Wk10A+B - Recap AVG (Persoonsgegevens)

AVG en persoonsgegevens
SEP-II Security Ethiek en Privacy
Les 1 / Week 10
1 / 44
suivant
Slide 1: Diapositive
Applicatie- en mediaontwikkelaarMBOStudiejaar 1

Cette leçon contient 44 diapositives, avec quiz interactifs, diapositives de texte et 1 vidéo.

Éléments de cette leçon

AVG en persoonsgegevens
SEP-II Security Ethiek en Privacy
Les 1 / Week 10

Slide 1 - Diapositive

Cet élément n'a pas d'instructions

Security

Slide 2 - Carte mentale

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Ethiek

Slide 3 - Carte mentale

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Privacy

Slide 4 - Carte mentale

Hier gaat de les voornamelijk over. Maar er is zijn veel overeenkomsten binnen de 3 onderwerpen.

Slide 5 - Diapositive

Probeer hier een paralel te trekken met wat er naar voren kwam in de woordwebjes
AVG
Algemene Verordening Gegevensbescherming

Sinds 25 mei 2018
Privacy wet 

Nederlandse implementatie van Europese GDPR
Dezelfde regels voor de hele Europese Unie.
General Data Protection Regulation

Slide 6 - Diapositive

Algemene informatie over AVG.
Voorheen de Wet Bescherming Persoonsgegevens (Wbp)
AVG
  • Regels over persoonsgegevens
  • Cookies
  • Beveiliging
  • Waakhond: Autoriteit Persoonsgegevens
  • https://autoriteitpersoonsgegevens.nl/

Slide 7 - Diapositive

Cet élément n'a pas d'instructions

AP
Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft in Nederland als wettelijke taak te beoordelen of personen en organisaties de AVG wet naleven.

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 

Slide 8 - Diapositive

Cet élément n'a pas d'instructions

Recente boete

De toezichthouder in Ierland heeft WhatsApp een boete van 225 miljoen euro gegeven. De chat-app zou niet transparant zijn over welke data wordt gedeeld met andere onderdelen van moederbedrijf Facebook. 
Het onderzoek begon al in 2018.

https://tweakers.net/nieuws/186364/whatsapp-krijgt-ierse-boete-van-225-miljoen-euro-voor-overtreden-van-avg.html

Slide 9 - Diapositive

Cet élément n'a pas d'instructions

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijke persoon."

"Natuurlijk persoon" wordt hier gebruikt om onderscheid te maken van de wettelijke definitie van persoon waar ook bijvoorbeeld bedrijven onder kunnen vallen.
"geïdentificeerde, of identificeerbare" houdt in dat de gegevens terug te leiden moeten zijn naar een persoon. Dit geldt voor direct identificerende gegevens zoals naam, adres, geboortedatum. Dit geldt ook voor indirect identificerende gegevens zoals lengte, en beroep.

Slide 10 - Diapositive

Cet élément n'a pas d'instructions

Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Er zijn veel soorten persoonsgegevens. 
Voor de hand liggende gegevens zijn iemands 
naam, adres en woonplaats. Maar ook telefoonnummers 
en postcodes met huisnummers zijn persoonsgegevens.


Slide 11 - Diapositive

Cet élément n'a pas d'instructions

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een identificeerbaar persoon."

Wanneer is het dan een Bijzonder Persoonsgegeven?

Slide 12 - Diapositive

Cet élément n'a pas d'instructions

Bijzondere Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens over iemands:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • godsdienst of levensovertuiging;
  • lidmaatschap van een vakbond;
  • gezondheid; 


  • genetische of biometrische gegevens   met oog op unieke identificatie   (vingerafdruk, oog scan);
  • seksuele leven;
  • strafrechtelijk verleden.

Slide 13 - Diapositive

Cet élément n'a pas d'instructions

Persoonsgegevens-quiz:
Voornaam
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 14 - Quiz

Cet élément n'a pas d'instructions

Persoonsgegevens-quiz:
Geaardheid
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 15 - Quiz

Cet élément n'a pas d'instructions

Je krijgt wat informatie over Henk die komt werken bij het bedrijf waar jij ook werkzaam bent om in te voeren.

Welke informatie valt onder de categorie bijzondere persoonsgegevens? (meerdere antwoorden mogelijk)
A
Henk is Christen; hij is gedoopt en gaat nog elke zondag naar de kerk.
B
Henk heeft in 1997 zijn scheenbeen gebroken tijdens een fietstocht.
C
Henk is getrouwd en heeft twee kinderen.
D
Henk is lid van de PVDA

Slide 16 - Quiz

Cet élément n'a pas d'instructions

Je hebt binnenkort een gesprek om je voor te stellen bij een bedrijf waar je stage gaat lopen. Je hebt telefonisch gesproken met Anja om de afspraak te maken. Zij stuurt een aantal gegevens vast door naar Kees.
Kees is de persoon met wie je het gesprek gaat hebben.

Welke gegevens mag Anja NIET zonder jouw toestemming
naar Kees sturen?
A
Jouw telefoonnummer
B
Jouw huisadres en geboortedatum.
C
Jouw nationaliteit
D
Geen van de genoemde opties mogen zonder toestemming worden opgestuurd.

Slide 17 - Quiz

Cet élément n'a pas d'instructions

Is een IP-adres een persoonsgegeven?

Slide 18 - Question ouverte

De AVG kijkt dus ook naar digitale persoonsgegevens. Een MAC-adres is bijvoorbeeld ook een persoonsgegeven. Het is een uniek adres wat betrekking heeft op jou.

Al is een IP-adres met een VPN natuurlijk onzichtbaar te maken, maar dat is voor later.
Is het kenteken van een auto
een persoonsgegeven?

Slide 19 - Question ouverte

Een kenteken is voor de meeste mensen natuurlijk niet te herleiden tot een persoon.
Echter een medewerker van de RDW heeft wel toegang tot zulke gegevens.
Persoonsgegevens en AVG
Jouw geboortedatum is natuurlijk een persoonsgegeven.

Toch zal een database met alleen maar geboortedatums niet gezien worden als een probleem voor de AVG.

Waarom is dat denk je?

Slide 20 - Diapositive

Inleiding tot combinatie van persoonsgegevens. Klassikaal bespreken waarom ze denken dat het voorbeeld voor de AVG niet van belang is.

Een combinatie van persoonsgegevens is iets waar de AVG op controleert omdat je dan kunt herleiden naar een identificeerbaar persoon.
Verdere uitleg met voorbeeld op volgende dia.
Persoonsgegevens en AVG
Bijvoorbeeld de geboortedatum 11-03-1999.
Veel mensen zijn op die dag geboren. Met alleen de geboortedatum kun je dus niet zomaar uitkomen op 1 enkel persoon.
 
Heb je een adres én een geboortedatum dan ziet de AVG dat wel als een persoonsgegeven. Het is namelijk erg aannemelijk dat er op een adres maar 1 iemand woont die op die dag jarig is. Die persoon is dus met die gegevens te herleiden.

In Nederland worden op een gemiddele dag 478 kinderen geboren

Slide 21 - Diapositive

Cet élément n'a pas d'instructions

Je hebt een lijst met alleen
postcodes van een stad.
Is dit iets waar de AVG iets mee doet?
A
Ja, postcodes zijn immers persoonsgegevens
B
Nee, met alleen een postcode kun je nog niet een persoon herleiden

Slide 22 - Quiz

Cet élément n'a pas d'instructions

Voor een nieuwe applicatie maak je gebruik van een lijst contactgegevens. Om het makkelijk te houden maak je gebruikersnamen met een combinatie van de voornaam, achternaam en het geboortejaar van de medewerkers.
Henk Jansen uit 1999 wordt bijvoorbeeld: henjan99

Mag dit denk je?

A
Nee, "het makkelijk maken voor jezelf" is geen geldige reden
B
Ja, de gegevens zijn immers al bekend bij het bedrijf

Slide 23 - Quiz

Cet élément n'a pas d'instructions

Je hebt thuis voor de zekerheid een boekje waar je adressen van familie, vrienden en kennissen in hebt staan.
Puur voor persoonlijk gebruik.
Is dit toegestaan volgens de AVG?

Slide 24 - Question ouverte

Voor strikt persoonlijk gebruik is het toegestaan om deze data, ook zonder toestemming, te gebruiken. Ook als je bijvoorbeeld je boekje zou digitaliseren in je eigen gemaakte adresboek-app. De AVG zal daar geen boete voor geven.
Je hebt het adres van een wat oudere collega.
Op Google Mapsbzoek je dit adres op en je ziet
in wat voor huis deze persoon woont.
Is het 'type woning' hier eigenlijk ook een persoonsgeven?

Slide 25 - Question ouverte

Indirect kun je aan de hand van een type woning een inschatting maken over het inkomen van deze persoon. Je kunt immers via Funda bijvoorbeeld zien wat de waarde is van zo'n type woning.
Nu gaat dit best ver, maar toch is het iets waar de AVG rekening mee kan houden.
Dit laat zien hoe zorgvuldig je dus om moet gaan met persoonsgegevens.
Schoolvoetbaltoernooi
Jullie werken tijdens de PRA-lessen aan een applicatie om toernooien te kunnen organiseren. Hiermee ga je ook met persoonsgegevens aan de slag. 

Maar welke persoonsgegevens zijn nodig 
voor het doel van de applicatie?

Slide 26 - Diapositive

Cet élément n'a pas d'instructions

Schoolvoetbaltoernooi
Maak zelf eens een lijst met gegevens die je zou 
kunnen gebruiken voor de applicatie. 


Denk hierbij ook eens aan applicaties of websites waar jij allemaal een account hebt en welke gegevens je daar hebt achtergelaten.

Slide 27 - Diapositive

Cet élément n'a pas d'instructions

AVG Grondslagen
De AVG heeft een lijst met onderdelen waar je aan moet voldoen als je met persoonsgegevens werkt. Deze onderdelen heten grondslagen.

Prima, zou je denken, even het lijstje aflopen, kijken of je er een kunt gebruiken en of je er iets extra’s voor moet doen en gaan! Niet te moeilijk. Klopt op zich wel, maar je moet vanwege je informatieverplichting ook vertellen van welke grondslag je gebruikmaakt.

Dat is dus ook de reden dat elke website en applicatie een privacy-verklaring en voorwaarden heeft van enkele pagina's. Die iedereen natuurlijk volledig leest altijd.

Slide 28 - Diapositive

Van deze grondslagen moet je er wettelijk aan minimaal 1 voldoen.
AVG Grondslagen
6 Grondslagen
  • Vitale Belangen 
  • Algemeen Belang
  • Gerechtvaardigd Belang
  • Toestemming Vragen
  • Uitvoering Overeenkomst
  • Wettelijke Verplichting

Slide 29 - Diapositive

Cet élément n'a pas d'instructions

AVG Grondslagen
Toestemming van betrokkene
Je moet toestemming vragen aan degene die zich 
registreert voor jouw applicatie, website of dienst.  


Een vinkje met "Ik ga akkoord met de voorwaarden" 
tijdens het registeren bijvoorbeeld. 
Let op! Als gebruiker heb je het recht om deze 
toestemming ook weer in te trekken. 

Slide 30 - Diapositive

Toestemming vragen is vooral een vangnet. Een laatste middel als je niet aan de overige grondslagen kunt voldoen.
AVG Grondslagen
Uitvoering overeenkomst
Wanneer de applicatie zonder persoonsgegevens niet werkt of bruikbaar is. En je dus niet kunt voldoen aan de overeenkomst waarmee de gebruiker akkoord is gegaan.
Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden. 


Slide 31 - Diapositive

Je hebt dus de gegevens nodig om de applicatie te laten werken. 
Deze en voorgaande grondslag zijn de twee grondslagen waar de studenten vooral even bij stil moeten staan.
AVG Grondslagen
Wettelijke verplichting
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Grote bedrijven moeten volgens de wet bijvoorbeeld 7 jaar de facturen bewaren.


Slide 32 - Diapositive

Deze valt niet binnen de scope van de opdracht. Enkel benoemen. Anders wel erg de diepte in.
AVG Grondslagen
Vitale, Algemene en Gerechtvaardigde Belangen
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Deze grondslagen zijn vooral vanuit de medische wereld of binnen de overheid. 
En worden alleen gebruikt in combinatie met een van de andere grondslagen  


Slide 33 - Diapositive

Deze kan even benoemd worden, maar binnen het kader van de opdracht niet belangrijk voor nu.
Schoolvoetbaltoernooi
Vergelijk in tweetallen de lijst met persoonsgegevens die je hebt opgeschreven voor de applicatie 


Zijn er gegevens waarbij je denkt of deze wel noodzakelijk zijn?

Slide 34 - Diapositive

Cet élément n'a pas d'instructions

Welke gegevens zijn
nodig voor de applicatie?

Slide 35 - Carte mentale

Cet élément n'a pas d'instructions

Datalek
We weten nu wat er allemaal wel mag en wat er niet mag.
Maar wat als het toch ergens misgaat? 

Slide 36 - Diapositive

Cet élément n'a pas d'instructions

Datalek
Risico's die door een datalek kunnen ontstaan
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.
  • Wachtwoorden worden gebruikt om in jouw accounts te komen.
  • Maar ook per ongeluk vernietigen van gegevens of kwijtraken is een datalek
  • Identiteitsfraude
  • Bankgegevens kunnen leiden tot phishing
  • Je krijgt te maken met spam/nieuwsbrieven waar je je nooit voor hebt aangemeld. 

Slide 37 - Diapositive

Cet élément n'a pas d'instructions

Slide 38 - Vidéo

Cet élément n'a pas d'instructions

Datalek
Een datalek lijkt op het eerste oog soms onschuldig. In de video liet Lubach op ludieke wijze zien wat er met gegevens kan gebeuren. De NOS lijkt misschien naïef om dit zo te vertellen, maar een crimineel bedenkt dit natuurlijk zelf ook wel. Wees dus altijd alert als je vreemde verzoekjes krijgt, die specifiek op jou gericht zijn.
We vergeten snel, maar dagelijks zijn er vele datalekken te betreuren. 
Zie https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ en verbaas jezelf over de wereldwijde blunders.
De kans dat jouw gegevens bekend zijn zonder jouw toestemming is dus vrij groot. 
Wees je daar bewust van! 

Slide 39 - Diapositive

De website is een mooie visuele weergave van datalekken. De studenten zullen een aantal bedrijven ook zeker herkennen.
Meldplicht
Voor datalekken is er een meldplicht
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. 

En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. 

Slide 40 - Diapositive

Cet élément n'a pas d'instructions

De kapper waar jij altijd heen gaat stuurt een e-mail over de openingstijden. De e-mail is verstuurd naar alle klanten.
Alle ontvangers staan in de CC en niet in de BCC regel.

Is dit een datalek?
A
Ja
B
Nee

Slide 41 - Quiz

Als je een e-mail stuurt naar ontvangers in het veld “Aan” of “CC” in plaats van “BCC”, kan elke ontvanger de contactgegevens van de andere ontvangers zien. En omdat een e-mailadres een persoonsgegeven is - je kunt er de identiteit van de houder uit afleiden-, kan zo'n cc-foutje een datalek zijn
De jaarcijfers van een groot bedrijf lekken uit.
Iedereen kan zien wat de inkomsten en uitgaven zijn
geweest afgelopen jaar bij dit bedrijf.

Is dit een datalek?
A
Ja, het is data die men niet zomaar mag zien
B
Nee, want het gaat hier niet om persoonsgegevens

Slide 42 - Quiz

Jaarcijfers zijn wel vertrouwelijke gegevens, maar geen persoonsgegevens. Er is dus wel sprake van een security incident, maar geen datalek.
Je tante wordt 75 en je organiseert een feestje voor haar. Per ongeluk stuur je het excelbestand met de (25) genodigden naar een verkeerd e-mailadres. Je kent de ontvanger niet.

Is dit een datalek?
A
Ja,
B
Nee, want dit is voor persoonlijk gebruik

Slide 43 - Quiz

Dit is geen datalek. Je verwerkt de persoonsgegevens voor persoonlijk gebruik. Dan is de AVG niet van toepassing. 
Heb jij (n)iets te verbergen?

Bekijk de video op https://hulpbijprivacy.nl/

Slide 44 - Diapositive

Cet élément n'a pas d'instructions