PRIVACY SIDN fonds Menno Weij
3 februari 2016
AGENDA Privacy
Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder
Ruimte voor vragen en discussie
TERMINOLOGIE Belangrijkste termen Wbp
Persoonsgegevens Betrokkenen Verwerken Verantwoordelijke / bewerker Autoriteit Persoonsgegevens
PRIVACY Welke vragen?
Worden er (bijzondere) persoonsgegevens verwerkt? Wie is verantwoordelijke, en wie is bewerker? Is er een grondslag voor de verwerking? [NB: function creep!!] Is er geïnformeerd? Wat is het doeleinde van de verwerking? [NB: function creep!!]
PERSOONSGEGEVENS (I) Persoonsgegevens “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”
NAW, kenteken, telefoonnummer, e-mailadres, BSN, IP-adres, Mac adres, Chip ID
Persoonsgegevens (I) Persoonsgegevens “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”
NAW, kenteken, telefoonnummer, e-mailadres, BSN, IPadres, Mac adres, Chip ID
PERSOONSGEGEVENS (II) Let op bijzondere persoonsgegevens! Godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging Hogere drempel voor verwerking (lees: vrijwel altijd toestemming)
VOORBEELDEN
TOEPASSINGSBEREIK Verwerking persoonsgegevens activiteiten verantwoordelijke in Nederland Gevestigd buiten de EU en niet in Nederland? Wbp van toepassing als gebruik wordt gemaakt van middelen in Nederland Aanwijzen vertegenwoordiger in Nederland
GRONDSLAG Voor elke verwerking is een grondslag vereist Belangrijkste grondslagen: Toestemming Uitvoering overeenkomst Gerechtvaardigd belang
Bijna alles is een verwerking Anonimiseren Vernietigen
ONDUBBELZINNIGE TOESTEMMING Elke vrije, specifieke en geïnformeerde wilsuiting Niet mogelijk als machtsverhouding dat niet toelaat Toestemming mag niet ‘verstopt’ zijn in voorwaarden
GERECHTVAARDIGD BELANG Afweging tussen bedrijfsbelang en privacybelang Marketingdoeleinden
Treffen waarborgen Opt-out Dataminimalisatie Aggregeren / anonimiseren
PROBLEEM Doelbinding (function creep) Welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Persoonsgegevens verzameld voor doel A, mogen niet voor doel B gebruikt worden Tenzij verenigbaar doel
INFORMATIEVERPLICHTING Voorafgaand aan verwerking Mededelen doeleinden verwerking en identiteit Privacy statement
RECHTEN BETROKKENEN Inzagerecht Overzicht verwerkte persoonsgegevens Binnen 4 weken
Recht op aanpassen Aanpassen, verwijderen, verbeteren, afschermen Binnen 4 weken
Recht van verzet Bij commercieel gebruik “The right to be forgotten’’
BEWERKERSOVEREENKOMST Bewerker handelt in opdracht verantwoordelijke
Wie is wie? Passende technische en organisatorische maatregelen Inzage in werking en beveiliging Separate overeenkomst
Aansprakelijkheid bij doorbreking beveiliging?
BEVEILIGING Passende technische en organisatorische maatregelen Afhankelijk van type persoonsgegevens Richtsnoeren beveiliging van persoonsgegevens
“plan-do-check-act” beoordeel risico’s gebruik beveiligingsstandaarden evalueer
MELDPLICHT DATALEKKEN Plicht van verantwoordelijke om datalekken te melden bij de toezichthouder Wat is een datalek? Wat is de oorzaak van een datalek? Onvoldoende beveiliging Beleidsregels meldplicht datalekken op website toezichthouder
DOORGIFTE Doorgifte buiten EER niet toegestaan tenzij:
Aangewezen EC Safe harbor ongeldig Modelcontracten BCR’s Toestemming
AUTORITEIT PERSOONSGEGEVENS (“AP”) Voorheen: College bescherming persoonsgegevens (“Cbp”)
AUTORITEIT PERSOONSGEGEVENS (I) Wat doet de toezichthouder?
Toezicht Advisering Voorlichting, informatieverstrekking en verantwoording Internationale taken Handhaving Monitoren datalekken
AUTORITEIT PERSOONSGEGEVENS (II) Sancties Bestuursdwang (last onder dwangsom) Boetes, maximale hoogte: € 820.000 of 10 % van de jaaromzet Publicatie besluiten
TOEKOMSTIGE WETGEVING Privacy Verordening 2017/2018? Privacy Impact Analysis No-NSA clause
Vragen?
