wbp
loopt vooruit op Europese Privacy Verordening
CBP wordt Autoriteit Persoonsgegevens
Verplichting tot melding datalekken
Uitbreiding opleggen bestuurlijke boetes
25. Meldplicht datalekken – 2
Datalek?
Alle beveiligingsincidenten waardoor de
bescherming op enig moment is doorbroken
Waardoor de bescherming van persoonsgegevens op
enig moment is doorbroken
Waardoor persoonsgegevens zijn blootgesteld aan
verlies of onrechtmatige verwerking
Voorbeelden
Kwijtgeraakte usb-stick / gestolen laptop
Inbraak door hacker / malware-besmetting
Verzending van mail waarin gegevens van anderen zichtbaar zijn
Maar ook: calamiteit zoals brand
26. Meldplicht datalekken – 3
Verplichting tot Melding Datalek
Melden datalek Autoriteit Persoonsgegevens
Datalek leidt tot ernstige nadelige gevolgen voor de
bescherming van persoonsgegevens, of
Aanzienlijke kans hierop bestaat
Melden datalek betrokkene
Datalek heeft ongunstige gevolgen voor hun
persoonlijke levenssfeer
27. Meldplicht datalekken – 4
Melding verplicht?
Vanaf 1 januari via formulier website CBP
Verantwoordelijke heeft verplichting
Belang van goede bewerkersovereenkomsten
Beoordeling of sprake is van (aanzienlijke kans op)
ernstige nadelige gevolgen aan de hand van
richtsnoeren
Richtsnoeren zijn in concept aanwezig op de website van het CBP
Consultatieversie
29. Meldplicht datalekken – 6
Aanzienlijke kans op ernstige nadelige gevolgen
Groot aantal persoonsgegevens (kans op misbruik
groter)
Persoonsgegevens van kwetsbare groepen
(kinderen/ouderen)
Termijn melding
Uiterlijk op 2e werkdag NA ontdekking
Melding kan later worden aangevuld of ingetrokken
32. Meldplicht datalekken – 9
Melding aan betrokkene
Aard van de inbreuk
Instanties waar betrokkene meer informatie kan
verkrijgen
Aanbeveling van maatregelen die betrokkene kan
nemen om de negatieve gevolgen te beperken
(veranderen gebruikersnaam / wachtwoord)
Termijn melding
Onverwijld
Termijn zelf aangeven in melding aan Autoriteit
Persoonsgegevens
33. Meldplicht datalekken – 10
Verplichtingen
Doen van de meldingen
Bijhouden overzicht van alle datalekken
Overzicht hoeft niet openbaar te worden gemaakt
Bewaartermijn minimaal 1 jaar
Autoriteit Persoonsgegevens
Ontvangstbevestiging
Als nadere actie is gewenst wordt contact opgenomen
Register (niet-openbaar)
Opleggen boete
34. Meldplicht datalekken – 11
Werknemers?
Alleen als er sprake is van opzet of bewuste
roekeloosheid werknemer
WEL : ICT-protocol aan te raden met mogelijke
sancties
35. Meldplicht datalekken – 12
Bestuurder
Bestuurdersaansprakelijkheid
Bestuurders wel aansprakelijk voor beslissingen of
grove nalatigheid in de besluitvorming
37. Aansprakelijkheid & risico’s - 1
Artikel 49 Wbp aansprakelijkheid
verantwoordelijke & bewerker
Benadeelde (=iemand die schade lijdt) heeft recht op
schadevergoeding (zowel materieel als immaterieel)
Verantwoordelijke is aansprakelijk
Bewerker aansprakelijk voor de schade die is ontstaan door de
exacte werkzaamheden van bewerker
Strafrechtelijk aansprakelijk
Geldboete maximaal 4.500 EUR
Actie CBP
Bestuurlijke boete opleggen maximaal 4.500 EUR
Altijd vooraf mogelijk overtreding ongedaan te maken
38. Aansprakelijkheid & risico’s - 2
Meldplicht datalekken
Verhoging boetebevoegdheid CBP
Boetes verhoogd tot 810.000 EUR of 10% van de omzet
Concept boetebeleidsregels
39. Aansprakelijkheid & risico’s - 3
Verzekerbaar?
Beroepsaansprakelijkheidsverzekering?
Schending privacy -> beroepsfout?
Reputatieschade?
LET OP evt. uitsluiting beveiligingsinbreuken
LET OP evt. uitsluiting verlies van gegevens
Cyber & Data risks verzekering
Hacking, systeeminbraak
Verlies data
40. Toekomst
Europese verordening
Harmonisatie Europa
Boetebevoegdheid
Privacy Officer / Data Protection Officer
Privacy Impact Assessment (PIA)
Privacy steeds belangrijker issue
Privacy- & securitybeleid
Commercieel
Safe Harbour?
Doorgifte naar US verboden
Aanpassen?
Politieke oplossing
Nike past hardloop-app aan na onderzoek CBP
Nike berekent via de app loopafstanden, -snelheden en -tijden. Om dit te kunnen doen, maakt de app onder meer gebruik van de locatiegegevens uit de telefoon. De app berekent ook verbrande calorieën en paslengte op basis van het geslacht, de lichaamslengte en het gewicht die gebruikers moeten opgeven. Daarnaast berekent Nike op basis van de meetgegevens uit de app zogenaamde 'Fuel-punten', een eigen maatstaf van Nike voor de mate van geleverde inspanning.
Nike dus bijvoorbeeld wat je weegt, hoeveel calorieën je ongeveer verbrandt, hoeveel, hoe vaak en hoe intensief je sport. Dit zijn gevoelige persoonsgegevens die iets zeggen over de gezondheid. Hoe vaak en intensief je sport heeft een relatie met je levensverwachting. Nike mag deze bijzondere persoonsgegevens alleen verwerken met uitdrukkelijke toestemming van de gebruikers.
Naar aanleiding van het CBP-onderzoek heeft Nike een aantal maatregelen getroffen. Nieuwe gebruikers van de app zijn sinds deze zomer niet meer verplicht hun lengte en gewicht op te geven. Ook bevatten nieuwe versies van de app extra informatie over het verwerken van lengte en gewicht. Nike heeft aangekondigd de komende maanden nadere maatregelen te treffen om álle gebruikers beter te informeren over de verwerking van gezondheidsgegevens. Ook heeft Nike aangekondigd dat zij alsnog toestemming gaat vragen aan de bestaande gebruikers voor de verwerking van hun gezondheidsgegevens.
Dochter ontving coupons in haar mail voor wiegjes en babykleertjes. De winkelketen had informatie over haar verzameld via een guestID en elke keer wanneer ze iets kocht, de website bezocht of zoiets werd dat geregistreerd. Op basis van 25 specifieke producten die ze had bekeken en/of gekocht kon de computer een pregnancy predition score uitrekenen en wist ook hoe ver ze in haar zwangerschap was.
In 2011 zet een verzekering een autoverzekering stop van een verzekerde van wie op zijn Facebook pagina blijkt dat hij meedoet aan straatraces. Dat mag op basis van openbare informatie (geen privacy profiel)
TP Vision verzamelt en bewaart gegevens over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv’s. Het bedrijf gebruikt deze gegevens om persoonlijke kijkaanbiedingen te doen.
TP Vision verzamelt en bewaart per smart tv wanneer er tv wordt gekeken, welke uitzendingen en apps favoriet zijn, welke uitzendingen de tv-kijker opneemt, welke video's deze huurt en welke 'uitzending gemist'-uitzendingen deze bekijkt.
elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Aangezien je via de app een uniek nummer toegewezen krijgt kunnen jullie als verantwoordelijke partij indirect personen identificeren door het unieke nummer te combineren met een of meer berekende locaties. Het enkele feit dat dit tot de mogelijkheden behoort brengt specifieke privacy issues met zich mee althans volgens de Europese Commissie.
Als aanbieder kun je namelijk op indirecte wijze een gedetailleerd overzicht van de gewoonten en patronen van een eigenaar van een apparaat verkrijgen en uitgebreide profielen opstellen. Zo kan uit een patroon van inactiviteit in de nacht de slaapplaats worden afgeleid en uit een regelmatig reispatroon in de ochtend de locatie van een mogelijk werkgever. Een gedragspatroon kan ook speciale categorieën gegevens opleveren, bijvoorbeeld wanneer dat patroon duidt op bezoeken aan ziekenhuizen of religieuze plaatsen, de aanwezigheid bij politieke demonstraties of de aanwezigheid op andere specifieke locaties die gegevens over bijvoorbeeld iemands seksleven kunnen opleveren.
Echter een foto is een persoonsgegeven en er dient aldus voldaan te worden aan de Wet bescherming persoonsgegevens.
Foto : ras zichtbaar
Dus bijzonder persoonsgegeven: dan vaak alleen op basis van toestemming verwerking mogelijk
Informed consent : geïnformeerde toestemming
Bestand : gestructureerd geheel van gegevens
Gegevens moeten onderling samenhang vertonen en systeem moet systematisch toegankelijk zijn
Adresboek in een telefoon in beginsel ook persoonlijk en valt dus niet onder Wbp. Maakt niet uit als zzp-er. Staat ook telefoonnummer van oppas en poetshulp in. Kan anders zijn als je echt 2 verschillende telefoons hebt.
In veel gevallen wordt de verwerking van persoonsgegevens door verantwoordelijken uitbesteed aan “bewerkers”. Denk hierbij bijvoorbeeld aan een hostingpartij of een administratiekantoor dat het salarisbeheer verzorgt.
De wet richt zich tot de verantwoordelijke en de bewerker heeft een geheimhoudingsplicht en een beveiligingsplicht. Als verantwoordelijk de plicht om bewerkersovereenkomst af te sluiten.
processed fairly [and] lawfully
Voorwaarde voor een eerlijke verwerking van gegevens is - zo stelt een overweging 38 bij de richtlijn - dat de betrokkenen van het bestaan van de verwerkingen kennis kunnen hebben en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen. Je mag dus niet heimelijk gegevens verzamelen.
In artikel in ED wordt ook ingegaan op de privacyschending en het feit dat de camera's dus noodzakelijk moeten zijn om de openbare orde te handhaven. Ik ben wel benieuwd welke aanvullende maatregelen worden genomen (bijv. betere straatverlichting of extra surveillance op straat)
Als u van de betrokkene een onbepaalde machtiging hebt gekregen om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, dan is er geen sprake van rechtsgeldige toestemming. De toestemming moet dus gericht zijn op de door u beoogde verwerking of groep van verwerkingen. U moet de betrokkene vóór het geven van de toestemming zo informeren dat hij begrijpt waarvoor hij toestemming geeft. U mag er dus niet vanuit gaan dat de betrokkene wel weet wat u met de gegevens gaat doen. Als de betrokkene bij u als restauranthouder zijn visitekaartje in een daartoe bestemd bakje achterlaat om mailings over nieuwe menu’s te ontvangen, dan blijkt uit die gedraging ondubbelzinnige toestemming voor de verwerking van persoonsgegevens voor dat doel.
2.De tweede grondslag voor verwerking is de verwerking die noodzakelijk is voor de uitvoering van een overeenkomst.
Als u met iemand een overeenkomst hebt gesloten, mag u de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren. U mag op basis van deze grondslag ook gegevens verwerken in de fase vóór het sluiten van de overeenkomst.(b.v. de gegevens die u heeft uit een offerte om daar een overeenkomst mee te maken)
3. Om uw gegevensverwerking op de derde grondslag van de Wbp te kunnen baseren moet de verwerking noodzakelijk zijn voor de uitvoering van een wettelijke plicht.
4. Als het voor een vitaal belang van de betrokkene noodzakelijk is zijn of haar persoonsgegevens te verwerken, is die verwerking op de vierde grondslag van de Wbp toegestaan. U moet hierbij met name denken aan een dringende medische noodzaak.
5. U mag persoonsgegevens verwerken op basis van de vijfde grondslag als het verwerken van gegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt.
6. U mag op basis van de zesde grondslag persoonsgegevens verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren. U moet een gerechtvaardigd belang hebben. (b.v. een goede bedrijfsvoering, dit kan ook zijn het sturen van reclame over nieuwe producten).
Gegevens mogen niet langer bewaard worden dan noodzakelijk (is niet concreet aan termijn gebonden, hoe lang zijn de gegevens nodig voor het doel waarvoor ze zijn verzameld of worden gebruikt, daarna vernietigen en ook dat dient zorgvuldig te gebeuren)
interactief: bijvoorbeeld laat deelnemers voorbeelden verzinnen die voor hun branche/bedrijf relevant zouden kunnen zijn in deze categorie
De maatregelen moeten een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging en gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
Van belang bij Meldplicht datalekken
Echter een foto is een persoonsgegeven en er dient aldus voldaan te worden aan de Wet bescherming persoonsgegevens.
elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Aangezien je via de app een uniek nummer toegewezen krijgt kunnen jullie als verantwoordelijke partij indirect personen identificeren door het unieke nummer te combineren met een of meer berekende locaties. Het enkele feit dat dit tot de mogelijkheden behoort brengt specifieke privacy issues met zich mee althans volgens de Europese Commissie.
Als aanbieder kun je namelijk op indirecte wijze een gedetailleerd overzicht van de gewoonten en patronen van een eigenaar van een apparaat verkrijgen en uitgebreide profielen opstellen. Zo kan uit een patroon van inactiviteit in de nacht de slaapplaats worden afgeleid en uit een regelmatig reispatroon in de ochtend de locatie van een mogelijk werkgever. Een gedragspatroon kan ook speciale categorieën gegevens opleveren, bijvoorbeeld wanneer dat patroon duidt op bezoeken aan ziekenhuizen of religieuze plaatsen, de aanwezigheid bij politieke demonstraties of de aanwezigheid op andere specifieke locaties die gegevens over bijvoorbeeld iemands seksleven kunnen opleveren.
Formulier is nog niet beschikbaar
encryptie als technische beschermingsmaatregel om persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor onbevoegden.
Werknemer verklaart persoonsgegevens waarvoor werkgever verantwoordelijk is, strikt vertrouwelijk te behandelen en alleen gebruiken voor de door werkgever aangewezen bedrijfsdoeleinden. Werknemer realiseert het belang van een goede omgang met persoonsgegevens. Indien werknemer de persoonsgegevens in strijd met voornoemd behandelt en werkgever hierdoor schade lijdt, zal werknemer deze schade vergoeden.
Stel dat je besluit, we doen even niets aan security-updates want dat is me te duur, dan is een datalek als gevolg van zo’n gemiste update jou persoonlijk aan te rekenen
stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen.
Privacy kan commercieel ook interessant zijn! Profileer je als bedrijf dat privacy als speerpunt van diensten heeft gemaakt.
Bedrijven die nu met een beroep op de Safe Harbour-overeenkomst persoonsgegevens doorgeven aan de VS, werken in strijd met de wet. De privacytoezichthouders benadrukken dat zij zullen optreden als eind januari 2016 hiervoor geen (politieke) oplossing is gevonden.
Gelukkig zijn er nog een aantal mogelijkheden om rechtmatig gegevens door te geven naar de VS. Ten eerste kan aan de betrokkene toestemming worden gevraagd voor de doorgifte. Dit zal echter in veel gevallen praktisch onmogelijk blijken, bijvoorbeeld vanwege het grote aantal betrokkenen. Een andere mogelijkheid is het sluiten van EU Model Clauses. Deze standaard contracten voorzien in een juridisch kader waardoor het ontvangende bedrijf contractueel verplicht wordt tot het bieden van een passend beschermingsniveau. Indien ongewijzigd getekend biedt dit een grondslag voor de doorgifte naar derde landen, waaronder de VS.
De Commissie is overigens al (geruime tijd) in overleg met de VS om de Beschikking te herzien, of dit echter op korte termijn tot een nieuwe beschikking zal leiden valt nog te bezien. Op dit moment hebben bedrijven daar in ieder geval niets aan.
De Europese Unie en de Verenigde Staten zijn bijna klaar om een nieuwe versie van het dataverdrag Safe Harbor met elkaar te sluiten. Er wordt al twee jaar gediscussieerd over een nieuw Safe Harbor-verdrag, dat de opslag van Europese privégegevens in de Verenigde Staten regelt, maar nu zijn wetgevers in de twee regio's het bijna met elkaar eens.