Whitepaper Privacy Wetgeving


1. De Wet Bescherming Persoonsgegevens ( WBP) en de nieuwe Algemene Verordening Gegevensbescherming (AVG)

2. Gevolgen, aandachtspunten en verplichtingen voor jullie en voor bViva International

3. Overige begrippen

Disclaimer:

Deze informatie wordt met de grootst mogelijke zorgvuldigheid samengesteld, waarbij bViva International
streeft naar het geven van correcte en actuele informatie. Aan deze informatie kunnen geen rechten worden ontleend.



1. De Wet Bescherming Persoonsgegevens ( WBP) en de nieuwe AVG

De AVG neemt de plaats in van de Wet bescherming persoonsgegevens (WBP). Tot aan 25 mei 2018 moet je voldoen aan de eisen uit de Wbp en voor die datum moet je je bedrijfsvoering aangepast hebben aan de eisen van de AVG. Uiteindelijk blijft er veel hetzelfde. Een goed privacybeleid, een begrijpelijk privacy statement, goede afspraken tussen bewerkers en verantwoordelijken, een procedure voor datalekken: het was al belangrijk en het blijft belangrijk. Toch zijn er ook een aantal zaken nieuw. Er zijn kleine wijzigingen, zoals een subtiele verandering van juridische termen. In de AVG wordt gesproken van ‘verwerker’ in plaats van ‘Bewerker en ‘Verwerkings verantwoordelijke’ in plaats van ‘Verantwoordelijke’. Maar er zijn ook een aantal grotere wijzigingen en nieuwe begrippen.

bViva International zal te allen tijde voldoen aan de wettelijke, technische en organisatorische verplichtingen die voortvloeien uit de WBP en de AVG

2. Waar moeten jullie en bViva International aan voldoen ogv de AVG wetgeving?­

Met verwerken wordt bedoeld digitaal verstrekte gegevens van ‘Betrokkenen’ (gebruikers van de app, degenen die hun gegevens achterlaten) gebruiken om via een app met hen te communiceren of informatie die ontstaat uit het gebruik ervan te gebruiken. bViva International is in dit geval de ‘Verwerker‘, degene die daadwerkelijk de Persoonsgegevens beheert en verwerkt.De ‘Verwerkings verantwoordelijke’ zijn jullie.De AVG formuleert een aantal basisbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen, en die door jullie moeten worden geregeld richting de gebruikers van de App en richting bViva International..

De basisbeginselen zijn:

2.1 Functionaris voor de Gegevensbescherming;

Voor veel bedrijven wordt het hebben van een Functionaris voor de Gegevensbescherming (FG), in het Engels: Data Protection Officer (DPO), verplicht.

Via deze <quickscan > krijg je een idee of jullie ook een FG nodig hebben.

2.2 Transparantie;

Jullie hebben als verwerker de plicht om betrokkenen (gebruikers van jullie apps) in klare taal te informeren over wat er met hun gegevens gebeurt: In de praktijk moeten jullie in simpele taal via het Privacy Statement aangeven hoe er contact opgenomen kan worden met de ‘Functionaris voor de Gegevensbescherming’ (FG), waarom er gegevens verzameld worden, aan wie gegevens nog meer verstrekt worden, hoe gebruiker toestemming kan intrekken of inzien. Ook dient aangegeven te worden dat Gebruiker ook Recht op vergetelheid heeft.

bViva International heeft een voorbeeld Privacy Statement voor jullie App beschikbaar:

2.3 Verantwoordingsplicht;

Elke organisatie die persoonsgegevens verwerkt moet kunnen laten zien op welke manier hij persoonsgegevens verwerkt conform de AVG via het bijhouden van een Register. Dit lijkt zwaar beladen maar valt mee:

bViva International heeft een voorbeeld register voor jullie beschikbaar:

2.3.1 Jullie moeten  kunnen aantonen dat jullie je houden aan de AVG;

Dwz jullie moeten een register bijhouden waarin het Privacybeleid en keuzes die hierin gemaakt worden vastgelegd zijn.

bViva International  heeft dit voor jullie uitgewerkt in het voorbeeld Privacy Statement.

2.3.2  bViva International moet ook kunnen aantonen dat zij zich houdt aan de AVG, en een register bijhouden:  Ze heeft de plicht documentatie bij te houden mbt alle verwerkingsactiviteiten, aan te geven hoe bij het ontwerp rekening is gehouden met privacy ( ‘privacy by design’), passende technische en organisatorische beveiligingsmaatregelen zijn getroffen etc.

bViva International heeft een meldplicht aan verantwoordelijke (jullie) in het geval van datalekken (melden van ongeoorloofde toegang of gebruik van persoonsgegevens).

2.4 Dataminimalisatie;

Wij ( jullie en bViva International) moeten in het ontwerp van de app ervoor zorgen, dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel van de verwerking. Ook is het van belang gegevens niet langer te bewaren dan noodzakelijk. Dit zal ook expliciet benoemd worden in het Privacy Statement.

2.5 Verwerkersovereenkomst tussen jullie en bViva International verplicht

Een Verwerker (WBP: bewerker) is de partij (bViva International) die jullie als verantwoordelijke inschakelen om persoonsgegevens te verwerken. bViva International beheert en host de database waarin de persoonsgegevens van de klanten staan. De AVG stelt het verplicht om een Verwerkers Overeenkomst te sluiten met partijen aan wie jullie de opdracht geven om persoonsgegevens te verwerken.

Punten die in de Verwerkersovereenkomst geregeld worden:

2.5.1 Verwerkersovereenkomst dient gesloten te worden door Verwerkers- Verantwoordelijke (jullie).

2.5.2 De Verwerker (bViva International) kan aansprakelijk gesteld worden voor schade van de betrokkenen in geval van onvoldoenden technische en organisatorische maatregelen (zie 2.3.2).

2.5.3 Als Verwerker (bViva International) een sub-bewerker inschakelt (zoals bv Amazon voor hosting van de gegevens) dan dienen jullie hiervoor schriftelijk toestemming te geven.

2.5.4 Beveilings maatregelen. De AVG is niet specifiek. De beveiliging dient op orde te zijn op basis van de stand van de techniek, de ernst en hoogte van de risico’s etc. bViva International houdt hier rekening mee en specificeert de beveiliging in de Samenwerkingsovereenkomst en in een register en zorgt dat deze aansluit op de laatste stand van de techniek. bViva International zal op verzoek en tegen betaling van de te maken urenbesteding, te allen tijde meewerken aan een audit van jullie..

3. Overige Begrippen

Privacy Impact Assesment (PIA)
Een Privacy Impact Assessment is een voorafgaand onderzoek naar de privacy effecten van een project zoals een nieuw ICT systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van mensen. Doel is risico’s voor de privacy in een vroeg stadium in kaart te brengen, en maatregelen te bedenken waarmee deze kunnen worden geminimaliseerd. Wanneer is een PIA verplicht? Een PIA is verplicht wanneer het project hoge risico’s voor de privacy van betrokken personen oplevert. Voorbeelden daarvan zijn wanneer u automatisch beoordelingen van personen gaat uitvoeren (zoals het weigeren van klanten of het detecteren van fraude), wanneer u gevoelige gegevens zoals over gezondheid of etnische afkomst gaat gebruiken of wanneer u de openbare ruimte gaat monitoren, bijvoorbeeld met cameratoezicht. Ook het op grote schaal combineren van bestanden (zoals bij big data analyses).

Data portabiliteit
Dit recht wordt door de AVG nieuw geïntroduceerd. Dit recht geeft de betrokkene de mogelijkheid een kopie van zijn persoonsgegevens te eisen die bruikbaar is bij een andere vergelijkbare dienstverlener. Een voorbeeld daarvan is een lijst met de muziek die via een streamingdienst zijn beluisterd en de gezondheid- en hartslaggegevens die via een activity-tracker zijn verzameld van een gebruiker. Deze gegevens moeten in een gestructureerde, gangbare en machinaal leesbare vorm door de gebruiker direct kunnen worden gedownload.

Profiling
Van profileren is volgens de AVG sprake wanneer langs geautomatiseerd weg bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd om zo voorspellingen te kunnen doen over bijvoorbeeld iemands economische situatie, persoonlijke voorkeuren of gedrag. Profileren is in principe toegestaan, maar als een betrokkene een bezwaar maakt tegen profiling, geldt dit bezwaar in principe altijd zal moeten worden gehonoreerd. Dat betekent dat profiling van deze persoon zal moeten stoppen. Daarnaast geldt dat het nemen van een besluit op basis van de evaluatie van persoonsgegevens niet zomaar is toegestaan. Dat betekent dat u bijvoorbeeld een klant niet zomaar mag weigeren als hij of zij niet voldoet aan een bepaald profiel. Het uitgangspunt van de AVG is namelijk dat geautomatiseerde besluitvorming niet is toegestaan, tenzij één van de wettelijke uitzonderingen van toepassing zijn. Daarnaast geldt voor geautomatiseerde besluitvorming dat een Privacy Impact Assessment verplicht is.