Wk10A+B - Recap AVG (Persoonsgegevens)

AVG en persoonsgegevens
SEP-II Security Ethiek en Privacy
Les 1 / Week 10
1 / 44
volgende
Slide 1: Tekstslide
Applicatie- en mediaontwikkelaarMBOStudiejaar 1

In deze les zitten 44 slides, met interactieve quizzen, tekstslides en 1 video.

Onderdelen in deze les

AVG en persoonsgegevens
SEP-II Security Ethiek en Privacy
Les 1 / Week 10

Slide 1 - Tekstslide

Deze slide heeft geen instructies

Security

Slide 2 - Woordweb

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Ethiek

Slide 3 - Woordweb

Dit onderwerp volgt in een latere les nog specifiek. Meer peilen wat ze (nog) weten.
Privacy

Slide 4 - Woordweb

Hier gaat de les voornamelijk over. Maar er is zijn veel overeenkomsten binnen de 3 onderwerpen.

Slide 5 - Tekstslide

Probeer hier een paralel te trekken met wat er naar voren kwam in de woordwebjes
AVG
Algemene Verordening Gegevensbescherming

Sinds 25 mei 2018
Privacy wet 

Nederlandse implementatie van Europese GDPR
Dezelfde regels voor de hele Europese Unie.
General Data Protection Regulation

Slide 6 - Tekstslide

Algemene informatie over AVG.
Voorheen de Wet Bescherming Persoonsgegevens (Wbp)
AVG
  • Regels over persoonsgegevens
  • Cookies
  • Beveiliging
  • Waakhond: Autoriteit Persoonsgegevens
  • https://autoriteitpersoonsgegevens.nl/

Slide 7 - Tekstslide

Deze slide heeft geen instructies

AP
Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft in Nederland als wettelijke taak te beoordelen of personen en organisaties de AVG wet naleven.

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 

Slide 8 - Tekstslide

Deze slide heeft geen instructies

Recente boete

De toezichthouder in Ierland heeft WhatsApp een boete van 225 miljoen euro gegeven. De chat-app zou niet transparant zijn over welke data wordt gedeeld met andere onderdelen van moederbedrijf Facebook. 
Het onderzoek begon al in 2018.

https://tweakers.net/nieuws/186364/whatsapp-krijgt-ierse-boete-van-225-miljoen-euro-voor-overtreden-van-avg.html

Slide 9 - Tekstslide

Deze slide heeft geen instructies

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijke persoon."

"Natuurlijk persoon" wordt hier gebruikt om onderscheid te maken van de wettelijke definitie van persoon waar ook bijvoorbeeld bedrijven onder kunnen vallen.
"geïdentificeerde, of identificeerbare" houdt in dat de gegevens terug te leiden moeten zijn naar een persoon. Dit geldt voor direct identificerende gegevens zoals naam, adres, geboortedatum. Dit geldt ook voor indirect identificerende gegevens zoals lengte, en beroep.

Slide 10 - Tekstslide

Deze slide heeft geen instructies

Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Er zijn veel soorten persoonsgegevens. 
Voor de hand liggende gegevens zijn iemands 
naam, adres en woonplaats. Maar ook telefoonnummers 
en postcodes met huisnummers zijn persoonsgegevens.


Slide 11 - Tekstslide

Deze slide heeft geen instructies

Persoonsgegevens

"Persoonsgegevens zijn alle gegevens die betrekking hebben op een identificeerbaar persoon."

Wanneer is het dan een Bijzonder Persoonsgegeven?

Slide 12 - Tekstslide

Deze slide heeft geen instructies

Bijzondere Persoonsgegevens
Persoonsgegevens en Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens over iemands:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • godsdienst of levensovertuiging;
  • lidmaatschap van een vakbond;
  • gezondheid; 


  • genetische of biometrische gegevens   met oog op unieke identificatie   (vingerafdruk, oog scan);
  • seksuele leven;
  • strafrechtelijk verleden.

Slide 13 - Tekstslide

Deze slide heeft geen instructies

Persoonsgegevens-quiz:
Voornaam
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 14 - Quizvraag

Deze slide heeft geen instructies

Persoonsgegevens-quiz:
Geaardheid
A
Bijzonder Persoonsgegeven
B
Normaal Persoonsgegeven

Slide 15 - Quizvraag

Deze slide heeft geen instructies

Je krijgt wat informatie over Henk die komt werken bij het bedrijf waar jij ook werkzaam bent om in te voeren.

Welke informatie valt onder de categorie bijzondere persoonsgegevens? (meerdere antwoorden mogelijk)
A
Henk is Christen; hij is gedoopt en gaat nog elke zondag naar de kerk.
B
Henk heeft in 1997 zijn scheenbeen gebroken tijdens een fietstocht.
C
Henk is getrouwd en heeft twee kinderen.
D
Henk is lid van de PVDA

Slide 16 - Quizvraag

Deze slide heeft geen instructies

Je hebt binnenkort een gesprek om je voor te stellen bij een bedrijf waar je stage gaat lopen. Je hebt telefonisch gesproken met Anja om de afspraak te maken. Zij stuurt een aantal gegevens vast door naar Kees.
Kees is de persoon met wie je het gesprek gaat hebben.

Welke gegevens mag Anja NIET zonder jouw toestemming
naar Kees sturen?
A
Jouw telefoonnummer
B
Jouw huisadres en geboortedatum.
C
Jouw nationaliteit
D
Geen van de genoemde opties mogen zonder toestemming worden opgestuurd.

Slide 17 - Quizvraag

Deze slide heeft geen instructies

Is een IP-adres een persoonsgegeven?

Slide 18 - Open vraag

De AVG kijkt dus ook naar digitale persoonsgegevens. Een MAC-adres is bijvoorbeeld ook een persoonsgegeven. Het is een uniek adres wat betrekking heeft op jou.

Al is een IP-adres met een VPN natuurlijk onzichtbaar te maken, maar dat is voor later.
Is het kenteken van een auto
een persoonsgegeven?

Slide 19 - Open vraag

Een kenteken is voor de meeste mensen natuurlijk niet te herleiden tot een persoon.
Echter een medewerker van de RDW heeft wel toegang tot zulke gegevens.
Persoonsgegevens en AVG
Jouw geboortedatum is natuurlijk een persoonsgegeven.

Toch zal een database met alleen maar geboortedatums niet gezien worden als een probleem voor de AVG.

Waarom is dat denk je?

Slide 20 - Tekstslide

Inleiding tot combinatie van persoonsgegevens. Klassikaal bespreken waarom ze denken dat het voorbeeld voor de AVG niet van belang is.

Een combinatie van persoonsgegevens is iets waar de AVG op controleert omdat je dan kunt herleiden naar een identificeerbaar persoon.
Verdere uitleg met voorbeeld op volgende dia.
Persoonsgegevens en AVG
Bijvoorbeeld de geboortedatum 11-03-1999.
Veel mensen zijn op die dag geboren. Met alleen de geboortedatum kun je dus niet zomaar uitkomen op 1 enkel persoon.
 
Heb je een adres én een geboortedatum dan ziet de AVG dat wel als een persoonsgegeven. Het is namelijk erg aannemelijk dat er op een adres maar 1 iemand woont die op die dag jarig is. Die persoon is dus met die gegevens te herleiden.

In Nederland worden op een gemiddele dag 478 kinderen geboren

Slide 21 - Tekstslide

Deze slide heeft geen instructies

Je hebt een lijst met alleen
postcodes van een stad.
Is dit iets waar de AVG iets mee doet?
A
Ja, postcodes zijn immers persoonsgegevens
B
Nee, met alleen een postcode kun je nog niet een persoon herleiden

Slide 22 - Quizvraag

Deze slide heeft geen instructies

Voor een nieuwe applicatie maak je gebruik van een lijst contactgegevens. Om het makkelijk te houden maak je gebruikersnamen met een combinatie van de voornaam, achternaam en het geboortejaar van de medewerkers.
Henk Jansen uit 1999 wordt bijvoorbeeld: henjan99

Mag dit denk je?

A
Nee, "het makkelijk maken voor jezelf" is geen geldige reden
B
Ja, de gegevens zijn immers al bekend bij het bedrijf

Slide 23 - Quizvraag

Deze slide heeft geen instructies

Je hebt thuis voor de zekerheid een boekje waar je adressen van familie, vrienden en kennissen in hebt staan.
Puur voor persoonlijk gebruik.
Is dit toegestaan volgens de AVG?

Slide 24 - Open vraag

Voor strikt persoonlijk gebruik is het toegestaan om deze data, ook zonder toestemming, te gebruiken. Ook als je bijvoorbeeld je boekje zou digitaliseren in je eigen gemaakte adresboek-app. De AVG zal daar geen boete voor geven.
Je hebt het adres van een wat oudere collega.
Op Google Mapsbzoek je dit adres op en je ziet
in wat voor huis deze persoon woont.
Is het 'type woning' hier eigenlijk ook een persoonsgeven?

Slide 25 - Open vraag

Indirect kun je aan de hand van een type woning een inschatting maken over het inkomen van deze persoon. Je kunt immers via Funda bijvoorbeeld zien wat de waarde is van zo'n type woning.
Nu gaat dit best ver, maar toch is het iets waar de AVG rekening mee kan houden.
Dit laat zien hoe zorgvuldig je dus om moet gaan met persoonsgegevens.
Schoolvoetbaltoernooi
Jullie werken tijdens de PRA-lessen aan een applicatie om toernooien te kunnen organiseren. Hiermee ga je ook met persoonsgegevens aan de slag. 

Maar welke persoonsgegevens zijn nodig 
voor het doel van de applicatie?

Slide 26 - Tekstslide

Deze slide heeft geen instructies

Schoolvoetbaltoernooi
Maak zelf eens een lijst met gegevens die je zou 
kunnen gebruiken voor de applicatie. 


Denk hierbij ook eens aan applicaties of websites waar jij allemaal een account hebt en welke gegevens je daar hebt achtergelaten.

Slide 27 - Tekstslide

Deze slide heeft geen instructies

AVG Grondslagen
De AVG heeft een lijst met onderdelen waar je aan moet voldoen als je met persoonsgegevens werkt. Deze onderdelen heten grondslagen.

Prima, zou je denken, even het lijstje aflopen, kijken of je er een kunt gebruiken en of je er iets extra’s voor moet doen en gaan! Niet te moeilijk. Klopt op zich wel, maar je moet vanwege je informatieverplichting ook vertellen van welke grondslag je gebruikmaakt.

Dat is dus ook de reden dat elke website en applicatie een privacy-verklaring en voorwaarden heeft van enkele pagina's. Die iedereen natuurlijk volledig leest altijd.

Slide 28 - Tekstslide

Van deze grondslagen moet je er wettelijk aan minimaal 1 voldoen.
AVG Grondslagen
6 Grondslagen
  • Vitale Belangen 
  • Algemeen Belang
  • Gerechtvaardigd Belang
  • Toestemming Vragen
  • Uitvoering Overeenkomst
  • Wettelijke Verplichting

Slide 29 - Tekstslide

Deze slide heeft geen instructies

AVG Grondslagen
Toestemming van betrokkene
Je moet toestemming vragen aan degene die zich 
registreert voor jouw applicatie, website of dienst.  


Een vinkje met "Ik ga akkoord met de voorwaarden" 
tijdens het registeren bijvoorbeeld. 
Let op! Als gebruiker heb je het recht om deze 
toestemming ook weer in te trekken. 

Slide 30 - Tekstslide

Toestemming vragen is vooral een vangnet. Een laatste middel als je niet aan de overige grondslagen kunt voldoen.
AVG Grondslagen
Uitvoering overeenkomst
Wanneer de applicatie zonder persoonsgegevens niet werkt of bruikbaar is. En je dus niet kunt voldoen aan de overeenkomst waarmee de gebruiker akkoord is gegaan.
Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden. 


Slide 31 - Tekstslide

Je hebt dus de gegevens nodig om de applicatie te laten werken. 
Deze en voorgaande grondslag zijn de twee grondslagen waar de studenten vooral even bij stil moeten staan.
AVG Grondslagen
Wettelijke verplichting
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Grote bedrijven moeten volgens de wet bijvoorbeeld 7 jaar de facturen bewaren.


Slide 32 - Tekstslide

Deze valt niet binnen de scope van de opdracht. Enkel benoemen. Anders wel erg de diepte in.
AVG Grondslagen
Vitale, Algemene en Gerechtvaardigde Belangen
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet.
Deze grondslagen zijn vooral vanuit de medische wereld of binnen de overheid. 
En worden alleen gebruikt in combinatie met een van de andere grondslagen  


Slide 33 - Tekstslide

Deze kan even benoemd worden, maar binnen het kader van de opdracht niet belangrijk voor nu.
Schoolvoetbaltoernooi
Vergelijk in tweetallen de lijst met persoonsgegevens die je hebt opgeschreven voor de applicatie 


Zijn er gegevens waarbij je denkt of deze wel noodzakelijk zijn?

Slide 34 - Tekstslide

Deze slide heeft geen instructies

Welke gegevens zijn
nodig voor de applicatie?

Slide 35 - Woordweb

Deze slide heeft geen instructies

Datalek
We weten nu wat er allemaal wel mag en wat er niet mag.
Maar wat als het toch ergens misgaat? 

Slide 36 - Tekstslide

Deze slide heeft geen instructies

Datalek
Risico's die door een datalek kunnen onstaan
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.
  • Wachtwoorden worden gebruikt om in jouw accounts te komen.
  • Maar ook per ongeluk vernietigen van gegevens of kwijtraken is een datalek
  • Identiteitsfraude
  • Bankgegevens kunnen leiden tot phising
  • Je krijgt te maken met spam/nieuwsbrieven waar je je nooit voor hebt aangemeld. 

Slide 37 - Tekstslide

Deze slide heeft geen instructies

Slide 38 - Video

Deze slide heeft geen instructies

Datalek
Een datalek lijkt op het eerste oog soms onschuldig. In de video liet Lubach op ludieke wijze zien wat er met gegevens kan gebeuren. De NOS lijkt misschien naïef om dit zo te vertellen, maar een crimineel bedenkt dit natuurlijk zelf ook wel. Wees dus altijd alert als je vreemde verzoekjes krijgt, die specifiek op jou gericht zijn.
We vergeten snel, maar dagelijks zijn er vele datalekken te betreuren. 
Zie https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ en verbaas jezelf over de wereldwijde blunders.
De kans dat jouw gegevens bekend zijn zonder jouw toestemming is dus vrij groot. 
Wees je daar bewust van! 

Slide 39 - Tekstslide

De website is een mooie visuele weergave van datalekken. De studenten zullen een aantal bedrijven ook zeker herkennen.
Meldplicht
Voor datalekken is er een meldplicht
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. 

En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. 

Slide 40 - Tekstslide

Deze slide heeft geen instructies

De kapper waar jij altijd heen gaat stuurt een e-mail over de openingstijden. De e-mail is verstuurd naar alle klanten.
Alle ontvangers staan in de CC en niet in de BCC regel.

Is dit een datalek?
A
Ja
B
Nee

Slide 41 - Quizvraag

Als je een e-mail stuurt naar ontvangers in het veld “Aan” of “CC” in plaats van “BCC”, kan elke ontvanger de contactgegevens van de andere ontvangers zien. En omdat een e-mailadres een persoonsgegeven is - je kunt er de identiteit van de houder uit afleiden-, kan zo'n cc-foutje een datalek zijn
De jaarcijfers van een groot bedrijf lekken uit.
Iedereen kan zien wat de inkomsten en uitgaven zijn
geweest afgelopen jaar bij dit bedrijf.

Is dit een datalek?
A
Ja, het is data die men niet zomaar mag zien
B
Nee, want het gaat hier niet om persoonsgegevens

Slide 42 - Quizvraag

Jaarcijfers zijn wel vertrouwelijke gegevens, maar geen persoonsgegevens. Er is dus wel sprake van een security incident, maar geen datalek.
Je tante wordt 75 en je organiseert een feestje voor haar. Per ongeluk stuur je het excelbestand met de (25) genodigden naar een verkeerd e-mailadres. Je kent de ontvanger niet.

Is dit een datalek?
A
Ja,
B
Nee, want dit is voor persoonlijk gebruik

Slide 43 - Quizvraag

Dit is geen datalek. Je verwerkt de persoonsgegevens voor persoonlijk gebruik. Dan is de AVG niet van toepassing. 
Heb jij (n)iets te verbergen?

Bekijk de video op https://hulpbijprivacy.nl/

Slide 44 - Tekstslide

Deze slide heeft geen instructies