Algemene Verordening Gegevensverwerking ( GDPR ) What s new? Anouk Focquet 27 april 2017 Minervastraat 5, 1930 Zaventem, T +32 (0)2 275 00 75, F +32 (0)2 275 00 70, www.contrast-law.be
What s new in de GDPR? 1. Rechten van de betrokkenen Verduidelijking / uitbreiding bestaande rechten Nieuwe rechten 2. Verplichtingen van de verantwoordelijke Accountability (incl. technische en organisatorische maatregelen) Privacy by design & by default Register v/d verwerkingsactiviteiten DPIA 2
Vooraf Tot 10.000 EUR of 2% wereldwijde jaaromzet Art. Tot 20.000 EUR of 4% wereldwijde jaaromzet Art. Toestemming verwerking gegevens kinderen 8 Basisbeginselen voor verwerking (bv. voorw. toest.) 5-7, 9 Privacy door ontwerp en standaardinstellingen 25 Rechten betrokkenen 12-22 Overeenkomst tussen gezamen. verantwoordelijken 26 Doorgiften buiten EU 44-49 Aanstelling van vertegenwoordiger in EU 27 Nationaal recht onder Hoofdstuk 9 85-91 Verplichtingen verantwoordelijken t.a.v. verwerkers 28 Niet naleven van bevel/onderz. door toezichthouder 58 Verwerkers: enkel verwerken op instructie van en enkel sub-verwerkers na toestemming van verantw. 28-29 Register 30 Samenwerken met toezichthouder 31 Technische en organisatorische maatregelen 32 Meldplicht datalekken 33-34 Privacy impact assessment 35-36 Aanstellen Data Protection Officer 37-39 Handhaving code of conduct door controlemechan. 41 3
1. Rechten v/d betrokkenen 4
Bestaande rechten Informatie / transparantie Inzage Rectificatie Gegevenswissing Bezwaar Geautomatiseerde besluitvorming 5
I N F O R M A T I E / T R A N S P A R A N T I E 6
Bestaande rechten Informatie / transparantie Inzage Rectificatie Gegevenswissing Bezwaar Geautomatiseerde besluitvorming 7
Nieuwe rechten Beperking van verwerking Overdraagbaarheid ( data portability ) 8
Recht op beperking van verwerking = persoonsgegevens enkel opslaan, niet verwerken (gebruiken) tenzij: Toestemming van de betrokkene Voor een rechtsvordering Bescherming van andere NP of RP Gewichtige redenen van algemeen belang 9
Recht op beperking van verwerking Wanneer? Betwisting over de juistheid Verwerking = onrechtmatig Rechtsvordering v/d betrokkene In afwachting v/h antwoord op bezwaar 10
Data portability = Overdracht in een gestructureerde, gangbare en machineleesbare vorm Wanneer? Verwerking o.b.v. toestemming of uitvoering van een overeenkomst, en Verwerking gebeurt automatisch! Enkel gegevens die door de betrokkene a/d verantwoordelijke zijn verstrekt 11
Praktisch Gevolg: binnen 1 maand (verlengbaar met 2 maanden) Kosteloos tenzij ongegrond of buitensporig (redelijke vergoeding of weigeren) 12
2. Verplichtingen v/d verantwoordelijke 13
Accountability ( verantwoordingsplicht ) 14
Accountability De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht"). Art. 5.2 GDPR Passend beleid Technische en organisatorische maatregelen (Nieuwe) verplichtingen in de GDPR 15
Documentatieverplichting Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd. Art. 24.2 GDPR 16
Technische en organisatorische maatregelen Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Art. 24.1 GDPR 17
Medium Hoog Ernst Laag Waarschijnlijkheid 18
Hulp? CBPL: Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens, Versie 1.0 CBPL: Ontwerp van aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging voorgelegd voor publieke bevraging (CO-AR-2016-004) DE: Standard Data Protection Model, V.1.0 Trial version, 2016 19
Medium Hoog Ernst Laag Waarschijnlijkheid 20
21
22
Privacy by design & by default ( Gegevensbescherming door ontwerp en door standaardinstellingen ) 23
Privacy by design De architectuur van data systemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een data systeem moet hiermee rekening gehouden worden. 24
Privacy by default De instellingen van een data systeem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. minimale gegevensverwerking, beperking bewaringstermijn en toegang 25
26
Register v/d verwerkingsactiviteiten ( records of processing activities ) 27
Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Ov. 82 GDPR 28
Uitzondering voor KMO s tenzij [Niet incidenteel] Gevoelige gegevens Waarschijnlijk risico 29
[departement en IT systeem] [cat. betrokkenen] [cat. gegevens] [doeleinden] [joint controller] [ontvangers] [naam en adres controller] [naam en contactgeg. verantwoordelijke voor het register] [naam en contactgeg. DPO] [naam en contactgegevens vertegenwoordiger] [doorgifte 3 e landen, incl. waarborgen] [termijnen] [beveiligingsmaatregelen] Register v/d verwerkingsactiviteiten 30
Grondslag (toestemming of andere) Informatie gegeven? Locatie server Server provider Naam en contactgeg. Locatie server Subprocessors Rechtvaardiging doorgifte / operationeel Vereist? Uitgevoerd? Toegang Register v/d verwerkingsactiviteiten Verzamelen Opslag Verwerker DPIA 31
Register v/d verwerkingsactiviteiten Schriftelijk (bijv. in elektronische vorm) Ter beschikking houden van de autoriteit Praktisch: Vaak al een basis om van te vertrekken (bijv. o.b.v. huidig IT systeem) Voor iedereen leesbaar (geen code taal) Up to date houden 32
DPIA ( gegevensbeschermingseffectbeoordeling ) 33
Wanneer? Medium Hoog Ernst Laag Waarschijnlijkheid 34
Wanneer? Systematische en uitgebreide beoordeling van personen gebaseerd op geautomatiseerde verwerking, zoals profiling, en waarop beslissingen met rechts- of gelijkaardige gevolgen worden gebaseerd Grootschalige verwerking van gezondheids-, gevoelige, biometrische, genetische of gerechtelijke data Uitz. voor individuele arts, andere zorgprofessional en advocaat Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten 35
Autoriteiten Verplichting om lijst op te stellen met verwerkingen waarvoor DPIA verplicht is Mogelijkheid om lijst op te stellen met verwerkingen waarvoor DPIA niet verplicht is CBPL: Ontwerp van aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging voorgelegd voor publieke bevraging (CO-AR-2016-004) 36
WP29 Automatische besluitvorming Combinatie van data sets Evaluatie en waardering Data kwetsbare personen Systematische observatie Innovatieve oplossingen Gevoelige data Transfer buiten EU Grootschalige verwerking Verhindering uitoefenen rechten / beroep op diensten/contract 37
DPIA Beschrijving v/d verwerkingen en doeleinden (desgevallend: gerechtvaardigd belang) Beoordeling v/d noodzaak en evenredigheid v/d verwerkingen (i.f.v. de doeleinden) Beoordeling v/d risico s Beoogde maatregelen om de risico s aan te pakken 38
Praktisch Voor de start van de verwerking! review minstens wanneer er een verandering is van het risico Analyse Eén beoordeling is voldoende voor vergelijkbare verwerkingen met vergelijkbare (hoge) risico s Documentatie Documenteren Opvolging Publicatie 39
Praktisch Wie is er betrokken? DPO van de verwerkingsverantwoordelijke [Betrokkenen of hun vertegenwoordigers: consultatie] [Autoriteit: voorafgaande raadpleging] 40
Bron: WP29 Guidelines on Data Protection Impact Assessments (DPIA) 4 April 2017 41
Bron: WP29 Guidelines on Data Protection Impact Assessments (DPIA) 4 April 2017 42
w w w. c o n t r a s t - l a w. b e