In mei 2018 zal de Algemene Verordening Gegegevensbescherming (AVG), de nieuwe Europese privacywet, van kracht worden. Webwinkels en overige websites en online ondernemers moeten daar goed op voorbereid zijn.
2. AVG
AVG = Algemene Verordening Gegevensbescherming
of
GDPR = General Data Protection Regulation
is al in werking getreden
vanaf 25 mei 2018 direct van toepassing
wetswijziging in Nederland nodig (Wbp)
3. NIEUW
• Boetes tot €20.000.000,- of 4% jaaromzet
• Meer bewerkersovereenkomsten
• Meldplicht Datalekken
• PIA (soms)
• Privacy Officer (soms)
• Zelf registers bijhouden en verwerking documenteren
• Nieuwe privacyverklaring!
• en meer
4. BEWERKERSOVK
verplicht bij verwerking door derden
(e-commerce platform, logistiek, hosting etc.)
• Doel
• Soort persoonsgegevens
• Categorieën van betrokkenen (soort personen)
• Passende beveiliging
• Melding datalekken
• Uitvoeren van audits
• Bij beëindiging: vernietiging of teruggave gegevens
5. DATALEKKEN IN AVG
meldplicht datalekken nu ook in AVG dus voor heel EU
datalek: elke onrechtmatige verwerking die niet kan worden
uitgesloten
• verwerker moet melden aan verantwoordelijke
• <72 uur melden aan autoriteit (tenzij geen risico)
• bij hoog risico ook aan betrokkene melden
• ALLE inbreuken administreren
6. PIA
Privacy Impact Assessment (PIA) vóór verwerking, indien aard,
omvang, context en doeleinde een hoog risico vormen voor
rechten en vrijheden van natuurlijke personen - risico beoordelen
• systematische beoordeling persoonlijke aspecten (profiling)
• verwerking bijzondere gegevens op grote schaal
• systematische monitoring publiek op grote schaal
8. NIEUWE
PRIVACYVERKLARING
Elke website zal een nieuwe privacyverklaring nodig hebben
“beknopte, transparante, begrijpelijke en gemakkelijk
toegankelijke vorm en in duidelijke en eenvoudige taal”
Transparantie = meer informatie verstrekken
Maar: zo eenvoudig en compact mogelijk
9. NIEUWE
PRIVACYVERKLARING
• identiteit + contactgegevens organisatie
• contactgegevens privacy officer, indien aangesteld
• doel van verwerking
• rechtsgrond verwerking (bijvoorbeeld: toestemming gegeven of uitvoering ovk)
• aan wie gegevens worden doorgegeven
• gegevens opgeslagen/doorgegeven buiten EU? + getroffen waarborgen
• bewaartermijn of criteria
• rechten betrokkene
• dat toestemming kan worden ingetrokken, maar geen terugwerkende kracht heeft
• mogelijkheid klachten indienen bij toezichthouder
• of verstrekken gegevens verplicht is + gevolgen niet verstrekking
• of er sprake is van geautomatiseerde besluitvorming + gevolgen
• bij meerdere verantwoordelijken: rolverdeling
lijst is niet limitatief. valt er meer te vertellen, dan moet er meer verteld worden
10. REGISTRATIEPLICHT
Registratieplicht bij >250 medewerkers, of gevoelige gegevens
Register waarin alle activiteiten worden omschreven waarbij persoonsgegevens
worden verwerkt.
Zowel verantwoordelijke als verwerker moeten een register bijhouden
• schriftelijk (digitaal)
• contactgegevens
• doeleinde verwerking
• beschrijving categorie betrokkenen
• ontvangers van de gegevens
• beschrijving beveiligingsmaatregelen
• bewaartermijnen
11. DOCUMENTATIEPLICHT
Nu: gegevensverwerking melden bij Autoriteit Persoonsgegevens (AP)
AVG: accountability
Aantonen dat er organisatorische en technische maatregelen zijn getroffen om aan
AVG te voldoen. AP kan om deze documenten vragen t.b.v. controle.
Bijvoorbeeld:
• welke gegevens worden verzameld
• waar ze worden opgeslagen
• hoe lang ze worden opgeslagen
• hoe ze worden beveiligd
• wie toegang heeft tot de gegevens
12. EN OOK
• vraag zoveel mogelijk eenduidige toestemming voor
verwerking gegevens
• consumenten hebben recht op inzage, correctie en
verwijdering van gegevens en moeten dit digitaal kunnen
verzoeken
• consumenten moeten hun data kunnen ontvangen en
overdragen aan andere partijen (dataportabiliteit)
13. NOG ONZEKER
• EU Uitvoeringswet AVG
• Nederlandse wet + invulling ‘open’ bepalingen
• Nieuw beleid AP