Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

Transcriptie

1 Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan! Brendan Van Alsenoy Studiedag VVSG Privacybescherming in het onderwijs 16 November 2017

2 Bevestiging van bestaande principes Beginselen inzake gegevenskwaliteit Voorwaarden rechtmatige verwerking Bijzondere categorieën gegevens Rechten van de betrokkene Beveiliging Internationale doorgifte

3 Nieuwe elementen en klemtonen Nieuwe klemtonen: Verantwoordingsplicht ( accountability ) Risico-gebaseerde benadering Register, DPO, DPIA, meldplicht, Toestemming, minderjarigen, recht op overdraagbaarheid

4 Centrale principes van de AVG «Verantwoordingsplicht» No one-size-fits-all approach

5 Register van de verwerkingsactiviteiten

6 Achtergrond Richtlijn 1995 Verplichting voor verantwoordelijke om verwerking aan te geven bij DPA AVG, van toepassing vanaf 28 mei 2018 Verplichting tot bijhouden van register van verwerkingsactiviteiten Verwerkingsverant woordelijke Verwerker

7 Op verzoek voorleggen aan toezichthouder Artikel 30 AVG Minimum elementen register VV Naam en contactgegevens Doeleinden Doorgifte Categorieën betrokkenen + persoonsgegevens + ontvangers Bewaartermijn Technische en organisatorische beveiligingsmaatregelen

8 Praktische richtsnoeren Aanbeveling uit eigen beweging (06/2017) Wie, waarom, wat & hoe Voorbeeld ( model ) van register beschikbaar op website CBPL Rubrieken + voorbeeldwaarden Tabel met mapping aangifteformulier

9 Uitzondering KMO s Beperkte uitzondering voor KMO's (onderneming 250 werknemers) Deze zijn hieraan a priori niet onderworpen behalve in drie gevallen: de verwerking die zij verrichten houdt een risico in de verwerking is niet incidenteel de verwerking betreft gevoelige gegevens Privacycommissie beveelt daarom aan dat iedereen een register opmaakt

10 Functionaris voor gegevensbescherming

11 Aanwijzing Aanwijzing (art. 37) VERPLICHT OPTIONEEL overheidsinstantie of overheidsorgaan hoofdzakelijk belast met grootschalige verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie inhouden hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens in andere gevallen kan of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moet een functionaris voor gegevensbescherming aangewezen worden

12 Takenpakket toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker de verwerkingsverantwoordelijke of de verwerker en de werknemers informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen Minimale taken (art. 39) advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan met de toezichthoudende autoriteit samenwerken

13 Positie van de functionaris Positie (art. 38) 3. De DPO is onafhankelijk en ontvangt geen instructies met betrekking tot de uitvoering van zijn taken 1. DPO naar behoren en tijdig betrekken bij alle aangelegenheden die verband persoonsgegevens 4. DPO wordt niet ontslagen of gestraft voor de uitvoering van zijn taken en brengt rechtstreeks verslag uit aan de hoogste leidinggevende 2. DPO ondersteunen bij zijn taken door hem de nodige toegangen te verschaffen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid 6. DS kan met DPO contact opnemen voor het uitoefenen van zijn rechten

14 Veiligheidsconsulent? Aanbeveling 04/2017 Mag de functionaris voor gegevensbescherming ook andere functies vervullen? Veiligheidsconsulent? Risk manager? Personeelsdirecteur? Geen automatische overgang veiligheidsconsulent functionaris Mag niet tot belangenconflict leiden (!)

15 Gegevensbeschermingseffectbeoordeling

16 Artikel 35 AVG Wanneer? Wanneer een soort verwerking een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van personen, moet de verwerkingsverantwoordelijke voorafgaand aan de verwerking een effectbeoordeling doorvoeren Wat? Beschrijving van de verwerking en de doeleinden Beoordeling van de noodzaak en de evenredigheid van de verwerking Beoordeling van de risico s voor de rechten en vrijheden van de betrokkenen De beoogde maatregelen om de risico s aan te pakken Verplichte gevallen Een systematische beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering Grootschalige verwerking van bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten

17 Begrip risico Risico" = de kans ( waarschijnlijkheid ) dat een bepaalde bedreiging zich voordoet, met een welbepaalde impact ( ernst ) tot gevolg Inherent vs. residueel risico inherent = wanneer er geen maatregelen worden genomen; residueel = ondanks maatregelen om het (inherent) risico te beïnvloeden (beperken)

18 Welke risico s? = risico s in verband met rechten en vrijheden naar aanleiding van de verwerking van persoonsgegevens Overweging (75) discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, [ ] wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren [ ]

19 Wanneer is een DPIA verplicht? = wanneer de gegevensverwerking waarschijnlijk een hoog risico inhoudt lijst 9 criteria G29 + lijst van artikel 35(3) AVG + lijsten van de nationale toezichthouder

20 Lijst van artikel 35(3) a) ingeval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, [ ] waarop besluiten worden gebaseerd [ ]; b) ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens [ ]; of c) ingeval van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

21 9 Criteria G29 (WP 248) 1. Evaluatie / scoring / profilering / voorspellen 2. Geautomatiseerde beslissingen 3. Grootschalig monitoren 4. Gevoelige gegevens 5. Grootschalige verwerking 6. Combineren van gegevens uit verschillende bronnen 7. Kwetsbare betrokkenen 8. Nieuwe technologieën 9. Uitsluiting

22 Voorbeelden

23 Hoe? Welke methode? = vrije keuze, op voorwaarde dat: betrouwbaar en objectief minimale elementen AVG + aanvullende richtsnoeren in bijlage 1 van de ontwerp aanbeveling CBPL

24 Essentiële elementen

25 Inbreuk in verband met persoonsgegevens

26 Beveiligingsplicht (art. 32) De verwerkingsverantwoordelijke en de verwerker nemen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen, afgestemd op het risico. Behoorlijk beschermen tegen risico s als gevolg van vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of op een andere wijze verwerkte gegevens. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere persoon die handelt onder zijn gezag en toegang heeft tot persoonsgegevens, slechts onder zijn opdracht verwerken.

27 Melding aan toezichthouder (art. 33) Zonder onredelijke vertraging, uiterlijk 72 uur nadat kennis werd genomen van het datalek inhoud van de meldplicht beschreven in art. 33(3) TENZIJ het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging Verwerkingsverantwoordelijke documenteert intern ALLE datalekken Mededeling aan betrokkene (art. 34) Zonder onredelijke vertraging Mededeling aan de betrokken van tenminste: contactgegevens DPO of ander contactpunt; de waarschijnlijke gevolgen en maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om het datalek en eventuele nadelige gevolgen aan te pakken Verplichte melding indien datalek een hoog risico met zich meebrengt

28 Bijzondere aandachtspunten

29 Verwerker De verwerkingsverantwoordelijke doet uitsluitend beroep op verwerkers die voldoende garanties bieden m.b.t. het toepassen van passende technische en organisatorische maatregelen opdat verwerking conform de verordening gebeurt. De verwerking door een verwerker wordt geregeld in een overeenkomst, die de verwerker t.a.v. de verantwoordelijke verbindt en waarin het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens wordt omschreven. De overeenkomst wordt in geschreven, waaronder elektronische, vorm opgemaakt. Indien een verwerker in strijd met de verordening de doelen en middelen van een verwerking bepaalt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd.

30 Voorwaarden toestemming (Art. 7) De betrokkene geeft toestemming voor de gegevensverwerking voor één of meerdere specifieke doelen Vrij, specifiek, geïnformeerd & ondubbelzinnig (!) Actieve handeling (!) Geen voorwaardelijke toestemming - Aantoonbaar - Betrokkene heeft recht om toestemming te allen tijde in te trekken (zonder effect op de rechtmatigheid van de verwerking voorafgaand aan de intrekking)

31 Toestemming van kinderen (art. 8) Diensten van de informatiemaatschappij Ouderlijke toestemming indien jonger dan 16 (13) jaar Redelijke inspanning om ouderlijke verantwoordelijkheid te controleren

32 Recht op overdraagbaarheid (art. 20) Wanneer? De verwerking berust op toestemming De verwerking is gebaseerd op een overeenkomst De verwerking wordt via geautomatiseerde procedés verricht Wat? Datasubject heeft het recht de hem betreffende persoonsgegevens in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen Datasubject heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt

33 Meer informatie Wat mag u van de Privacycommissie verwachten? Thematische dossiers op de website over de AVG sleutelbegrippen Publicatie van de Europese richtsnoeren Publicatie van FAQ die u als leidraad kan gebruiken Duiding over de wetgeving via de federaties en sectororganisaties