GDPR/AVG
General Data Protection Regulation
Algemene verordening gegevensbescherming
In het kort
- Gaat in op 25 mei
- Heeft direct effect in alle lidstaten van de EU
- Vervangt de huidige EU Data Protection Directive
- Schrijft voor hoe met persoonsgegevens om te gaan
- Meer verantwoordelijkheid voor bedrijven die met persoonsgegevens werken
- Controle terug geven aan het individu
- Boetes tot 4% van jaaromzet of 20 miljoen euro
Invloed
- Persoonsgegevens: alle info gerelateerd aan een geïdentificeerd of identificeerbaar persoon (érg wijd)
- Verwerken: alle operaties die gedaan worden op persoonlijke data, geautomatiseerd of niet
- Álle bedrijven die data verwerken van EU bewoners
Persoonlijke data
- Directe en indirecte identificatie
- Devices
- Apps
- Protocollen (IP adressen)
- Online identifiers (cookies)
- Locatie
- Geslacht
'Pseudonymous' data
- Data die maatregelen ondergaan hebben zodat er geen directe identificatie van een persoon plaats kan vinden zonder extra informatie
- Extra informatie moet apart en veilig opgeslagen worden
- Informatie vervangen door fictieve identifiers
- Codes, random tokens, neppe data etc.
- Bijvoorbeeld Resq
- Staat los van encryptie en anonymisation
Dataverwerking principes
- Data zal rechtmatig en transparant verwerkt worden m.b.t. bijv. de persoon
- Data zal alleen vergaard worden voor gespecificeerde en legitieme doeleinden
- Data zal beperkt worden voor de benodigde doeleinden
- Data zal accuraat zijn en, waar nodig, up to date
- Data zal niet langer behouden worden dan nodig is voor de desbetreffende doeleinden
- Data moet beveiligd zijn, voor zowel interne als externe bedreigingen
- De controller is verantwoordeijk voor de 'Data Protection Principles'
Wettige basis
- Dataverwerking is toegestaan indien;
- Wettige basis voor alle dataverwerking
- Toestemming van bijv. desbetreffende persoon
- Benodigd voor een contract
- In bezit van een wettelijke verplichting
Rechten van de persoon
- Huidige rechten worden versterkt en uitgebreid
- Nieuwe rechten
- Persoonlijke data te laten vernietigen
- Persoonlijke data op te vragen en hergebruiken
- Bescherming tegen profiling
Data Protection Officers
- Is verplicht indien;
- overheidsinstantie
- monitoren van mensen op grote schaal
- verwerken van speciale of criminele data
- Bedrijven en werknemers informeren en adviseren over de GDPR regels en andere wetten
- Controleren of aan de GDPR of andere wetten voldaan wordt en interne beveiliging
- Eerste aanspreekpunt voor toezichthouders en diegene waarvan data verwerkt wordt
Privacy By Design
- Proactief over nadenken
- Zo vroeg mogelijk stadium afdwingen, in design- en developmentfase
- Data-minimalisatie
- Standaardinstellingen zo privacy-vriendelijk mogelijk
- Privacy continu gewaarborgd
Verwerking documentatie
- Contactdetails van controllers (klanten)
- Categorieën van data subjects en persoonlijke data
- Doel en juridische basis van het verwerken
- Technische en organisatorische veiligheidsmaatregelen
- Hoe lang data vastgehouden wordt
- Overdracht naar landen buiten EEA of internationale organisaties
- Data Processing Agreement
Data Processing Agreement
- Tussen klanten en ons
- Categoriseren van data subjects en categorieën van data
- Beveiligingsmaatregelen
- Aansprakelijkheid
- Eventuele dataverwerking door derde partijen
Dataflows buiten de EEA
- European Economic Area
- 'Voldoende' databeveiliging voor die landen
- Wordt nagelopen door de EC
- Code of conduct voor landen die dat niet hebben
Toestemming
- Kunnen aantonen dat de data subject toestemming heeft gegeven voor verwerking van data
- Toestemming moet gegeven zijn indien volledig en duidelijk geïnformeerd
- Data subject kan ieder moment (gemakkelijk) toestemming afwijzen en intrekken
Breach Notification
- Datalekken of dataverlies met persoonlijke data
- Binnen 72 uur melden bij de toezichthoudende partij
- Direct melden bij klant
- Niet verplicht indien aan voldoende technische en organisatorische beveiliging is voldaan
- Datalek documenteren, inclusief de effecten en ondernomen actie
Encryptie
- Niet verplicht volgens de regels
- Wordt zo'n 4 keer genoemd (261 pagina's)
- Minder risico bij een datalek
- Niet verplicht om deze te melden
Vervolg
- Op de hoogte zijn van de vereisten
- Frank geeft vervolgpresentatie
- Klanten inlichten
- Starten met implementatie
GDPR
By Dimitri Snijder
GDPR
- 32