2. Wat gaan we doen?
• Toelichting op het privacybegrip
• De Algemene Verordening Gegevensbescherming
• Belangrijkste elementen en verplichtingen
• De AVG vanuit verschillend perspectief
• Betekenis voor de organisatie en medewerker
• Vragen/discussie
3. Privacy: een grondrecht
Art. 10 Grondwet:
1. Ieder heeft, behoudens bij of krachtens de wet te stellen
beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in
verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op
kennisneming van over hen vastgelegde gegevens en van het gebruik
dat daarvan wordt gemaakt, alsmede op verbetering van zodanige
gegevens.
4. EVRM Artikel 8 – Recht op eerbiediging van privé familie- en gezinsleven
1. Een ieder heeft het recht op respect voor zijn privé leven, zijn familie-
en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de
uitoefening van dit recht, dan voor zover bij wet is voorzien en in een
democratische samenleving noodzakelijk is in het belang van de nationale
veiligheid, de openbare veiligheid of het economisch welzijn van het land,
het voorkomen van wanordelijkheden en strafbare feiten, de
bescherming van de gezondheid of de goede zeden of voor de
bescherming van de rechten en vrijheden van anderen.
Privacy: een grondrecht
6. Wetgeving: de AVG
Doel: verdergaande harmonisatie van privacyregelgeving,
bescherming van persoonsgegevens en bevordering van vrij
verkeer van gegevens binnen de Unie
• Europese verordening -> rechtstreekse werking
• Zeer ruim werkingsgebied (inhoud, organisaties)
• Open normen
• Technologische ontwikkelingen
• Belangrijke rol AP en rechtspraak
7. Wanneer van toepassing?
• Als persoonsgegevens worden verwerkt
Wetgeving: de AVG
Wat is verwerken?
• Het verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken of ontvangen, verspreiden, combineren, ter
beschikking stellen, afschermen, wissen, vernietigen….
Wat is een persoonsgegeven?
• Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
(„de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon
die direct of indirect kan worden geïdentificeerd, met name aan de hand van een
identificator zoals een naam, een identificatienummer, locatiegegevens, een
online identificator of van een of meer elementen die kenmerkend zijn voor de
fysieke, fysiologische, genetische, psychische, economische, culturele of sociale
identiteit van die natuurlijke persoon.
8. Wetgeving: de AVG
Belangrijkste voorwaarden voor verwerking (art. 5 AVG):
• Rechtmatig, behoorlijk en transparant (jegens de betrokkene)
• Doelbinding
• Minimale gegevensverwerking
• Juistheid
• Opslagbeperking
• Integer en vertrouwelijk
• Verantwoordingsplicht
Belangrijkste actoren:
• Betrokkene
• Verwerkingsverantwoordelijke (vh verantwoordelijke)
• Verwerker (vh bewerker)
9. Organisatie en AVG
Vier perspectieven:
• Rechten van de betrokkene
• Verplichtingen van de organisatie naar betrokkene
• Verplichtingen van de organisatie naar Autoriteit Persoonsgegevens
• Bevoegdheden van de Autoriteit richting organisaties
10. Organisatie en AVG
Rechten van betrokkene
• geïnformeerd worden over verwerkingen
• inzage in verwerkingen
• vragen persoonsgegevens te verwijderen (‘recht op vergetelheid’)
• persoonsgegevens overdragen naar een andere organisatie (‘dataportabiliteit’)
• recht op beperking of beëindiging van de verwerking
• bezwaar maken tegen geautomatiseerde individuele besluitvorming
11. Organisatie en AVG
Verplichtingen van de organisatie (richting betrokkene)
• Naleving van de verordening aantonen
• ‘Privacy by design’ implementeren
• Afspraken tussen gezamenlijke verwerkingsverantwoordelijken
vastleggen
• Schriftelijk vastgelegde afspraken met verwerkers
• Verwerkingsregistratie bijhouden
• Verwerkende partijen garanderen beveiliging van de gegevens
• Melden van datalekken
12. Organisatie en AVG
Verplichtingen van de organisatie naar de Autoriteit Persoonsgegevens (AP):
• Melden datalekken
• Uitvoeren van GEB’s
• Raadpleging AP voorafgaand aan verwerking ogv GEB
• Aanstellen van een Functionaris Gegevensbescherming
13. Organisatie en AVG
Bevoegdheden van de AP richting organisaties
• Uitleg wetgeving
• Monitoren en handhaven wetgeving
• Informatie opvragen tbv uitvoering taken
• Onderzoeken, waarschuwen, sancties opleggen
• Verzoeken van betrokkenen afdwingen
• Bewerkingen verbieden of beperken
14. Organisatie en AVG
AVG-compliancy: hoe pak je dat aan?
• Privacy is “Chefsache” (NB: verwerkingsverantwoordelijke)
• Stel een FG aan
• Inventariseer je verwerkingen:
• Applicaties/data
• Beheerder
• Autorisaties (rol, persoon)
• Ketenautomatisering
• Inventariseer de risico’s, weeg af tegen het bedrijfsbelang
• Maatregelen nemen (kosten, tijd, beoogde effect)
• Opstellen verbeterplan
• Vastlegging inbedding en naleving (verantwoording)
• NB Privacy by design/default
15. Organisatie en AVG
• Verwerkersovereenkomsten:
• Actueel
• Afspraken mbt datalekken
• Proces datalekken
• Aanbestedingen (NB exitstrategie)
• Logging en rapportages
• Informatiebeveiliging: scheiden van data, authenticatie,
persoonsgegevens op één plek
• Bewustwording van hoog tot laag: communiceer!
16. Medewerker en AVG
• Regels: allemaal mooi, maar naleving is mensenwerk
• Niemand kan het alleen
• Risicoacceptatie op het juiste niveau
• Wees alert
• Maakt privacy onderdeel uit van functioneringsgesprekken?
• Rol van de medezeggenschap
• …