Wat met de privacy? 19 januari

Vergelijkbare documenten
Privacy in de (MAGDA)kijker

Impact AVG op de lokale overheden

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Cursus privacyrecht Jeroen Naves 7 september 2017

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Handvatten bij de implementatie van de AVG

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

Algemene Verordening Gegevensverwerking ( GDPR )

Privacyreglement Medewerkers Welzijn Stede Broec

PRIVACYREGLEMENT Springkussenverhuur Nederland

Algemene begrippen AVG

Spoedcursus GDPR & praktische tips uit Gent

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

AVG Algemeen PRIVACYREGLEMENT

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen. Willem Debeuckelaere WVG Colloquium gegevensindeling

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Wettelijke bepalingen overeenkomstig de Algemene Verordening Gegevensbescherming

Databescherming 2.0 Beginselen van de Algemene Verordening Gegevensbescherming: Bereid je voor in 13 stappen

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Phytalis-Verwerkersovereenkomst

De gevolgen van de AVG

Privacyreglement Gemeente Borsele

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

MR WBM VONDENHOFF ADVOCAAT

Wettelijke kaders voor de omgang met gegevens

Agenda. De AVG: wat nu?

Aangifte bij de privacycommissie (CBPL) - WAT

BIJLAGE 11: Bepalingen inzake de verwerkingen van persoonsgegevens door de opdrachtnemer in het kader van dit bestek

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Privacybeleid gemeente Wierden

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Privacybeleid Today s Groep

Toegang tot persoonsgegevens. Stuurgroep lokaal e-government, Gent, 6 maart 2019

GET YOUR DATA PROTECTION RIGHT THE LEGAL PART Dirk Beeckman Questa Advocaten

INFORMATIEVEILIGHEID OOSTENDE.BE ALGEMENE PRIVACYVERKLARING VAN DE STAD OOSTENDE

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

GDPR (Avg) en ISO Beer Franken, Piasau

Algemene verordening gegevensbescherming

Data Protection Same Game, Other Rules

Privacyverklaring Stichting Speelotheek Pinoccio

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Specifieke nieuwigheden als gevolg van de Algemene Verordening Gegevensbescherming dd. 25/05/2018.

De AVG en de gevolgen voor de uitvoeringspraktijk

EXQUISE NEXT GENERATION

Privacyverklaring Therapeuten VVET

Voorwaarden voor Gegevensverwerking Versie 1.0

Eyetech. Pagina : 1 van 9 Privacyreglement Eyetech B.V. Versie : 1 Datum : Privacyreglement. Eyetech B.V.

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Directie/Verwerkingsverantwoordelijke en Functionaris Gegevensbescherming Ondersteunend Medezeggenschapsraad (MR) Aan

Privacyreglement WSVH

Privacy en bescherming van persoonsgegevens Beleidsdocument van stichting BOOR

GDPR (General Data Protection Regulation ) The journey we take together

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Het einde van de privacy paradox?

Algemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA)

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

PRIVACY POLICY EXTERN

Vandaag Zorgvernieuwing

PRIVACYBELEID - AccFides

Privacyreglement Stichting Autisme Campus Friesland

PRIVACYREGLEMENT Artikel 1. Algemeen Artikel 2. Definities Persoonsgegevens: Verantwoordelijke: Verwerking/Verwerken: Verwerker Betrokkene:

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene Verordening Gegevensbescherming (AVG) = General Data Protection Regulation (GDPR) = Europese Privacy Verordening

Welkom. Cure4Legal 14 september 2018

Gegevensbeschermingseffectbeoordeling

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door het volgende bedrijf (hierna te noemen uw Studiegroep):

Bijlage Gegevensverwerking. Artikel 1 - Definities

Actualiteiten loonheffingen

Privacyverklaring. Voor de verwerking van persoonsgegevens van personen jonger dan 16 jaar vraag ik om toestemming van hun ouders of voogd.

De AVG, wat moet ik ermee?

Privacy in de afvalbranche

Beleidsdocument Privacy en bescherming van Persoonsgegevens

Practice Group Social Law:

Privacyreglement Bureau Beckers

Privacy. Beleid en reglement. de Bibliotheek Bibliotheken Mar en Fean

Algemene Verordering Gevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Privacybeleid. Versie 2018 TOTAL SOLUTIONS PNG

Symposium Flanders Care Gegevens delen in de zorg = betere zorg

Workshop AVG en de nieuwe NEN Beer Franken, Piasau

Beleidsdocument Privacy en bescherming van Persoonsgegevens

NOTA AAN DE VLAAMSE REGERING

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Procedure Rechten van betrokkenen in het kader van de EU-AVG 24 mei toe aan de betrokkenen van wie persoonsgegevens worden verwerkt:

Privacyreglement Viore

VERWERKERSOVEREENKOMST (EENZIJDIG)

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Clausules betreffende de verwerking van persoonsgegevens

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Transcriptie:

Wat met de privacy? 19 januari 2017 www.vlaanderen.be\informatievlaanderen

Doel uiteenzetting Verwerking van persoonsgegevens kan enkel voor zover is voldaan aan de privacywet. En vanaf 25 mei 2018 moet de verwerking van persoonsgegevens gebeuren conform de Europese Algemene Verordening Gegevensbescherming. => PRINCIPES huidige wetgeving zoals de WVP van 8 december 1992 => PRINCIPES Algemene Verordening Gegevensbescherming (AVG)

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzicht van de verwerking van persoonsgegevens = WVP - Definities Persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Verwerking: elke bewerking of elk geheel van bewerkingen m.b.t. persoonsgegevens = verzamelen, bewaren, bijwerken, wijzigen, verspreiden, van persoonsgegevens Verantwoordelijke voor de verwerking: bepaalt doel en middelen van de verwerking = het hoofd van de entiteit (niet de IT-dienst) Verwerker: verwerkt ten behoeve van de verantwoordelijke ( uitbesteding )

Principes WVP Finaliteit: verwerking van persoonsgegevens voor bepaalde en gerechtvaardigde doeleinden Proportionaliteit: toereikend, ter zake dienend en niet overmatig nauwkeurig en zo nodig bijwerken niet langer dan nodig bewaren Transparantie: recht op informatie Veiligheid: gepaste technische en organisatorische maatregelen

Principes WVP (2) Eerlijke en rechtmatige verwerking Verwerking kan slechts in bepaalde gevallen (art. 5 WVP): o o o o o na ondubbelzinnige toestemming van de betrokkene ze noodzakelijk is in een (pre)contractuele fase ze noodzakelijk is om een verplichting na te komen ze noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene ze noodzakelijk is voor de vervulling van een taak van openbaar belang of van een taak die deel uitmaakt van de uitoefening van het openbaar gezag o ze noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde (belangenafweging!) Gevoelige persoonsgegevens (art. 6, 7 en 8) : in beginsel verboden om ze te verwerken

Naast de WVP ook andere regelgeving: e-govdecreet van 18 juli 2008 Eenmalige gegevensopvraging: vraag niet wat je al weet (art. 3 e-govdecreet) departementen, IVA s, EVA s moeten de gegevens bij de authentieke gegevensbronnen opvragen tenzij technisch of juridisch niet mogelijk. De gebruiker bij wie toch gegevens, beschikbaar bij authentieke gegevensbronnen, worden opgevraagd, kan klacht indienen. Authentieke gegevensbronnen: RR, KBO, KSZ (art. 5 e-govbvr) ook geografische gegevensbronnen (GDI-decreet)

Naast de WVP ook andere regelgeving: e-govdecreet van 18 juli 2008 (2) Bescherming van de persoonlijke levenssfeer Instanties verwerken persoonsgegevens volgens de privacywet. => Adequate technische en organisatorische maatregelen inbouwen bij de toepassing van elektronisch bestuurlijk gegevensverkeer. =>Waken over kwaliteit en veiligheid van de persoonsgegevens. =>Oprichting Vlaamse Toezichtcommissie (VTC) =>De instanties die persoonsgegevens verwerken, duiden, al dan niet onder hun medewerkers, een veiligheidsconsulent aan, na gunstig advies van de Vlaamse Toezichtcommissie. Instanties die reeds een veiligheidsconsulent hebben aangewezen overeenkomstig de regelgeving betreffende het Rijksregister en/ of de KSZ, hoeven enkel de identiteit van die veiligheidsconsulent aan de VTC mee te delen.

Naast de WVP ook andere regelgeving: e-govdecreet van 18 juli 2008 (3) Bescherming van de persoonlijke levenssfeer (2) Voorwaarden veiligheidsconsulent: Voldoende gevormd Over de vereiste tijd beschikken Geen activiteiten uitoefenen die onverenigbaar zijn met de functie van veiligheidsconsulent Taken veiligheidsconsulent: Adviezen en aanbevelingen inzake informatieveiligheid verstrekken Opdrachten inzake informatieveiligheid uitvoeren Bevorderen en toezien op de naleving van de veiligheidsvoorschriften Veiligheidsplan voor termijn van drie jaar opstellen Jaarverslag opstellen

Naast de WVP en e-govdecreet ook andere regelgeving: VDI-decreet van 13 juli 2012 Informatie Vlaanderen vervult de rol van Vlaamse dienstenintegrator Uitwisseling bevorderen van gegevens tussen instanties, tussen instanties en externe overheden, tussen instanties en andere dienstenintegratoren waarborgen op vlak van informatiebeveiliging en bescherming persoonlijke levenssfeer

Naast de WVP en e-govdecreet ook andere regelgeving (2): VDI-decreet van 13 juli 2012 beheer centraal gegevensuitwisselingsplatform = dispatching van waaruit gegevens worden uitgewisseld zonder in principe zelf gegevens op te slaan Gegevens uitwisselen conform de verleende machtigingen van de sectorale comités van de CBPL en de Vlaamse Toezichtcommissie intermediaire organisatie: coderen of anonimiseren van persoonsgegevens overleg met andere dienstenintegratoren

Een machtiging Wat? toestemming voor gegevensuitwisseling voorwaarden voor gebruik van de gevraagde persoonsgegevens voorafgaand aan de gegevensuitwisseling Wanneer? Bij mededelingen van persoonsgegevens aan derden voor zover door of krachtens een wet of een decreet een machtiging wordt opgelegd

Machtiging: bij wie (1)? CBPL Sectoraal Comité Rijksregister Sectoraal Comité Sociale Zekerheid en Gezondheid Sectoraal Comité Federale Overheid Sectoraal Comité Kruispuntbank Ondernemingen Sectoraal Comité Phenix Sectoraal Comité Statistiek

Machtiging: bij wie (2)? VTC

Machtiging bij wie (3)? Rijksregistergegevens: sectoraal comité (SC) van het Rijksregister Kruispuntbankregistergegevens: SC van de Sociale Zekerheid, afdeling SZ Sociale persoonsgegevens: SC van de Sociale Zekerheid, afdeling SZ Gezondheidsgegevens: SC van de Sociale Zekerheid, afdeling Gezondheid Gegevens uit KBO die niet publiek toegankelijk zijn: SC van de KBO Andere federale gegevens uit een federale databank: SC voor de federale overheid Vlaamse persoonsgegevens uit een Vlaamse databank: => Vlaamse toezichtcommissie (VTC)

Machtigingen: aandachtspunten Voor welbepaalde, duidelijk omschreven en wettige doeleinden = finaliteit De gevraagde gegevens, uitgaande van die doeleinden, zijn ter zake dienend en niet overmatig = proportionaliteit Maatregelen inzake informatieveiligheid: veiligheidsconsulent en plan De beoogde verdere verwerking is verenigbaar met de initiële verwerking Informatieverstrekking aan de gebruikers = transparantie

Machtigingen: aandachtspunten (2) Belang van sensibilisering van het personeel - Personeel er attent op maken dat de persoonsgegevens enkel gebruikt mogen worden voor bepaald doel conform de machtiging ondertekenen verklaring op eer - Sancties zijn mogelijk (klacht van burger / controle door CBPL/VTC) Naast de machtiging, ook aangifteverplichting - Aangifte bij de CBPL telkens er gegevens verwerkt worden, tenzij vrijstelling - Doel: burger weet welke instelling welke gegevens gebruikt - http://www.privacycommission.be/nl/node/3576

De Algemene Verordening Gegevensbescherming AVG (= GDPR general data protection regulation) 99 artikelen, 173 overwegingen, 88 blz. Verordening = rechtstreekse werking op 24 mei 2016 van kracht op 25 mei 2018 van toepassing een positieve verplichting: alle nodige uitvoeringsbepalingen nemen een negatieve verplichting: de onthoudingsplicht

DE AVG (GDPR)

De AVG: basisprincipes De basisprincipes bestaan al in het huidige recht maar worden in de AVG aanzienlijk versterkt: o Rechtmatige, behoorlijke en transparante verwerking o Welbepaald doeleinde o Minimale gegevensverwerking (proportionaliteit) o Juistheid o Beperkte bewaartermijn o Integriteit en vertrouwelijkheid o Verantwoordingsplicht

De AVG: rechtmatigheid van de verwerking de betrokkene heeft toestemming gegeven noodzakelijk voor de uitvoering van een overeenkomst voldoen aan een wettelijke verplichting de vitale belangen van de betrokkene of van een andere natuurlijke persoon beschermen de vervulling van een taak van algemeen belang de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde

De AVG: rechten van de betrokkenen en beroepsprocedures beter uitgewerkt De rechten van de betrokkenen worden versterkt: o Recht op informatie o Recht op toegang/inzage o Recht op rectificatie o Recht op vergetelheid o Recht op verwerkingsbeperking o Recht op overdraagbaarheid o Recht van bezwaar o Profilering beslissingen en geautomatiseerde o Beperkingen op de rechten

De AVG: Verantwoordingsplicht = Accountability (art. 24): risk-based approach de verwerkingsverantwoordelijke is nu actief verantwoordelijk opdat de gegevensverwerkingen overeenkomstig de AVG gebeuren én kan dat aantonen=verantwoorden Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

De AVG: privacy by design (ontwerp) rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen die zijn opgesteld met als doel de beginselen van gegevensbescherming, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen

De AVG: privacy by default (standaardinstellingen) de verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt

De AVG: kiezen van de verwerker verwerking regelen in een overeenkomst, met onder meer volgende punten: de doeleinden van de gegevensverwerking het soort persoonsgegevens de categorieën van betrokkenen het passend beveiligen van de gegevens het uitvoeren van audits het na afloop vernietigen of terugleveren van de gegevens aan de verantwoordelijke de verwerkingsverantwoordelijke moet de controle bewaren en de verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke

De AVG: NIEUW: register van verwerkingsactiviteiten zowel door de verantwoordelijke als de verwerker een schriftelijk (of elektronisch) register bij houden omschrijving van alle activiteiten waarbij persoonsgegevens worden verwerkt. O.a.: contactgegevens de doeleinden van de gegevensverwerking een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens de categorieën van ontvangers van de gegevens indien mogelijk de beoogde bewaartermijnen indien mogelijk een beschrijving van de beveiligingsmaatregelen voorafgaande aangifteverplichting wordt opgeheven

De AVG: NIEUW: kennisgeving veiligheidsincidenten indien inbreuk i.v.m. persoonsgegevens de verwerkingsverantwoordelijke meldt deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen indien een inbreuk i.v.m. persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen de verwerkingsverantwoordelijke deelt de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee

De AVG: NIEUW: kennisgeving veiligheidsincidenten (2) mededeling aan betrokkene is niet vereist: de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen indien de mededeling onevenredige inspanningen zou vergen, komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd

De AVG: NIEUW: PIA: Gegevensbeschermingseffectbeoordeling wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens; één beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden

De AVG: NIEUW: PIA Gegevensbeschermingseffectbeoordeling (2) In ieder geval verplicht bij: o profiling o grootschalige verwerking persoonsgegevens van bijzondere o monitoring van openbare ruimten. waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. de aanwezige risico s in kaart brengen en beoordelen. In sommige gevallen is het zelfs verplicht om de beoordeling met betrokkenen te bespreken

De AVG: NIEUW: PIA Gegevensbeschermingseffectbeoordeling (3) Minstens: een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden een beoordeling van de bedoelde risico's voor de rechten en vrijheden van betrokkenen de beoogde maatregelen om de risico's aan te pakken

De AVG: NIEUW: PIA Gegevensbeschermingseffectbeoordeling (4) Niet verplicht in het geval van: verwerking gerechtvaardigd door de noodzaak een wettelijke verplichting na te leven of wordt uitgevoerd in het algemeen belang indien deze reeds werd uitgevoerd bij de goedkeuring van de wettelijke basis de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat

De AVG: NIEUW: PIA: Gegevensbeschermingseffectbeoordeling (5) de toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling vereist is/ niet vereist is en maakt deze openbaar => ontwerp van aanbeveling van de CBPL https://www.privacycommission.be/sites/privacyco mmission/files/documents/co-ar-2016-004_nl.pdf => guidelines werkgroep 29 https://www.privacycommission.be/sites/privacyco mmission/files/documents/wp243_en.pdf

De AVG: NIEUW: voorafgaande raadpleging toezichthoudende autoriteit (DPA) Wanneer? Als uit een PIA blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken

De AVG: NIEUW: voorafgaande raadpleging toezichthoudende autoriteit (DPA) (2) Voorafgaande raadplegingen in publieke sector Verplichting voor lidstaten om DPA te raadplegen bij voorstel van wetgevings- of regelgevingsmaatregel in verband met verwerking van persoonsgegevens

De AVG: NIEUW: voorafgaande raadpleging toezichthoudende autoriteit (DPA) (3) Voorafgaande raadplegingen in publieke sector (2): de verwerkingsverantwoordelijken kunnen er lidstaatrechtelijk toe worden verplicht overleg met de DPA te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer de verwerking verband houdt met sociale bescherming en volksgezondheid = bedoeld om stelsel van sectorale comités (specifiek in België) te kunnen handhaven

De AVG: NIEUW: aanwijzing functionaris gegevensbescherming (DPO) = Verplichting voor publieke sector Aanspreekpunt voor betrokkenen Onafhankelijkheid Geheimhouding/ vertrouwelijkheid Combinatie met andere taken is mogelijk mits er geen belangenconflict ontstaat Naar behoren en tijdig betrekken Ondersteuning + toegang + voldoende middelen Geen instructies en niet ontslaan of straffen voor de uitvoering van zijn taken Zowel intern als extern Mogelijk 1 DPO voor meerdere entiteiten

De AVG: NIEUW: aanwijzing functionaris gegevensbescherming (DPO) (2) De verantwoordelijke, de verwerker en de medewerkers informeren en adviseren over verplichtingen Toezien op naleving van de AVG +het beleid van de verwerkingsverantwoordelijke of de verwerker m.b.t. de bescherming van persoonsgegevens Bewustmaking en opleiding personeel en audits Advies m.b.t. PIA en toezien op uitvoering Samenwerking met DPA Optreden als contactpunt voor DPA Rekening houden met de risico s die aan verwerking zijn verbonden, alsook aard, omvang, context en doelen van verwerking

De AVG: NIEUW: toezicht en sancties één of meer toezichthoudende autoriteiten (DPA) per lidstaat Europees Comité voor Gegevensbescherming i.p.v. de WG 29 Burgerlijke aansprakelijkheid Via procedure voor rechtbank Administratieve sancties en geldboetes Via klacht bij toezichthoudende autoriteit Strafrechtelijke verantwoordelijkheid Via klacht bij parket of onderzoeksrechter

De AVG: NIEUW: toezicht en sancties (2) Administratieve sancties en geldboetes: via klacht bij DPA Administratieve sancties: o o o o Berisping Bevel om verzoeken betrokkene tot uitoefening rechten in te willigen Bevel om inbreuk op beveiliging mee te delen aan betrokkene Opleggen van tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod Administratieve geldboetes o o o bij overtreding tot 20.000.000 EUR (voor een onderneming tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar) elke lidstaat kan regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen elke lidstaat stelt de regels vast inzake andere sancties die van toepassing zijn op inbreuken die niet aan administratieve geldboeten onderworpen zijn

Vragen?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback