Mei 18 INLEIDING INFORMATIEVEILIGHEID. Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra
|
|
- Monique van den Berg
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Mei INLEIDING INFORMATIEVEILIGHEID Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra
2 PETER BERGHMANS Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute 2
3 LESSENREEKS 5: KLAAR VOOR GDPR > Deel 1: Gegevensbescherming en informatieveiligheid > Deel 2: De stappen voor implementatie van gegevensbescherming Stap 1: Bewustwording en Governance Stap 2: Hoe stel ik een register op van verwerkingsactiviteiten? Stap 3: Hoe voer ik een gegevensbeschermingseffectenbeoordeling uit? Stap 4: Hoe meldt ik een inbreuk? Stap 5: Hoe ga ik om met verwerkers? Stap 6: Welke elementen moeten worden geïmplementeerd m.b.t. de rechten van de patiënt/betrokkene? > Oefening: het opstellen van een register > Deel 3: afsluitende vragenronde 3
4 OVERZICHT VAN DE OPLEIDING Informatieveiligheid in de ouderenzorg
5 DOELSTELLING VAN DE OPLEIDING > Een goed begrip krijgen van wat informatieveiligheid is binnen de context van WZC s > Woonzorgcentra begeleiden in de ontwikkeling van documenten inzake informatieveiligheid > Het ter beschikking stellen en toelichten van templates > Gelegenheid scheppen om hierover vragen te stellen 5
6 LEERDOELEN VOOR ELKE DEELNEMER > kent de voorwaarden voor het verwerken van gezondheidsgegevens > kan deze voorwaarden aftoetsen > kan deze verwerkingsvoorwaarden in een breder kader plaatsen, met name de relevante wetten en regels > Kent de basisbegrippen van informatieveiligheid > Kan een beleidshoofdstuk voor informatieveiligheid schrijven > Kan een informatieveiligheidsplan opstellen en onderhouden > Is in staat om de juiste vragen te stellen over de genomen technische maatregelen inzake informatieveiligheid > Kan een procedure uitschrijven en bewaken voor beleidsthema s > Heeft de kennis om een bewustwordingssessie in te vullen in een zorgorganisatie > Kan rollen en verantwoordelijkheden borgen binnen een zorgorganisatie 6
7 5 KERNDOMEINEN VAN DE OPLEIDING > Begrijpen wat een veiligheidsbeleid is & beheer ervan > De kernprincipes van COT implementeren Bewustwording en opzetten van een organisatiestructuur Beheer van identiteiten, toegangen en logging Beheer van een therapeutische/zorgrelatie Beheer van verwerkers zoals leveranciers Beheer van calamiteiten en incidenten > De basis technische veiligheidsmaatregelen begrijpen > Een plan opstellen m.b.t. informatieveiligheid > Dit plan integreren in de dagelijkse werking en hierover waken 7
8 HOE DOEN WE DIT? 8
9 SESSIE 1: INLEIDING INFORMATIEVEILIGHEID Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/ AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring 9
10 SESSIE2: COT EN MINIMALE VOORWAARDEN Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra 10
11 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier 11
12 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. 12
13 DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. 13
14 DEEL 5: WRAP UP: EEN STAP VERDER Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer 14
15 PRAKTISCHE AFSPRAKEN > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > In de presentatie staan hyperlinks Onderlijnde woorden Figuren 15
16 GEGEVENSBESCHERMING VS. INFOVEILIGHEID Gegevensbescherming in de ouderenzorg
17 17
18 OVERZICHT: WAT IS GDPR? Gegevensbescherming in de ouderenzorg
19 WAT IS GDPR? Transparant Toon aan patiënt/ toezichthouder dat je persoonsgegevens correct verwerkt Rechten Bijkomende rechten voor de betrokkene (beperkte toepassing in zorg) 25 mei 2018 Van kracht op alle organisaties, zonder uitstel Processen Bedrijfsprocessen om risico s te beheren: vb leveranciers & datalekken beheren DPO en alle medewerkers GDPR is voor iedereen, onder waakzaam oog DPO Afdwingbaar Sancties indien je de regels niet toepast Slides!opgemaakt door!https: Alle rechten voorbehouden 19
20 CODE OF CONDUCT ZORGT VOOR VERTALING Sector Verduidelijking Goedkeuring Toezicht Europees Code of conduct zorgt voor een vertaling van de regelgeving. Ze wordt opgesteld door federaties Vertaling van de GDPR principes en zorgen voor een juiste toepassing van de regelgeving De DPA keurt een nieuwe gedragscode of de wijziging daarvan goed Een toezicht door een federatie is mogelijk, na accreditatie door toezichthouder Een gedragscode is nationaal of internationaal van toepassing, afhankelijk van het internationaal karakter Slides!opgemaakt door!https: Alle rechten voorbehouden 20
21 DE IMPLEMENTATIE VAN GDPR IN OUDERENZORG Gegevensbescherming in de ouderenzorg
22 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 22
23 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 23
24 PRIVACY POLICY VS PRIVACY BELEID? > Opgelet, dit zijn geen vaste definities > Privacy policy: meestal de verklaring op een website of onthaal. > Is bedoeld als een kennisgeving naar de patiënt In het kader van de patiëntenrechten Maar ook in het kader van de wetgeving. In GDPR: - Artikel 13: Persoonsgegevens rechtstreeks verkregen - Artikel 14: Persoonsgegevens niet rechtstreeks bij de betrokkene verkregen 24
25 PRIVACY POLICY VS PRIVACY BELEID? > Privacy beleid: ook wel gegevensbeschermingsbeleid > Verplicht document in het kader van de GDPR > Intern beleid, vastgesteld door de directie Benoemt de belangrijkste principes rond gegevensbescherming die de directie nastreeft Omschrijft de verantwoordelijkheden binnen de organisatie Bekrachtigt dat de basisprincipes zoals benoemt in de GDPR worden toegepast, bijzondere aandacht voor risico gebaseerde aanpak - Niet willekeurig een opgelegde lijst met veiligheidsmaatregelen invoeren, maar obv risico analyse relevant maken voor de organisatie 25
26 INHOUD BELEID GEGEVENSBESCHERMING 1 Algemene doelstelling Gegevensbescherming Uitgangspunten van het veiligheidsbeleid, gekoppeld aan de missie en visie van de organisatie 2 Governance structuur - organisatiestructuur Wie krijgt welke verantwoordelijkheden bij het uitvoeren van het beleid voor gegevensbescherming? Zowel bij implementatie als bij uitvoering 3 De functionaris voor de gegevensbescherming Takenpakket, onafhankelijkheid, kennisniveau en tijdsbesteding moet verder worden toegelicht 4 Toepassing van het beleid gegevensbescherming op zorgnetwerken Gegevensbescherming en zorgnetwerken: scope en toepassingsgebied 26
27 VOORBEELDEN VAN EEN BELEID > Zie voorbeeld van een tekst 27
28 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 28
29 INFORMATIE OVER HET REGISTER Leeswijzer 29
30 WAAROM EEN REGISTER? > Vandaag: verwerkingsactiviteiten worden gemeld in een publiek register (aangifte) (consultatie aangifte) > Nieuw principe: aantonen dat je zicht hebt op verwerkingsprocessen door en intern register bij te houden 30
31 WAT IS HET REGISTER? > Bevat informatie over de verrichte verwerking met welk doel worden de gegevens verwerkt welke zijn de categorieën persoonsgegevens waarop de verwerkte gegevens betrekking hebben wie zijn de ontvangers van de gegevens welke is hun bewaartermijn etc. 31
32 Register volgens CBPL HET REGISTER OVERZICHT 32
33 HET WZC LEGT EEN REGISTER AAN > Schriftelijk of elektronisch > Het moet niet op papier en elektronisch beschikbaar zijn. > Het moet helder en begrijpelijk zijn. > Moet worden bijgewerkt in functie van de ontwikkelingen en evoluties van de activiteiten van de onderneming of organisatie. > Van toepassing voor verantwoordelijke en verwerker 33
34 Wat moet in het register? WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen WZC als verwerker Register v. categorieën verwerkingsactiviteiten Naam en contactgegevens van verwerkers en iedere verwerkingsverantwoordelijke voor rekening waarvan men verwerker handelt Categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 34
35 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 35
36 HET BELANG VAN EEN DPIA
37 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden
38 WAAROM EEN DPIA? Aantonen correcte toepassing van GDPR Risico s (inherent) van de verwerking onder controle krijgen. bijvoorbeeld discriminatie identiteitsdiefstal of fraude financiële verliezen reputatieschade verlies van vertrouwelijkheid beroepsgeheim beschermde persoonsgegevens ongeoorloofde ongedaanmaking van pseudonimisering` aanzienlijk economisch of maatschappelijk nadeel Slides!opgemaakt door!https: Alle rechten voorbehouden
39 KENMERKEN VAN EEN DPIA Doel: Specifieke waarschijnlijkheid/ernst risico s beoordelen Wat beoordelen? De geplande maatregelen om de geïdentifceerde risico s te beperken, de persoonsgegevens te beschermen aan te tonen dat aan deze verordening is voldaan Door wie? Verantwoordelijke verwerking op advies van DPO (indien aangesteld) Slides!opgemaakt door!https: Alle rechten voorbehouden
40 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden
41 AANGEWEZEN WANNEER (ARTIKEL 35) Geautomatiseerde, systematische en uitgebreide evaluatie (vb profiling), waarbij het resultaat wordt gebruikt om beslissingen/besluiten te nemen - met juridische consequenties - met gelijkaardige consequenties Bij speciale categorieën van persoonsgegevens (grootschalig) Monitoring van publieke plaatsen (stelselmatig, grootschalig) Slides!opgemaakt door!https: Alle rechten voorbehouden
42 TIMING VAN DE DPIA Voor de verwerking zal plaatsvinden, toetsing bij belangrijke wijzigingen (art. 35 lid 11). Ook bij wijzigingen in technieken vb dataminimalisatie Aanbeveling CBPL: om de 2 jaar Slides!opgemaakt door!https: Alle rechten voorbehouden
43 DPIA AANGEWEZEN ALS wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen; wanneer de verwerking gebruik maakt van genetische gegevens; persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen financiële solvabiliteit van de betrokkene te beoordelen Risicoprofiel betrokkene opmaken in kader dienstverlening aan de betrokkene Inbreuk op persoonsgegevens zou fysieke gezondheid van de betrokkene in gedrang brengen Verwerking financiële/gevoelige persoonsgegevens die (her)gebruikt worden voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij Toestemming Noodzakelijk is voor wettelijke verplichting Slides!opgemaakt door!https: Alle rechten voorbehouden
44 DPIA AANGEWEZEN ALS Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, ) Profiling op grote schaal Grootschalige verwerking persoonsgegevens kinderenvoor andere dan oorspronkelijke doeleinden Meerdere verwerkingsverantwoordelijken zijn van plan een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens; De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden. Slides!opgemaakt door!https: Alle rechten voorbehouden
45 DPIA NIET AANGEWEZEN ALS Loonadministratie van personen in dienst verantwoordelijke voor de verwerking Administratie van personeel (tenzij artikel 9 en 10 gegevens) Boekhouding Administratie van aandeelhouders en vennoten Ledenadministratie, contacten en begunstigden VZW Registratie bezoekers (zie registratiebladen bezoekers) Onderwijsinstellingen in kader van studentenadministratie, onder voorwaarden Slides!opgemaakt door!https: Alle rechten voorbehouden
46 UITZONDERING (RECIT. 91 /LID 4,5 /6 ART. 35) Een verplichting mag niet bij verwerking van patiënten door individuele arts/zorgprofessional cliënten advocaat Wanneer er een wettelijke grond is voor de verwerking (en deze is beoordeeld), dient er geen DPIA te worden uitgevoerd, tenzij anders gesteld Slides!opgemaakt door!https: Alle rechten voorbehouden
47 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden
48 ROL VAN DE VERANTWOORDELIJKE? Draagt de verantwoordelijkheid en kan hierop worden aangesproken Multi-disciplinair team - DPO - Ontwikkelaars - Project lead - Personeelsleden die met de gegevens zullen omgaan - Marketing - Juridische dienst Betrokkenheid door directie (sign off) Slides!opgemaakt door!https: Alle rechten voorbehouden
49 ROL VAN DE VERWERKER? Op verzoek Slides!opgemaakt door!https: Alle rechten voorbehouden
50 ROL VAN DE DPO? bijstand en advies verplicht indien deze is aangesteld Slides!opgemaakt door!https: Alle rechten voorbehouden
51 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden
52 INHOUD DPIA (ART. 35 LID 7)? Beschrijving verwerking en verwerkingsdoel Noodzaak/evenredigheid in functie van doelen Risico s op rechten en vrijheden Maatregelen Slides!opgemaakt door!https: Alle rechten voorbehouden
53 INHOUD DPIA (ART. 35 LID 7)? Een beschrijving van de verwerking en verwerkingsdoel - Categorieën van betrokkenen en van de categorieën van persoonsgegevens; - Ontvangers inclusief derde landen of internationale organisaties - Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie - Beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist Slides!opgemaakt door!https: Alle rechten voorbehouden
54 INHOUD DPIA (ART. 35 LID 7)? Noodzaak/evenredigheid in functie van doelen - Waarom is de verwerking van persoonsgegevens noodzakelijk? - Is voor deze verwerking elke handeling die voorzien is noodzakelijk? - Zijn de middelen die worden aangewend niet te ingrijpend? Slides!opgemaakt door!https: Alle rechten voorbehouden
55 INHOUD DPIA (ART. 35 LID 7)? > Beschrijving maatregelen t.a.v. de bescherming van de persoonsgegevens om in regel te zijn met GDPR incl rechten betrokkenen en eventuele derden > Waar aanwezig: moet in lijn liggen met bestaande Code Of Conducts. Dit moet worden aangetoond (lid 8) Slides!opgemaakt door!https: Alle rechten voorbehouden
56 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden
57 ENKELE VOORBEELDEN DPIA Norea checklist Publieke PIA Template van een DPIA Slides!opgemaakt door!https: Alle rechten voorbehouden
58 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 58
59 Hoe omgaan met leveranciers? Welke handelingen mag de leverancier uitvoeren met de persoonsgegevens die moeten worden verwerkt?. Welke afspraken m a a k j e m e t d e l e v e r a n c i e r o v e r informatieveiligheid? - Product - Ondersteuning B i j k o m e n d e verplichtingen door nieuwe regelgeving ( bijstandsverplichting) Link naar een voorbeeld Gegevensbescherming Link naar voorbeeld Informatieveiligheid Bijstand verlenen in geval van lekken Bijstand bij DPIA GDPR verplichtingen Slides!opgemaakt door!https: Alle rechten voorbehouden
60 ONDERDELEN VAN EEN OVEREENKOMST Checklist Overeenkomst 60
61 EXTRA GDPR VERPLICHTINGEN: DE LEVERANCIER ZAL > Alle maatregelen nemen die vereist zijn overeenkomstig artikel 32 > Voldoen aan de in de artikelen 28.2 en 28.4 van Verordening bedoelde voorwaarden voor het in dienst nemen van een andere verwerker. De leverancier zal niet zonder een schriftelijke bevestiging onderaannemer(s) aanstellen OF Het WZC hiervan in kennis stellen met het recht op verzet > Het WZC door middel van passende technische en organisatorische maatregelen bijstand verlenen bij de uitoefening van de rechten van de betrokkene > Het WZC bijstand verlenen bij het doen nakomen van de verplichtingen bepaald in de artikelen van Verordening 2016/679. > Het WZC alle informatie ter beschikking stellen die nodig is om de nakoming aan te tonen van de verplichtingen bepaald in artikel 28 van Verordening 2016/679 (audits) 61
62 ANDERE VERWERKERS IN HET WZC > CRA? > Huisarts? > Zelfstandige zorgverleners vb kiné? > Telkens verantwoordelijkheid bepalen Vb wat is de verantwoordelijkheid van de huisarts t.a.v. het WZC? 62
63 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 63
64 DE VERPLICHTINGEN INZAKE DATALEKKEN Intern register Melding wordt opgenomen in een intern register Melding DPA Melding aan de gegevensbeschermingsautoriteit Melding betrokkene Betrokkene wordt op de hoogte gebracht 20% 50% 70% LOW Doubt High Slides!opgemaakt door!https: Alle rechten voorbehouden 64
65 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 65
66 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 66
67 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 67
68 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 68
69 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 69
70 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 70
71 Bezwaar 03 Beperkt van toepassing op gezondheidsgegevens Inzage 05 Zie rechten van de patiënt Geen geautomatiseerde individuele besluiten 04 Beperkt van toepassing. Wanneer ooit wachtlijsten of EBD s verder worden geautomatiseerd bijvoorbeeld Toestemming intrekken 02 Enkel wanneer een toestemming gegeven is, beperkt toepasbaar. Informatie Privacy policy voor de patiënt, in lijn met de patiëntenrechten en nieuwe GDPR bepalingen Overdraagbaar 06 Enkel in specifieke gevallen, dus beperkte relevantie. Zie ook uitwisseling ehealth. Verbetering 07 Beperkt van toepassing in de zorg. Schrapping 08 Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht Vergeten 09 Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht Beperkte verwerking 10 Impact nader te bekijken. Wat als patiënt een element in een dossier in twijfel trekt? Meestal notitie in EBD 71
72 EN NU OEFENEN Toepassing van een verwerkingsregister in WZC s
73 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 73
74 74
75 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 75
76 DATAREGISTER VS REGISTER VERWERKINGSACTIVITEITEN > Dataregister: Som alle data elementen op die in de informatieomgeving aanwezig zijn Realisatie door een opsomming van de informatiesystemen en hun data-objecten > Register van verwerkingsactiviteiten: Som alle verwerkingsactiviteiten op. Dit is eigenlijk de definitie van uw organisatie (visie, missie en doelstellingen van de organisatie) 76
77 Niveau 0 (L0) Sturing en verantwoording Samenwerking Zorg Zorgprocesondersteuning Bedrijfsondersteuning Foto: Nictiz referentiemodel 77
78 Niveau 1 (Voorbeeld)(L1) Zorg In/uit zorg Verpleging en verzorging Behandeling Gemak en Welzijn Foto: Nictiz referentiemodel 78
79 Niveau 2 (Voorbeeld) Domein Zorg Verpleging en verzorging Zorgleefplan Levering zorg Foto: Nictiz referentiemodel 79
80 Niveau 3 (Voorbeeld) Verwerkingsactiviteit Zorg Verpleging en verzorging Zorgleefplan Opstellen van zorgplan Zorgregistratie Aanpassen van het zorgplan Monitoren van Katz Schaal Observaties Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner. Foto: Nictiz referentiemodel 80
81 WAAROM KIEZEN VOOR > Niveau 1 Minste werk voor het opstellen/bijwerken Minimale GDPR implementatie Duidelijke en eenvoudige communicatie > Niveau 2 > Niveau 3 Betere definitie van de domeinen Meer mogelijkheid om de verwerkingsdoelen en hun verwerkingsgronden uit te leggen Duidelijke en eenvoudige communicatie Optimale controle over de verwerkingsdoelen en hun overeenkomstige gronden Betere controle op alle leveranciers en andere verwerkers Betere controle over de middelen die ingezet worden tijdens de verwerking 81
82 WELKE KEUZE MAKEN? > Antwoord vinden op de vraag in welke mate je eerder minimale conformiteit nastreeft (niveau 1 en 2) > Of eerder controle wenst te krijgen op de informatieomgeving en bijvoorbeeld de leveranciers die betrokken zijn bij de verwerking specifieke verwerkingsdoelen Verschillende ontvangers van de persoonsgegevens bewustwording over welke activiteiten je uitvoert en de overeenkomstige veiligheidscriteria 82
83 WAAR VIND JE DE VERWERKINGSDOELEN NIVEAU 0/1/2/3? 83
84 Foto: Nictiz referentiemodel Niveau 3 Zorg Verpleging en verzorging Zorgleefplan Monitoren van Katz Schaal Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner. 84
85 85
86 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 86
87 CATEGORIEËN VAN BETROKKENEN EN CATEGORIEËN PERSOONSGEGEVENS 87
88 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 88
89 ONTVANGERS 89
90 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 90
91 DOORGIFTEN 91
92 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 92
93 BEWAARTERMIJN 93
94 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 94
95 ALGEMENE TECHNISCHE/ORGANISATORISCHE MAATREGELEN 95
96 TOEVOEGINGEN > Soms zinvol om toevoegingen in het register te voorzien: Toevoeging 1: Elementen met het oog op een risico-evaluatie - Vb extra documentatie aanleggen over de verwerkingsgrond, zoals het gerechtvaardigd belang? - Vb specifieke kenmerken van de verwerking zoals profiling edm? Toevoeging 2: Elementen met het oog op leveranciersadministratie (Geen voorbeeld in slides) - Leveranciers nominatief opsommen met het oog op vendor assessment Toevoeging 3: Opsommen van de applicaties - Met het oog op een applicatiecatalogus > Opletten: maakt het verwerkingsregister minder statisch Zijn de toevoegingen elders al voorzien in een proces - Vb Aankoopdienst (indien beheer van leveranciers al voorzien is in het aankoopproces) - Vb ICT dienst (indien er al een applicatiecatalogus is) Dan is het verwerkingsregister mogelijk niet de juiste plaats! 96
97 TOEVOEGING 1: RISICO-EVALUATIE 97
98 TOEVOEGING 3: APPLICATIECATALOGUS 98
99 VRAGEN VOOR DE DEELNEMERS (GROEPSWERK) > Kan je de lijst van verwerkingsactiviteiten (niveau 0, 1, 2 en 3) valideren en input geven ter verbetering? > Kan je een verwerkingsactiviteit (niveau 3) kiezen en deze uitwerken? Bij voorkeur andere verwerkingsactiviteiten per deelnemende groep > Nadien bespreken we jullie bevindingen en resultaten in groep 99
IT VEILIGHEID VOOR NIET ICT-ERS
///////////////////////////////////////// IT VEILIGHEID VOOR NIET ICT-ERS bit en byte zonder ééntjes en nullen ///////////////////////////////////////// PETER BERGHMANS /////////////////////////////////////////
Nadere informatieINLEIDING INFORMATIEVEILIGHEID
///////////////////////////////////////// INLEIDING INFORMATIEVEILIGHEID Opleidingsdag informatieveiligheid dag 1: Wat is informatieveiligheid? ///////////////////////////////////////// PETER BERGHMANS
Nadere informatieInformatieveiligheid ewzc
Doelstelling Informatieveiligheid ewzc Het doel van deze reeks van vijf opleidingen is om u op weg te helpen met het opstellen van een veiligheidsbeleid bij het verwerken van persoonsgegevens. Zo kan u
Nadere informatieCOT EN MINIMALE VOORWAARDEN
///////////////////////////////////////// COT EN MINIMALE VOORWAARDEN Opleidingsdag informatieveiligheid dag 2: Toetreden tot een COT Versie 12 april ///////////////////////////////////////// PETER BERGHMANS
Nadere informatieDAG 4 INCIDENTEN EN CONTINUITEIT
///////////////////////////////////////// DAG 4 INCIDENTEN EN CONTINUITEIT ///////////////////////////////////////// PETER BERGHMANS ///////////////////////////////////////// Peter Berghmans Veiligheidsborger
Nadere informatieAlgemene Verordening Gegevensverwerking ( GDPR )
Algemene Verordening Gegevensverwerking ( GDPR ) What s new? Anouk Focquet 27 april 2017 Minervastraat 5, 1930 Zaventem, T +32 (0)2 275 00 75, F +32 (0)2 275 00 70, www.contrast-law.be What s new in de
Nadere informatieAanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018
Aanpak AVG Rob Hendriks Hoofd ICT 23 januari 2018 - voorbereiding - aanpak - actiepunten - aandachtspunten agenda wat, maar niet hoe https://autoriteitpersoonsgegevens.nl 1. het AVG-team: directiesecretaris
Nadere informatieHandvatten bij de implementatie van de AVG
Handvatten bij de implementatie van de AVG 2017 zal voor veel organisaties in het teken staan van de Algemene Verordening Gegevensbescherming (AVG). Althans, dat zou zo moeten zijn, want in mei 2018 wordt
Nadere informatieKrachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!
Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan! Brendan Van Alsenoy Studiedag VVSG Privacybescherming in het onderwijs 16 November 2017
Nadere informatieALGEMENE VERORDENING GEGEVENSBESCHERMING
ALGEMENE VERORDENING GEGEVENSBESCHERMING 1. SITUERING 1.1. WETTELIJK KADER IN BELGIË Belgische Privacywet Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking
Nadere informatieDe General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje
De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje 1. 25 mei 2018: GDPR treedt in voege Over iets minder dan een jaar, op 25 mei 2018, verkrijgt de General Data Protection
Nadere informatieDe Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan
De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan Jolien Dewaele, 25 januari 2018 De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR)
Nadere informatieHulpverleningszones: tijd voor een zonaal verhaal 21 november 2016
Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016 #vvsgbwcongres Hoe omgaan met privacygevoelige gegevens? peter@berghmans.org - 0475951516 #vvsgbwcongres dank aan Sabine Van Dooren Katrien
Nadere informatieAlgemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017
1 Algemene verordening gegevensbescherming en veranderingen voor gemeenten Alex Commandeur 21 april 2017 Overzicht Wat doet de Autoriteit Persoonsgegevens 2018: nieuwe Europese privacywetgeving (AVG) Accountability
Nadere informatieDokter, dokter, wat is er met mijn privacy? Verwerken van persoonsgegevens in de zorg
Dokter, dokter, wat is er met mijn privacy? Verwerken van persoonsgegevens in de zorg Peter Berghmans Peter Berghmans Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven
Nadere informatieData Protection Same Game, Other Rules
Data Protection Same Game, Other Rules Overzicht IN THEORIE 1. Inleiding en definities 2. Rechtsgrond voor de verwerking 3. Rechten van de betrokkene 4. Verantwoordelijke v.v.en verwerker: rechten en plichten
Nadere informatieGDPR. een stand van zaken
GDPR een stand van zaken GDPR een stand van zaken Op 25 mei treedt de nieuwe Europese privacywetgeving (GDPR) in werking. Dit heeft impact op u als zorgverlener die met gevoelige gegevens omgaat. Het is
Nadere informatieINTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding
INTERN PRIVACYBELEID M.A.G. Wijshoff 1. Inleiding Dit is het privacybeleid van M.A.G. Wijshoff. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens in het kader van zowel
Nadere informatiePrivacy wetgeving: Wat verandert er in 2018?
Privacy wetgeving: Wat verandert er in 2018? Werkgevers verwerken op grote schaal persoonsgegevens van hun werknemers. Vanaf mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieOpleidingssessies informatieveiligheid
ewzc-programma Opleidingssessies informatieveiligheid in het kader van het informatiseringstraject van de Vlaamse Woonzorgcentra (WZC) Fase 1: Wat is informatieveiligheid? 1 peter@berghmans.org 2 Doelstelling
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieImpact AVG op de lokale overheden
voor het elektronische bestuurlijke gegevensverkeer Impact AVG op de lokale overheden Caroline Vernaillen Anne Teughels september 2016 Wie zijn wij? o De voor het elektronische bestuurlijke gegevensverkeer
Nadere informatieGDPR en wat nu? Marlies Eggermont Juni 2018 VBOV
GDPR en wat nu? Marlies Eggermont Juni 2018 VBOV marlieseggermont@hotmail.com I. Wat? General Data Protection Regulation (GDPR) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april
Nadere informatieNieuwsbrief AVG Social Profit
Nieuwsbrief AVG Social Profit 1. Algemeen Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming ( AVG of in het Engels afgekort GDPR ) van toepassing zijn in de gehele Europese Unie. Deze verordening
Nadere informatieAlgemene Verordening Gegevensbescherming
Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze vervangt de Wet bescherming persoonsgegevens. Met de komst van deze
Nadere informatieINTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant
INTERN PRIVACYBELEID Frans van Hattum / Praktijk Octant 1. Inleiding Dit is het privacybeleid van Frans van Hattum. Dit privacybeleid heeft betrekking op het verwerken van (bijzondere) persoonsgegevens
Nadere informatieAVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS
AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS VERANTWOORDINGSPLICHT Privacybeleid Dit beleid beschrijft hoe de technische en organisatorische bescherming van persoonsgegevens is uitgewerkt. In
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatiePRIVACY REGLEMENT ORIONIS WALCHEREN
PRIVACY REGLEMENT ORIONIS WALCHEREN Versie 1.0 d.d. 14-03-2018 0 Inhoud 1. Inleiding... 2 2. Wetgeving en definities... 2 3. Reikwijdte... 3 4. Verantwoordelijke... 3 5. Verwerkingen... 3 6. Transparantie
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieGDPR en wat nu? Marlies Eggermont oktober 2018 VBOV
GDPR en wat nu? Marlies Eggermont oktober 2018 VBOV marlieseggermont@hotmail.com I. Wat? General Data Protection Regulation (GDPR) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27
Nadere informatieVandaag Zorgvernieuwing
Vandaag Zorgvernieuwing Christian Hanouwer, Adviseur Zorgvernieuwing Christian.hanouwer@vandaagzorgvernieuwing.nl 06 18 52 74 02 Pedro Nijsen, Managing Director Business Developer pedro.nijsen@vandaagzorgvernieuwing.nl
Nadere informatiemhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen
mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen Agenda mhealth en privacy: wanneer mogen er medische persoonsgegevens verwerkt worden? Hoe ziet het toezicht van de Autoriteit Persoonsgegevens
Nadere informatiePrivacyverklaring VVET
Privacyverklaring VVET Versie 25-05-2018 1 Inhoudsopgave 1. Inleiding... 3 2. Wetgeving... 3 3. Definities... 3 4. Reikwijdte... 4 5. Verantwoordelijke... 4 6. Verwerkingen (Artikel 4, AVG)... 4 7. Transparantie
Nadere informatieGDPR sessie. GDPR-sessie. scwitch
GDPR sessie Inhoud sessie 1. korte inleiding 2. analyse en inventarisatie (1u) 3. opmaak register (1u) 4. rechten betrokkenen 5. standaardmaatregelen GDPR-compliancie 6. contracten met externe dienstverleners
Nadere informatiePrivacyreglement Gemeente Krimpen aan den IJssel
Privacyreglement Gemeente Krimpen aan den IJssel In dit reglement laat Gemeente Krimpen aan den IJssel zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy en wat er wettelijk wel
Nadere informatieOpleiding Aanspreekpunt Informatieveiligheid
Opleiding Aanspreekpunt Informatieveiligheid gino.demeester@katholiekonderwijs.vlaanderen bert.cauwenberg@katholiekonderwijs.vlaanderen peter.declerck@katholiekonderwijs.vlaanderen Dag 3 Dagindeling De
Nadere informatieAlgemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen
Algemene Verordening Gegevensbescherming Skipr Masterclass 3 april 2018 Sofie van der Meulen Waarom en wanneer Kern van de AVG Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit
Nadere informatieHoe omgaan met verwerkers?
Hoe omgaan met s? Johan Vandendriessche Partner Crosslaw Gastprofessor ICT-recht UGent HoWest j.vandendriessche@crosslaw.be www.crosslaw.be Het begrip Verwerker een natuurlijke persoon of rechtspersoon,
Nadere informatieINFORMATIEVEILIGHEID OOSTENDE.BE ALGEMENE PRIVACYVERKLARING VAN DE STAD OOSTENDE
contactpersoon Louis Malfait Functionaris voor Gegevensbescherming privacy@oostende.be ALGEMENE PRIVACYVERKLARING VAN DE STAD OOSTENDE datum: versie 26.11.2018 OOSTENDE.BE INFORMATIEVEILIGHEID CONTEXT
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieDinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)
Dinsdag 13 december 2016, 16.00 18.00 uur Rowena van den Boogert (Eldermans Geerts) Nu: Richtlijn 95/46/EG Straks: Verordening 2016/679 Implementatiewet AVG en Veegwet AVG (beleidsneutrale implementatie)
Nadere informatiePrivacy reglement. Pagina 1 van 9
Privacy reglement Pagina 1 van 9 Inhoud Privacy reglement... 3 Wetgeving en definities... 3 Reikwijdte... 4 Verantwoordelijke... 4 Verwerkingen (Artikel 4, AVG)... 4 Doeleinden (Artikel 5, AVG)... 4 Rechtmatige
Nadere informatiechecklist in 10 stappen voorbereid op de AVG. human forward.
checklist in 10 stappen voorbereid op de AVG. human forward. checklist: in 10 stappen voorbereid op de AVG Het zal u vast niet ontgaan zijn: per 25 mei 2018 moet uw organisatie voldoen aan nieuwe privacyregels.
Nadere informatieGDPR. online GDPR sessie!
GDPR online GDPR sessie! Emmanuel Steyaert (T&C Blue Horizon) GDPR-expert! Luk Tas (scwitch) projectmanager / GDPR! Stefan Ost (NXT-PRO) expert digitale leeroplossingen! GDPR General Data Protection Regulation!
Nadere informatiePrivacyverklaring Therapeuten VVET
Privacyverklaring Therapeuten VVET Versie 25-05-2018 1 Inhoudsopgave 1. Inleiding... 3 2. Wetgeving... 3 3. Definities... 3 4. Reikwijdte... 4 5. Verantwoordelijke... 4 6. Verwerkingen (Artikel 4, AVG)...
Nadere informatiePrivacyreglement Gemeente Tiel
Privacyreglement Gemeente Tiel In dit reglement laat de gemeente Tiel zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Privacy
Nadere informatieDE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO De Algemene verordening gegevensbescherming Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf
Nadere informatiePrivacyreglement Senzer
Privacyreglement Senzer In dit reglement laat Senzer zien op welke manier zij omgaat met persoonsgegevens en privacy en wat er wettelijk wel en niet verantwoord is. Senzer is verplicht om zorgvuldig en
Nadere informatiePrivacyreglement WSVH
Privacyreglement WSVH In dit reglement laat de vereniging WSVH zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Privacy speelt
Nadere informatiePrivacy Maturity Scan (PMS)
Privacy Maturity Scan (PMS) Versie 1.0 / Wijzigingsdatum 02-03-2018 Uw vraag Als organisatie wilt u minimaal voldoen aan de wet- en regelgeving en u wilt zich optimaal voorbereiden op de nieuwe Europese
Nadere informatiede Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.
Privacy Beleid Binnen de Finenzo Alkmaar, gevestigd aan de Keesomstraat 6-e te Alkmaar, wordt veel gewerkt met persoonsgegevens van betrokkenen, medewerkers en (keten)partners. Persoonsgegevens zijn gegevens
Nadere informatieAgenda. De AVG: wat nu?
De AVG: wat nu? 1 Agenda 1. Welke wetgeving kennen we? 2. Soorten gegevens 3. Uitgangspunten van de Wbp 4. Uitgangspunten AVG/GDPR 5. Verwerkersovereenkomsten 6. Uitwisselen van gegevens 7. Datalekken
Nadere informatiePRIVACY REGLEMENT PSYCHIATRISCH CENTRUM SINT-HIËRONYMUS
PRIVACY REGLEMENT PSYCHIATRISCH CENTRUM SINT-HIËRONYMUS Inleiding: Het beleid voor gegevensbescherming Psychiatrisch Centrum Sint-Hiëronymus Voor het Psychiatrisch Centrum Sint-Hiëronymus is het beschermen
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieVoorbeeld van een veiligheidsbeleid
Voorbeeld van een veiligheidsbeleid 1 1 Doelstelling Deze tekst is en voorbeeld van een veiligheidsbeleid. De tekst geeft aan op welke manier een beleid voor informatieveiligheid onderdeel is van de visie
Nadere informatieondersteuning beheer van je organisatie vzw-wetgeving GDPR dagelijkse organisatie en beleid
ondersteuning beheer van je organisatie vzw-wetgeving GDPR dagelijkse organisatie en beleid Wat is GDPR Wat betekent dit voor mijn organisatie Hoe pak ik dit aan Geldt GDPR ook voor mijn organisatie? JA
Nadere informatiePrivacyreglement Werkzaak Rivierenland
Werkzaak Rivierenland hecht veel waarde aan de bescherming van uw privacy. Alle informatie die u ons verstrekt, wordt vertrouwelijk behandeld. Persoons- of adresgegevens worden uitsluitend gebruikt waarvoor
Nadere informatieAlgemene verordening gegevensbescherming
Algemene verordening gegevensbescherming 1 Programma Inleiding Waarom AVG? Wat is de AVG? Globale verschillen met Wbp Handhaving De AVG op hoofdlijnen Wat kunt u van BNL verwachten? Vragen 2 Waarom AVG?
Nadere informatie1. Inleiding. Aan bod komen de volgende onderwerpen:
INTERN PRIVACYBELEID Praktijk Psychotherapie van Gennip; A.E.M. van Gennip, klinisch psycholoog. Wildekamp 40 6721JD Bennekom www.psychotherapievangennip. 1. Inleiding Dit is het privacy beleid van Praktijk
Nadere informatieInformatieveiligheid, de praktische aanpak
Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie
Nadere informatieWHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)
WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people. Contents 3 Wat is de AVG? 4 Verwerkersovereenkomst 6 Roadmap naar de nieuwe verwerkersovereenkomst
Nadere informatieGDPR. To panic or not to panic?
GDPR To panic or not to panic? 1. GDPR wat is dat? 2 (N)IETS NIEUWS ONDER DE ZON? GDPR = General Data Protection Regulation Richtlijn (1995) Verordening (2016) Van kracht : 25 mei 2018 Smartphones, e-commerce,
Nadere informatieINTERN PRIVACY BELEID WET AVG 2018 Praktijk Kracht door balans Mevr. Drs. D.M. (Daniëlle) Matto GZ-psycholoog
INTERN PRIVACY BELEID WET AVG 2018 Praktijk Kracht door balans Mevr. Drs. D.M. (Daniëlle) Matto GZ-psycholoog Algemene Verordening Gegevensbescherming (AVG) Dit privacybeleid heeft betrekking op het verwerken
Nadere informatieAlgemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG) Waar gaan we het over hebben? Waarom de AVG? Wanneer is de AVG van toepassing? Wat betekent de AVG voor uw onderneming? Enkele tips! Waarom de AVG? Richtlijn
Nadere informatieWelkom. ICT-Kring Delft bijeenkomst 4 december 2017
Welkom ICT-Kring Delft bijeenkomst 4 december 2017 Programma Welkom Komende activiteiten Ondernemers prijs Beste ICT idee 2018, ICT-kring Delft Presentatie Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieGDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E
GDPR voor providers Woensdag 28 maart 2018 14.15-15.00 uur mr. Michelle Wijnant ICTRecht CIPP/E PROGRAMMA: GDPR MASTERCLASS Ontwikkeling privacywetgeving begrippen Rolverdeling beginselen AVG: 10 belangrijkste
Nadere informatieCursus privacyrecht Jeroen Naves 7 september 2017
Cursus privacyrecht Jeroen Naves 7 september 2017 Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim
Nadere informatieStichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN
Stichting Honkbalweek Haarlem Privacy beleid 2018 2022 SAMENWERKEN en VERBINDEN Privacy beleid Stichting Honkbalweek Haarlem Onze stichting werkt met persoonsgegevens ter promotie van ons evenement. Dit
Nadere informatiePRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.
PRIVACY POLICY 1. Algemeen waarvoor dient deze privacy policy? 1.1. De website beschikbaar op het adres https:www.pauline-brood.be (hierna: de Website ) wordt uitgebaat door en is eigendom van Sint Paulus
Nadere informatieCompany statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7
Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene
Nadere informatieBlockchain Smart Contracts AVG
Blockchain Smart Contracts AVG 1 november 2017 Teun de Heer Werkzaam bij: De IT-jurist Blockchain: een revolutionaire technologie? Revolutie: nieuwe mogelijkheden nieuwe problemen Blockchain: effectief,
Nadere informatieGDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist
GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist 1 Over dejuristen dejuristen Amsterdam is een juridisch nichekantoor
Nadere informatieAVG Algemeen PRIVACYREGLEMENT
AVG Algemeen PRIVACYREGLEMENT Autoriteit Persoonsgegevens ( AP ): de toezichthoudende autoriteit. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. In dit geval personeel-(sleden) Welzijn
Nadere informatiePraktijkmiddag AVG: de eerste ontwikkelingen. Liesbeth Woolschot Marieke Thijssen Monique Hennekens
Praktijkmiddag AVG: de eerste ontwikkelingen Liesbeth Woolschot Marieke Thijssen Monique Hennekens 2 4-10-2018 Praktijkmiddag AVG: de eerste ontwikkelingen Programma De AVG: hoe zit het eigenlijk? Wat
Nadere informatiePRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.
PRIVACY POLICY 1. Algemeen Waarvoor dient deze privacy policy? 1.1. De website beschikbaar op het adres www.thebunkers.be (hierna: de Website ) wordt uitgebaat door en is eigendom van BiS Beheer Comm VA,
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatiePRIVACYBELEID KINDERTUIN
PRIVACYBELEID KINDERTUIN IMPLEMENTATIE ALGEMENE VERORDENING GEGEVENSBESCHERMING 25-05-2018 AANLEIDING: In verband met de op handen zijnde wijzigende wetgeving hebben wij een aantal zaken rondom gegevensverwerking
Nadere informatieVoorbereid op de nieuwe privacywet in 10 stappen
Algemene Verordening Gegevensbescherming Voorbereid op de nieuwe privacywet in 10 stappen Een publicatie van LAYLO // office@laylo.nl // www.laylo.nl // 085-0202563 Nieuwe wetgeving Per 25 mei 2018 treed
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieIn regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.
In regel met GDPR Op 25 mei 2018 moeten bedrijven voldoen aan de voorschriften van de nieuwe Europese Algemene Verordening Gegevensbescherming, de General Data Protection Regulation ( GDPR ). Veiligheid
Nadere informatieAlgemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA)
Algemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA) Commissie voor de bescherming van de persoonlijke levenssfeer Caroline
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieGezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies
Company Statement Algemene verordening gegevensbescherming V.20170303 - RGD Solutions Pagina 1 van 5 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 isde Algemene verordening gegevensbescherming
Nadere informatiePrivacybeleid Today s Groep
Privacybeleid Today s Groep Onder de Today s Groep vallen Today s Vermogensbeheer en For Tomorrow Binnen Today s wordt veel gewerkt met persoonsgegevens. Persoonsgegevens worden voornamelijk verzameld
Nadere informatieWet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen?
Wet bescherming persoonsgegevens vervangen door nieuwe Europese regelgeving. Wat zijn de gevolgen? Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Het is Europese
Nadere informatiePrivacyverklaring. White Whire bvba, hierna White Whire. Datum laatst aangepast: Datum laatste goedkeuring directie: Opgesteld door:
Privacyverklaring White Whire bvba, hierna White Whire Datum laatst aangepast: 20180925 Datum laatste goedkeuring directie: Opgesteld door: Intern Inhoudsopgave Algemeen... 3 1 Wie is White Wire, en wat
Nadere informatiePRIVACY POLICY. Wij raden u ten stelligste aan deze privacy policy zorgvuldig door te nemen.
PRIVACY POLICY 1. Algemeen waarvoor dient deze privacy policy? 1.1. De website beschikbaar op het adres www.debrandt.be (hierna: de Website ) wordt uitgebaat door en is eigendom van NV De Brandt, met ondernemingsnummer
Nadere informatieBetrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
In dit reglement laat gemeente Woudenberg zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Privacy speelt een belangrijke rol in
Nadere informatieHoe word ik Privacy-proof? 21 november 2017
Hoe word ik Privacy-proof? 21 november 2017 Programma: 1. Inleiding 2. In 10-stappen grip op gegevensbescherming 3. Ondersteuning Adfiz 4. Vragen? 2 AM dag 21 november 2017 Kerndefinities AVG Persoonsgegevens:
Nadere informatiePrivacyverklaring. FROS Multisport Vlaanderen hecht veel waarde aan je privacy en de bescherming van je persoonsgegevens.
Privacyverklaring 1. Algemeen FROS Multisport Vlaanderen hecht veel waarde aan je privacy en de bescherming van je persoonsgegevens. In deze privacyverklaring willen we heldere en transparante informatie
Nadere informatieALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn
ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn 1. Inleiding Met ingang van 25 mei 2018 moet iedere organisatie voldoen aan de AVG. Hierin zijn regels gesteld voor alle organisaties die gegevens
Nadere informatieWaarom informatieveiligheid. Omdat het actueel is:
Waarom informatieveiligheid Omdat het actueel is: Informatieveiligheid Maatregelen die ervoor zorgen dat de betrouwbaarheid van informatie behouden blijft, en incidenten worden vermeden Vertrouwelijkheid
Nadere informatiePrivacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen
1. Algemene bepalingen 1.1. Doel Het zorgvuldig en vertrouwelijk omgaan met persoonsgegevens van cliënten, medewerkers en derden is onderdeel van de dagelijkse werkzaamheden binnen Stichting Fonds Hartewensen
Nadere informatiePRIVACY VOORWAARDEN. Pagina 1 6
PRIVACY VOORWAARDEN 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen
Nadere informatieDe impact van Cybercrime & GDPR
De impact van Cybercrime & GDPR Agenda 1 2 3 GDPR in vogelvlucht Compliance Checker Waar te beginnen? GDPR in vogelvlucht Meldplicht datalekken 1+ jaar na intrede 01-01-2016: WBP en Meldplicht Nederland
Nadere informatieAlgemene begrippen AVG
Vooraf: dit document is bedoeld om informatie te geven en vragen te beantwoorden over de gevolgen van de AVG voor Medlon. Hoewel het soms gaat om juridische begrippen en concepten mag dit document niet
Nadere informatieGezondheids- en voortgangsgegevens worden vastgelegd met als enig doel uw behandeling.
Samenwerkende Psychologen Valkenburg Gezamenlijke naam: CuraMentis Website: www.curamentis.nl Zes vrijgevestigde psychologen Kerkweg 2, 2235 BC Valkenburg INTERN PRIVACY BELEID WET AVG 2018 Algemene Verordening
Nadere informatie