

Dr. Koen Versmissen CIPP/E is partner bij Privacy Management Partners. Hij werkte bijna negen jaar voor de Autoriteit Persoonsgegevens (AP), in verschillende beleids- en leidinggevende functies.
Meer over de auteursGrip op de AVG (GDPR) inclusief Werkboek (Combiboekenpakket)
De nieuwe privacywet voor niet-juristen
Samenvatting
Pakket bestaande uit Grip op de AVG en het bijbehorende Werkboek.
Grip op de AVG
Iedere organisatie heeft met privacy te maken. Veel van hen worstelen met het vinden van een goede aanpak, andere vragen zich af wat hun stakeholders precies van hen verwachten, en weer andere weten niet eens dat ook zij aan de slag moeten.
Ondertussen krijgt privacy elk jaar meer aandacht. Vanaf 25 mei 2018 kan niemand er meer omheen: dan treedt de Europese wetgeving over het verwerken van persoonsgegevens, de AVG, in werking.
Deze wet, voluit de Algemene Verordening Gegevensbescherming, kan van veraf lijken op een Brusselse trein die op u af komt stevenen. Hij brengt een wagonlading nieuwe eisen en begrippen met zich mee: wat is nu bijvoorbeeld een ‘verwerkingsregister’? Waar bent u precies mee bezig wanneer u een ‘DPIA’ uitvoert?
Dit boek leidt u door de verschillende onderdelen van de wet – zoals de rechten van betrokkenen, het aantoonbaarheidsprincipe, risicogebaseerde maatregelen – en eindigt met een praktisch stappenplan naar naleving van de AVG.
Grip op de AVG gaat verder dan alleen de eisen en regels, en richt zich juist op de gedachte áchter de eisen. Het zet de beginselen van de privacywetgeving uiteen, zodat u de kennis opdoet om de AVG naar haar bedoeling in te vullen op een manier die past bij uw organisatie.
De auteurs slagen erin om de privacywet (AVG) zodanig in begrijpelijke taal te vatten dat u niet alleen de privacywet beter leert begrijpen maar ook de achterliggende gedachten en ontstaansgeschiedenis. Daarmee wordt iets dat heel ingewikkeld lijkt heel logisch!
Huub Mulders, senior privacy adviseur bij Gemeente Roermond
'Makkelijk leesbaar en praktisch toepasbaar'
Roy Suurbier, Group Privacy Officer bij Delta Lloyd
WERKBOEK
Dit werkboek is ter ondersteuning bij de handvatten die geboden worden in de uitgave Grip op de AVG.
Wie daadwerkelijk aan de slag gaat met de Algemene Verordening Gegevensbescherming, merkt al snel dat er beleid, procedures en afspraken nodig zijn en dat er een overzicht nodig is van de belangrijkste zaken waarop gestuurd moet worden.
Het werkboek voorziet voor een deel in deze leemte met een aantal sjablonen en handreikingen die als basis voor de benodigde documentatie kunnen dienen. En ook met een control framework, een overzicht van typische controls waarop veel organisaties in hun privacymanagement op zullen willen sturen. U kunt deze als uitgangspunt nemen en uitwerken voor en toespitsen op uw eigen organisatie. In de sjablonen en handreikingen is behalve met de AVG ook rekening gehouden met de huidige privacywetgeving.
Het control framework wordt gepresenteerd in de vorm van een vragenlijst, die bij uitstek geschikt is voor het doen van een nulmeting op de staat van privacy in uw organisatie. Door de vragen om te zetten naar beweringen ontstaat een daadwerkelijke lijst van controls.
Specificaties
Inhoudsopgave
U kunt van deze inhoudsopgave een PDF downloaden
Voorwoord 11
Begrippen en afkortingen 13
1 Inleiding 17
1.1 Persoonsgegevens en betrokkene 19
1.2 Verwerken 21
2 Heeft u te maken met de AVG? 25
2.1 Waar worden de gegevens verwerkt? 25
2.2 Hoe worden de gegevens verwerkt? 26
2.3 Rollen 26
2.4 Rolverdeling 28
2.4.1 Kerntaken 29
2.4.2 Dienstverlening 30
2.4.3 Meerdere betrokken partijen 31
2.5 Tips & Tricks 33
2.6 Wat verandert er? 34
3 Privacymanagement 37
3.1 Accountability 37
3.2 Privacymanagement 38
3.3 De functionaris voor gegevensbescherming (FG) 40
3.3.1 Taken 41
3.3.2 Rol en positie 41
3.4 Het verwerkingsregister 43
3.5 Privacy Impact Assessments 44
3.5.1 Wanneer verplicht? 44
3.5.2 Onderdelen 45
3.5.3 Voorafgaande raadpleging 46
3.6 Privacy by design 46
3.7 Informatiebeveiliging 48
3.8 De meldplicht datalekken 49
3.8.1 Wat is een datalek? 49
3.8.2 Registratieplicht 50
3.8.3 Meldplicht 50
3.9 Privacymanagement voor verwerkers 52
3.10 Tips & Tricks 53
3.11 Wat verandert er? 53
4 Het gegevensverwerkende proces 55
4.1 Rechtmatige en behoorlijke verwerking 55
4.1.1 Rechtmatig 55
4.1.2 Behoorlijk 56
4.2 Doelbinding 56
4.3 Minimale gegevensverwerking 58
4.4 Juistheid 59
4.5 Grondslagen 59
4.5.1 Overeenkomst 60
4.5.2 Wettelijke verplichting 60
4.5.3 Levensbelang 61
4.5.4 Overheidstaak 61
4.5.5 Belangenafweging 62
4.5.6 Toestemming 63
4.5.7 Welke grondslag? 64
4.6 Bijzondere gegevens 65
4.7 Strafrechtelijke gegevens 67
4.8 Profilering 68
4.9 Tips & Tricks 69
4.10 Wat verandert er? 69
5 De betrokkene 71
5.1 Informeren van de betrokkene 71
5.2 Inzage 72
5.3 Verbetering 73
5.4 Verwijdering 73
5.5 Overdraagbaarheid 74
5.6 Bezwaar 75
5.7 Algemene regels 76
5.8 Rechtsmiddelen 78
5.9 Tips & Tricks 79
5.10 Wat verandert er? 79
6 Doorgiften naar buiten de EU 83
6.1 Adequaatheidsbesluit 83
6.2 Binding corporate rules 84
6.3 Andere instrumenten 85
6.4 Generieke uitzonderingen 85
6.5 Tips & Tricks 86
6.6 Wat verandert er? 86
7 De Autoriteit Persoonsgegevens 89
7.1 Taken 89
7.2 Bevoegdheden 90
7.3 Corrigerende maatregelen 90
7.4 Boetes 90
7.5 Internationale samenwerking 92
7.6 Tips & Tricks 92
7.7 Wat verandert er? 93
8 In ontwikkeling 95
8.1 Nederlandse wetgeving 95
8.1.1 Algemene regels 95
8.1.2 Sectorspecifieke regels 98
8.2 Gedragscodes en certificering 99
9 In de praktijk – Grip op de AVG 101
9.1 Fase 1: Uitdenken 101
9.1.1 Organisatie-DPIA 101
9.1.2 Kapstokbeleid 103
9.2 Fase 2: Implementeren 105
9.2.1 Plannen 105
9.2.2 Doen 106
9.3 Fase 3: Beheren 108
9.3.1 Incidentgebaseerd 109
9.3.2 Cyclisch 109
9.3.3 Periodiek 110
9.4 Documentatie 110
9.5 Voor verwerkers 111
Nawoord 113
Trefwoordenregister 115
Over de auteurs 119
WERKBOEK
Inleiding 9
Registreren 11
1 Privacy control framework 13
1.1 Governance 13
1.2 Organisatie van privacy 17
1.3 Privacyservices 24
1.4 Informatiebeveiliging 25
2 Workshop organisatie-DPIA 27
2.1 Werkwijze 27
2.2 Uitkomsten en vervolg 28
3 Rapport organisatie-DPIA 29
4 Managementnotitie privacy 31
4.1 Inleiding 31
4.2 Privacy in het kort 32
4.3 Privacy Impact Assessment 33
4.4 Sterke punten 34
4.5 Hoe nu verder 34
5 Privacybeleid 37
5.1 Kernpunten 37
5.2 Privacymanagement 38
5.3 Privacybeleid 38
5.4 Gedragsnorm voor proceseigenaren 39
5.5 Privacyservices 40
5.6 Privacyprogramma 40
5.7 Auditbeleid 41
6 Implementatieplan privacy 43
6.1 Inleiding 43
6.2 Aanleiding 43
6.3 Aanpak 43
6.4 Resultaten nulmeting en impactanalyse 44
6.5 Actiepunten [jaar] 44
6.6 Tijdsraming, benodigde capaciteit en voortgang 45
6.7 Formele vaststelling 46
6.8 Bijlage Actiepunten 46
7 Organisatie van de privacy 47
7.1 Inleiding 47
7.2 Doel, afbakening en doelgroep 47
7.3 Verantwoordelijkheden, controle en referenties 48
7.4 Uitgangspunten 48
7.5 Procedure privacymanagementsysteem 48
7.6 Overlegstructuren 50
7.7 Communicatiedocumenten PDCA 51
7.8 Formele vaststelling 52
8 Profiel van de privacycoördinator 53
8.1 Inleiding 53
8.2 Kwaliteiten 53
8.3 Kerntaken 53
9 Profiel van de Functionaris voor Gegevensbescherming (FG) 55
9.1 Inleiding 55
9.2 Kwaliteitseisen 55
9.3 Taken 56
10 Procedure rechten van betrokkenen 59
10.1 Inleiding 59
10.2 Rechten van betrokkenen 61
10.3 Aandachtspunten bij het opzetten en de implementatie van de procedures 63
11 Procedure toestemming 65
11.1 Inleiding 65
11.2 Aandachtspunten 65
11.3 Opzetten en implementatie van de procedures 67
12 Procedure doorgifte naar derde landen 69
12.1 Inleiding 69
12.2 Waarborgen voor adequaat beschermingsniveau 69
12.3 Uitzonderingen 72
12.4 Aandachtspunten bij het opzetten en de implementatie van de procedures 72
13 Communicatieplan privacy 73
13.1 Inleiding 73
13.2 Communicatieaspecten en te realiseren doelen 73
13.3 Communicatiedoelgroepen 74
13.4 Communicatiedoelstelling 75
13.5 Communicatiestrategie 75
13.6 Communicatiemiddelen 76
13.7 Activiteitenplanning 76
13.8 Benodigde middelen 76
13.9 Formele vaststelling 77
14 Standaardaanpak proces-DPIA 79
14.1 Inleiding 79
14.2 Stappen van de standaardaanpak proces-DPIA 79
15 Plan van aanpak proces-DPIA 81
15.1 Inleiding 81
15.2 Onderdelen van het Plan van aanpak 81
16 Privacyprocesbeschrijving 83
16.1 Doel 83
16.2 Aanpak 83
16.3 Format 84
17 Model Proces-DPIA 85
18 Verantwoordingsrapportage 87
18.1 Inleiding 87
18.2 Doel 87
18.3 Aanpak 87
18.4 Format 88
19 Beschrijving t.b.v. het verwerkingsregister 89
19.1 Aanleiding verwerkingsregister 89
19.2 Inhoud formulier Beschrijving t.b.v. verwerkingsregister 90
19.3 Formele vaststelling 91
20 Evaluatierapport van de Functionaris voor Gegevensbescherming (FG) 93
20.1 Inleiding 93
20.2 Doel 93
20.3 Minimale vereisten 93
20.4 Format 94
21 Auditplan 95
21.1 Doel 95
21.2 Inhoud 95
22 Overzicht oplossingen 97
22.1 Doel 97
22.2 Minimale vereisten 97
22.3 Format 98
23 Jaarplan privacy 99
23.1 Inleiding 99
23.2 Huidige situatie en nieuwe ontwikkelingen 99
23.3 Programma 100
23.4 Activiteitenplanning 101
23.5 Formele vaststelling 102
24 Voortgangsrapportage privacy 103
24.1 Inleiding en samenvatting 103
24.2 Doel, afbakening en doelgroep 103
24.3 Stand van zaken voortgang 104
24.4 Knelpunten 104
24.5 Incidenten op het gebied van privacymanagement en -compliance 105
24.6 Nieuwe ontwikkelingen 105
24.7 Formele vaststelling 105
24.8 Bijlage: actiepunten 105
25 Evaluatierapport 107
25.1 Inleiding 107
25.2 Kernpunten 107
25.3 Managementsamenvatting 108
25.4 PDCA-cyclus 108
25.5 Huidige situatie en nieuwe ontwikkelingen 108
25.6 Zelfevaluaties en audits 109
25.7 Privacyincidenten 109
25.8 Nieuwe ontwikkelingen en risicogebieden 110
25.9 Advies van de FG 110
26 Bestuurdersverklaring accountability 111
26.1 Inleiding 111
26.2 Verantwoording, bereikte resultaten en stand van zaken 111
26.3 Focus voor komende periode 112
Bijlage: Procedure incidentenbeheer 113
Anderen die dit boek kochten, kochten ook
Net verschenen
Rubrieken
- aanbestedingsrecht
- aansprakelijkheids- en verzekeringsrecht
- accountancy
- algemeen juridisch
- arbeidsrecht
- bank- en effectenrecht
- bestuursrecht
- bouwrecht
- burgerlijk recht en procesrecht
- europees-internationaal recht
- fiscaal recht
- gezondheidsrecht
- insolventierecht
- intellectuele eigendom en ict-recht
- management
- mens en maatschappij
- milieu- en omgevingsrecht
- notarieel recht
- ondernemingsrecht
- pensioenrecht
- personen- en familierecht
- sociale zekerheidsrecht
- staatsrecht
- strafrecht en criminologie
- vastgoed- en huurrecht
- vreemdelingenrecht