Uw GDPR stappenplan start hier

Transcriptie

1

2 Uw GDPR stappenplan start hier 2

3 Uw GDPR stappenplan start hier Agenda: 7u45 8u15: Ontvangst met koffie/thee en ontbijtkoeken 8u15 9u00: Overzicht wetgeving doel & verplichtingen 9u00 9u30: Impact op uw organisatie/business model 9u30 10u00: Praktisch plan van aanpak 10u00 10u30: Vragenronde 3

4 28 september 2017

5 VERWERKING (BESCHERMING) VAN PERSOONSGEGEVENS

6 Verwerker ( processor ) Verwerkingsverantwoordelijke ( controller ) Gevoelige data Betrokkene ( datasubject ) Persoonsgegevens Identificatie

7 DOEL Passend beschermingsniveau Technische en organisatorische maatregelen CRITERIA Aard, omvang, context en doel v/d verwerking Waarschijnlijkheid en ernst v/d risico s voor de rechten en vrijheden van betrokkene

8 Rechten Rechtmatigheid Doorgifte Principes Doelbinding Verantwoording ( accountability ) Transparantie

9 Doelbinding Wat? Bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel Niet meer dan nodig ( minimale gegevensverwerking ) Niet langer dan nodig ( opslagbeperking ) Juist / actueel Voorbeeld: aankoop auto

10 Rechtmatigheid: wettelijke grondslag voor verwerking Toestemming v/d betrokkene (strenger: vrij, specifiek, ondubbelzinnig, doelgebonden, opt-in) Overeenkomst m/d betrokkene Wettelijke verplichting v/d verantwoordelijke Enkel strikt noodzakelijke gegevens Gerechtvaardigd belang v/d verantwoordelijke

11 Doorgifte Aan wie? Derde landen of internationale organisaties Wanneer? Indien passend beschermingsniveau 1. Adequaatheidsbeoordeling en besluit OF 2. O.b.v. Bindende voorschriften ( binding corporate rules ), contractuele bepalingen ( model contract European Commission ) of toestemming

12 Accountability (verantwoordingsplicht) Wordt bij de verantwoordelijke en de verwerker gelegd Verschuiving van de bewijslast: zeer belangrijk principe Documentatieverplichting Passende technische en organisatorische maatregelen Tools: Register met verwerkingsactiviteiten Voorafgaande gegevensbeschermingseffectenbeoordeling (DPIA) Gegevensbeschermingsfunctionaris (DPO)

13 Rechten van de betrokkene (30d, kosteloos) Inzage NU Rectificatie Gegevenswissing (Googlearrest) Bezwaar NIEUW Beperking van de verwerking Overdraagbaarheid ( data portability )

14 Overdraagbaarheid ( data portability ) Betrokkene kan zijn persoonsgegevens Bekomen (laten) doorgeven aan een andere verantwoordelijke without hindrance Via: Een directe download Directe doorgifte Of gebruik makend van een derde partij Geen invloed op andere rechten (inzage, rectificatie, )

15 Overdraagbaarheid ( data portability ) 3 voorwaarden (cumulatief): Gegevens verstrekt op basis van toestemming of een overeenkomst Gegevens met betrekking tot de betrokkenen en door hem/haar verstrekt Zonder gevaar voor de rechten van derde partijen Verplichting om de betrokkenen te informeren Binnen een redelijke termijn In een structured, commonly used and machine readable form interoperability (doel)

16 Privacy by design (Gegevensbescherming door ontwerp) De architectuur van datasystemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een datasysteem moet hiermee rekening worden gehouden.

17 Privacy by default (Gegevensbescherming door standaardinstellingen) De instellingen van een datasysteem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. Minimale gegevensverwerking Beperking bewaringstermijn Beperkte toegang

18 NU Voorafgaande aangifte bij toezichthoudende autoriteit NIEUW Register van verwerkingsactiviteiten ( records of processing activities ) Verwerkingsverantwoordelijke OF Verwerker UITZONDERING: KMO s tenzij Niet incidenteel Gevoelige gegevens Waarschijnlijk risico Belgische Privacy Commissie: geen uitzondering voor KMO s

19 Register van verwerkingsactiviteiten ( records of processing activities ) Verantwoordelijke én verwerker -250 werknemers? Andere voorwaarden? Irrelevant door Privacy Commissie gemaakt: iedereen! (beperkt tot niet-incidentele verwerkingen) Komt in de plaats van de aangifteplicht (let wel: geen uitzonderingen meer, zoals loonadministratie) Schriftelijk (bv. elektronische vorm) Model (behoorlijk complex) Controle door Privacy Commissie zodra zij erom verzoekt

20 Wat? Data Protection Impact Assessment (DPIA Gegevensbeschermingseffectbeoordeling) Beschrijving van de verwerkingen en doeleinden Beoordeling van de noodzaak en evenredigheid van de verwerkingen i.f.v. de doeleinden Beoordeling van de risico s Beoogde maatregelen om de risico s aan te pakken

21 Data Protection Impact Assessment (DPIA Gegevensbeschermingseffectbeoordeling) Wanneer? likely to result in a high risk to the rights and freedoms of natural persons criteria Working Party 29 Geautomatiseerde besluitvorming (vb. profiling) New data processing technology Grootschalige verwerking van gevoelige data Systematische en grootschalige observatie van openbaar toegankelijke ruimten

22 Data Protection Impact Assessment (DPIA Gegevensbeschermingseffectbeoordeling) Vorm? Keuze (op voorwaarde dat het een echte risicobeoordeling mogelijk maakt) Gevolgen? Verantwoordelijkheid bij verwerkingsverantwoordelijke

23 Data Protection Officer (DPO Functionaris van de gegevensbescherming) Wat? Toezicht op GDPR compliance - onafhankelijk Wanneer? Publieke sector Ondernemingen met als kerntaak Regelmatige en systematische observatie op grote schaal Ondernemingen met als kerntaak grootschalige verwerking van gevoelige gegevens

24 Data Protection Officer (DPO Functionaris van de gegevensbescherming) Definities? Neen Working Party 29 Wie? Zelfstandige vs. Bediende Verantwoordelijkheid? Neen (processor & controller) Voorbeelden: hospitaal, verwerking door verzekeraars, banken, telecom, arts, advocaat (JA/NEEN)

25 Data lek (inbreuk) Meldingsplicht REGEL: zonder onredelijke vertraging aan betrokkene 72u aan autoriteit Schadevergoeding Administratieve geldboete

26 Administratieve sancties Tot EUR en 2% wereldwijde jaaromzet: Toestemming verwerking gegevens kinderen Privacy door ontwerp en standaardinstellingen. Tot EUR en 4% wereldwijde jaaromzet: Basisbeginselen voor verwerking Rechten betrokkenen Doorgiften buiten EU.

27 Deadline: 25 mei 2018

28 Contact Kantoor: Vuurmolenstraat Antwerpen Tel.: +32 (0) Website: Roy Maes Niels Van den Heuvel +32 (0) (0) Nicolas Wesling Wouter Thibaut +32 (0) (0) Sanne Van den Abbeele +32 (0)

29

30 Uw GDPR stappenplan start hier de praktijk 30

31

32 Wat is nu de impact voor u? De impact is afhankelijk van de dataverwerking die u doet en de risico s die er mee gepaard gaan En is niet recht evenredig met de omvang van uw organisatie

33 Wat is nu de impact voor u? Voor zij die een business model hebben dat steunt op bv prospectie per mail Gaat de impact groot zijn Voor iemand die gevoelige gegevens verwerkt Gaat de impact groot zijn

34 Wat is nu de impact voor u? Voor doorsnee kmo of non profit organisatie blijft de impact beperkt tot Administratieve invulling Basisbeveiliging Awareness Gebruikers

35 Over welke gegevens gaat het Alle gegevens die gerelateerd kunnen worden aan één persoon - adres, financiële gegevens, personeelsgegevens, klant gegevens rijksregisternummer, enz

36 Over welke gegevens gaat het Alle gegevens die gerelateerd kunnen worden aan één persoon naam, voornaam en contactgegevens van een klanten, personeel of leveranciers ja

37 Over welke gegevens gaat het Alle gegevens die gerelateerd kunnen worden aan één persoon - IP-adres of locatiegegevens (bv. lokalisatie via een Smart Phone app) ja een code die een klant of personeelslid uniek identificeert ja

38 Over welke gegevens gaat het - IP-adres of locatiegegevens ja - een code die een klant of personeel uniek identificeert ja - Gegevens van een overledene Nee - Een info@xxxx.com adres Nee - Camerabeelden Ja - Track en Trace gegevens Ja

39 Wat zijn gegevensbewerkingen - Opslaan - Versturen van mail - Profilering - Verzenden, afdrukken, enz.

40 Wat zijn gegevensbewerkingen - Opslaan, Raadplegen, wijzigen, - Versturen van mail - Profilering - Verzenden, afdrukken, enz.

41 Iedereen die persoonsgegevens verwerkt op regelmatige basis

42 GDPR verplichtingen in drie krachtlijnen Risk-based approach betekent dat de verplichtingen die voortvloeien uit de AVG variëren in functie van het risico dat verbonden is aan de verwerkingsactiviteit. De AVG creëert dus ruimte voor flexibiliteit die ten goede kan komen aan KMO s en kleine organisatie

43 GDPR verplichtingen in drie krachtlijnen De verantwoordingsplicht het documenteren van keuzes zodat een bedrijf nadien de naleving van de wet kan aantonen en kan verantwoorden waarom het een bepaalde maatregel al dan niet invoerde.

44 GDPR verplichtingen in drie krachtlijnen Transparantie het documenteren van keuzes zodat je als bedrijf nadien de naleving van de wet kan aantonen en kan verantwoorden waarom het een bepaalde maatregel al dan niet invoerde.

45 Geef GDPR de juist plaats Willem Debeuckelaere, hoofd van de Privacycommissie 16/2 "We zijn helemaal niet klaar de nieuwe autoriteit niet meteen zal binnenvallen bij bedrijven De zaken die klaar zijn, worden wel gecontroleerd Als we vaststellen dat organisaties daar niet in meegaan, dan moeten we optreden

46 Geef GDPR de juist plaats Willem Debeuckelaere, hoofd van de Privacycommissie 16/2 We gaan bedrijven nog altijd in gebreke stellen Ik vind niet dat we louter een repressiemachine moeten zijn, pas als men echt weigert om mee te werken of ter kwader trouw werkt. Al moeten de grootste stupiditeiten er uit Geen HTTPS gebruiken om gevoelige gegevens te versturen is onaanvaardbaar,

47 Basisprincipes voor iedere verwerking Elke verwerking van persoonsgegevens moet steunen op één van de rechtsgronden die artikel 6 van de GDPR opsomt. - Toestemming - Overeenkomst - Naleven van een wettelijke verplichting - Behartiging van een vitaal belang - Een taak van openbaar belang - Gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

48 Basisprincipes voor iedere verwerking Elke verwerking van persoonsgegevens moet steunen op één van de rechtsgronden die artikel 6 van de GDPR opsomt. - Toestemming - Overeenkomst - Naleven van een wettelijke verplichting - Behartiging van een vitaal belang - Een taak van openbaar belang - Gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

49 Basisprincipes voor iedere verwerking u mag persoonsgegevens uitsluitend verwerken voor doeleinden die vooraf uitdrukkelijk zijn vastgelegd.

50 Basisprincipes voor iedere verwerking Juistheid en gegevenskwaliteit Procedures invoeren die de betrokkenen van wie de gegevens worden verwerkt toelaten deze te wissen of te verbeteren, bijvoorbeeld via een makkelijk toegankelijk formulier op de website van de KMO.

51 Basisprincipes voor iedere verwerking Minimale gegevensverwerking Procedures invoeren die de betrokkenen van wie de gegevens worden verwerkt toelaten deze te wissen of te verbeteren, bijvoorbeeld via een makkelijk toegankelijk formulier op de website van de KMO.

52 Veilige verwerking afgestemd op risico Bij de invulling van deze verplichting biedt de GDPR flexibiliteit.

53 Verwerkingsregister

54 Verwerkingsregister U kan gratis deze templates op aanvraag bij ons verkrijgen

55 Verwerkingsregister U kan gratis deze templates op aanvraag bij ons verkrijgen

56 DPIA (data protection impact assessment) De DPIA is uitsluitend verplicht wanneer de verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Bepaling risico: - evaluatie en beoordeling - stelselmatige observatie - gevoelige gegevens - kwetsbaarheid van de betrokkenen - de grootschaligheid van de verwerking - nieuwe technologie

57 Maatregelen In functie van de geïdentificeerde risico s moet men passende maatregelen nemen om de veiligheid van gegevens te garanderen Organisatorisch Maatregelen Sensibilisering en opleiding Gegevensbeschermingsbeleid Aanduiden van een DPO data protection officer

58 Maatregelen Sensibilisering en opleiding - Sensibiliseer het voltallige personeel om vertrouwd te geraken met gevensbescherming - Deze laagdrempelige maatregel zal het merendeel van de KMO s moeten invoeren.

59 Maatregelen Gegevensbeschermingsbeleid - een gegevensbeschermingsbeleid voor indien dit in verhouding staat tot het risico. Dit betekent dat het management van de KMO een uitdrukkelijk beleid uitdenkt en implementeert. Dit beleid vertaalt zich zowel in technische als organisatorische maatregelen. - Deze maatregel betekent een grotere inspanning die de GDPR niet van elke KMO verwacht

60 Maatregelen Gegevensbeschermingsbeleid - Stel je geen gegevensbeschermingsbeleid op documenteer dit goed waarom je dit niet doet - Onderstaande elementen documenteer je best altijd - een document opstellen dat de verantwoordelijkheden en de verhouding bepaalt tussen de personen die met persoonsgegevens in aanraking komen - een toegangsbeleid uitdenken dat uitsluitend toegang verleent tot persoonsgegevens op een need-toknow -basis - het opstellen van interne procedures om klachten te behandelen en adequaat te reageren op incidenten (bijv. data breach).

61 Maatregelen Aanduiden van een DPO - Sommige verwerkingsverantwoordelijken en verwerkers moeten een data protection officer aanduiden - een overheidsinstantie - de KMO is hoofdzakelijk belast met grootschalige en stelselmatige observatie - de KMO is hoofdzakelijk belast met grootschalige verwerking van gevoelige gegevens

62 Technische Maatregelen

63 Technische Maatregelen Te bekijken domeinen Access control and authentication Logging and monitoring Security of data at rest Server/Database security Workstation security Network/Communication security Back-ups Mobile/Portable devices Application lifecycle security Data deletion/disposal Physical security

64 Technische Maatregelen

65 Technische Maatregelen

66 Technische Maatregelen

67 Technische Maatregelen

68 Technische Maatregelen

69 Technische Maatregelen

70 Technische Maatregelen

71 Technische Maatregelen

72 Technische Maatregelen

73 Technische Maatregelen

74 Technische Maatregelen

75 Technische Maatregelen

76 ICT partners en de Cloud KMO s vaak beroep op externe partijen om persoonsgegevens op te slaan of bepaalde diensten te bekomen (outsourcing). In het jargon van de AVG heten dergelijke dienstverleners verwerkers. Een verwerker is een natuurlijke persoon of rechtspersoon die voor iemand anders (m.n. de verwerkingsverantwoordelijke) persoonsgegevens verwerkt Beoordeel huidige en toekomstige contracten met externe dienstverleners en breng tijdig de nodige veranderingen aan. Hou daarbij rekening met de minimale elementen die artikel 28 AVG voorschrijft, waaronder de verbintenis dat de toevertrouwde persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de KMO mogen worden verwerkt worden. Verwerkersovereenkomst

77 Uw GDPR stappenplan start hier Agenda: 7u45 8u15: Ontvangst met koffie/thee en ontbijtkoeken 8u15 9u00: Overzicht wetgeving doel & verplichtingen 9u00 9u30: Impact op uw organisatie/business model 9u30 10u00: Praktisch plan van aanpak 10u00 10u30: Vragenronde 77

78 Uw GDPR stappenplan start hier Schrijf u in en ontvang onze GDPR toolkit gratis 78