Seminar vijf jaar AVG Programma break-out sessies
Welkom op deze pagina over de break-out sessies van het vijf jaar AVG seminar. Tijdens het seminar zullen er verschillende break-out sessies plaatsvinden die dieper ingaan op specifieke onderwerpen met betrekking tot de AVG. Zo zullen er bijvoorbeeld sessies zijn de toezicht op de werkvloer, toezicht en handhaving voor de AP en omgaan met rechten van betrokkene. De break-out sessies bieden de mogelijkheid om in kleinere groepen in gesprek te gaan met onze experts op het gebied van privacy en de AVG en om kennis en ervaringen uit te wisselen met andere deelnemers. Op deze pagina vind je meer informatie over de verschillende break-out sessies.1. Toezicht op de werkvloer
Cameratoezicht en toezicht op bijv. computergebruik en -netwerken kan een werkgever helpen om bijvoorbeeld (bedrijfs)eigendommen te beveiligen of diefstal door medewerkers op te sporen. Dat gezegd hebbende, mogen werkgevers alleen aan dergelijk toezicht doen als ze aan de verplichtingen uit (onder meer) de AVG voldoen. Dat maakt dat (onder meer) dat werkgevers de proportionaliteit en subsidiariteit van het toezicht moeten kunnen verantwoorden en goed moeten afbakenen voor welke doeleinde(n) ze het toezicht inzetten. Tijdens de break-out sessie ‘Toezicht op de werkvloer’ zullen Eva Traag en Anneloth Teunissen de regels rondom toezicht op de werkvloer toelichten. Ook zullen Eva en Anneloth handvatten geven voor het opstellen van een toezichtbeleid en tips geven over het informeren van medewerkers over het toezicht.
2. Schadevergoeding onder de AVG
Als gevolg van een schending van de AVG kan een betrokkene materiële en/of immateriële schade lijden. Bij immateriële schade kan gedacht worden aan schade als gevolg van identiteitsfraude (naast de directe materiële schade), verlies van controle over persoonsgegevens en discriminatie. Op grond van de AVG heeft iedereen die materiële en/of immateriële schade lijdt door een inbreuk op de AVG, het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade (artikel 82 AVG). Inmiddels zijn er tal van bedrijven die te maken hebben gehad met (massa)claims van betrokkenen die hun schade vergoed willen zien. In de rechtspraktijk is het recht op schadevergoeding onder de AVG een veelbesproken onderwerp. Het antwoord op de vraag of een individu recht heeft op schadevergoeding leidt in de praktijk namelijk tot veel discussie. Heeft een betrokkene automatisch recht op een vergoeding als zijn data gelekt is? Of moet er daarvoor meer aan de hand zijn? En hoe gaan rechters met dergelijke schadeclaims om?
Tijdens de workshop gaan Annelijn Bloo-Kroes (senior advocaat Aansprakelijkheid & Verzekering), Sven Wakker (advocaat IE/IT en privacy) en Milou Janssen (advocaat Gezondheidszorg met specialisatie privacyrecht in de zorg) in op de vraag onder welke voorwaarden recht op vergoeding van schade bestaat. Dit doen zij aan de hand van rechtspraak waarin een schadeclaim op grond van de AVG centraal staat. Ook zal tijdens de workshop worden stilgestaan bij de verzekerbaarheid van schadevergoeding onder de AVG.
3. Verschillende rollen van partijen en gegevensuitwisseling in het algemeen
In deze break-out sessie wordt stilgestaan bij de verschillende aandachtspunten en valkuilen bij het uitwisselen van persoonsgegevens. De verschillende rollen die daarbij kunnen spelen komen aan de orde (verwerker, verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke), alsmede de gevolgen van die rollen. Veelvoorkomende misverstanden worden geadresseerd en diverse praktijktips worden gegeven. Zo staan we expliciet stil bij de verwerkersovereenkomst (wanneer wel en niet) en hoe om te gaan met sjablonen van verwerkersovereenkomst die in de markt circuleren. En natuurlijk welke
contracten er vereist of handig zijn in andere situaties. Een praktische workshop dus, voor iedereen die wel eens persoonsgegevens uitwisselt.
4. Toezicht en handhaving door de AP
De administratieve boete is een van de handhavingsmaatregelen die de AP aan partijen kan opleggen. Enkele andere maatregelen zijn het geven van een waarschuwing of een berisping, het gebod om een verwerking te beperken en het opleggen van een last onder dwangsom. Het betreffen uiteenlopende maatregelen die door de AP ingezet kunnen worden.
In de break-out sessie bespreken we de praktische en procedurele aspecten die bij toezicht en handhaving spelen. Hierbij kan onder andere worden gedacht aan de volgende vragen: welke bevoegdheden heeft de AP? Welke sancties zijn er? Hoe wordt de hoogte van een boete berekend? Hoe verloopt een handhavingsprocedure? Waar moet je rekening mee houden bij een handhavingsprocedure? Uiteraard geven we ook diverse tips over wat je als organisatie kunt doen op het moment dat de AP een onderzoek instelt.
5. Uitwisselen van persoonsgegevens tussen verzekeraars en verzekerden in het kader van een claim
Bij de behandeling van claims verwerken verzekeraars de nodige (bijzondere) persoonsgegevens. Het komt voor dat verzekerden met een beroep de (Uitvoeringswet) AVG weigeren persoonsgegevens aan de verzekeraar te verstrekken. Als het bijvoorbeeld gaat om een claim van een werknemer onder de aansprakelijkheidsverzekering van de werkgever, omdat de werkgever aansprakelijk zou zijn voor een arbeidsongeval, wil de werkgever soms bepaalde gezondheidsgegevens van de werknemer niet verstrekken. Dit kan de zorgvuldige en voortvarende behandeling van claims in de weg staan.
In de break-out sessie ‘Uitwisselen van persoonsgegevens’ gaan Eva Traag en Irene Theunisse in op de regels over het uitwisselen van gegevens tussen verzekeraars, verzekerden en derden. Uiteraard geven Eva en Irene ook de nodige tips en tricks hoe in de praktijk met deze problematiek kan worden omgegaan.
6. Omgaan met rechten van betrokkene
De AVG kent de betrokkene allerlei rechten toe. Die rechten worden dan ook volop gebruikt en soms ook wel eens misbruikt. Een ingeroepen recht van betrokkene moet serieus worden genomen en tegelijkertijd moet er vaak ook rekening worden gehouden met hele andere belangen. Zo is denkbaar dat andere wetgeving, de privacy van een ander of een intern belang in de weg staat aan verstrekking van de gegevens. Hoe ga je daar dan in de praktijk mee om?
Ook is regelmatig de vraag of de betrokkene wel is wie hij of zij claimt te zijn; enerzijds moet dat kritisch worden getoetst (anders heb je wellicht een datalek te pakken), anderzijds mag de uitoefening van de rechten van betrokkene niet nodeloos ingewikkeld gemaakt worden. Ook dat roept in de praktijk nog wel de nodige vragen op. En hoe om te gaan met de ogenschijnlijk verschillende rechtspraak van het Hof van Justitie over het inzagerecht? Dit soort thema’s gaan we met elkaar bespreken in deze praktijkgerichte workshop.
7. Data protection impact assessment (DPIA)
Een DPIA is een risicobeoordeling. Partijen zijn verplicht een DPIA uit te voeren indien de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt. Een DPIA wordt met name uitgevoerd wanneer op grote schaal (bijzondere) persoonsgegevens worden verwerkt, stelselmatige en grootschalige monitoring plaatsvindt en wanneer onder bepaalde omstandigheden sprake is van geautomatiseerde besluitvorming of profilering. Daarnaast zijn er nog tal van andere factoren die aanleiding kunnen geven tot het uitvoeren van een DPIA.
Tijdens de break-out sessie bespreken we de basisbeginselen van de DPIA. We geven handvatten voor het beoordelen of het noodzakelijk is om een DPIA uit te voeren. Ook bespreken uit welke stappen het DPIA proces bestaat en geven we tips bij het beoordelen van risico’s en het vaststellen van bijbehorende maatregelen. Dit doen we mede aan de hand van enkele model DPIA’s.
8. Gegevensuitwisseling in de zorg: de juridische haken en ogen
Op privacygebied is er in de zorg de afgelopen jaren veel gebeurd. Er is sprake van een steeds verdergaande digitalisering van de zorg en er wordt vanuit de zorgsector en de overheid steeds meer ingezet op digitale gegevensuitwisseling in de zorg. De focus ligt hierbij op een goede en tijdige informatie-uitwisseling met de cliënt en tussen zorgaanbieders onderling, voor een goede kwaliteit van zorg. Tegelijkertijd gelden er op grond van de privacywetgeving allerlei juridische randvoorwaarden waaraan digitale gegevenswisseling in de zorg moet voldoen.
Dit zorgt voor de nodige praktische uitdagingen voor zorgaanbieders: wat mag er nu eigenlijk wel en niet op het gebied van digitale gegevensuitwisseling? Moet er wel of geen toestemming worden gevraagd aan de cliënt? Hoe zit het met de zogenaamde ‘veronderstelde toestemming’? Maakt het voor de (on)mogelijkheden van gegevensuitwisseling een verschil dat er sprake is van een samenwerkingsverband? En hoe zit het met het medisch beroepsgeheim? In deze break-out sessie gaan we in op deze problematiek en geven we diverse praktijktips. Een praktische workshop dus voor zorginstellingen en hun samenwerkingspartners.