Algemene Verordening Gegevensverwerking ( GDPR )

Transcriptie

1 Algemene Verordening Gegevensverwerking ( GDPR ) What s new? Anouk Focquet 27 april 2017 Minervastraat 5, 1930 Zaventem, T +32 (0) , F +32 (0) ,

2 What s new in de GDPR? 1. Rechten van de betrokkenen Verduidelijking / uitbreiding bestaande rechten Nieuwe rechten 2. Verplichtingen van de verantwoordelijke Accountability (incl. technische en organisatorische maatregelen) Privacy by design & by default Register v/d verwerkingsactiviteiten DPIA 2

3 Vooraf Tot EUR of 2% wereldwijde jaaromzet Art. Tot EUR of 4% wereldwijde jaaromzet Art. Toestemming verwerking gegevens kinderen 8 Basisbeginselen voor verwerking (bv. voorw. toest.) 5-7, 9 Privacy door ontwerp en standaardinstellingen 25 Rechten betrokkenen Overeenkomst tussen gezamen. verantwoordelijken 26 Doorgiften buiten EU Aanstelling van vertegenwoordiger in EU 27 Nationaal recht onder Hoofdstuk Verplichtingen verantwoordelijken t.a.v. verwerkers 28 Niet naleven van bevel/onderz. door toezichthouder 58 Verwerkers: enkel verwerken op instructie van en enkel sub-verwerkers na toestemming van verantw Register 30 Samenwerken met toezichthouder 31 Technische en organisatorische maatregelen 32 Meldplicht datalekken Privacy impact assessment Aanstellen Data Protection Officer Handhaving code of conduct door controlemechan. 41 3

4 1. Rechten v/d betrokkenen 4

5 Bestaande rechten Informatie / transparantie Inzage Rectificatie Gegevenswissing Bezwaar Geautomatiseerde besluitvorming 5

6 I N F O R M A T I E / T R A N S P A R A N T I E 6

7 Bestaande rechten Informatie / transparantie Inzage Rectificatie Gegevenswissing Bezwaar Geautomatiseerde besluitvorming 7

8 Nieuwe rechten Beperking van verwerking Overdraagbaarheid ( data portability ) 8

9 Recht op beperking van verwerking = persoonsgegevens enkel opslaan, niet verwerken (gebruiken) tenzij: Toestemming van de betrokkene Voor een rechtsvordering Bescherming van andere NP of RP Gewichtige redenen van algemeen belang 9

10 Recht op beperking van verwerking Wanneer? Betwisting over de juistheid Verwerking = onrechtmatig Rechtsvordering v/d betrokkene In afwachting v/h antwoord op bezwaar 10

11 Data portability = Overdracht in een gestructureerde, gangbare en machineleesbare vorm Wanneer? Verwerking o.b.v. toestemming of uitvoering van een overeenkomst, en Verwerking gebeurt automatisch! Enkel gegevens die door de betrokkene a/d verantwoordelijke zijn verstrekt 11

12 Praktisch Gevolg: binnen 1 maand (verlengbaar met 2 maanden) Kosteloos tenzij ongegrond of buitensporig (redelijke vergoeding of weigeren) 12

13 2. Verplichtingen v/d verantwoordelijke 13

14 Accountability ( verantwoordingsplicht ) 14

15 Accountability De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht"). Art. 5.2 GDPR Passend beleid Technische en organisatorische maatregelen (Nieuwe) verplichtingen in de GDPR 15

16 Documentatieverplichting Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd. Art GDPR 16

17 Technische en organisatorische maatregelen Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Art GDPR 17

18 Medium Hoog Ernst Laag Waarschijnlijkheid 18

19 Hulp? CBPL: Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens, Versie 1.0 CBPL: Ontwerp van aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging voorgelegd voor publieke bevraging (CO-AR ) DE: Standard Data Protection Model, V.1.0 Trial version,

20 Medium Hoog Ernst Laag Waarschijnlijkheid 20

21 21

22 22

23 Privacy by design & by default ( Gegevensbescherming door ontwerp en door standaardinstellingen ) 23

24 Privacy by design De architectuur van data systemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een data systeem moet hiermee rekening gehouden worden. 24

25 Privacy by default De instellingen van een data systeem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. minimale gegevensverwerking, beperking bewaringstermijn en toegang 25

26 26

27 Register v/d verwerkingsactiviteiten ( records of processing activities ) 27

28 Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Ov. 82 GDPR 28

29 Uitzondering voor KMO s tenzij [Niet incidenteel] Gevoelige gegevens Waarschijnlijk risico 29

30 [departement en IT systeem] [cat. betrokkenen] [cat. gegevens] [doeleinden] [joint controller] [ontvangers] [naam en adres controller] [naam en contactgeg. verantwoordelijke voor het register] [naam en contactgeg. DPO] [naam en contactgegevens vertegenwoordiger] [doorgifte 3 e landen, incl. waarborgen] [termijnen] [beveiligingsmaatregelen] Register v/d verwerkingsactiviteiten 30

31 Grondslag (toestemming of andere) Informatie gegeven? Locatie server Server provider Naam en contactgeg. Locatie server Subprocessors Rechtvaardiging doorgifte / operationeel Vereist? Uitgevoerd? Toegang Register v/d verwerkingsactiviteiten Verzamelen Opslag Verwerker DPIA 31

32 Register v/d verwerkingsactiviteiten Schriftelijk (bijv. in elektronische vorm) Ter beschikking houden van de autoriteit Praktisch: Vaak al een basis om van te vertrekken (bijv. o.b.v. huidig IT systeem) Voor iedereen leesbaar (geen code taal) Up to date houden 32

33 DPIA ( gegevensbeschermingseffectbeoordeling ) 33

34 Wanneer? Medium Hoog Ernst Laag Waarschijnlijkheid 34

35 Wanneer? Systematische en uitgebreide beoordeling van personen gebaseerd op geautomatiseerde verwerking, zoals profiling, en waarop beslissingen met rechts- of gelijkaardige gevolgen worden gebaseerd Grootschalige verwerking van gezondheids-, gevoelige, biometrische, genetische of gerechtelijke data Uitz. voor individuele arts, andere zorgprofessional en advocaat Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten 35

36 Autoriteiten Verplichting om lijst op te stellen met verwerkingen waarvoor DPIA verplicht is Mogelijkheid om lijst op te stellen met verwerkingen waarvoor DPIA niet verplicht is CBPL: Ontwerp van aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging voorgelegd voor publieke bevraging (CO-AR ) 36

37 WP29 Automatische besluitvorming Combinatie van data sets Evaluatie en waardering Data kwetsbare personen Systematische observatie Innovatieve oplossingen Gevoelige data Transfer buiten EU Grootschalige verwerking Verhindering uitoefenen rechten / beroep op diensten/contract 37

38 DPIA Beschrijving v/d verwerkingen en doeleinden (desgevallend: gerechtvaardigd belang) Beoordeling v/d noodzaak en evenredigheid v/d verwerkingen (i.f.v. de doeleinden) Beoordeling v/d risico s Beoogde maatregelen om de risico s aan te pakken 38

39 Praktisch Voor de start van de verwerking! review minstens wanneer er een verandering is van het risico Analyse Eén beoordeling is voldoende voor vergelijkbare verwerkingen met vergelijkbare (hoge) risico s Documentatie Documenteren Opvolging Publicatie 39

40 Praktisch Wie is er betrokken? DPO van de verwerkingsverantwoordelijke [Betrokkenen of hun vertegenwoordigers: consultatie] [Autoriteit: voorafgaande raadpleging] 40

41 Bron: WP29 Guidelines on Data Protection Impact Assessments (DPIA) 4 April

42 Bron: WP29 Guidelines on Data Protection Impact Assessments (DPIA) 4 April

43 w w w. c o n t r a s t - l a w. b e