Lesdag 1 PP 1 Flashcards
GDPR
General Data Protection Regulation de richtlijn gegevensbescherming rechtshandhaving en andere regels met betrekking tot de bescherming van persoonsgegevens. De GDPR is de minimum wetgeving: nationaal
mag zwaardere wetgeving, bv. AVG
AVG kernbepaling 1.
- Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.
AVG kernbepaling 2
Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
Persoonsgegevens
alle informatie over een geïdentificeerde of identificeerbare natuurlijke
persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die
direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; Voorbeelden zijn: NAW-gegevens, foto, digid, schoolrapport, financiele gegevens, club/lidmaatschap
verwerking
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
3 cruciale punten van Doelbinding
- voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld
- de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens
- toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden
Toestemming
van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel
van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
AVG noodzaak
de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen
Tijdelijkheid
worden bewaard in een vorm die het mogelijk
maakt de betrokkenen niet langer te
identificeren dan voor de doeleinden waarvoor
de persoonsgegevens worden verwerkt
noodzakelijk is
Bijzondere persoonsgegevens
zijn “extra” gevoelige gegevens. persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen,
of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens
met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn
verboden..
Uitzonderingen bv. medische instellingen, kerken, politieke partijen,
vakbonden zelf, positieve discriminatie (ras).
* Of dit geschiedt met uitdrukkelijke
toestemming van de betrokkene
AVG Aanvullende eisen Datakwaliteit
juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of
te rectificeren.
AVG aanvullende eisen Veiligheid
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of
onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (“integriteit en vertrouwelijkheid”).
AVG gegevens naar andere landen
- Binnen de Europese Unie: gegevens mogen overal worden opgeslagen. Dus
geen speciale regeling “alleen in Nederland opslaan”: de hele EU geldt als één gebied. - Bedrijven of overheid mogen wel ZELF bepalen dat gegevens alleen in
Nederland mogen worden opgeslagen, maar de wet schrijft dat niet voor.
Naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau en
geenbinding corporate rules etc. , plaatsvinden indien:
3 Doorgifte naar de VS op basis van speciale afspraken (“European Privacy Shield’) , waarbij bedrijven (dus niet de VS als geheel) garanderen dat ze zich aan privacy regels houden, die (minstens) gelijkwaardig zijn als de Europese regels.
of:
* de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd
* . de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de
verantwoordelijke […]
* de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene […]
* vanwege een zwaarwegend algemeen belang[…]
Data life cycle
- Plan: Verbind data met de organisatiestrategie
- Ontwerp & prepareer: Zorg dat er beleid is zodat data gebruikt kan worden en misdaad voorkam word
- Creëer/vergaar: Zorg dat de data wordt gecreëerd of verkregen volgens overeengekomen methoden
- Sla op/beheer: handhaaf dataopslag beleid en wettelijk beheer
- 4a. Verwijder: verwijder data conform beleid en wettelijke eisen - Gebruik: Verzeker dat toegang tot de data wordt uitgevoerd en voorkom misbruik
- Verrijk: De onderneming in staat stellen om mogelijkheden te identificeren en extra waarde uit de data te onlenen
