GDPR/AVG
General Data Protection Regulation
Algemene verordening gegevensbescherming
In het kort
Gaat in op 25 mei
Heeft direct effect in alle lidstaten van de EU
Vervangt de huidige EU Data Protection Directive
Schrijft voor hoe met persoonsgegevens om te gaan
Meer verantwoordelijkheid voor bedrijven die met persoonsgegevens werken
Controle terug geven aan het individu
Boetes tot 4% van jaaromzet of 20 miljoen euro
Invloed
Persoonsgegevens: alle info gerelateerd aan een geïdentificeerd of identificeerbaar persoon (érg wijd)
Verwerken: alle operaties die gedaan worden op persoonlijke data, geautomatiseerd of niet
Álle bedrijven die data verwerken van EU bewoners
Persoonlijke data
Directe en indirecte identificatie
Devices
Apps
Protocollen (IP adressen)
Online identifiers (cookies)
Locatie
Geslacht
'Pseudonymous' data
Data die maatregelen ondergaan hebben zodat er geen directe identificatie van een persoon plaats kan vinden zonder extra informatie
Extra informatie moet apart en veilig opgeslagen worden
Informatie vervangen door fictieve identifiers
Codes, random tokens, neppe data etc.
Bijvoorbeeld Resq
Staat los van encryptie en anonymisation
Dataverwerking principes
Data zal rechtmatig en transparant verwerkt worden m.b.t. bijv. de persoon
Data zal alleen vergaard worden voor gespecificeerde en legitieme doeleinden
Data zal beperkt worden voor de benodigde doeleinden
Data zal accuraat zijn en, waar nodig, up to date
Data zal niet langer behouden worden dan nodig is voor de desbetreffende doeleinden
Data moet beveiligd zijn, voor zowel interne als externe bedreigingen
De controller is verantwoordeijk voor de 'Data Protection Principles'
Wettige basis
Dataverwerking is toegestaan indien;
Wettige basis voor alle dataverwerking
Toestemming van bijv. desbetreffende persoon
Benodigd voor een contract
In bezit van een wettelijke verplichting
Rechten van de persoon
Huidige rechten worden versterkt en uitgebreid
Nieuwe rechten
Persoonlijke data te laten vernietigen
Persoonlijke data op te vragen en hergebruiken
Bescherming tegen profiling
Data Protection Officers
Is verplicht indien;
overheidsinstantie
monitoren van mensen op grote schaal
verwerken van speciale of criminele data
Bedrijven en werknemers informeren en adviseren over de GDPR regels en andere wetten
Controleren of aan de GDPR of andere wetten voldaan wordt en interne beveiliging
Eerste aanspreekpunt voor toezichthouders en diegene waarvan data verwerkt wordt
Privacy By Design
Proactief over nadenken
Zo vroeg mogelijk stadium afdwingen, in design- en developmentfase
Data-minimalisatie
Standaardinstellingen zo privacy-vriendelijk mogelijk
Privacy continu gewaarborgd
Verwerking documentatie
Contactdetails van controllers (klanten)
Categorieën van data subjects en persoonlijke data
Doel en juridische basis van het verwerken
Technische en organisatorische veiligheidsmaatregelen
Hoe lang data vastgehouden wordt
Overdracht naar landen buiten EEA of internationale organisaties
Data Processing Agreement
Data Processing Agreement
Tussen klanten en ons
Categoriseren van data subjects en categorieën van data
Beveiligingsmaatregelen
Aansprakelijkheid
Eventuele dataverwerking door derde partijen
Dataflows buiten de EEA
European Economic Area
'Voldoende' databeveiliging voor die landen
Wordt nagelopen door de EC
Code of conduct voor landen die dat niet hebben
Toestemming
Kunnen aantonen dat de data subject toestemming heeft gegeven voor verwerking van data
Toestemming moet gegeven zijn indien volledig en duidelijk geïnformeerd
Data subject kan ieder moment (gemakkelijk) toestemming afwijzen en intrekken
Breach Notification
Datalekken of dataverlies met persoonlijke data
Binnen 72 uur melden bij de toezichthoudende partij
Direct melden bij klant
Niet verplicht indien aan voldoende technische en organisatorische beveiliging is voldaan
Datalek documenteren, inclusief de effecten en ondernomen actie
Encryptie
Niet verplicht volgens de regels
Wordt zo'n 4 keer genoemd (261 pagina's)
Minder risico bij een datalek
Niet verplicht om deze te melden
Vervolg
Op de hoogte zijn van de vereisten
Frank geeft vervolgpresentatie
Klanten inlichten
Starten met implementatie
Made with Slides.com