AVG*: wat moet je ermee?

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

Twee 10-stappenplannen gecombineerd

*Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming

• Vanaf 25 mei 2018 moeten organisaties aantoonbaar voldoen aan de Algemene Verordening Gegevensbescherming (AVG)

• Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU)

• De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer

De belangrijkste vraag: AVG: wat moet je ermee?

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

AVG: wat moet je ermee?Het antwoord op de vraag uit de titel is vrij simpel:

per 25 mei 2018 moet je aantoonbaar aan de AVG voldoen

Daarom zijn in deze presentatie de stappenplannen van de Autoriteit Persoonsgegevens en van het Ministerie van Veiligheid en Justitie met elkaar vergeleken en concluderen we dat ze elkaar mooi aanvullen

Na deze presentatie kun je er zelf direct mee aan de slag

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

De grootste verschillen

• Aantoonbaar maken dat de organisatie voldoet aan de wet

• Verwerkingen van persoonsgegevens niet meer melden

• Het verplicht worden van een Functionaris Gegevensbescherming

• Het verplicht worden van Privacy Impact Assessments

• Een verhoging van de boetes

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

10 zaken die vaak mis gaan1. Het ontbreken van een

privacyreglement

2. Het gerechtvaardigd belang is niet vastgelegd

3. De noodzakelijkheid, proportionaliteit en subsidiariteit zijn niet afgewogen

4. Er wordt niet duidelijk gemaakt dat er gegevens verzameld worden

5. Gegevens worden langer bewaard dan strikt noodzakelijk

6. Er worden meer gegevens gevraagd dan voor het gerechtvaardigd belang noodzakelijk is

7. Ongeautoriseerde personen hebben inzicht in de gegevens

8. De beveiliging van de gegevensverwerkende informatiesystemen is niet op orde

9. Informatiesystemen worden niet (goed) beheerd

10. Er zijn geen verwerkersovereenkomsten opgesteld

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

10 stappenplan om “in control” te komen

1: Bewustwording2: Rechten van betrokkenen 3: Overzicht verwerkingen4: Privacy Impact Assessment5: Privacy by design & by default6: Functionaris gegevensbescherming7: Meldplicht datalekken8: Bewerkersovereenkomsten9: Leidende toezichthouder10: Toestemming

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

1: Bewustwording Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven, zoals guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.

Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

Breng de nieuwe privacyregels onder de aandacht van sleutelfiguren en beleidsmakers van uw organisatie. Laat hen een inschatting maken van de gevolgen van de AVG voor de processen en systemen. Breng in kaart wat de benodigde menskracht en middelen zijn voor de implementatie van de privacyregels.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

2: Rechten van betrokkenenOnder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daar op voor zodat u op tijd en op de juiste manier op verzoeken reageert.

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Implementeer de aangescherpte informatieplichten en zorg dat de verklaring voldoende is afgestemd op de doelgroep(en). Is de informatie beknopt, begrijpelijk en gemakkelijk toegankelijk? Vanaf mei 2018 moet de privacyverklaring bijvoorbeeld ook informatie bevat en over de wettelijke grondslag, bewaartermijnen, eventuele uitwisseling met landen buiten de EU, het klachtrecht van betrokkene bij de AP en mogelijke geautomatiseerde besluitvorming en profilering.

Beoordeel of de procedures zijn ingericht op alle rechten waarop betrokkene onder de AVG een beroep kan doen. Dat zijn de rechten die onder de Wbp gelden, aangevuld met nieuwe rechten als het recht van betrokkene om zijn gegevens te ontvangen in een gestructureerde gangbare en elektronische vorm (dataportabiliteit) en het recht op vergetelheid.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

3: Overzicht verwerkingenBreng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.

U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige Wbp.

De AVG introduceert een registratieplicht voor alle verwerkingen van persoonsgegevens. Welke persoonsgegevens worden voor welk doel verwerkt? Waar komen de gegevens vandaan en met wie zijn ze gedeeld? Hoe lang worden de gegevens bewaard? De registratie van de verwerkingen helpt u gedocumenteerd aan te kunnen tonen dat de gegevensverwerking op orde is.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

4: Privacy Impact AssessmentOnder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisicomet zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

De gegevensverwerkingseffectbeoordeling (GEB) helpt u vroegtijdig risico’s in kaart te brengen en maatregelen te nemen, afgestemd op het veiligheidsrisico en de behoefte aan beveiliging. In Nederland is de GEB verplicht bij nieuwe wetgeving, beleid of ICT-projecten waarin verwerking van persoonsgegevens een rol speelt.

Het kabinetsbeleid dat is ingezet in 2013 wordt voortgezet en daarbij is voor de vereisten waaraan een GEB moet voldoen aangesloten bij de AVG. De AVG stelt een GEB (in de vorm van een DPIA) verplicht als de verwerking een hoog privacyrisico voor betrokkenen inhoudt, in het bijzonder bij gebruik van nieuwe technologieën en in elk geval bij profilering, grootschalige verwerkingen van ‘bijzondere’ categorieën persoonsgegevens en stelselmatige monitoring in openbare ruimten. De resultaten van de GEB kunnen u verplichten contact op te nemen met de Autoriteit Persoonsgegevens (AP).

Bij vergelijkbare verwerkingen met vergelijkbare risico’s kan worden volstaan met een GEB.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

5: Privacy by design & by defaultMaak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:• een app die u aanbiedt niet de locatie van

gebruikers te laten registeren als dat niet nodig is;• op uw website het vakje ‘Ja, ik wil aanbiedingen

ontvangen’ niet vooraf aan te vinken;• als iemand zich op uw nieuwsbrief wil abonneren

niet meer gegevens te vragen dan nodig is.

Net als de Wbp verlangt de AVG passende maatregelen om de beveiliging van persoonsgegevens te borgen. De AVG gaat een stap verder en verlangt dat gegevensbescherming in het technische ontwerp van systemen wordt ingebouwd. Systemen moeten standaard op de meest privacy-vriendelijke manier worden ingericht, zodat gebruikers niet extra moeite moeten doen om gegevens beter te beschermen (gegevensbescherming by design). Ook moeten ze zo zijn ontworpen en ingericht dat er zo min mogelijk persoonsgegevens worden verwerkt (gegevensbescherming by default).

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

6: Functionaris gegevensbeschermingOnder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG.

Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

De AVG verplicht ook overheidsinstanties of organen een functionaris voor gegevensbescherming (FG) te benoemen. Zo is zeker dat iemand in de organisatie (of een externe FG) toeziet op de naleving van de AVG en dat hij de kennis en bevoegdheid heeft om dit te doen. De FG rapporteert aan de hoogste leidinggevende en mag geen instructies krijgen met betrekking tot de uitoefening van zijn taak. Overheden kunnen met elkaar ook een gezamenlijke FG aanstellen.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

7: Meldplicht datalekkenDe meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Controleer of de procedures voor datalekken (opsporen, onderzoeken, rapporteren, melden) aan de aangescherpte regels voldoen. Alle datalekken moet u registreren.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

8: BewerkersovereenkomstenHeeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

U moet de bestaande contracten met verwerkers en onderaannemers controleren en, waar nodig, in lijn brengen met de AVG.

De verwerking van persoonsgegevens mag alleen op basis van uw schriftelijke instructies plaatsvinden. De verwerker hee ook uw toestemming nodig voor het inschakelen van een onderaannemer. In de overeenkomst moeten ook de geheimhouding en beveiliging geregeld zijn. Evenals de plicht van de verwerker om mee te werken aan inspecties die de gedragseisen verifiëren en aan verzoeken van betrokkenen aan uw adres.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

9: Leidende toezichthouderHeeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met een privacytoezichthouder zaken te doen.

Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

Hier wordt in de tien stappen van het Ministerie van Veiligheid en Justitie geen invulling aan gegeven, maar logischerwijs is dat voor overheidsinstellingen in Nederland de Autoriteit Persoonsgegevens.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

10: ToestemmingVoor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Zorg dat de manier waarop toestemming wordt gevraagd, verkregen en geregistreerd in lijn is met de AVG. Zeker als het toestemming van kinderen betreft. De toestemming moet vrij, specifiek, geïnformeerd, ondubbelzinnig, actief en controleerbaar zijn. Uit zwijgen of niet-handelen mag geen toestemming worden afgeleid.

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

En als je het zeker wilt wetenDoor de volgende 5 stappen te zetten kun je aantoonbaar maken dat je voldoet aan de Algemene Verordening Gegevensbescherming:1. Voer een compliance check uit naar de mate waarin jouw gegevensverwerkingen

voldoen aan de AVG en pak de zaken aan die nog niet compliant zijn2. Voer een Privacy Impact Assessment uit naar de wijze waarop

gegevensverwerkingen binnen de organisatie worden gebruikt en hou je aan alles wat je daarin hebt aangegeven

3. Stel een privacyreglement op waarin alle informatie omtrent gegevensverwerkingen worden vastgelegd en laat deze goedkeuren door de Ondernemingsraad

4. Zorg voor verwerkersovereenkomsten met alle externe partijen die betrokken zijn gegevensverwerkingen en controleer of alle partijen zich daar aan houden

5. Informeer de Functionaris Gegevensbescherming over het feit dat jouw gegevensverwerking valt onder de AVG en betrek hem/haar erbij

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

Thimo Keizer

thimo@b-mature.com

Vragen?

https://www.linkedin.com/in/thimokeizer/

Hopelijk kun je met deze presentatie in de hand al grote stappen zetten in het voldoen aan de AVG

Wil je deze presentatie binnen jouw organisatie laten geven? Of heb je ondersteuning nodig?

Neem gerust contact met me op

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

AVG in relatie tot cameratoezicht

Deze presentatie wordt u aangeboden door B-Mature (info@b-mature.com)

Meer weten over AVG in relatie tot cameratoezicht?Lees dan ook eens de volgende artikelen op LinkedIn

AVG/GDPR? Hoe je in 5 stappen voor cameratoezicht aantoonbaar maakt dat je privacy serieus neemt

Cameratoezicht: 10 zaken die vaak mis gaan

https://www.linkedin.com/pulse/cameratoezicht-10-zaken-die-vaak-mis-gaan-thimo-keizerhttps://www.linkedin.com/pulse/avggdpr-hoe-je-5-stappen-voor-cameratoezicht-maakt-dat-thimo-keizer