Verplichtingen inzake de verwerking van persoonsgegevens: wat voorziet de ontwerptekstvan de GDPR?
Johan VandendriesschePartner – CrosslawGastprofessor ICT-recht – UGent
Responsabilisering als basisregel van de GDPR
Filosofie van de GDPR wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering
Risico-gebaseerde aanpak
Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen
GDPR: documentatieplicht en aantoonbare naleving van de GDPR Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader
Brussels - Kortrijk | www.crosslaw.be 2
Responsabilisering als basisregel van de GDPR
Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen
• Data protection officer
• Uitgebreide documentatieplicht en data protection impact assessments
• Meldingsplicht gegevenslekken (“data breach notification”)
In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de GDPR kunnen aantonen• Inbouwen van compliance processen
• Regelmatige controle van processen
• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking
Brussels - Kortrijk | www.crosslaw.be 3
Responsabilisering als basisregel van de GDPR
Risico-gebaseerde aanpak Twee stappen: risico en hoog risico
Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonymisering
Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs
Brussels - Kortrijk | www.crosslaw.be 4
Compliance als voordeel
Externe compliance verplichtingen versoepelen de toepassing van de GDPR Verwerkingsgrondslag
• Toestemming
• Contractuele / precontractuele maatregelen
• Wettelijke of regelgevende verplichting
• Legitiem belang
Toetsing legitiem belang• Fraudebeheersing
• Intra-groep transfers
• Network & Information Security
Toetsing bij sanctiemechanismen
Brussels - Kortrijk | www.crosslaw.be 5
Data Protection Officer
Verplichte aanstelling DPO: aanzienlijk uitgehold Publieke overheid
Kernactiviteit bestaande uit regelmatige en systematische monitoring
Kernactiviteit bestaande uit verwerking van bijzondere categorieën van persoonsgegevens
Regel uit nationaal recht
Rol Informatie- en adviesfunctie
Compliance functie
SPOC voor toezichthouder
Brussels - Kortrijk | www.crosslaw.be 6
Documentatieplicht
Documentatieplicht in verband met verwerkingsactiviteiten Verantwoordelijke voor de verwerking Verwerker
Inhoud Naam en contactgegevens van de verantwoordelijke voor de verwerking en
haar eventuele data protection officer Doeleinden van de verwerking(en) Beschrijving van de categorieën van betrokkenen en persoonsgegevens Categorieën van ontvangers, met inbegrip van ontvangers in derde landen De internationale transfers van persoonsgegevens Indien mogelijk, de bewaringstermijn van de verschillende categorieën van
persoonsgegevens Indien mogelijk, een algemene omschrijving van de veiligheidsmaatregelen
Brussels - Kortrijk | www.crosslaw.be 7
Documentatieplicht
Vorm Schriftelijk (mag elektronisch)
Ter beschikking houden van toezichthouder
Vrijstelling voor ondernemingen met minder dan 250 werknemers, behalve indien: De verwerking resulteert waarschijnlijk in een risico voor de rechten en
vrijheden van de betrokkenen
De verwerking is niet occasioneel
De verwerking heeft betrekking op bijzondere categorieën van persoonsgegevens of gerechtelijke persoonsgegevens
Brussels - Kortrijk | www.crosslaw.be 8
Data Protection Impact Assessment
Analyse van de impact van een verwerking op bescherming persoonsgegevens Verplichting bij “hoog risico”, waaronder:
• Systematische en extensieve evaluatie van persoonlijke aspecten van natuurlijke personen, waaronder profilering
• Verwerking op grote schaal van bijzondere categorieën van persoonsgegevens
Lijst van verplichte verwerking Lijst van vrijstellingen Toch nuttig indien niet verplicht (beperkte DPIA?)
Indien gepast: raadpleging van betrokkenen of hun vertegenwoordigers
Indien DPIA een hoog risico vaststelt: procedure van voorafgaande consultatie
Brussels - Kortrijk | www.crosslaw.be 9
Data Protection Impact Assessment
Praktische aanpak (in afwachting van verduidelijking) Identificeer de noodzaak en/of het nut van een DPIA
Beschrijf de verwerking
Identificeer de risico’s voor de persoonlijke levenssfeer
Identificeer en evalueer de mitigerende maatregelen
Leg de conclusies van de DPIA vast
Integreer de conclusies van de DPIA in de praktische uitwerking van de verwerking
Artikel 29 Werkgroep (EDPB) heeft reeds aangekondigd om verduidelijking te verstrekken
Brussels - Kortrijk | www.crosslaw.be 10
Melding gegevenslekken
Verplichte melding gegevenslekken aan toezichthouder Gegevenslek
Zonder onnodige vertraging en niet later dan 72 uur na kennisname• Indien niet mogelijk: motivering voor vertraging
Vrijstelling indien geen risico
Verwerker heeft eveneens meldingsplicht naar verantwoordelijke
Inhoud• Aard van het gegevenslek
• Contactgegevens
• Gevolgen van het gegevenslek
• Remediëringsmaatregelen
Documentatieplicht
Brussels - Kortrijk | www.crosslaw.be 11
Melding gegevenslekken
Verplichte melding aan betrokkenen? Hoog risico
Duidelijke omschrijving van gegevenslek
Vrijstelling• Technische en organisatorische maatregelen die de toegang tot de data onmogelijk
maken (b.v. encryptie)
• Maatregelen die hoog risico tegengaan
• Disproportionele inspanning
Brussels - Kortrijk | www.crosslaw.be 12
Hoe omgaan met incidenten en notificatieplichten?
Praktische aanpak voor de omgang met incidenten en notificatieplichten vanuit een juridisch perspectief Ruimer dan louter verwerking van persoonsgegevens
Drie stadia Voor het incident
Tijdens het incident
Na het incident
Bepaal de strategieën voor (juridische) risicobeheersing en wettelijke verplichtingen gedurende elk stadium
Brussels - Kortrijk | www.crosslaw.be 13
Hoe omgaan met incidenten en notificatieplichten?
Pre-incident stadium Evalueer de IT-infrastructuur
• Evalueer de aard van de veiligheids- en notificatieverplichtingen
• Documenteer en evalueer de gegevensverwerkingen
Evalueer de huidige stand van “compliance”• Identificeer de tekortkomingen
• Creëer een planning om de tekortkomingen op te vangen
Creëer en implementeer een incident policy (incident team!)
Bekijk de mogelijkheden voor cyberverzekeringen
Brussels - Kortrijk | www.crosslaw.be 14
Hoe omgaan met incidenten en notificatieplichten?
Incident stadium (juridisch perspectief) Identificeer het incident
• Pas de incident policy toe op basis van de (voorlopige) identificatie van het incident
• Bekijk de mogelijkheid om cyberverzekeringen in te roepen
Identificeer de gevolgen van het incident• Evalueer de impact op de onderneming
• Evalueer mogelijke acties in verband met cybercriminaliteit
• Evalueer de wettelijke verplichtingen
Voer de wettelijke verplichtingen uit
Bekijk de mogelijkheden voor buitengerechtelijke schadebeperking• Communicatiemogelijkheden voor de beperking van imagoschade
Brussels - Kortrijk | www.crosslaw.be 15
Hoe omgaan met incidenten en notificatieplichten?
Post-incident stadium Documenteer het incident en de afhandeling ervan
Bekijk het incident en identificeer handelingen om de herhaling ervan tevermijden
Volg eventuele gevolgen op• Schadeclaims
• Administratieve geldboetes
• Gerechtelijke procedures
“Lessons learnt”• Feedback naar het pre-incident stadium
Brussels - Kortrijk | www.crosslaw.be 16
Sanctieregeling
Breed spectrum aan sancties Klachtenprocedure
Gerechtelijke procedure
Aansprakelijkheid
Strafsancties
Administratieve geldboetes• Tot 2% wereldwijde jaarlijkse omzet: organisatorische inbreuken
• Tot 4% wereldwijde jaarlijkse omzet: essentiële bepalingen en rechten van betrokkenen
Brussels - Kortrijk | www.crosslaw.be 17
Sanctieregeling
Compliance heeft een impact Voorkomen van sancties
Potentiële matiging van administratieve geldboete• Het intentioneel of nalatig karakter van de inbreuk
• Handelingen getroffen om de schade te beperken
• De mate van aansprakelijkheid in het licht van de veiligheidsmaatregelen
• Relevante voorafgaande inbreuken
• Wijze van kennisname van de inbreuk door de toezichthouder
• Andere verzwarende of matigende omstandigheden, waaronder financiële voordelen
Gelet op de omvang van de administratieve geldboetes is een goed compliance beleid duidelijk zinvol
Brussels - Kortrijk | www.crosslaw.be 18
Big Data
Profilering Geautomatiseerde verwerking
Gebruik data
Evaluatie van bepaalde persoonlijkheidskenmerken
Doel: bepaalde analyse of voorspelling
Rechtvaardigingsgrond Expliciete toestemming
Wettelijke bepaling
Contractuele relatie
Recht op verzet
DPIA
Brussels - Kortrijk | www.crosslaw.be 19
Bedankt voor uw aandacht
Brussels - Kortrijk | www.crosslaw.be 20