algemene verordening gegevensbescherming (avg) matthijs ... 03 2… · van persoonsgegevens als...
TRANSCRIPT
Algemene Verordening Gegevensbescherming (AVG)
Matthijs Hoekstra
Donderdag 22 maart 2018
Middelburg RotterdamMiddelburg Terneuzen Rotterdam
Justion Advocaten
www.justionadvocaten.nl Middelburg Rotterdam Terneuzen
3
Justion Advocaten
• Opgericht in 2001
• 19 advocaten
• 4 juridisch medewerk(st)ers
• Deskundig secretariaat en eigen administratieve afdeling
4
Justion Advocaten
Kantoor MiddelburgPark Veldzigt 454336 DW MIDDELBURG
Telefoon : 0118 – 623 719 Telefax : 0118 – 638 347
Kantoor RotterdamLinatebaan 69a3045 AH ROTTERDAM
Telefoon : 010 – 440 31 00Telefax : 010 – 270 90 04
Kantoor Terneuzen Axelsedam 74531 HH TERNEUZEN
Telefoon : 0115 – 613 175Telefax : 0115 – 617 764
5
Rechtsgebieden
6
Rechtsgebieden
7
Rechtsgebieden
Rode draad: laat zien hoe je met persoonsgegevens omgaat
8
Onderwerpen
9
• De Algemene verordening gegevensbescherming en nadere regelgeving
• Terminologie
• Grondslagen voor gegevensverwerking
• Accountability
• Tips en nuttige websites
De AVG
10
• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG
• Algemene verordening gegevensbescherming: AVG
• General Data Protection Regulation (GDPR)
• Doel van de AVG:- Beter beschermen van de privacy van de Europese burger- Harmonisatie van privacyregelgeving op EU-niveau (vrij verkeer van persoonsgegevens als aspect van de interne markt)- Vergroten van het vertrouwen in de digitale economie
De AVG
11
• De AVG is van toepassing met ingang van 25 mei 2018
• Geldt voor landen van de Europese Unie en de Europese Economische Ruimte (EER)
• Tot 25 mei 2018 geldt de Wet bescherming persoonsgegevens (Wbp)
• De AVG heeft directe werking: bedrijven en burgers kunnen rechtstreeks een beroep doen op de regels in de AVG
• Uitvoeringswet AVG ter instelling van de toezichthouder Autoriteit Persoonsgegevens (AP) en detailregeling
• Memorie van Toelichting Uitvoeringswet AVG: beleidsneutrale invoering
De AVG
12
• Adviezen artikel 29 Werkgroep (ontleend aan Richtlijn 95/46/EG)
• Guidelines : verduidelijken bepaalde onderwerpen uit de AVG
• Definitieve guidelines:- Data protection impact assessment (DPIA)- Administratieve boetes- Functionaris voor de gegevensbescherming (FG)- Leidende toezichthouder - Recht op dataportabiliteit- Meldplicht datalekken- Profiling
• De volgende guidelines zijn momenteel in consultatie:- Toestemming- Transparantie
De AVG
13
• Er volgen nog guidelines over:- Certificering- Internationaal gegevensverkeer
• Thematische beleidsregels van de AP, zoals:- De zieke werknemer- Cameratoezicht- Meldplicht datalekken- Beveiliging van persoonsgegevens- Kopie identiteitsbewijs
• Blijven de thematische beleidsregels gelden na 25 mei 2018?
• Handleiding AVG Ministerie van Justitie en Veiligheid
De AVG
14
• De AVG kent meer verplichtingen dan thans volgens Wbp gelden
• Nadruk ligt op de verantwoordelijkheid om te kunnen aantonen dat aan de AVG wordt voldaan = verantwoordingsplicht(accountability)
• AP kan sancties opleggen: maximaal 20 miljoen Euro of maximaal 4% van de omzet wereldwijd als die meer dan 500 miljoen Euro is
De AVG
15
• Bestuurlijke boete wegens overtreding AVG op te leggen door AP
• Afschrikwekkende werking
• Proportionaliteit (boete moet in verhouding staan tot de ernst van de overtreding)
• Handhaving door last onder bestuursdwang en last onder dwangsom
• Bestuurs(proces)recht van toepassing (Awb)
• Beroep bij de Nederlandse en Europese rechter
De AVG
16
Samenvatting regelgeving
1. Algemene verordening gegevensverwerking (AVG)
2. Uitvoeringswet AVG
3. Adviezen Artikel 29 Werkgroep en Guidelines
4. Thematische Beleidsregels van de AP
5. Toezichthouder: Autoriteit Persoonsgegevens (AP)
6. Rechtspraak:- Beslissingen AP- Nationale rechter- Hof van Justitie van de Europese Unie- Europees voor de Rechten van de Mens
Terminologie (artikel 4 AVG) (1)
17
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
Terminologie (artikel 4 AVG) (2)
18
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (volgens Wbp: de verantwoordelijke)
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (volgens Wbp: de bewerker)
Terminologie (artikel 4 AVG) (3)
19
Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt
Accountability
20
Artikel 5 en 6 AVG: uitgangspunten verwerken persoonsgegevens
• Persoonsgegevens worden verwerkt op een rechtmatige, behoorlijke en transparante wijze
• Persoonsgegevens mogen alleen worden verzameld met een bepaald doel
• Het doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn
• De gegevens mogen alleen met het oog op het doel worden verwerkt
• De betrokkene heeft recht op inzage en correctie• De gegevens worden na een bepaalde periode vernietigd• De gegevens moeten worden beveiligd
Gegevensverwerking: grondslagen (1)
21
• Betrokkene verleent toestemming: art. 6 lid 1 sub a AVG
• Schriftelijk of digitaal
• Informatieplicht en specifieke toestemming: waarvoor worden de gegevens gebruikt en wat zijn de rechten?
• Ondubbelzinnig: actieve handeling is vereist (opt in, geen implied consent)
• Niet bij afhankelijkheidsrelatie
• Guidelines over toestemming nog niet definitief (in consultatie)
Gegevensverwerking: grondslagen (2)
22
• Noodzakelijkheidsgrondslagen: art. 6 lid 1 sub b – f AVG: in beperkt aantal gevallen geen toestemming betrokkene nodig
• Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, ook in precontractuele fase (sub b)
• Verwerking is noodzakelijk om aan een wettelijke verplichting te voldoen (sub c)
• Verwerking is noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag (sub e)
• Uitwerking in nationale wetgeving grondslagen sub c en sub e
Accountability: onderwerpen
23
1. Privacyverklaring: art. 12 e.v. AVG
2. Register van verwerkingsactiviteiten: art. 30 AVG
3. Data protection impact assessment (DPIA): art. 35 AVG
4. Register van datalekken: art. 33, 34, 23 en 42 AVG
5. Functionaris voor gegevensbescherming: art. 37 e.v. AVG
6. Gegevensbeschermingsbeleid: art. 24 AVG
7. Verwerkersovereenkomst: art. 28 lid 3 AVG
Accountability: de privacyverklaring
24
• De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden en direct beschikbaar zijn
• Website / link onder e-mail / aanplakken / overhandigen
• Opstellen in heldere en duidelijke taal
• In de privacyverklaring staan in ieder geval:- de bedrijfsgegevens- het doel van de gegevensvastlegging- welke gegevens verzameld worden- aan wie de gegevens eventueel worden doorgegeven- hoe lang de gegevens worden bewaard- uitleg over cookies en de reden van gebruik (bij gebruik van cookies)- de wijze van beveiliging van de vastgelegde persoonsgegevens- het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)- het recht op intrekking van verleende toestemming- het recht om een klacht in te dienen bij de AP
Accountability: het verwerkingsregister (1)
25
• Verplicht indien 250 of meer werknemers
• Niet verplicht bij minder dan 250 werknemers, tenzij:- de verwerking een risico met zich meebrengt voor betrokkenen, of- de verwerking niet incidenteel is, of- sprake is van verwerking van bijzondere categorieën van persoonsgegevens
• Vrijwel altijd sprake van een risico of niet incidentele verwerking (voorbeeld: klantenbestand, personeelsadministratie)
• Advies: altijd een verwerkingsregister opstellen
Accountability: het verwerkingsregister (2)
26
• Het register vervangt de algemene meldingsplicht bij de AP
• Geen vrijgestelde verwerkingen meer (zoals personeels-en klantenadministratie, personeel-volgsysteem)
• De verwerkingsverantwoordelijke (zoals de werkgever) bepaalt hoe het verwerkingsregister vorm wordt gegeven
• Enige voorwaarde: schriftelijk of elektronisch
• Inhoud register (vrijwel) gelijk aan de melding bij de AP
• Taak mag toebedeeld worden aan de FG
Accountability: het verwerkingsregister (3)
27
1. Naam en contactgegevens (rechtspersoon, bestuursorgaan, natuurlijke persoon, functionaris gegevensbescherming)
2. Verwerkingsdoeleinden: waarvoor heb je de gegevens nodig?- bezoekersregistratie: intern beheer en beveiliging- leveranciers: doen van bestelling en (financiële) afwikkeling- personeel: behandeling personeelszaken
3. Categorieën betrokkenen: van wie heb je gegevens?- werknemers, sollicitanten, leveranciers, afnemers
4. Categorieën persoonsgegevens: over welke gegevens beschik je?- NAW- nationaliteit en geboorteplaats- bankrekeningnummer- ziekteverzuim- kenteken- foto’s, video, geluidsopname, enz.
Accountability: het verwerkingsregister (4)
28
5. Categorieën ontvangers: wie heeft toegang tot de gegevens?- medewerkers HR, medewerkers financiën, medewerkers in- en verkoop, beveiliging- externe verwerker (verwerkersovereenkomst)
6. Bij doorgifte aan landen buiten EU: passende waarborgen moeten blijken uit het register
7. Beoogde bewaartermijnen (indien mogelijk)- video opname: 24 uur- einde klantrelatie: 2 jaar- na bezoek: 6 maanden
8. Beveiligingsmaatregelen: hoe zijn de gegevens beveiligd?- encryptie- wachtwoorden- fysieke toegangscontrole- geheimhoudingsbeding- clean desk policy
Accountability: DPIA
29
• Data protection impact assessment (DPIA)
• Gegevensbeschermingseffectbeoordeling
• Uitvoeren als de verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico oplevert voor de betrokkene
• Wanneer is dat het geval?- als systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd- als op grote schaal bijzondere persoonsgegevens worden verwerkt, - als op grote schaal en systematisch mensen worden gevolgd in een publiektoegankelijk gebied, bijvoorbeeld met cameratoezicht
• De kwetsbare betrokkene: bijvoorbeeld de werknemer
• Herhaling om de drie jaar
Accountability: datalek (1)
30
Accountability: datalek (2)
31
• Datalek binnen 72 uur melden bij AP tenzij het onwaarschijnlijk is dat de inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt
• Uitgebreider registratieplicht dan volgens de Wbp: alle datalekken moeten worden geregistreerd (en niet uitsluitend de gemelde datalekken)
• Voorbeelden: - een kwijtgeraakte USB-stick/telefoon- een gestolen laptop- een inbraak door een hacker- een malware besmetting- e-mail naar verkeerde adressen verstuurd
• (Intern) protocol Meldplicht Datalekken
Accountability: datalek (3)
32
• Mededeling datalek aan de betrokkene: als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen
• Onverwijld meedelen in duidelijke en eenvoudige taal
• Geen mededeling nodig als:- passende technische en organisatorische beschermingsmaatregelen zijn genomen (bijvoorbeeld: gegevens zijn versleuteld)- achteraf zijn maatregelen genomen waarmee de risico’s zijn weggenomen- de mededeling onevenredig veel inspanning vergt (alternatief: openbare mededeling)
• Guidelines meldplicht datalekken
Accountability: Functionaris gegevensbescherming
33
• Functionaris gegevensbescherming (FG) of Data ProtectionOfficer (DPO)
• Verplicht benoemen van een functionaris voor gegevensbescherming voor:- overheden- organisaties die op grote schaal individuen volgen- organisaties die op grote schaal persoonsgegevens verzamelen en bewerken en waarvoor dit een kernactiviteit is
• Voor andere organisaties optioneel
• Individuele lidstaten kunnen nadere regels stellen over het aanstellen van de functionaris voor gegevensbescherming
• Intern of extern aanstellen
• FG aanmelden bij AP (mogelijk vanaf 3 april 2018)
Accountability: gegevensbeschermingsbeleid (1)
34
• Niet hetzelfde als de privacyverklaring!
• Artikel 24 AVG: Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
• Bij het opstellen van het gegevensbeschermingsbeleid: verplicht inschakelen FG als die is aangesteld
Accountability: gegevensbeschermingsbeleid (2)
35
Inhoud van het gegevensbeschermingsbeleid:
• Een omschrijving van de categorieën persoonsgegevens die worden verwerkt
• Een beschrijving van de doeleinden waarvoor persoonsgegevens worden verwerkt en wat de juridische grondslag daarvan is
• Hoe voldaan wordt aan de beginselen van verwerking van persoonsgegevens (zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk)
• Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen: recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) en het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens
• Welke organisatorische en technische maatregelen genomen worden om de persoonsgegevens te beveiligen
• Hoe lang de persoonsgegevens worden bewaard
Accountability: verwerkersovereenkomst
36
• Verwerker handelt op basis van instructies van de verwerkingsverantwoordelijke
• Verwerker moet helpen bij uitvoeren van plichten: recht op inzage, correctie en verwijdering, DPIA, melden datalek
• Zelfstandige plichten verwerker: beveiliging, register van verwerkingsactiviteiten, aanstellen FG
• Afspraken vastleggen in verwerkersovereenkomst: deels standaard bepalingen, deels maatwerk.
• Inhoud verwerkersovereenkomst: art. 28 lid 3 sub a – h AVG
Tips en actiepunten
37
• Tips:- Wees transparant: laat zien hoe de AVG wordt nageleefd- Naleven door te documenteren: privacyverklaring, verwerkingsregister, gegevensbeschermingsbeleid, DPIA, register datalekken- Stel eventueel een FG aan- Betrek de OR bij uitvoering AVG die zien op personeel (artikel 27 WOR: soms instemming nodig)
• Actiepunten:- Privacyverklaring opstellen/aanpassen- Verwerkingsregister opstellen en bijhouden- Register van datalekken opstellen en bijhouden- Check Protocol Meldplicht Datalekken (eventueel aanpassen)- DPIA uitvoeren- Functionaris gegevensbescherming aanstellen- Check bewaartermijnen
Nuttige websites
38
• autoriteitpersoonsgegevens.nl
• kvk.nl
• europadecentraal.nl
• rijksoverheid.nl
• norea.nl
• justionadvocaten.nl
Vragen?
Contactgegevens
Mr. M.J. (Matthijs) Hoekstra
Justion AdvocatenAxelsedam 74531 HH TERNEUZEN
Postbus 254530 AA TERNEUZEN
Telefoon algemeen :0115-613175Telefoon rechtstreeks :0115-683373Telefoon mobiel :06-21231429
E-mail : [email protected]
Website : www.justionadvocaten.nl
41
Algemene Verordening
Gegevensbescherming (AVG)
Ben jij er klaar voor??
Reggy Ekkebus
8. IT Beveiliging
Art. 32 AVG
Rekening houdend met de stand van de
techniek, de uitvoeringskosten, alsook
met de aard, de omvang, de context en de
verwerkingsdoeleinden en de qua
waarschijnlijkheid en ernst uiteenlopende
risico's voor de rechten en vrijheden van
personen, treffen de
verwerkingsverantwoordelijke en de
verwerker passende technische en
organisatorische maatregelen om een op
het risico afgestemd beveiligingsniveau
te waarborgen, die, waar passend, onder
meer het volgende omvatten:
⁻ Pseudonimisering en encryptie;
⁻ Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen;
⁻ Adequaat en tijdig kunnen reageren op incidenten;
Data bescherming
Malware Bescherming
Footprint
(Remote) Toegang
Wachtwoorden
Segmentatie Versleuteling
Gedrag
Network ProtectionNetwork Protection
Anti-Malware
Updates
Rechten
Malware
Bescherming
Gedrag
Phishing Email
Gedrag
Aanbod malware via weblink
Gedrag
Gedrag
Network Protection
Email anti-spam / anti-
malware
• Belangrijk eerste filter
• 0 day!!
• Liefst complementair
aan anti-malware
oplossing
Anti-phishing
• DKIM (DomainKeys Identified Mail)
• Digitale ondertekening van emails
• Bron & integriteit van bericht
• SPF (Sender Policy Framework)
• Bron van email berichten
• DMARC (Domain-based Message
Authentication, Reporting &
Conformance)
• Beleidsregels voor DKIM en SPF
SPF / DKIM / DMARC
• Activeren SPF / DKIM / DMARC voor
uitgaande mail vaak benodigd!
• Verifieeren van inkomende email
nog belangrijker!
Secure Networks
Juniper Networks SKY-ATP
• Inline Malware Protection
• Online Reputation
• C&C blokkade
• Host isolatie
Antimalware
• Hoge update frequentie (bekende samples)
• Cloud Scanner (onbekende
samples)
• Heuristics (onbekende
samples)
• Outlook Plugin (grootste bron
van malware!)
• Firewall (tegen laterale
besmetting)
• Web Protection (Web-based
Antimalware
Updates, updates, updates,
updates
• Februari Update ronde
• Microsoft Windows/Office : 55 (15
Critical)
• Adobe Reader: 39 (17
Critical)
• Flash Player: 2 (2 Critical)
Gebruikers Rechten
• Minimaal gebruik van
Lokale beheers rechten
• Toegang tot de
bestanden die de
gebruiker nodig heeft
voor zijn/haar taak.
– Kan ook enkel
leesrechten zijn!
Gedrag
Network ProtectionNetwork Protection
Anti-Malware
Updates
Rechten
Malware
Protection
Data bescherming
Malware Bescherming
Footprint
(Remote) Toegang
Wachtwoorden
Segmentatie Versleuteling
Footprint
1. Wat wil ik bereiken
2. Welk middel ga ik daarvoor gebruiken
3. Wat zijn de potentiele risico’s
4. Hoe kan dit anders/beter
Case: Akte voor meneer Jansen
– Concept akte word opgesteld door medewerker
A
– Medewerker slaat akte op op werk laptop
1 locatie
– A stuurt akte via email naar notaris ter review
5 locaties
– Akte retour, medewerker forward naar prive
mail 6 locaties
– Medewerker gaat thuis aan de slag
7 locaties
– Akte te groot nu op USB van thuis naar werk
Remote desktop / Virtual Desktop
• Het centraal
aanbieden van een
standaard desktop of
losse applicaties
Remote desktop / Virtual Desktop
�Centraal beheer van
desktops
�Data blijft in de
serverruimte
Wachtwoorden
• Complex Wachtwoord
Have I been pwned
• Uniek per account
Wachtwoord Manager
• Online manager
– Centrale database, overal beschikbaar en altijd
laatste versie bij de hand
• Offline manager
– Database en beveiliging minder afhankelijk van
derden. Soms niet beschikbaar afhankelijk van
locatie
Keepass
2-factor authenticatie
• Een tweede vorm van identificatie naast de
gebruikersnaam en wachtwoord.
– Badge (smartcard)
– (soft) Token
– Geautomatiseerde sms of telefoon berichten
Netwerk Segmentatie
• Functie scheiding in het network (VLAN)
– Clients
• Private VLAN
– Servers
– Backup / Management
– Camera Systeem
– Alarm / Overige Machines
Netwerk Inrichting
2-
FactorSS
O
Versleuteling
• Versleuteling van volledige computer of
draagbare media
– Encryptie sleutel paswoord of smartcard.
• Bitlocker ingebouwd in Windows 7 Enterprise,
8 en 10 Pro.
• Oplossingen van derden: Truecrypt,
Veracrypt, DESLock en 7zip
Versleuteling Laptop
• Laptop / Tablet devices die buiten de
bedrijfslocatie komen versleutelen.
+ Versleutelde laptop is ontoegankelijk bij
verlies of diefstal
- Laptop versleuteling vereist planning en
controle
Dataverlies!!
• Art. 32 AVG
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
⁻ Pseudonimisering en encryptie;
⁻ Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen;
⁻ Adequaat en tijdig kunnen reageren op incidenten;
⁻ Regelmatig testen, evalueren en bijschaven.