Auteur: mr. C.H.M. Reijmers CIPP/E
Inhoud:
1. Aandacht voor de verwerking van persoonsgegevens
2. De Algemene verordening gegevensbescherming /AVG
3. Verplichtingen ‘verwerkingsverantwoordelijke’
4. Meer eisen aan de ‘verwerker’
5. Nut en noodzaak van een verwerkersovereenkomst
6. Wat wordt er in de overeenkomst vastgelegd?
7. Een eigen register van ‘verwerkingsactiviteiten’
8. De meldplicht datalekken
2. Kort voorstellen
Inhoud van mijn presentatie:
1. Aandacht voor de verwerking van persoonsgegevens
2. De Algemene verordening gegevensbescherming /AVG
3. Verplichtingen ‘verwerkingsverantwoordelijke’
4. Meer eisen aan de ‘verwerker’
5. Nut en noodzaak van een verwerkersovereenkomst
6. Wat wordt er in de overeenkomst vastgelegd?
7. Een eigen register van ‘verwerkingsactiviteiten’
8. De meldplicht datalekken
Joomladagen 2018 – presentatie 14 april 2018 2
3. • Als politieagent begonnen in Rotterdam, avondstudie rechten EUR
• In projectgroep bezig gehouden met Wet persoonsregistraties (1988) en Wet
politieregisters
• Gemeente Rotterdam, deelgemeente Delfshaven sector OOV naast zelfstandig
adviesbureau op het terrein van gegevensbescherming
• Implementatietrajecten Wbp (2001), docent politieonderwijs, Kmar en
Bestuursacademie
• Consultant / betrokken bij bestuurlijke aanpak georganiseerde misdaad (informatie
uitwisseling), dienstverlening Hogescholen en overheid
• Lid expertpool privacy VNG/KING voor gegevensbescherming sociaal domein
• Gemeente Amsterdam, Kansspelautoriteit, NAM Legal Counsel Data Privacy
Earthquake team, senior jurist privacy AVG bij ministerie van Economische Zaken
• Projectleider AVG ministerie Algemene Zaken
functionaris voor gegevensbescherming
• Geassocieerd lid NGFG, lid IAPP en gecertificeerd
Joomladagen 2018 - presentatie 14 april 2018
4. Aandacht voor de verwerking van persoonsgegevens
Privacybescherming dagelijks nieuws !
Facebook
‘nieuwe privacywet’
nieuwe regels en zware boetes
risico’s bij onzorgvuldig gebruik
Joomladagen 2018 - presentatie 14 april 2018 4
5. Kennismaking Algemene verordening gegevensbescherming AVG
Privacybescherming is een grondrecht !
Centraal staat het zorgvuldig omgaan met persoonsgegevens
Verwerkingsverantwoordelijke moet dit kunnen aantonen!
Balans tussen verplichtingen en rechten betrokkene
Autoriteit persoonsgegevens als ‘toezichthouder’
Positie verwerker (als ‘juridisch’ begrip)
Joomladagen 2018 - presentatie 14 april 2018 5
6. Verplichtingen verwerkingsverantwoordelijke – opdrachtgever(s)
Welke verplichtingen ‘verwerkingsverantwoordelijke’ ?
Alleen persoonsgegevens verwerken bij doel en grondslag
Informatieplicht (actief en passief)
Registerplicht (van de verwerkingsactiviteiten)
Informatiebeveiligingsplicht (met meldplicht datalekken en gebruik encryptie)
Bij gebruik ‘verwerker’ een ‘verwerkersovereenkomst’
Welke rechten ‘betrokkenen’ ?
Recht op informatie, ‘inzage’, verwijdering (wissing) of verbetering (rectificatie) en
overdraagbaarheid (dataportabiliteit)
en schadevergoeding
Joomladagen 2018 - presentatie 14 april 2018 6
7. Nut en noodzaak van een verwerkersovereenkomst
Er worden meer eisen gesteld aan de ‘verwerker’
‘Moet afdoende garanties bieden met betrekking tot het toepassen van technische
er organisatorische maatregelen opdat de verwerking voldoet aan de eisen van de
AVG en de bescherming van de rechten van betrokkene is gewaarborgd’
(art. 28 AVG)
Algemeen doel:
aantoonbaar zorgvuldig omgaan met persoonsgegevens door
verwerker!
Joomladagen 2018 - presentatie 14 april 2018 7
8. Nut en noodzaak van een verwerkersovereenkomst
Wat leg je vast (tussen opdrachtgever en webmaster) in een
verwerkersovereenkomst?
Doeleinden gebruik van de gegevens en daarmee vertrouwelijkheid
Welke categorieën van personen en soorten van gegevens
Wie is de ‘verwerkingsverantwoordelijke’ (= opdrachtgever)
Overeengekomen ‘beveiligingsmaatregelen’ door verwerker/webmaster
Melden van een ‘datalek’ (bij de ‘opdrachtgever’)
Na beëindiging van het werk ‘overdragen’ van de persoonsgegevens
Joomladagen 2018 - presentatie 14 april 2018 8
9. Taken en verantwoordelijkheden webmaster
Welke taken als ‘verwerker’ ? Bijna geen !
Alle taken zijn voor de ‘verwerkingsverantwoordelijke’ (opdrachtgever).
Informatieplicht (actief, kan webmaster bij helpen !)
Register van verwerkingsactiviteiten
Informatieplicht (passief, dan medewerking verlenen)
IB (maar aan welke vereisten voldoet webmaster)
Datalekken (bij ontdekken opdrachtgever informeren binnen 24 uur)
Bewaartermijnen (vaststellen taak opdrachtgever)
Medewerking aan toezichthouder
Joomladagen 2018 - presentatie 14 april 2018 9
10. Taken en verantwoordelijkheden webmaster
Soortgelijk register met verwerkingsactiviteiten :
(allemaal niet incidentele verwerkingen)
Naam en contactgegevens verwerkingsverantwoordelijke
(bij overheid als opdrachtgever – met gegevens FG)
Categorieën van verwerkingen van de opdrachtgevers
Doorgifte gegevens derde landen (buiten EU)
Algemene beschrijving IB maatregelen
Bij inschakelen ‘subverwerker’ ook overeenkomst afsluiten!
Joomladagen 2018 - presentatie 14 april 2018 10
11. Aandachtspunten
Aandachtspunten verwerkersovereenkomst :
Bijzondere persoonsgegevens (zoals gezondheid) en risico’s
´Gevoelige gegevens´ (zoals financiële gegevens)
Boeteclausule of verhaalsmogelijkheid
Audits door de ‘opdrachtgever’
Afhandeling van verzoeken om ‘inzage’ door betrokkene
Medewerking aan ‘opdrachtgever’ bij onderzoek door AP
Aanspreekpunt ‘privacy officer’ bij opdrachtgever
Opslag gegevens - datacenter binnen EU
Joomladagen 2018 - presentatie 14 april 2018 11
12. Taken en verantwoordelijkheden webmaster
Welke ‘indirecte’ taken als ‘verwerker’ / webmaster ?
Niet meer gegevens gaan vastleggen dan binnen de afspraken met de opdrachtgever,
vastgelegd in de ‘overeenkomst’
In het geval van ‘datalek’ opdrachtgever informeren en onderzoek ondersteunen, helpen
betrokkene(n) te informeren
Bij verzoek tot ‘kennisneming’ e.d. opdrachtgever helpen met de benodigde
persoonsgegevens
Gegevens niet langer bewaren dan noodzakelijk
Let op ‘verhaalsmogelijkheid’ van de opdrachtgever ingeval van foutief handelen door de
webmaster / verwerker
Vertrouwelijkheid in acht nemen bij het werken met de
persoonsgegevens !
Joomladagen 2018 - presentatie 14 april 2018 12
13. ‘Meldplicht datalekken’ (sinds 1 januari 2016!)
Wat is een ‘datalek’ ?
Als bij een beveiligingsincident (inbreuk) persoonsgegevens verloren
zijn gegaan, of een onrechtmatige verwerking niet is uit te sluiten
en de inbreuk een risico inhoudt voor de betrokkene
Wanneer moet een datalek gemeld worden bij de AP ?
Als het waarschijnlijk is dat de inbreuk een risico inhoudt voor de
betrokkene
dan melden binnen 72 uur door opdrachtgever of met motivering
van de vertraging
en de verwerker zonder onredelijke vertraging bij de opdrachtgever
zodra hij heeft kennisgenomen van de inbreuk
Welke maatregelen zijn beoogd voor de betrokkene?
Bij een hoog risico wordt de betrokkene geïnformeerd door opdrachtgever
Joomladagen 2018 - presentatie 14 april 2018 13
14. Zijn er vragen !
Chris Reijmers
Joomladagen 2018 - presentatie 14 april 2018
15. Dank voor jullie aandacht!
mr. C.H.M. Reijmers CIPP/E
Email: chrisreijmers@outlook.com
Telefoonnummer 06-14325418
Joomladagen 2018 - presentatie 14 april 2018