3. General Data Protection Regulation /
Algemene Verordening Gegevensbescherming
(GDPR / AVG 2016/679)
Alle informatie met betrekking tot eenAlle informatie met betrekking tot een
geïdentificeerde of identificeerbare natuurlijkegeïdentificeerde of identificeerbare natuurlijke
persoon (‘data subject');persoon (‘data subject'); een identificeerbare
natuurlijke persoon is iemand die direct of indirect kan
worden geïdentificeerd, met name door te verwijzen
naar een identificatie zoals een naam, een
identificatienummer, locatiegegevens, online gegevens,
genetische, mentale, economische, culturele of sociale
identiteit of natuurlijke persoon - inclusief
gepseudonimiseerde gegevens of geanonimiseerde
gegevens die kunnen worden hersteld (artikel 4, lid 1
AVG)
4. AVG - beknopt
Wetgeving
• Privacy als grondrecht: Europees Verdrag van de Rechten van de mens (art. 8),
Grondwet, VN verdragen
• OECD / OESO richtlijnen: privacy beginselen
• Tot 25 mei 2018: Wet Bescherming Persoonsgegevens (Wbp),
TelecommunicaOewet gebaseerd op de Privacy Richtlijn 95/46/EG
• Vanaf 25 mei 2018: Algemene Verordening Gegevensbescherming (AVG/GDPR),
Uitvoeringswet
Veranderingen
• Striktere mogelijkheden handhaving – hoge boetes tot 4% omzet of EUR 20M
• Versterking posiOe Autoriteit Persoonsgegevens à toezicht
5. Minimaal noodzakelijke acties AVG
1. Een register van verwerkingsactiviteiten bij te houden (de registerplicht)
2. Onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen
3. Voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermings- effectbeoordeling ofwel DPIA
uit te voeren
4. De Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle
verwerkingsactiviteit te raadplegen (voorafgaande raadpleging)
5. Bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en
standaardinstellingen (privacy by design & default)
6. Passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens
7. In het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde
omstandigheden ook bij de betrokkenen
8. Afspraken te maken met verwerkers
9. Medewerking te verlenen aan de Autoriteit Persoonsgegevens
6. N
O
NIEUW BASIS NL
1 Inhoud & handleiding Hierin vind u de handleiding en inhoudsopgave van de Toolkit.
2 Privacy beleidsplan (intern) Van groot belang is dat u een intern privacybeleid formuleert, geldend voor
iedereen in de organisatie en dit, indien nodig, afstemt met de
Ondernemingsraad. Dit beleidsplan vormt de kapstok voor SOP’s en
deelplannen, en hoeft u enkel aan te passen aan uw organisatie.
3 Datalekprocedure Ad. 7. In het geval van een datalek moet soms melding gedaan worden bij de
Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de
betrokkenen
4 Functionaris Gegevensbescherming Profiel Ad 2. Onder bepaalde omstandigheden dient een functionaris voor
gegevensbescherming te worden aangesteld. U treft een volledig
profiel/aanstellingsbesluit aan.
5 Vragenlijst voor gap-analyse (basis) Hierin treft u een aantal deel vragenlijsten aan waarmee u audits kunt uitvoeren
ten aanzien van de stand van zaken op het gebied van privacy in uw organisatie.
6 Projectplan (voorbeeld) Hierin treft u een voorbeeld van een projectplan aan, te gebruiken om acties uit te
werken. Deze dient u zelf in te vullen. Deze is ook te gebruiken in het kader van
een privacyteam overleg.
7 Verwerkingenregister Excel Ad. 1. Dit is een standard verwerkingenregister, conform de vereisten van de
AVG (art. 30), waarin u uw verwerkingsactiviteiten vastlegt.
8 DPIA (Data Privacy Impact Assesment) Ad. 3. Op grond van art. 35 AVG dient u in bepaalde gevallen voorafgaand aan
risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling
oftewel DPIA uit te voeren. Hierin treft u een uitgebreide DPIA aan.
9 Extern Privacy Statement In het kader van transparantie dient u te beschikken over een helder privacy
statement die voldoet aan de wet. In deze sectie treft u een voorbeeld aan van een
privacy statement die u kunt aanpassen aan uw eigen organisatie. De vorm van
een privacy statement is vrij.
1
0
Toestemmingsverklaring Hierin treft u een voorbeeld van een opt-in tekst aan.
1
1
Arbeidsovereenkomst privacy teksten Hierin treft u een aantal voorbeeld artikelen aan die u kunt gebruiken in
arbeidsovereenkomsten en in uw personeelsgids/regelingen.
1
2
Verwerkersovereenkomst Ad. 8. Op grond van artike28 AVG dient u afspraken te maken met verwerkers.
U treft een voorbeeld verwerkersovereenkomst aan.
1
3
Intranet outline privacy pagina Hierin treft u een opzet aan van een intranet pagina, die u als basis kunt
gebruiken om intern bewustwording te vergroten.
1
4
Wetgeving Hierin treft u een selectie aan van relevante wetten en opinies.
De Privacy Toolkit Basis is
overzichtelijk ingedeeld
in een aantal onderwerpen
gerelateerd aan de belangrijkste
bepalingen uit de AVG, met per
map een voorbeeld van een tool
in
Word of Excel, en een map met
nuttige informatie (wetten en
opinies)
Alle tools zijn in de praktijk
multidisciplinair ontwikkeld en
samengesteld, met als oogmerk
zoveel mogelijk gemak
Overzicht
9. AdValor Privacy Solutions
core team
Paul Houkes CIPP/E,
juridisch adviseur en
privacy consultant
Paul Houkes hee; zijn sporen verdiend met meer dan 20 jaar ervaring als internaAonaal werkend bedrijfsjurist en
legal director voor meer dan 30 bedrijven waaronder Philips, Vodafone, Ziggo, Siemens en Avery Dennison.
Gespecialiseerd in het internaAonale ICT-contractenrecht, M&A- en privacywetgeving is hij betrokken geweest in
zowel complexe onderhandelingstrajecten op het hoogste niveau als in het projectmanagement van grootschalige
implementaAe van privacywetgeving. Daarnaast hee; hij leidinggevende ervaring opgedaan als Director Legal,
General Counsel en Corporate Secretary. Sinds de eerste concepten van de GDPR in 2012 bekend werden, is hij
betrokken geweest bij meer dan 15 bedrijven in verschillende sectoren om deze wetgeving te vertalen naar
acAeplannen en daaraan vervolgens uitvoering te geven. Sectoren waarin hij acAef was zijn onder andere de
farmaceuAsche industrie, technology/hightech, ICT, medical appliances, media, energie, op zowel juridische
afdelingen als ter ondersteuning van sales en procurement afdelingen.
Peter Brussaard CIPP/E,
InformaAebeveiliging en
privacy consultant
Peter Brussaard is een resultaatgerichte business en ICT-expert, met het vermogen om complexe IT- en
organisaAevraagstukken te overzien en oplossingen te bieden. Gepromoveerd in de natuurwetenschappen is hij sinds
2000 acAef in het bedrijfsleven. Sinds 2012 reeds CIPP/E privacy geaccrediteerd en daarnaast gespecialiseerd in
informaAebeveiligingsvraagstukken. Senior consultant op board-room niveau in het adviseren en begeleiden van
overheden en toonaangevende merken in diverse sectoren zoals Philips, KLM, Robeco, ING, TPV, Sligro, PoliAe, UWV,
ICTU, VROM, ANWB, WNF en News InternaAonal (London). Hee; reeds vele privacyprojecten succesvol afgerond.
Gerbert de Leeuw RA,
Risk management en
privacy auditor
Gerbert de Leeuw hee; als Register OperaAonal auditor de experAse om (privacy) control frameworks te ontwikkelen
en te helpen implementeren. Hij is in staat om op pragmaAsche wijze ondernemingen te ondersteunen en adviseren
om in controle te komen. Dit doet hij door vanuit een integrale procesbenadering financiële kennis te verbinden met
management control en risicobeheersing. Tevens hee; hij de bevoegdheid om als Register Accountant (privacy)
cerAficeringen uit te voeren. Verder hee; hij ondersteund bij due diligence onderzoeken en risicoanalyses uitgevoerd
bij insourcing trajecten. Gerbert is als controlerend accountant werkzaam geweest in het grotere MKB en bij
internaAonaal georiënteerde ondernemingen. Deze ervaring hee; hij aangevuld met zijn werkzaamheden als senior
internal auditor bij ProRail.
10. Aanbieding
• De aanbieding in deze presentatie is informatief en vrijblijvend.
• Indien u de Privacy Toolkit Basis aanschaft voor gebruik in uw eigen organisatie
of entiteit, bieden wij u deze aan tegen een scherpe prijs en kunnen ook tegen
gereduceerd uurtarief ondersteuning verlenen bij het gebruik, toepassing en
implementatie.
• Indien u de Privacy Toolkit Basis aanschaft om deze te gebruiken voor uw eigen
klanten dan is dat ook mogelijk. Dan kunnen wij u een aantrekkelijke licentie- of
commissie model aanbieden. Neemt u dan ook contact op met een van onze
medewerkers om de mogelijkheden door te spreken.
11. Meer informatie?
• Paul Houkes (Legal)
paul.houkes@advalor.nl
• Gerbert de Leeuw (Audit en management control)
gerbert.de.leeuw@advalor.nl
• Peter Brussaard (Business management en ICT)
peter.brussaard@advalor.nl