Algemene Verordening Gegevensbescherming (AVG)

Matthijs Hoekstra

Donderdag 22 maart 2018

Middelburg RotterdamMiddelburg Terneuzen Rotterdam

Justion Advocaten

www.justionadvocaten.nl Middelburg Rotterdam Terneuzen

3

Justion Advocaten

• Opgericht in 2001

• 19 advocaten

• 4 juridisch medewerk(st)ers

• Deskundig secretariaat en eigen administratieve afdeling

4

Justion Advocaten

Kantoor MiddelburgPark Veldzigt 454336 DW MIDDELBURG

Telefoon : 0118 – 623 719 Telefax : 0118 – 638 347

Kantoor RotterdamLinatebaan 69a3045 AH ROTTERDAM

Telefoon : 010 – 440 31 00Telefax : 010 – 270 90 04

Kantoor Terneuzen Axelsedam 74531 HH TERNEUZEN

Telefoon : 0115 – 613 175Telefax : 0115 – 617 764

5

Rechtsgebieden

6

Rechtsgebieden

7

Rechtsgebieden

Rode draad: laat zien hoe je met persoonsgegevens omgaat

8

Onderwerpen

9

• De Algemene verordening gegevensbescherming en nadere regelgeving

• Terminologie

• Grondslagen voor gegevensverwerking

• Accountability

• Tips en nuttige websites

De AVG

10

• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG

• Algemene verordening gegevensbescherming: AVG

• General Data Protection Regulation (GDPR)

• Doel van de AVG:- Beter beschermen van de privacy van de Europese burger- Harmonisatie van privacyregelgeving op EU-niveau (vrij verkeer van persoonsgegevens als aspect van de interne markt)- Vergroten van het vertrouwen in de digitale economie

De AVG

11

• De AVG is van toepassing met ingang van 25 mei 2018

• Geldt voor landen van de Europese Unie en de Europese Economische Ruimte (EER)

• Tot 25 mei 2018 geldt de Wet bescherming persoonsgegevens (Wbp)

• De AVG heeft directe werking: bedrijven en burgers kunnen rechtstreeks een beroep doen op de regels in de AVG

• Uitvoeringswet AVG ter instelling van de toezichthouder Autoriteit Persoonsgegevens (AP) en detailregeling

• Memorie van Toelichting Uitvoeringswet AVG: beleidsneutrale invoering

De AVG

12

• Adviezen artikel 29 Werkgroep (ontleend aan Richtlijn 95/46/EG)

• Guidelines : verduidelijken bepaalde onderwerpen uit de AVG

• Definitieve guidelines:- Data protection impact assessment (DPIA)- Administratieve boetes- Functionaris voor de gegevensbescherming (FG)- Leidende toezichthouder - Recht op dataportabiliteit- Meldplicht datalekken- Profiling

• De volgende guidelines zijn momenteel in consultatie:- Toestemming- Transparantie

De AVG

13

• Er volgen nog guidelines over:- Certificering- Internationaal gegevensverkeer

• Thematische beleidsregels van de AP, zoals:- De zieke werknemer- Cameratoezicht- Meldplicht datalekken- Beveiliging van persoonsgegevens- Kopie identiteitsbewijs

• Blijven de thematische beleidsregels gelden na 25 mei 2018?

• Handleiding AVG Ministerie van Justitie en Veiligheid

De AVG

14

• De AVG kent meer verplichtingen dan thans volgens Wbp gelden

• Nadruk ligt op de verantwoordelijkheid om te kunnen aantonen dat aan de AVG wordt voldaan = verantwoordingsplicht(accountability)

• AP kan sancties opleggen: maximaal 20 miljoen Euro of maximaal 4% van de omzet wereldwijd als die meer dan 500 miljoen Euro is

De AVG

15

• Bestuurlijke boete wegens overtreding AVG op te leggen door AP

• Afschrikwekkende werking

• Proportionaliteit (boete moet in verhouding staan tot de ernst van de overtreding)

• Handhaving door last onder bestuursdwang en last onder dwangsom

• Bestuurs(proces)recht van toepassing (Awb)

• Beroep bij de Nederlandse en Europese rechter

De AVG

16

Samenvatting regelgeving

1. Algemene verordening gegevensverwerking (AVG)

2. Uitvoeringswet AVG

3. Adviezen Artikel 29 Werkgroep en Guidelines

4. Thematische Beleidsregels van de AP

5. Toezichthouder: Autoriteit Persoonsgegevens (AP)

6. Rechtspraak:- Beslissingen AP- Nationale rechter- Hof van Justitie van de Europese Unie- Europees voor de Rechten van de Mens

Terminologie (artikel 4 AVG) (1)

17

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens

Terminologie (artikel 4 AVG) (2)

18

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (volgens Wbp: de verantwoordelijke)

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (volgens Wbp: de bewerker)

Terminologie (artikel 4 AVG) (3)

19

Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

Accountability

20

Artikel 5 en 6 AVG: uitgangspunten verwerken persoonsgegevens

• Persoonsgegevens worden verwerkt op een rechtmatige, behoorlijke en transparante wijze

• Persoonsgegevens mogen alleen worden verzameld met een bepaald doel

• Het doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn

• De gegevens mogen alleen met het oog op het doel worden verwerkt

• De betrokkene heeft recht op inzage en correctie• De gegevens worden na een bepaalde periode vernietigd• De gegevens moeten worden beveiligd

Gegevensverwerking: grondslagen (1)

21

• Betrokkene verleent toestemming: art. 6 lid 1 sub a AVG

• Schriftelijk of digitaal

• Informatieplicht en specifieke toestemming: waarvoor worden de gegevens gebruikt en wat zijn de rechten?

• Ondubbelzinnig: actieve handeling is vereist (opt in, geen implied consent)

• Niet bij afhankelijkheidsrelatie

• Guidelines over toestemming nog niet definitief (in consultatie)

Gegevensverwerking: grondslagen (2)

22

• Noodzakelijkheidsgrondslagen: art. 6 lid 1 sub b – f AVG: in beperkt aantal gevallen geen toestemming betrokkene nodig

• Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, ook in precontractuele fase (sub b)

• Verwerking is noodzakelijk om aan een wettelijke verplichting te voldoen (sub c)

• Verwerking is noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag (sub e)

• Uitwerking in nationale wetgeving grondslagen sub c en sub e

Accountability: onderwerpen

23

1. Privacyverklaring: art. 12 e.v. AVG

2. Register van verwerkingsactiviteiten: art. 30 AVG

3. Data protection impact assessment (DPIA): art. 35 AVG

4. Register van datalekken: art. 33, 34, 23 en 42 AVG

5. Functionaris voor gegevensbescherming: art. 37 e.v. AVG

6. Gegevensbeschermingsbeleid: art. 24 AVG

7. Verwerkersovereenkomst: art. 28 lid 3 AVG

Accountability: de privacyverklaring

24

• De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden en direct beschikbaar zijn

• Website / link onder e-mail / aanplakken / overhandigen

• Opstellen in heldere en duidelijke taal

• In de privacyverklaring staan in ieder geval:- de bedrijfsgegevens- het doel van de gegevensvastlegging- welke gegevens verzameld worden- aan wie de gegevens eventueel worden doorgegeven- hoe lang de gegevens worden bewaard- uitleg over cookies en de reden van gebruik (bij gebruik van cookies)- de wijze van beveiliging van de vastgelegde persoonsgegevens- het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)- het recht op intrekking van verleende toestemming- het recht om een klacht in te dienen bij de AP

Accountability: het verwerkingsregister (1)

25

• Verplicht indien 250 of meer werknemers

• Niet verplicht bij minder dan 250 werknemers, tenzij:- de verwerking een risico met zich meebrengt voor betrokkenen, of- de verwerking niet incidenteel is, of- sprake is van verwerking van bijzondere categorieën van persoonsgegevens

• Vrijwel altijd sprake van een risico of niet incidentele verwerking (voorbeeld: klantenbestand, personeelsadministratie)

• Advies: altijd een verwerkingsregister opstellen

Accountability: het verwerkingsregister (2)

26

• Het register vervangt de algemene meldingsplicht bij de AP

• Geen vrijgestelde verwerkingen meer (zoals personeels-en klantenadministratie, personeel-volgsysteem)

• De verwerkingsverantwoordelijke (zoals de werkgever) bepaalt hoe het verwerkingsregister vorm wordt gegeven

• Enige voorwaarde: schriftelijk of elektronisch

• Inhoud register (vrijwel) gelijk aan de melding bij de AP

• Taak mag toebedeeld worden aan de FG

Accountability: het verwerkingsregister (3)

27

1. Naam en contactgegevens (rechtspersoon, bestuursorgaan, natuurlijke persoon, functionaris gegevensbescherming)

2. Verwerkingsdoeleinden: waarvoor heb je de gegevens nodig?- bezoekersregistratie: intern beheer en beveiliging- leveranciers: doen van bestelling en (financiële) afwikkeling- personeel: behandeling personeelszaken

3. Categorieën betrokkenen: van wie heb je gegevens?- werknemers, sollicitanten, leveranciers, afnemers

4. Categorieën persoonsgegevens: over welke gegevens beschik je?- NAW- nationaliteit en geboorteplaats- bankrekeningnummer- ziekteverzuim- kenteken- foto’s, video, geluidsopname, enz.

Accountability: het verwerkingsregister (4)

28

5. Categorieën ontvangers: wie heeft toegang tot de gegevens?- medewerkers HR, medewerkers financiën, medewerkers in- en verkoop, beveiliging- externe verwerker (verwerkersovereenkomst)

6. Bij doorgifte aan landen buiten EU: passende waarborgen moeten blijken uit het register

7. Beoogde bewaartermijnen (indien mogelijk)- video opname: 24 uur- einde klantrelatie: 2 jaar- na bezoek: 6 maanden

8. Beveiligingsmaatregelen: hoe zijn de gegevens beveiligd?- encryptie- wachtwoorden- fysieke toegangscontrole- geheimhoudingsbeding- clean desk policy

Accountability: DPIA

29

• Data protection impact assessment (DPIA)

• Gegevensbeschermingseffectbeoordeling

• Uitvoeren als de verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico oplevert voor de betrokkene

• Wanneer is dat het geval?- als systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd- als op grote schaal bijzondere persoonsgegevens worden verwerkt, - als op grote schaal en systematisch mensen worden gevolgd in een publiektoegankelijk gebied, bijvoorbeeld met cameratoezicht

• De kwetsbare betrokkene: bijvoorbeeld de werknemer

• Herhaling om de drie jaar

Accountability: datalek (1)

30

Accountability: datalek (2)

31

• Datalek binnen 72 uur melden bij AP tenzij het onwaarschijnlijk is dat de inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt

• Uitgebreider registratieplicht dan volgens de Wbp: alle datalekken moeten worden geregistreerd (en niet uitsluitend de gemelde datalekken)

• Voorbeelden: - een kwijtgeraakte USB-stick/telefoon- een gestolen laptop- een inbraak door een hacker- een malware besmetting- e-mail naar verkeerde adressen verstuurd

• (Intern) protocol Meldplicht Datalekken

Accountability: datalek (3)

32

• Mededeling datalek aan de betrokkene: als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen

• Onverwijld meedelen in duidelijke en eenvoudige taal

• Geen mededeling nodig als:- passende technische en organisatorische beschermingsmaatregelen zijn genomen (bijvoorbeeld: gegevens zijn versleuteld)- achteraf zijn maatregelen genomen waarmee de risico’s zijn weggenomen- de mededeling onevenredig veel inspanning vergt (alternatief: openbare mededeling)

• Guidelines meldplicht datalekken

Accountability: Functionaris gegevensbescherming

33

• Functionaris gegevensbescherming (FG) of Data ProtectionOfficer (DPO)

• Verplicht benoemen van een functionaris voor gegevensbescherming voor:- overheden- organisaties die op grote schaal individuen volgen- organisaties die op grote schaal persoonsgegevens verzamelen en bewerken en waarvoor dit een kernactiviteit is

• Voor andere organisaties optioneel

• Individuele lidstaten kunnen nadere regels stellen over het aanstellen van de functionaris voor gegevensbescherming

• Intern of extern aanstellen

• FG aanmelden bij AP (mogelijk vanaf 3 april 2018)

Accountability: gegevensbeschermingsbeleid (1)

34

• Niet hetzelfde als de privacyverklaring!

• Artikel 24 AVG: Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

• Bij het opstellen van het gegevensbeschermingsbeleid: verplicht inschakelen FG als die is aangesteld

Accountability: gegevensbeschermingsbeleid (2)

35

Inhoud van het gegevensbeschermingsbeleid:

• Een omschrijving van de categorieën persoonsgegevens die worden verwerkt

• Een beschrijving van de doeleinden waarvoor persoonsgegevens worden verwerkt en wat de juridische grondslag daarvan is

• Hoe voldaan wordt aan de beginselen van verwerking van persoonsgegevens (zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk)

• Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen: recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) en het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens

• Welke organisatorische en technische maatregelen genomen worden om de persoonsgegevens te beveiligen

• Hoe lang de persoonsgegevens worden bewaard

Accountability: verwerkersovereenkomst

36

• Verwerker handelt op basis van instructies van de verwerkingsverantwoordelijke

• Verwerker moet helpen bij uitvoeren van plichten: recht op inzage, correctie en verwijdering, DPIA, melden datalek

• Zelfstandige plichten verwerker: beveiliging, register van verwerkingsactiviteiten, aanstellen FG

• Afspraken vastleggen in verwerkersovereenkomst: deels standaard bepalingen, deels maatwerk.

• Inhoud verwerkersovereenkomst: art. 28 lid 3 sub a – h AVG

Tips en actiepunten

37

• Tips:- Wees transparant: laat zien hoe de AVG wordt nageleefd- Naleven door te documenteren: privacyverklaring, verwerkingsregister, gegevensbeschermingsbeleid, DPIA, register datalekken- Stel eventueel een FG aan- Betrek de OR bij uitvoering AVG die zien op personeel (artikel 27 WOR: soms instemming nodig)

• Actiepunten:- Privacyverklaring opstellen/aanpassen- Verwerkingsregister opstellen en bijhouden- Register van datalekken opstellen en bijhouden- Check Protocol Meldplicht Datalekken (eventueel aanpassen)- DPIA uitvoeren- Functionaris gegevensbescherming aanstellen- Check bewaartermijnen

Nuttige websites

38

• autoriteitpersoonsgegevens.nl

• kvk.nl

• europadecentraal.nl

• rijksoverheid.nl

• norea.nl

• justionadvocaten.nl

Vragen?

Contactgegevens

Mr. M.J. (Matthijs) Hoekstra

Justion AdvocatenAxelsedam 74531 HH TERNEUZEN

Postbus 254530 AA TERNEUZEN

Telefoon algemeen :0115-613175Telefoon rechtstreeks :0115-683373Telefoon mobiel :06-21231429

E-mail : mjh@justionadvocaten.nl

Website : www.justionadvocaten.nl

41

Algemene Verordening

Gegevensbescherming (AVG)

Ben jij er klaar voor??

Reggy Ekkebus

8. IT Beveiliging

Art. 32 AVG

Rekening houdend met de stand van de

techniek, de uitvoeringskosten, alsook

met de aard, de omvang, de context en de

verwerkingsdoeleinden en de qua

waarschijnlijkheid en ernst uiteenlopende

risico's voor de rechten en vrijheden van

personen, treffen de

verwerkingsverantwoordelijke en de

verwerker passende technische en

organisatorische maatregelen om een op

het risico afgestemd beveiligingsniveau

te waarborgen, die, waar passend, onder

meer het volgende omvatten:

⁻ Pseudonimisering en encryptie;

⁻ Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen;

⁻ Adequaat en tijdig kunnen reageren op incidenten;

Data bescherming

Malware Bescherming

Footprint

(Remote) Toegang

Wachtwoorden

Segmentatie Versleuteling

Gedrag

Network ProtectionNetwork Protection

Anti-Malware

Updates

Rechten

Malware

Bescherming

Gedrag

Phishing Email

Gedrag

Aanbod malware via weblink

Gedrag

Gedrag

Network Protection

Email anti-spam / anti-

malware

• Belangrijk eerste filter

• 0 day!!

• Liefst complementair

aan anti-malware

oplossing

Anti-phishing

• DKIM (DomainKeys Identified Mail)

• Digitale ondertekening van emails

• Bron & integriteit van bericht

• SPF (Sender Policy Framework)

• Bron van email berichten

• DMARC (Domain-based Message

Authentication, Reporting &

Conformance)

• Beleidsregels voor DKIM en SPF

SPF / DKIM / DMARC

• Activeren SPF / DKIM / DMARC voor

uitgaande mail vaak benodigd!

• Verifieeren van inkomende email

nog belangrijker!

Secure Networks

Juniper Networks SKY-ATP

• Inline Malware Protection

• Online Reputation

• C&C blokkade

• Host isolatie

Antimalware

• Hoge update frequentie (bekende samples)

• Cloud Scanner (onbekende

samples)

• Heuristics (onbekende

samples)

• Outlook Plugin (grootste bron

van malware!)

• Firewall (tegen laterale

besmetting)

• Web Protection (Web-based

Antimalware

Updates, updates, updates,

updates

• Februari Update ronde

• Microsoft Windows/Office : 55 (15

Critical)

• Adobe Reader: 39 (17

Critical)

• Flash Player: 2 (2 Critical)

Gebruikers Rechten

• Minimaal gebruik van

Lokale beheers rechten

• Toegang tot de

bestanden die de

gebruiker nodig heeft

voor zijn/haar taak.

– Kan ook enkel

leesrechten zijn!

Gedrag

Network ProtectionNetwork Protection

Anti-Malware

Updates

Rechten

Malware

Protection

Data bescherming

Malware Bescherming

Footprint

(Remote) Toegang

Wachtwoorden

Segmentatie Versleuteling

Footprint

1. Wat wil ik bereiken

2. Welk middel ga ik daarvoor gebruiken

3. Wat zijn de potentiele risico’s

4. Hoe kan dit anders/beter

Case: Akte voor meneer Jansen

– Concept akte word opgesteld door medewerker

A

– Medewerker slaat akte op op werk laptop

1 locatie

– A stuurt akte via email naar notaris ter review

5 locaties

– Akte retour, medewerker forward naar prive

mail 6 locaties

– Medewerker gaat thuis aan de slag

7 locaties

– Akte te groot nu op USB van thuis naar werk

Remote desktop / Virtual Desktop

• Het centraal

aanbieden van een

standaard desktop of

losse applicaties

Remote desktop / Virtual Desktop

�Centraal beheer van

desktops

�Data blijft in de

serverruimte

Wachtwoorden

• Complex Wachtwoord

Have I been pwned

• Uniek per account

Wachtwoord Manager

• Online manager

– Centrale database, overal beschikbaar en altijd

laatste versie bij de hand

• Offline manager

– Database en beveiliging minder afhankelijk van

derden. Soms niet beschikbaar afhankelijk van

locatie

Keepass

2-factor authenticatie

• Een tweede vorm van identificatie naast de

gebruikersnaam en wachtwoord.

– Badge (smartcard)

– (soft) Token

– Geautomatiseerde sms of telefoon berichten

Netwerk Segmentatie

• Functie scheiding in het network (VLAN)

– Clients

• Private VLAN

– Servers

– Backup / Management

– Camera Systeem

– Alarm / Overige Machines

Netwerk Inrichting

2-

FactorSS

O

Versleuteling

• Versleuteling van volledige computer of

draagbare media

– Encryptie sleutel paswoord of smartcard.

• Bitlocker ingebouwd in Windows 7 Enterprise,

8 en 10 Pro.

• Oplossingen van derden: Truecrypt,

Veracrypt, DESLock en 7zip

Versleuteling Laptop

• Laptop / Tablet devices die buiten de

bedrijfslocatie komen versleutelen.

+ Versleutelde laptop is ontoegankelijk bij

verlies of diefstal

- Laptop versleuteling vereist planning en

controle

Dataverlies!!

• Art. 32 AVG

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

⁻ Pseudonimisering en encryptie;

⁻ Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen;

⁻ Adequaat en tijdig kunnen reageren op incidenten;

⁻ Regelmatig testen, evalueren en bijschaven.