Privacy voor Webwinkels - ecommerce essentials
-
Upload
charlotte-meindersma -
Category
Law
-
view
97 -
download
2
Transcript of Privacy voor Webwinkels - ecommerce essentials
AVG AVG = Algemene Verordening Gegevensbescherming of GDPR = General Data Protection Regulation
is al in werking getreden vanaf 25 mei 2018 direct van toepassing
wetswijziging in Nederland nodig (Wbp)
NIEUW • Boetes tot €20.000.000,- of 4% jaaromzet
• Meer bewerkersovereenkomsten
• Meldplicht Datalekken
• PIA (soms)
• Privacy Officer (soms)
• Zelf registers bijhouden en verwerking documenteren
• Nieuwe privacyverklaring!
• en meer
BEWERKERSOVK verplicht bij verwerking door derden
(e-commerce platform, logistiek, hosting etc.)
• Doel
• Soort persoonsgegevens
• Categorieën van betrokkenen (soort personen)
• Passende beveiliging
• Melding datalekken
• Uitvoeren van audits
• Bij beëindiging: vernietiging of teruggave gegevens
DATALEKKEN IN AVG meldplicht datalekken nu ook in AVG dus voor heel EU
datalek: elke onrechtmatige verwerking die niet kan worden
uitgesloten
• verwerker moet melden aan verantwoordelijke
• <72 uur melden aan autoriteit (tenzij geen risico)
• bij hoog risico ook aan betrokkene melden
• ALLE inbreuken administreren
PIA Privacy Impact Assessment (PIA) vóór verwerking, indien aard,
omvang, context en doeleinde een hoog risico vormen voor
rechten en vrijheden van natuurlijke personen - risico beoordelen
• systematische beoordeling persoonlijke aspecten (profiling)
• verwerking bijzondere gegevens op grote schaal
• systematische monitoring publiek op grote schaal
NIEUWE PRIVACYVERKLARING
Elke website zal een nieuwe privacyverklaring nodig hebben
“beknopte, transparante, begrijpelijke en gemakkelijk
toegankelijke vorm en in duidelijke en eenvoudige taal”
Transparantie = meer informatie verstrekken
Maar: zo eenvoudig en compact mogelijk
NIEUWE PRIVACYVERKLARING
• identiteit + contactgegevens organisatie • contactgegevens privacy officer, indien aangesteld • doel van verwerking • rechtsgrond verwerking (bijvoorbeeld: toestemming gegeven of uitvoering ovk) • aan wie gegevens worden doorgegeven • gegevens opgeslagen/doorgegeven buiten EU? + getroffen waarborgen • bewaartermijn of criteria • rechten betrokkene • dat toestemming kan worden ingetrokken, maar geen terugwerkende kracht heeft • mogelijkheid klachten indienen bij toezichthouder • of verstrekken gegevens verplicht is + gevolgen niet verstrekking • of er sprake is van geautomatiseerde besluitvorming + gevolgen • bij meerdere verantwoordelijken: rolverdeling
lijst is niet limitatief. valt er meer te vertellen, dan moet er meer verteld worden
REGISTRATIEPLICHT Registratieplicht bij >250 medewerkers, of gevoelige gegevens
Register waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Zowel verantwoordelijke als verwerker moeten een register bijhouden
• schriftelijk (digitaal) • contactgegevens • doeleinde verwerking • beschrijving categorie betrokkenen • ontvangers van de gegevens • beschrijving beveiligingsmaatregelen • bewaartermijnen
DOCUMENTATIEPLICHT Nu: gegevensverwerking melden bij Autoriteit Persoonsgegevens (AP)
AVG: accountability
Aantonen dat er organisatorische en technische maatregelen zijn getroffen om aan AVG te voldoen. AP kan om deze documenten vragen t.b.v. controle.
Bijvoorbeeld: • welke gegevens worden verzameld • waar ze worden opgeslagen • hoe lang ze worden opgeslagen • hoe ze worden beveiligd • wie toegang heeft tot de gegevens
EN OOK • vraag zoveel mogelijk eenduidige toestemming voor
verwerking gegevens
• consumenten hebben recht op inzage, correctie en verwijdering van gegevens en moeten dit digitaal kunnen verzoeken
• consumenten moeten hun data kunnen ontvangen en overdragen aan andere partijen (dataportabiliteit)
NOG ONZEKER • EU Uitvoeringswet AVG
• Nederlandse wet + invulling ‘open’ bepalingen
• Nieuw beleid AP
CHARLOTTE MEINDERSMA | [email protected] | 06 28 917 463
twitter @charlotteslaw | facebook.com/charlotteslaw | instagram @charlotteslaw