GDPR/AVG

General Data Protection Regulation
Algemene verordening gegevensbescherming

In het kort

  • Gaat in op 25 mei
  • Heeft direct effect in alle lidstaten van de EU
  • Vervangt de huidige EU Data Protection Directive
  • Schrijft voor hoe met persoonsgegevens om te gaan
  • Meer verantwoordelijkheid voor bedrijven die met persoonsgegevens werken
  • Controle terug geven aan het individu
  • Boetes tot 4% van jaaromzet of 20 miljoen euro

Invloed

  • Persoonsgegevens: alle info gerelateerd aan een geïdentificeerd of identificeerbaar persoon (érg wijd)
  • Verwerken: alle operaties die gedaan worden op persoonlijke data, geautomatiseerd of niet
  • Álle bedrijven die data verwerken van EU bewoners

Persoonlijke data

  • Directe en indirecte identificatie
    • Devices
    • Apps
    • Protocollen (IP adressen)
    • Online identifiers (cookies)
    • Locatie
    • Geslacht

'Pseudonymous' data

  • Data die maatregelen ondergaan hebben zodat er geen directe identificatie van een persoon plaats kan vinden zonder extra informatie
  • Extra informatie moet apart en veilig opgeslagen worden
  • Informatie vervangen door fictieve identifiers
  • Codes, random tokens, neppe data etc.
  • Bijvoorbeeld Resq
  • Staat los van encryptie en anonymisation

Dataverwerking principes

  • Data zal rechtmatig en transparant verwerkt worden m.b.t. bijv. de persoon
  • Data zal alleen vergaard worden voor gespecificeerde en legitieme doeleinden
  • Data zal beperkt worden voor de benodigde doeleinden
  • Data zal accuraat zijn en, waar nodig, up to date
  • Data zal niet langer behouden worden dan nodig is voor de desbetreffende doeleinden
  • Data moet beveiligd zijn, voor zowel interne als externe bedreigingen
  • De controller is verantwoordeijk voor de 'Data Protection Principles'

Wettige basis

  • Dataverwerking is toegestaan indien;
    • Wettige basis voor alle dataverwerking
    • Toestemming van bijv. desbetreffende persoon
    • Benodigd voor een contract
    • In bezit van een wettelijke verplichting

Rechten van de persoon

  • Huidige rechten worden versterkt en uitgebreid
  • Nieuwe rechten
    • Persoonlijke data te laten vernietigen
    • Persoonlijke data op te vragen en hergebruiken
    • Bescherming tegen profiling

Data Protection Officers

  • Is verplicht indien;
    • overheidsinstantie
    • monitoren van mensen op grote schaal
    • verwerken van speciale of criminele data
  • Bedrijven en werknemers informeren en adviseren over de GDPR regels en andere wetten
  • Controleren of aan de GDPR of andere wetten voldaan wordt en interne beveiliging
  • Eerste aanspreekpunt voor toezichthouders en diegene waarvan data verwerkt wordt

Privacy By Design

  • Proactief over nadenken
  • Zo vroeg mogelijk stadium afdwingen, in design- en developmentfase
  • Data-minimalisatie
  • Standaardinstellingen zo privacy-vriendelijk mogelijk
  • Privacy continu gewaarborgd

Verwerking documentatie

  • Contactdetails van controllers (klanten)
  • Categorieën van data subjects en persoonlijke data
  • Doel en juridische basis van het verwerken
  • Technische en organisatorische veiligheidsmaatregelen
  • Hoe lang data vastgehouden wordt
  • Overdracht naar landen buiten EEA of internationale organisaties
  • Data Processing Agreement

Data Processing Agreement

  • Tussen klanten en ons
  • Categoriseren van data subjects en categorieën van data
  • Beveiligingsmaatregelen
  • Aansprakelijkheid
  • Eventuele dataverwerking door derde partijen

Dataflows buiten de EEA

  • European Economic Area
  • 'Voldoende' databeveiliging voor die landen
  • Wordt nagelopen door de EC
  • Code of conduct voor landen die dat niet hebben

Toestemming

  • Kunnen aantonen dat de data subject toestemming heeft gegeven voor verwerking van data
  • Toestemming moet gegeven zijn indien volledig en duidelijk geïnformeerd
  • Data subject kan ieder moment (gemakkelijk) toestemming afwijzen en intrekken

Breach Notification

  • Datalekken of dataverlies met persoonlijke data
  • Binnen 72 uur melden bij de toezichthoudende partij
  • Direct melden bij klant
    • Niet verplicht indien aan voldoende technische en organisatorische beveiliging is voldaan
  • Datalek documenteren, inclusief de effecten en ondernomen actie

Encryptie

  • Niet verplicht volgens de regels
  • Wordt zo'n 4 keer genoemd (261 pagina's)
  • Minder risico bij een datalek
  • Niet verplicht om deze te melden

Vervolg

  • Op de hoogte zijn van de vereisten
  • Frank geeft vervolgpresentatie
  • Klanten inlichten
  • Starten met implementatie

GDPR

By Dimitri Snijder

GDPR

  • 32