Privacy en Datalekken

AVG Introductie

De Europese wetgeving rondom privacy en datalekken.

De AVG trad in werking op 25 mei 2016. U had tot 25 mei 2018 om de tijd om voorbereidingen te treffen.
Deze nieuwe privacyregels vragen een gedegen voorbereiding van organisaties.

De wetgeving is van toepassing bij opslag en verwerking van persoonsgegevens, niet exclusief maar wel met nadruk op de geautomatiseerde verwerking door organisaties. Persoonlijke en huishoudelijke doeleinden zijn uitgezonderd

Met de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Organisaties moeten, meer dan nu het geval is, straks goed kunnen aantonen dat ze zich aan de wet houden. Burgers krijgen met de nieuwe wet meer privacyrechten en toezichthouders krijgen meer bevoegdheden.

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming (AVG) , de Nederlandse implementatie van de
General Data Protection Regulation (GDPR), de EU Privacy verordening:

Laatst gewijzigd 04/01/2019

Relevante wet en regelgeving
  • General Data Protection Regulation (GDPR), de EU Privacy verordening.
  • Wet bescherming persoonsgegevens (Wbp):
    Wet bescherming persoonsgegevens (Wbp) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Deze wet geldt nog tot 25 mei 2018. Vanaf dan is de Algemene Verordening gegevensbescherming (AVG) van toepassing.
  • Algemene Verordening Gegevensbescherming (AVG).
    Vanaf 25 mei 2018 moeten overheden en bedrijfsleven voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De privacy rechten van burgers wordt hiermee versterkt. General Data Protection Regulation (GDPR) is de meer algemene Engelstalige benaming voor de AVG.
  • Meldplicht datalekken.
    Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
  • Cookiewet
    De wet is gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC.Deze - ePrivacy Directive genoemd - is geimlementeerd in de Telecommunicatiewet (artikel 11.7a). De huidige wet is een update van de cookiewet van 5 juni 2012. Er wordt verwezen naar de Wet Bescherming Persoonsgegevens (Wbp).Er zijn inmiddels voorstellen gedaan voor vervanging door de e-privacyverordening met eisen voor de toestemming voor het gebruik van cookies opt-out opties. Het is beoogd om deze ook in werking te laten treden op 25 mei 2018.
  • EU-US Privacy Shield.
    Vanaf 1 augustus 2016 is het EU-US Privacy Shield voor het uitwisselen van persoonsgegevens geldig. Deze overeenkomst is een vervanging van het Safe Harbor-verdrag dat op 6 oktober 2015 door het Europese Hof ongeldig was verklaard. Amerikaanse bedrijven kunnen hun certificering indienen bij het United States Department of Commerce. Indien deze opgenomen wordt in hun privacyschild-register, mogen Europese organisaties persoonsgegevens uitwisselen
 
Beoogd doel

Onder de AVG krijgen de burgers meer en verbeterde privacyrechten zoals het recht op inzage en het recht op correctie en verwijdering en de toezichthouders krijgen meer bevoegdheden..
Gelijke (maar niet identieke) privacywetgeving is dan van toepassing in de hele Europese Unie.

Begrippen

Persoonsgegevens: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon

Verantwoordelijke: Bepaalt welke verwerkingen plaatsvinden op welke persoonsgegevens, voor welk doel.

Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen.

Betrokkene: De mensen van wie de persoonsgegevens worden verwerkt.

Authoriteit Persoonsgegevens: De onafhankelijke toezichthouder op de naleving van de privacywetgeving. zie https://autoriteitpersoonsgegevens.nl/

Voorbereiding stap voor stap

De Autoriteit Persoonsgegevens (AP) heeft de belangrijkste stappen benoemd voor een organisatie om zich voor te bereiden en bedenk dat de nadruk bij de AVG - meer dan bij de oude wet- en regelgeving - ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

  1. Bewustwording :
    Zorg ervoor dat de relevante mensen in de organisatie op de hoogte gebracht worden van de nieuwe privacyregels. Zij moeten inschatten wat de impact op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de eisen te voldoen. De implementatie kan veel vragen van de organisatie (capaciteit en middelen) begin er daarom op tijd mee.
    Bedenk dat de sancties kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet als organisaties zich niet aan de nieuwe wet- en regelgeving houden
  2. Rechten van betrokkenen :
    Onder de niewe wetgeving krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moeten organisaties ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen betrokkenen klachten indienen over de manier waarop u met hun gegevens omgaat. De AP heeft een verplichting deze klachten te behandelen.
  3. Overzicht verwerkingen :
    Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens er worden verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. De organisaties hebben een verantwoordingsplicht, wat inhoudt dat aangetoond moet kunnen worden dat uw organisatie in overeenstemming met de wet- en regelgeving handelt. Het overzicht is ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als betrokkenen vragen hun gegevens te corrigeren of te erwijderen, moet dit doorgeven worden aan de organisaties waarmee de gegevens zijn gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag deze gegevens worden verwerkt: (1)gerechtvaardigd belang (2) op basis van toestemming van de betrokkenen.
  4. Data protection impact assessment (DPIA) :
    Onder de AVG kunne organisaties verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties moeten een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Komt straks uit een DPIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het niet om tijdig maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Organisaties kunnen nu alvast inschatten of er straks DPIA’s moet uitvoeren en hoe dit aan te pakken.
  5. Privacy by design & privacy by default :
    Organisaties dienen zo vroeg mogelijk vertrouwd te worden met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en elke organisatie moet na gaan hoe ze deze beginselen kunnen invoeren. Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat men niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking en dat deze gegevens niet langer bewaard worden dan nodig. Privacy by default houdt in dat organsiaties technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
  6. Functionaris voor de gegevensbescherming :
    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen.
  7. Leidende toezichthouder :
    Heeft een organisatie vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft een organisatie onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd.
  8. Toestemming :
    De gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop de toestemming gevraagd en geregistreerd wordt. Pas deze wijze indien nodig aan. Nieuw is dat later aangetoond moet kunnen worden een geldige toestemming van betrokkenen verkergen is om hun persoonsgegevens te verwerken. Het moet voor betrokkenen net zo makkelijk zijn om toestemming in te trekken als om te geven.
Datalekken
De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in de organisatie hebben voorgedaan. Alle datalekken moeten gedocumenteerd worden. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht is voldaan.
Boetes
Organisaties die zich niet aan de AVG houden riskeren een strenge straf, van maximaal 20 miljoen euro of 4% van de wereldwijde omzet..
GDPR

Information about the General Data Protection Regulation (GDPR) (EN version).

last modified on 04/01/2019

Regulation

After four years of debate, the General Data Protection Regulation (GDPR) was ratified by the European Union during April 20161 and has now become law, although member states have a two year period to implement into national law. This means that companies will be expected to be fully compliant from May 25th 2018.

Objective

GDPR is designed to give individuals better control over their personal data and establish one single set of data protection rules across Europe. Organisations outside the EU are subject to this regulation when they collect data concerning any EU citizen.

What is personal data

Personal data is defined as any information relating to an identified or identifiable natural person.
This includes online identifiers, such as IP addresses and cookies if they are capable of being linked back to the data subject.
There is no distinction between personal data about an individual in their private, public, or work roles. all are covered by this regulation.

Prepare for Action

Some steps for organisations are summarised next.:

1. Ensure key departments are aware that the law is changing, and to anticipate the impact of GDPR.
2. Document what personal data is held, where it came from and with whom it is shared.
3. Review current privacy notices and make any necessary changes.
4. Review procedures to address the new rights that individuals will have.
5. Plan how to handle requests within the new time frames and provide the required information.
6. Identify and document the legal basis for each type of data processing activity.
7. Review how consent is sought, obtained and recorded.
8. Make sure procedures are in place to detect, report and investigate data breaches.
9. Designate a Data Protection Officer to take responsibility for data protection compliance.

Breach of Security

Companies must report breaches of security “leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed”.
In the event of a personal data breach, companies must notify the appropriate supervisory authority “without undue delay and, where feasible, not later than 72 hours after having become aware of it” if the breach is likely to “result in a risk for the rights and freedoms of individuals”.

Breach of Compliance

There will potentially be a substantial increase in fines for organisations that do not comply with this new regulation.
Penalties can be levied up to the greater of ten million euros or two percent of global gross turnover for violations of record-keeping, security, breach notification, and privacy impact assessment obligations.
These penalties may be doubled to twenty million euros or four percent of turnover, for violations related to legal justification for processing, lack of consent, data subject rights and cross-border data transfers.

Verzameling documenten

een aantal documenten uit verschillende bronnen

No such droplet: Gsm_mediadocs?mediadir=/gdpr/set01&seq=semantic