Wk12 - AVG - CW66

AVG en persoonsgegevens
Security Ethiek en Privacy
Les 1 / Week 12
1 / 48
next
Slide 1: Slide
Applicatie- en mediaontwikkelaarMBOStudiejaar 1

This lesson contains 48 slides, with interactive quizzes, text slides and 1 video.

Items in this lesson

AVG en persoonsgegevens
Security Ethiek en Privacy
Les 1 / Week 12

Slide 1 - Slide

This item has no instructions

Deze les
  • De slechtste presentatie die ik ooit heb gegeven!

  • Vooral luisteren en aantekeningen maken!
  • Praat mee als je iets kunt vertellen.
  • Stel vragen als je die hebt.


Slide 2 - Slide

This item has no instructions

Doel van komende lessen
  • Zelf onderzoek doen.
  • Voldoende kennis meenemen naar je stage/werk zodat je in staat bent om de juiste keuzes te maken of kritische vragen kunt stellen of juist kunt adviseren.
  • Opgezochte 'platte' kennis omzetten naar begrijpelijke taal zodat iedereen het snapt.


Slide 3 - Slide

This item has no instructions

Eindopdracht - HypoApp - Casus
Dianne Roskam is tech-entrepreneur. Ze heeft al vele succesvolle apps gelanceerd, maar nu een nieuw terrein betreden: de hypotheekmarkt.



Ongeveer een jaar geleden kocht ze een huis, en heeft ze zelf ervaren hoe stroperig en ouderwets een hypotheekaanvraag kan zijn. Met de HypoApp wil ze daar verandering in brengen; een supereenvoudige app waarin mensen stap-voor-stap begeleid worden bij het afsluiten van een hypotheek, gemakkelijk een advies voor een mogelijke hypotheek uit laten rekenen.


De klant wil een login module. Daarvoor moet een database gemaakt worden waarin de gebruikersnamen en wachtwoorden opgeslagen worden. Ook zijn er enkele gegevens nodig om een goed hypotheekadvies te genereren. Dianne wilt de volgende gegevens van de gebruikers op gaan slaan in de database: Voornaam, tussenvoegsel, achternaam, straat, straat nr, postcode, woonplaats, JaarInkomen, Leeftijd, Gezondheidsrisico (roken, overgewicht, handicap).

Slide 4 - Slide

This item has no instructions

Opdracht
Privacy
Kijk naar de gegevens die Dianne op wilt slaan. Geef per attribuut aan of het is toegestaan om deze op te slaan. Geef aan waarom wel of waarom niet

ERD
Teken een ERD voor de HypoApp zijn login systeem en de gebruikersgegevens die je op mag slaan.

Security en ethiek
Stel: Je hebt als developer aan dit project gewerkt.
Je hebt toen code geschreven om wachtwoorden van de klanten te resetten. Een week later zie je op een hackersforum een artikel over hoe je accounts op een website kunt hacken. In de voorbeelden bij het artikel gebruiken ze precies het stuk code dat jij hebt geschreven, jouw code! Beschrijf wat je moet doen, en welke stappen je moet ondernemen. Schrijf een lopend verhaal en gebruik deze richtvragen: • Wat doe je? • Wat meld je bij je bedrijf? • Wat meld je aan jullie klanten? • Wat doe je richting de moderatoren van het forum?


Slide 5 - Slide

This item has no instructions

Oplevering
1. De docent bepaalt wat en hoe je deze opdracht op gaat leveren.
   
 Mogelijkheden:
    a. Verslag uitgewerkt in een Word document wat wordt beoordeeld door de docent.
          – Titelblad, automatische inhoudsopgave en spellingscontrole.
          – De teksten zijn door jou zelf opgesteld. Bronnen gebruik je hooguit ter inspiratie én de bronnen worden vermeld.

    b. Presentatie die je gaat geven over de onderwerpen. (in de bufferweek)
          – De presentatie is individueel.
          – Je weet waar je over praat en leest niet op van de powerpoint
          – In de presentatie zijn bronnen opgenomen en je kunt iets over de bronnen vertellen.
          – De presentatie mag dus niet op deze presentatie lijken!!!!!

    c. Een presentatie die je gaat geven EN een verslag in Word.
          – De presentatie en het verslag voldoen aan de eisen zoals hierboven beschreven.


Slide 6 - Slide

This item has no instructions

Security

Slide 7 - Mind map

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Ethiek

Slide 8 - Mind map

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Privacy

Slide 9 - Mind map

Hier gaat de les voornamelijk over. Maar er is zijn veel overeenkomsten binnen de 3 onderwerpen.

Slide 10 - Slide

Probeer hier een paralel te trekken met wat er naar voren kwam in de woordwebjes
AVG
Algemene Verordening Gegevensbescherming

Sinds 25 mei 2018
Privacy wet 

Nederlandse implementatie van Europese GDPR
Dezelfde regels voor de hele Europese Unie.
General Data Protection Regulation

Slide 11 - Slide

Algemene informatie over AVG.
Voorheen de Wet Bescherming Persoonsgegevens (Wbp)
AVG
  • Regels over persoonsgegevens
  • Cookies
  • Beveiliging
  • Waakhond: Autoriteit Persoonsgegevens
  • https://autoriteitpersoonsgegevens.nl/

Slide 12 - Slide

This item has no instructions

AP
Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft in Nederland als wettelijke taak te beoordelen of personen en organisaties de AVG wet naleven.

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 

Slide 13 - Slide

This item has no instructions

Recente boete

De toezichthouder in Ierland heeft WhatsApp een boete van 225 miljoen euro gegeven. De chat-app zou niet transparant zijn over welke data wordt gedeeld met andere onderdelen van moederbedrijf Facebook. 
Het onderzoek begon al in 2018.

https://tweakers.net/nieuws/186364/whatsapp-krijgt-ierse-boete-van-225-miljoen-euro-voor-overtreden-van-avg.html

Slide 14 - Slide

This item has no instructions

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijke persoon."

"Natuurlijk persoon" wordt hier gebruikt om onderscheid te maken van de wettelijke definitie van persoon waar ook bijvoorbeeld bedrijven onder kunnen vallen.
"geïdentificeerde, of identificeerbare" houdt in dat de gegevens terug te leiden moeten zijn naar een persoon. Dit geldt voor direct identificerende gegevens zoals naam, adres, geboortedatum. Dit geldt ook voor indirect identificerende gegevens zoals lengte, en beroep.

Slide 15 - Slide

This item has no instructions

Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Er zijn veel soorten persoonsgegevens. 
Voor de hand liggende gegevens zijn iemands 
naam, adres en woonplaats. Maar ook telefoonnummers 
en postcodes met huisnummers zijn persoonsgegevens.


Slide 16 - Slide

This item has no instructions

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een identificeerbaar persoon."

Wanneer is het dan een Bijzonder Persoonsgegeven?

Slide 17 - Slide

This item has no instructions

Bijzondere Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens over iemands:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • godsdienst of levensovertuiging;
  • lidmaatschap van een vakbond;
  • gezondheid; 


  • genetische of biometrische gegevens   met oog op unieke identificatie   (vingerafdruk, oog scan);
  • seksuele leven;
  • strafrechtelijk verleden.

Slide 18 - Slide

This item has no instructions

Persoonsgegevens-quiz:
Voornaam
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 19 - Quiz

This item has no instructions

Persoonsgegevens-quiz:
Geaardheid
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 20 - Quiz

This item has no instructions

Je krijgt wat informatie over Henk die komt werken bij het bedrijf waar jij ook werkzaam bent om in te voeren.

Welke informatie valt onder de categorie bijzondere persoonsgegevens? (meerdere antwoorden mogelijk)
A
Henk is Christen; hij is gedoopt en gaat nog elke zondag naar de kerk.
B
Henk heeft in 1997 zijn scheenbeen gebroken tijdens een fietstocht.
C
Henk is getrouwd en heeft twee kinderen.
D
Henk is lid van de PVDA

Slide 21 - Quiz

This item has no instructions

Je hebt binnenkort een gesprek om je voor te stellen bij een bedrijf waar je stage gaat lopen. Je hebt telefonisch gesproken met Anja om de afspraak te maken. Zij stuurt een aantal gegevens vast door naar Kees.
Kees is de persoon met wie je het gesprek gaat hebben.

Welke gegevens mag Anja NIET zonder jouw toestemming
naar Kees sturen?
A
Jouw telefoonnummer
B
Jouw huisadres en geboortedatum.
C
Jouw nationaliteit
D
Geen van de genoemde opties mogen zonder toestemming worden opgestuurd.

Slide 22 - Quiz

This item has no instructions

Is een IP-adres een persoonsgegeven?

Slide 23 - Open question

De AVG kijkt dus ook naar digitale persoonsgegevens. Een MAC-adres is bijvoorbeeld ook een persoonsgegeven. Het is een uniek adres wat betrekking heeft op jou.

Al is een IP-adres met een VPN natuurlijk onzichtbaar te maken, maar dat is voor later.
Is het kenteken van een auto
een persoonsgegeven?

Slide 24 - Open question

Een kenteken is voor de meeste mensen natuurlijk niet te herleiden tot een persoon.
Echter een medewerker van de RDW heeft wel toegang tot zulke gegevens.
Persoonsgegevens en AVG
Jouw geboortedatum is natuurlijk een persoonsgegeven.

Toch zal een database met alleen maar geboortedatums niet gezien worden als een probleem voor de AVG.

Waarom is dat denk je?

Slide 25 - Slide

Inleiding tot combinatie van persoonsgegevens. Klassikaal bespreken waarom ze denken dat het voorbeeld voor de AVG niet van belang is.

Een combinatie van persoonsgegevens is iets waar de AVG op controleert omdat je dan kunt herleiden naar een identificeerbaar persoon.
Verdere uitleg met voorbeeld op volgende dia.
Persoonsgegevens en AVG
Bijvoorbeeld de geboortedatum 11-03-1999.
Veel mensen zijn op die dag geboren. Met alleen de geboortedatum kun je dus niet zomaar uitkomen op 1 enkel persoon.
 
Heb je een adres én een geboortedatum dan ziet de AVG dat wel als een persoonsgegeven. Het is namelijk erg aannemelijk dat er op een adres maar 1 iemand woont die op die dag jarig is. Die persoon is dus met die gegevens te herleiden.

In Nederland worden op een gemiddele dag 478 kinderen geboren

Slide 26 - Slide

This item has no instructions

Je hebt een lijst met alleen
postcodes van een stad.
Is dit iets waar de AVG iets mee doet?
A
Ja, postcodes zijn immers persoonsgegevens
B
Nee, met alleen een postcode kun je nog niet een persoon herleiden

Slide 27 - Quiz

This item has no instructions

Voor een nieuwe applicatie maak je gebruik van een lijst contactgegevens. Om het makkelijk te houden maak je gebruikersnamen met een combinatie van de voornaam, achternaam en het geboortejaar van de medewerkers.
Henk Jansen uit 1999 wordt bijvoorbeeld: henjan99

Mag dit denk je?

A
Nee, "het makkelijk maken voor jezelf" is geen geldige reden
B
Ja, de gegevens zijn immers al bekend bij het bedrijf

Slide 28 - Quiz

This item has no instructions

Je hebt thuis voor de zekerheid een boekje waar je adressen van familie, vrienden en kennissen in hebt staan.
Puur voor persoonlijk gebruik.
Is dit toegestaan volgens de AVG?

Slide 29 - Open question

Voor strikt persoonlijk gebruik is het toegestaan om deze data, ook zonder toestemming, te gebruiken. Ook als je bijvoorbeeld je boekje zou digitaliseren in je eigen gemaakte adresboek-app. De AVG zal daar geen boete voor geven.
Je hebt het adres van een wat oudere collega.
Op Google Mapsbzoek je dit adres op en je ziet
in wat voor huis deze persoon woont.
Is het 'type woning' hier eigenlijk ook een persoonsgeven?

Slide 30 - Open question

Indirect kun je aan de hand van een type woning een inschatting maken over het inkomen van deze persoon. Je kunt immers via Funda bijvoorbeeld zien wat de waarde is van zo'n type woning.
Nu gaat dit best ver, maar toch is het iets waar de AVG rekening mee kan houden.
Dit laat zien hoe zorgvuldig je dus om moet gaan met persoonsgegevens.
AVG Grondslagen
De AVG heeft een lijst met onderdelen waar je aan moet voldoen als je met persoonsgegevens werkt. Deze onderdelen heten grondslagen.

Prima, zou je denken, even het lijstje aflopen, kijken of je er een kunt gebruiken en of je er iets extra’s voor moet doen en gaan! Niet te moeilijk. Klopt op zich wel, maar je moet vanwege je informatieverplichting ook vertellen van welke grondslag je gebruikmaakt.

Dat is dus ook de reden dat elke website en applicatie een privacy-verklaring en voorwaarden heeft van enkele pagina's. Die iedereen natuurlijk volledig leest altijd.

Slide 31 - Slide

Van deze grondslagen moet je er wettelijk aan minimaal 1 voldoen.
AVG Grondslagen
6 Grondslagen
  • Vitale Belangen 
  • Algemeen Belang
  • Gerechtvaardigd Belang
  • Toestemming Vragen
  • Uitvoering Overeenkomst
  • Wettelijke Verplichting

Slide 32 - Slide

This item has no instructions

AVG Grondslagen
Toestemming van betrokkene
Je moet toestemming vragen aan degene die zich 
registreert voor jouw applicatie, website of dienst.  


Een vinkje met "Ik ga akkoord met de voorwaarden" 
tijdens het registeren bijvoorbeeld. 
Let op! Als gebruiker heb je het recht om deze 
toestemming ook weer in te trekken. 

Slide 33 - Slide

Toestemming vragen is vooral een vangnet. Een laatste middel als je niet aan de overige grondslagen kunt voldoen.
AVG Grondslagen
Uitvoering overeenkomst
Wanneer de applicatie zonder persoonsgegevens niet werkt of bruikbaar is. En je dus niet kunt voldoen aan de overeenkomst waarmee de gebruiker akkoord is gegaan.
Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden. 


Slide 34 - Slide

Je hebt dus de gegevens nodig om de applicatie te laten werken. 
Deze en voorgaande grondslag zijn de twee grondslagen waar de studenten vooral even bij stil moeten staan.
AVG Grondslagen
Wettelijke verplichting
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Grote bedrijven moeten volgens de wet bijvoorbeeld 7 jaar de facturen bewaren.


Slide 35 - Slide

Deze valt niet binnen de scope van de opdracht. Enkel benoemen. Anders wel erg de diepte in.
AVG Grondslagen
Vitale, Algemene en Gerechtvaardigde Belangen
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Deze grondslagen zijn vooral vanuit de medische wereld of binnen de overheid. 
En worden alleen gebruikt in combinatie met een van de andere grondslagen  


Slide 36 - Slide

Deze kan even benoemd worden, maar binnen het kader van de opdracht niet belangrijk voor nu.
Schoolvoetbaltoernooi
Vergelijk in tweetallen de lijst met persoonsgegevens die je hebt opgeschreven voor de applicatie 


Zijn er gegevens waarbij je denkt of deze wel noodzakelijk zijn?

Slide 37 - Slide

This item has no instructions

Welke gegevens zijn
nodig voor de applicatie?

Slide 38 - Mind map

This item has no instructions

We weten nu wat er allemaal wel mag en wat er niet mag.
Maar wat als het toch ergens misgaat? 

Slide 39 - Slide

This item has no instructions

Datalek
Risico's die door een datalek kunnen ontstaan
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.
  • Wachtwoorden worden gebruikt om in jouw accounts te komen.
  • Maar ook per ongeluk vernietigen van gegevens of kwijtraken is een datalek
  • Identiteitsfraude
  • Bankgegevens kunnen leiden tot phishing
  • Je krijgt te maken met spam/nieuwsbrieven waar je je nooit voor hebt aangemeld. 

Slide 40 - Slide

This item has no instructions

Slide 41 - Video

This item has no instructions

Datalek
Een datalek lijkt op het eerste oog soms onschuldig. In de video liet Lubach op ludieke wijze zien wat er met gegevens kan gebeuren. De NOS lijkt misschien naïef om dit zo te vertellen, maar een crimineel bedenkt dit natuurlijk zelf ook wel. Wees dus altijd alert als je vreemde verzoekjes krijgt, die specifiek op jou gericht zijn.
We vergeten snel, maar dagelijks zijn er vele datalekken te betreuren. 
Zie https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ en verbaas jezelf over de wereldwijde blunders.
De kans dat jouw gegevens bekend zijn zonder jouw toestemming is dus vrij groot. 
Wees je daar bewust van! 

Slide 42 - Slide

De website is een mooie visuele weergave van datalekken. De studenten zullen een aantal bedrijven ook zeker herkennen.
Meldplicht
Voor datalekken is er een meldplicht
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. 

En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. 

Slide 43 - Slide

This item has no instructions

De kapper waar jij altijd heen gaat stuurt een e-mail over de openingstijden. De e-mail is verstuurd naar alle klanten.
Alle ontvangers staan in de CC en niet in de BCC regel.

Is dit een datalek?
A
Ja
B
Nee

Slide 44 - Quiz

Als je een e-mail stuurt naar ontvangers in het veld “Aan” of “CC” in plaats van “BCC”, kan elke ontvanger de contactgegevens van de andere ontvangers zien. En omdat een e-mailadres een persoonsgegeven is - je kunt er de identiteit van de houder uit afleiden-, kan zo'n cc-foutje een datalek zijn
De jaarcijfers van een groot bedrijf lekken uit.
Iedereen kan zien wat de inkomsten en uitgaven zijn
geweest afgelopen jaar bij dit bedrijf.

Is dit een datalek?
A
Ja, het is data die men niet zomaar mag zien
B
Nee, want het gaat hier niet om persoonsgegevens

Slide 45 - Quiz

Jaarcijfers zijn wel vertrouwelijke gegevens, maar geen persoonsgegevens. Er is dus wel sprake van een security incident, maar geen datalek.
Je tante wordt 75 en je organiseert een feestje voor haar. Per ongeluk stuur je het excelbestand met de (25) genodigden naar een verkeerd e-mailadres. Je kent de ontvanger niet.

Is dit een datalek?
A
Ja,
B
Nee, want dit is voor persoonlijk gebruik

Slide 46 - Quiz

Dit is geen datalek. Je verwerkt de persoonsgegevens voor persoonlijk gebruik. Dan is de AVG niet van toepassing. 
Heb jij (n)iets te verbergen?

Bekijk de video op https://hulpbijprivacy.nl/

Slide 47 - Slide

This item has no instructions

En hoe verder
  • Informatie over de opdracht staat op It's Learning
  • Je hebt tot week 16 om dit te maken en in te leveren.
  • 28-11:  ERD's behandelen
  • 5-12:    Security en Ethiek
  • 12-12:  Zelfstandig werken en ruimte voor vragen
  • 19-12:  Komt te vervallen ivm kerstviering/gamedag

Slide 48 - Slide

This item has no instructions