AVG Introductie

De Europese wetgeving rondom privacy en datalekken.

De AVG trad in werking op 25 mei 2016. U had tot 25 mei 2018 om de tijd om voorbereidingen te treffen.
Deze nieuwe privacyregels vragen een gedegen voorbereiding van organisaties.

De wetgeving is van toepassing bij opslag en verwerking van persoonsgegevens, niet exclusief maar wel met nadruk op de geautomatiseerde verwerking door organisaties. Persoonlijke en huishoudelijke doeleinden zijn uitgezonderd

Met de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Organisaties moeten, meer dan nu het geval is, straks goed kunnen aantonen dat ze zich aan de wet houden. Burgers krijgen met de nieuwe wet meer privacyrechten en toezichthouders krijgen meer bevoegdheden.

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming (AVG) , de Nederlandse implementatie van de
General Data Protection Regulation (GDPR), de EU Privacy verordening:

Laatst gewijzigd 03/08/2018

Relevante wet en regelgeving
  • General Data Protection Regulation (GDPR), de EU Privacy verordening.
  • Wet bescherming persoonsgegevens (Wbp):
    Wet bescherming persoonsgegevens (Wbp) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Deze wet geldt nog tot 25 mei 2018. Vanaf dan is de Algemene Verordening gegevensbescherming (AVG) van toepassing.
  • Algemene Verordening Gegevensbescherming (AVG).
    Vanaf 25 mei 2018 moeten overheden en bedrijfsleven voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De privacy rechten van burgers wordt hiermee versterkt. General Data Protection Regulation (GDPR) is de meer algemene Engelstalige benaming voor de AVG.
  • Meldplicht datalekken.
    Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
  • Cookiewet
    De wet is gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC.Deze - ePrivacy Directive genoemd - is geimlementeerd in de Telecommunicatiewet (artikel 11.7a). De huidige wet is een update van de cookiewet van 5 juni 2012. Er wordt verwezen naar de Wet Bescherming Persoonsgegevens (Wbp).Er zijn inmiddels voorstellen gedaan voor vervanging door de e-privacyverordening met eisen voor de toestemming voor het gebruik van cookies opt-out opties. Het is beoogd om deze ook in werking te laten treden op 25 mei 2018.
  • EU-US Privacy Shield.
    Vanaf 1 augustus 2016 is het EU-US Privacy Shield voor het uitwisselen van persoonsgegevens geldig. Deze overeenkomst is een vervanging van het Safe Harbor-verdrag dat op 6 oktober 2015 door het Europese Hof ongeldig was verklaard. Amerikaanse bedrijven kunnen hun certificering indienen bij het United States Department of Commerce. Indien deze opgenomen wordt in hun privacyschild-register, mogen Europese organisaties persoonsgegevens uitwisselen
 
Beoogd doel

Onder de AVG krijgen de burgers meer en verbeterde privacyrechten zoals het recht op inzage en het recht op correctie en verwijdering en de toezichthouders krijgen meer bevoegdheden..
Gelijke (maar niet identieke) privacywetgeving is dan van toepassing in de hele Europese Unie.

Begrippen

Persoonsgegevens: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon

Verantwoordelijke: Bepaalt welke verwerkingen plaatsvinden op welke persoonsgegevens, voor welk doel.

Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen.

Betrokkene: De mensen van wie de persoonsgegevens worden verwerkt.

Authoriteit Persoonsgegevens: De onafhankelijke toezichthouder op de naleving van de privacywetgeving. zie  https://autoriteitpersoonsgegevens.nl/

Voorbereiding stap voor stap

De Autoriteit Persoonsgegevens (AP) heeft de belangrijkste stappen benoemd voor een organisatie om zich voor te bereiden en bedenk dat de nadruk bij de AVG - meer dan bij de oude wet- en regelgeving - ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

  1. Bewustwording :
    Zorg ervoor dat de relevante mensen in de organisatie op de hoogte gebracht worden van de nieuwe privacyregels. Zij moeten inschatten wat de impact op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de eisen te voldoen. De implementatie kan veel vragen van de organisatie (capaciteit en middelen) begin er daarom op tijd mee.
    Bedenk dat de sancties kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet als organisaties zich niet aan de nieuwe wet- en regelgeving houden
     
  2. Rechten van betrokkenen :
    Onder de niewe wetgeving krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moeten organisaties ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen betrokkenen klachten indienen over de manier waarop u met hun gegevens omgaat. De AP heeft een verplichting deze klachten te behandelen.
     
  3. Overzicht verwerkingen :
    Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens er worden verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. De organisaties hebben een verantwoordingsplicht, wat inhoudt dat aangetoond moet kunnen worden dat uw organisatie in overeenstemming met de wet- en regelgeving handelt. Het overzicht is ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als betrokkenen vragen hun gegevens te corrigeren of te erwijderen, moet dit doorgeven worden aan de organisaties waarmee de gegevens zijn gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag deze gegevens worden verwerkt: (1)gerechtvaardigd belang (2) op basis van toestemming van de betrokkenen.
     
  4. Data protection impact assessment (DPIA) :
    Onder de AVG kunne organisaties verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties moeten een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Komt straks uit een DPIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het niet om tijdig maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Organisaties kunnen nu alvast inschatten of er straks DPIA’s moet uitvoeren en hoe dit aan te pakken.
     
  5. Privacy by design & privacy by default :
    Organisaties dienen zo vroeg mogelijk vertrouwd te worden met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en elke organisatie moet na gaan hoe ze deze beginselen kunnen invoeren. Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat men niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking en dat deze gegevens niet langer bewaard worden dan nodig. Privacy by default houdt in dat organsiaties technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat men wil bereiken.
     
  6. Functionaris voor de gegevensbescherming :
    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen.
     
  7. Leidende toezichthouder :
    Heeft een organisatie vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft een organisatie onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd.
     
  8. Toestemming :
    De gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop de toestemming gevraagd en geregistreerd wordt. Pas deze wijze indien nodig aan. Nieuw is dat later aangetoond moet kunnen worden een geldige toestemming van betrokkenen verkergen is om hun persoonsgegevens te verwerken. Het moet voor betrokkenen net zo makkelijk zijn om toestemming in te trekken als om te geven.
Datalekken
De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in de organisatie hebben voorgedaan. Alle datalekken moeten gedocumenteerd worden. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht is voldaan.
Boetes
Organisaties die zich niet aan de AVG houden riskeren een strenge straf, van maximaal 20 miljoen euro of 4% van de wereldwijde omzet..

FAQ

Vaak gestelde vragen FAQ

Op een aantal vaak gestelde vragen heb ik een antwoord proberen te formuleren

Cookies
Cookies zijn kleine tekstbestanden die door de bezochte webpagina automatisch op uw systeem geplaatst worden. Een cookie maakt het gebruik van deze website sneller, gemakkelijker en veiliger en hebben dus een direct nut.

Er zijn verschillende doelen die met behulp van cookies gerealiseerd kunnen worden. 

  • Functionele cookies Die worden gebruikt om een website goed te laten werken. Voorbeelden van functionele cookie zijn niet alleen het opslaan van de producten die de bezoeker in het winkelmandje plaatst maar ook het registeren van een login om misbruik te voorkomen en/of automatisch inloggen te realiseren. Ook wordt de toestemming om cookies te plaatsen op deze wijze bewaard. Voor het plaatsen van functionele cookies is geen toestemming van de gebruiker nodig.
  • Analytische cookies. Deze cookies worden puur voor eigen gebruik verzameld om het surfgedag op de webste te analyseren. De gebruiker moet worden geinformeerd maar hoeft geen toestemming te geven.
  • Tracking cookies. ook wel marketingcookies genoemd , zijn cookies die binnen een domein of over verschillende domeinen heen gebruikt worden om surfgedrag van de bezoekers vast te leggen. Hiermee kunnen gerichte aanbiedingen gedaan worden. Een bekend voorbeeld hiervan is Google AdWords. Niet alleen Google AdWords maakt gebruik van tracking-cookies, ook socialmedia-accounts, nieuwsbrieven en partnersites maken gebruik van deze cookies. Voor het bijhouden van persoonsgerichte gegevens is toestemming vereist. Alleen na een gebruikersacceptatie mogen deze trackingcookies geplaatst worden. Het weigeren van algemene toegang tot een website site omdat de gebruiker tracking cookies niet accepteert is in strijd met de intentie van de privacyvoorwaarden.

U kunt het gebruik van cookies via de instellingen van uw browser in- en uitschakelen enentueel met browsersadd-ons. Indien u de cookies accepteert dan zullen deze tot vijf jaar in uw computer kunnen blijven, tenzij u de cookies verwijdert. Het uitzetten van cookies kan het gebruik van websites beperken of onmogelijk maken.

Zit mijn data in een datalek

Het beleid van de Authoritiet Persoonsgegevens is dat de lekkende partij bij een serieus datalek zijn contacten informeert

Dit is de huidige stand, maar niet voor het verleden of voor b.v. de VS

Wil je controleren of je e-mail adres is gecompromitteerd kijk dan op https://haveibeenpwned.com/
Ik gebruik een Amerikaanse webapplicatie die persoonsgegevens nodig heeft. Mag dat.
In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS. Men mag alleen persoonsgegevens doorgeven aan de VS als:
  • er een wettelijke uitzondering is;
  • u een vergunning heeft van de minister van Veiligheid en Justitie;
  • u gegevens doorgeeft op grond van het EU-VS privacy schild;
  • u binding interne gedragscodes heeft voor de doorgifte van persoonsgegevens binnen uw internationale organisatie of multinational met vestigingen in de VS.

Het EU-VS privacy schild is sinds juli 2016 van kracht en heeft als doel bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie (EU). Elke organisatie in de VS die gecertificeerd is bij het privacyschild, heeft een passend beschermingsniveau (voor de duur van de certificatie). Dat betekent dat organisaties vanuit Europa persoonsgegevens mogen doorgeven naar deze organisaties in de VS. Het privacyschild is in plaats gekomen van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaarde.
Amerikaanse bedrijven kunnen hun certificering indienen bij het United States Department of Commerce. Indien deze opgenomen wordt in hun privacyschild-register, mogen Europese organisaties persoonsgegevens uitwisselen.

via de website https://www.privacyshield.gov/participant_search kan nagagaan worden of een een vergunning aanwezig is (dit is een momentopname !!)

De Europese privacytoezichthouders vinden dat dit 'papieren schild' de privacy matig waarborgt gezien hun opmerkingen in Zorgen Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), zie autoriteitpersoonsgegevens.nl;

 
Website met een contactformulier: moet die een SSL certificaat hebben

De vraag is eigenlijk: in welke gevallen moet gebruik worden gemaakt van een beveiligde verbinding (https).

Indien via een (contact)formulier op de website bijzondere (gevoeige) persoonsgegevens worden verwerkt, dient de gehele webapplicatie via https te worden aangeboden.
Indien uitsluitend andersoortige gegevens worden verwerkt dan kan de organisatie zelf op basis van een risicoanalyse en classificatieschema vaststellen of de webapplicatie via https moet worden aangeboden. Naam, e-mail adres en telefoonnummer zijn in de regel niet geclassificeerd als bijzondere(gevoelige) persoonsgegevens tenzij er bijzondere omstandigheden zijn. voorbeelden: "stalking" of een "blijf van mijn lijf huis"

Een wachtwoord en username wordt wel gezien als een gevoelig persoonsgegevens.

Aanpassen van arbeidsovereenkomsten.

Het is raadzaam om in de arbeidsovereenkomst een bepaling op te nemen over datalekken dit samenhangend met de verplichting als werkgever uit hoofde van de AVG.

Werknemer is verplicht diefstal en/of verlies van alle in het kader van de uitoefening van zijn functie zijn functie gebruikte zaken en/of bescheiden, waaronder doch niet uitsluitend begrepen documenten, telefoon, laptop, sleutels, passen, inloggegevens, al dan niet elektronische dragers van gegevens zoals USB-sticks, en externe harde schijven en andere zaken en/of bescheiden die op enige wijze betrekking hebben op de bedrijfsaangelegenheden, onverwijld na ontdekking van het verlies of de diefstal te melden aan werkgever.

Werknemer is voorts verplicht om onverwijld een melding te doen aan werkgever van de ontdekking van een virus, trojan of andere malware op een binnen het kader van de uitoefening van zijn functie door werknemer gebruikte computer, laptop, tablet, telefoon of ander apparaat

Indien de werknemer in strijd met deze verplichtingen handelt, zal dezej in afwijking van artikel 7:650 lid 3 BW aan de werkgever, zonder dat enige ingebrekestelling is vereist, in afwijking van artikel 7:650 lid 5 BW, voor iedere overtreding een boete verbeuren van Euro 1.000,- , onverminderd het recht van de werkgever om in plaats daarvan volledige schadevergoeding plus kosten en interesten te vorderen voor zover de werkelijk geleden schade de deze boete te boven gaat.

Wanneer is er een datalek.

Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking (dus aan datgene waartegen de beveiligingsmaatregelen bescherming hadden moeten bieden)

Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen werden omzeild: Diefstal uit een afgesloten kluis, een hack van een ICT systeem.

De menselijke factor heeft een groot aandeel in een tekort geschoten beveiliging.

Voorbeelden van datalekken zijn:

  • een kwijtgeraakte of gestolen apparaat, gegevensdrager of papieren met persoonsgegevens.
  • een inbraak in een databestand met persoonsgegevens .
  • een verzending of afgifte van persoonsgegevens naar een verkeerde ontvanger.
  • een opname van persoonsgegevens in een publicatie.

De wet is niet van van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. .

Bij data lekken zijn 1e kwartaal 2017 de navolgende oorzaken genoemd

  • 45% verzonden persoonsgegevens die bij de verkeerde ontvanger zijn beland
  • 15% verloren usb-sticks of telefoons met onversleutelde data die bij derden zijn terecht gekomen
  • 7% verkeerd bezorgde brieven
  • 7% malware en hacken van computers
  • 5% per ongeluk gepubliceerde persoonsgegevens
  • 5% verkeerd getoonde gegevens
  • 1% persoonsgegens gevonden op oud papier of afgedankte apparaten
  • 16% overige

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. in een aantal gevallen moet u ook de betrokkenen informeren.

GDPR

Information about the General Data Protection Regulation (GDPR) (EN version).

last modified on 03/08/2018

Regulation

After four years of debate, the General Data Protection Regulation (GDPR) was ratified by the European Union during April 20161 and has now become law, although member states have a two year period to implement into national law. This means that companies will be expected to be fully compliant from May 25th 2018.

Objective

GDPR is designed to give individuals better control over their personal data and establish one single set of data protection rules across Europe. Organisations outside the EU are subject to this regulation when they collect data concerning any EU citizen.

What is personal data

Personal data is defined as any information relating to an identified or identifiable natural person.
This includes online identifiers, such as IP addresses and cookies if they are capable of being linked back to the data subject.
There is no distinction between personal data about an individual in their private, public, or work roles. all are covered by this regulation.

Prepare for Action

Some steps for organisations are summarised next.:

1. Ensure key departments are aware that the law is changing, and to anticipate the impact of GDPR.
2. Document what personal data is held, where it came from and with whom it is shared.
3. Review current privacy notices and make any necessary changes.
4. Review procedures to address the new rights that individuals will have.
5. Plan how to handle requests within the new time frames and provide the required information.
6. Identify and document the legal basis for each type of data processing activity.
7. Review how consent is sought, obtained and recorded.
8. Make sure procedures are in place to detect, report and investigate data breaches.
9. Designate a Data Protection Officer to take responsibility for data protection compliance.

Breach of Security

Companies must report breaches of security “leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed”.
In the event of a personal data breach, companies must notify the appropriate supervisory authority “without undue delay and, where feasible, not later than 72 hours after having become aware of it” if the breach is likely to “result in a risk for the rights and freedoms of individuals”.

Breach of Compliance

There will potentially be a substantial increase in fines for organisations that do not comply with this new regulation.
Penalties can be levied up to the greater of ten million euros or two percent of global gross turnover for violations of record-keeping, security, breach notification, and privacy impact assessment obligations.
These penalties may be doubled to twenty million euros or four percent of turnover, for violations related to legal justification for processing, lack of consent, data subject rights and cross-border data transfers.