GDPR Nieuwe verplichtingen? Hoe audit uitvoeren? 27 april 2017
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 2
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 3
1. Aanpassen contracten co-verantwoordelijken 1. Verplicht in een contract ( vastleggen in een onderlinge regeling ) 2. Respectieve verantwoordelijkheden en rol, o.a. m.b.t. : Informatieverstrekking Uitoefening rechten betrokkenen 3. Respectieve verhouding met betrokkenen 4. Wezenlijke inhoud aan betrokkenen beschikbaar stellen 5. Ongeacht regeling kan betrokkene zijn rechten uitoefenen m.b.t. en jegens elke verantwoordelijke 4
2. Aanpassen contracten verwerkers 1. Ook verplichting voor verwerkers 2. Nieuwe verplichte clausules in schriftelijk contract : Enkel verwerken op schriftelijke instructie van verantwoordelijke, o.a. m.b.t. doorgiften buiten EU Waarborg vertrouwelijkheidsverplichting van personen die verwerken Waarborg nemen beveiligingsmaatregelen art. 32 Naleving voorwaarden voor inhuren van sub-verwerkers Bijstand aan verantwoordelijke bij uitoefening rechten van betrokkenen Bijstand aan verantwoordelijke voor diens naleving van beveiligingsmaatregelen, meldplicht bij datalekken, en privacy impact assessment Wissen of terugbezorgen van gegevens bij einde van contract Bijstand aan verantwoordelijke om diens naleving van artikel over relatie met verwerkers aan te tonen Audits door verantwoordelijke mogelijk maken en eraan meewerken 5
3. Voorwaarden voor inhuren sub-verwerkers : Enkel na voorafgaande schriftelijke toestemming van verantwoordelijke Specifieke toestemming Algemene toestemming : informatie over beoogde veranderingen + verantwoordelijke mogelijkheid bieden bezwaar te maken Schriftelijk contract met sub-verwerker met dezelfde clausules als in contract verantwoordelijke-verwerker Hoofdverwerker is aansprakelijk t.a.v. verantwoordelijke voor inbreuken door subverwerker 4. Europese Commissie en privacycommissies kunnen standaardcontractbepalingen opstellen 5. Contracten kunnen ook elektronisch 6. Als verwerker doel en middelen bepaalt : wordt beschouwd als verantwoordelijke 6
3. Aanpassen privacy policies 1. Nieuwe voorwaarden voor geldige toestemming Expliciet Gelaagd 2. Vermelding nieuwe rechten van betrokkenen Recht op beperkte verwerking Recht op overdraagbaarheid 3. Vermelding nieuwe informatie, bv. : Rechtsgrond verwerking Als rechtsgrond = gerechtvaardigd belang vermelding gerechtvaardigd belang Mogelijk tot intrekking van toestemming Bewaartermijn Contactgegevens van Data Protection Officer Recht op klacht bij Privacycommissie 7
4. Melden van datalekken 1. Wat is een datalek ( data breach )? 8
9
10
11
12
13
14
15
16
17
18
2. Melden aan Privacycommissie Binnen 72 uur na kennisname Uitzondering : als niet waarschijnlijk dat lek risico inhoudt voor rechten betrokkene Als niet binnen 72 uur : motivering voor vertraging Als onmogelijk alle informatie in één keer : gefaseerd Documenteerplicht van de inbreuken (o.a. feiten, gevolgen en maatregelen) Meldplicht verwerker aan verantwoordelijke : zonder onredelijke vertraging Inhoud minstens : Aard van de inbreuk Indien mogelijk categorieën van betrokkenen en persoonsgegevensregisters Bij benadering aantal betrokkenen en persoonsgegevensregisters Naam en contactgegevens Data Protection Officer of ander contactpunt De waarschijnlijke gevolgen Voorgestelde of reeds getroffen maatregelen om lek aan te pakken 19
3. Melden aan betrokkenen Enkel als inbreuk waarschijnlijk een hoog risico inhoudt voor betrokkene Onverwijld Uitzonderingen : Technische en organisatorische beschermingsmaatregelen getroffen (bv. encryptie) Intussen maatregelen genomen waardoor hoog risico zich waarschijnlijk niet meer zal voordoen Onevenredige inspanningen mededeling aan het publiek Als nog geen melding aan betrokkenen, Privacycommissie kan : Melding aan betrokkenen verplichten Beslissen dat een uitzondering van toepassing is 20
21
22
23
24
25
26
27
28
29
30
31
5. Data Protection Officer 1. Verplicht in slechts 3 gevallen : Overheidsinstanties (= nationaal recht) Kernactiviteit = regelmatige en stelselmatige observatie op grote schaal van mensen Kernactiviteit = verwerking op grote schaal van gevoelige gegevens en misdrijven 2. Bij twijfel en geen aanstelling : interne motivering 3. Kan vrijwillig : maar moet dan wel voldoen aan vereisten 4. Kan gezamenlijk voor bedrijvengroep, op voorwaarde dat DPO : Bereikbaar is vanuit elke vestiging Met privacycommissies kan communiceren in de lokale taal 32
5. Inhoudelijke vereiste : Deskundigheid ( expert knowledge ) op gebied van wetgeving en praktijk inzake gegevensverwerking 6. Functionele vereisten Onafhankelijkheid Geen instructies Autonomie en resources Geen ontslag of bestraffing voor uitoefening van taken Rechtstreeks rapporteren aan hoogste leidinggevende Geen belangenconflict Intern of extern (dienstencontract) 33
7. Taken : Intern : Informeren (o.a. opleidingen personeel) Toezien op naleving Audits begeleiden Moet intern bij alles betrokken worden Hoe : pragmatisch door selectie en prioritisering volgens hoogste risicos s Naar buiten toe : Contactpersoon voor Privacycommissie Contactpersoon voor betrokkenen 8. Geheimhoudingsplicht Contacteren van Privacycommissie voor advies wel toegelaten 34
6. Gedragscodes per sector 1. Lidstaten en privacycommissies moeten die bevorderen 2. Voordelen : Het wiel niet heruitvinden Verhoogde rechtszekerheid Kan worden gebruikt als een element om aan te tonen dat is voldaan aan verplichtingen omtrent : Technische en organisatorische maatregelen Gegevensbeschermingsbeleid Relatie met verwerkers Beveiliging Privacy impact assessments Aansluiting is factor bij beoordeling hoogte boete 3. Bij twijfel en geen aanstelling : interne motivering 35
4. Goedkeuring door Privacycommissie 5. Bekendmaking door Privacycommissie 6. Toezichtsorgaan en -mechanisme voorzien 7. Accreditatie toezichtsorgaan door Privacycommissie Onafhankelijkheid en deskundigheid omtrent onderwerp gedragscode Procedures voor toezicht Procedures en structuren voor behandeling van klachten Geen belangenconflict 8. Timingprobleem? 36
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 37
GDPR 26 april 2016 Persoonsgegevens Iedereen NIS-Richtlijn 6 juli 2016 N&I veiligheid Essentiële diensten Digitale diensten 1) Energie (gas/elektriciteit/olie) 2) Vervoer (lucht/spoor/water/weg 3) Banken 4) Infrastructuur voor financiële markten 5) Zorgaanbieders 6) Levering/distributie drinkwater 7) Digitale infrastructuur : internetknooppunten, DNS-dienstverleners, registers voor TL-domeinnamen 1) Onlinemarktplaatsen 2) Zoekmachines 3) Clouddiensten Mei 2018
1. Informatieveiligheidsbeleid 2. Technische en organisatorische maatregelen 3. Periodieke audit van implementatie van informatieveiligheidsbeleid 4. Meldplicht incidenten aan Centrum voor Cyberveiligheid 39
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 40
Klanten Sociaal secretar. incidenten Leveranciers Verzekering Datacenter Melding Periodiekvan auditeren Marketing Werknemers Bedrijf Adviseurs
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 42
Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten
Groepsstructuur Company US Inc. Company France SA Periodiek auditeren Melding van incidenten Company Belgium NV Beveiligingsbeleid Company Production BVBA Company Netherlands B.V. Company Germany GmbH
Organisatiestructuur CEO IT Manager Infrastruct. Team HR Sales Manager Manager Melding Periodiekvan auditeren incidenten E-Commerce Werknemers Team Applications Team Beveiligingsbeleid Onthaal Product line 1 Team Product line 2 Team
Voorbereiding Fase 1 Fase 2 Fase 3 Mapping van : As-is Gaps Oplossingen Prioritisering Implementatie Opvolging Organogram Samenstellen projectteam Budget fase 1 Interviews Documenten Procedures Budget fase 2 Overleg Drafting Onderhandelen Communicatie Budget fase 3 Opleidingen Testen Evalueren Updaten
Agenda 1. Nieuwe verplichtingen onder GDPR 2. Nieuwe verplichtingen onder NIS-Richtlijn 3. GDPR-audit : scope 4. GDPR-audit : fases 5. GDPR-audit : belang van planning 47
2017 2018 Feb Maa Apr Mei Jun Jul Aug Sep Okt Nov Dec Jan Feb Maa Apr Mei Kick-off + interviews + technische analyses Inventarisatie Assessment Periodiek auditeren Melding van incidenten Prioritiseren + drafting Implementatie Communicatie
Over time.lex Nicheadvocatenkantoor in : Privacy, data protection & security Software IT contracten IT litigation Internet E-business E-payments Intellectuele eigendom This TMT boutique is highly praised for its IT and data protection expertise Sources say: "High marks for expertise and prompt, well-executed work." "In data protection, I doubt that there are other firms more aware of the key compliance and regulatory issues than this firm." 49
Vragen? Joseph Stevensstraat 7 1000 Brussel T 02 893 20 95 M 0479 19 12 97 frederic.debussere@timelex.eu www.timelex.eu Frederic Debusseré Advocaat Partner 50