gdpr voorbij de heisa€¦ · blog: . 3 i. let me refresh your memory: wat is gdpr? waarom was de...
TRANSCRIPT
Voka Big Refresh - Maandag 4 februari 2019
GDPR voorbij de heisa – waar moet ik als
ondernemer nu echt rekening mee houden?
Gepresenteerd door: Justine Simal
Legal Counsel – DPO
Blog: www.gdprexpert.be
3
I. Let me refresh your memory: wat is GDPR?
Waarom was de invoering noodzakelijk?
Wanneer is GDPR van toepassing?
II. Wat zijn persoonsgegevens?
III. Wat is het belang van (de bescherming van)
persoonsgegevens?
IV. Principes van gegevensbescherming
V. Rechtmatigheid verwerking
VI. Verplichtingen van de organisatie
VII.Wat kan en moet ik zelf doen?
VIII. Aanpak
IX. Uitdagingen bij audit en implementatie
Inhoud
I. Let me refresh your memory:
Wat is GDPR? Waarom was de invoering noodzakelijk?
Wanneer is GDPR van toepassing?
5© 2018 IFORI – All rights reserved
Fundamentele rechten
Recht op gegevensbescherming, vervat in het Handvest van de grondrechten van
de Europese Unie, artikel 8, lid 1
"Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens."
Recht op Privacy, vervat in de Universele Verklaring v/d Rechten v/d Mens, art. 12
"Niemand zal het voorwerp zijn van willekeurige inmengingen in zijn privaat
leven, zijn familie, zijn woning, of zijn briefwisseling, noch van een aanslag op zijn eer en zijn faam. Eenieder heeft recht op de
bescherming van de wet tegen dergelijke inmengingen of aanslagen."
6© 2018 IFORI – All rights reserved
Waarom GDPR?
Bescherming privacy en persoonsgegevens ≠ nieuw
→ Richtlijn 95/46/EG uit 1995 is tot stand gekomen om nationale wetgevingen te harmoniseren en vrij verkeer van persoonsgegevens binnen de EU te waarborgen.
7© 2018 IFORI – All rights reserved
8© 2018 IFORI – All rights reserved
Maar:
– nog steeds verschillen tussen landen wat betreft implementatie en
toepassing;
– samenwerking beperkt tussen nationale autoriteiten voor
gegevensbescherming;
– technologie en maatschappij zijn aanzienlijk veranderd in de
afgelopen +20 jaar;
– de rechten van de betrokkenen moesten worden versterkt.
Daarom: GDPR
9© 2018 IFORI – All rights reserved
Enkele cijfers
Sinds 25 mei 2018:
- Meer dan 95 000 klachten van Europese
burgers
- Recordboete van 50 miljoen euro voor
Google wegens onvoldoende informeren
van betrokkenen
- 317 meldingen van datalekken bij de
Belgische Gegevensbeschermings-
autoriteit (GBA) (in heel 2017: 13)
- 3599 informatievragen gericht aan GBA
(in heel 2017: 2145)
10© 2018 IFORI – All rights reserved
In Nederland werden er in
2018 maar liefst 20 881
datalekken gemeld
11© 2018 IFORI – All rights reserved
12© 2018 IFORI – All rights reserved
13© 2018 IFORI – All rights reserved
1. Het volledig of gedeeltelijk verwerken van persoonsgegevens langs
geautomatiseerde weg;
2. Het handmatig verwerken van persoonsgegevens als deze deel uitmaken van
een opslagsysteem of als het de bedoeling is dat deze gegevens deel gaan
uitmaken van een opslagsysteem.
• Uitzondering: zuiver persoonlijke of huishoudelijke activiteit.
Wanneer is de GDPR van toepassing op de verwerking van persoonsgegevens?
14© 2018 IFORI – All rights reserved
Begrippenkader: Actoren in de GDPR
Persoonsgegevens
Bv.: naam,
geboortedatum, adres,
rijksregisternummer, …
Verwerkingsverant-
woordelijke of ‘controller’
Bepaalt het doel en de
middelen van verwerking
Bv. Orthodontist
Om medische zorg te verlenen,
door gebruik van digitale
dossiers
Betrokkene Verwerker of
‘processor’
Afzonderlijke
rechtspersoon
verwerkt ten
behoeve van de
controller
Bv. Cloud-
opslagprovider van
dossiers
II. Wat zijn persoonsgegevens?
16© 2018 IFORI – All rights reserved
Persoonsgegevens zijn overal!
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.”
Bijvoorbeeld:
• Direct: rijksregisternummer, gsm-nummer, …
• Indirect: familienaam, geboortedatum, …
Persoonsgegevens
17© 2018 IFORI – All rights reserved
Gevoelige persoonsgegevens
Striktere regels voor bijzondere categorieën van persoonsgegevens:
Algemeen verbod op verwerking
‒ Ras of etnische origine
‒ Politieke opvattingen
‒ Religieuze of levensbeschouwelijke overtuiging
‒ Lidmaatschap vakbond
‒ Genetische en biometrische gegevens (uitsluitend voor
identificatiedoeleinden)
‒ Gezondheidsgegevens
‒ Seksueel gedrag of seksuele gerichtheid
18
Persoonsgegeven!
Directe unieke identificator
Rijksregisternummer
19
Persoonsgegevens!
Indirecte indentificator
Geolocatiegegevens
20
Geen persoonsgegeven!
Hebben geen betrekking op een
natuurlijk persoon
Financiële gegevens
organisatie
21
Persoonsgegeven!
Identificatie aan de hand van
kenmerken van de persoon
Werkcompetenties
medewerkers
22
Hangt ervan af!
In principe betrekking op een
voorwerp (huis)
Maar zegt ook iets over het
vermogen van een natuurlijk
persoon
Waarde huis
23
Hangt ervan af!
Aanwezigheden
Uitspraken
Notulen vergadering
24
Persoonsgegeven!
Opnames en afbeeldingen van
personen laten identificatie toe
(ook al gebeurt identificatie niet
steeds in de praktijk)
Video-opnames
25
Geen persoonsgegevens!
Anonieme gegevens laten geen
identificatie meer toe
Let wel! Anonimiseren is niet
eenvoudig!
Anonieme
Gegegevens
26
Bijzonder persoonsgegeven!
Erkenning handicap
27
Persoonsgegeven!
Alle mogelijke informatie
Het zegt bv. iets over de gemoedstoestand
van het kind.
Kindertekening
28
(Bijzonder) persoonsgegeven!
Alle informatie (ook foto’s)
Indirect identificeerbaar (voornaam +
bepaalde breuk/aandoening =
familie/vrienden kunnen dit weten)
Inclusief voornaam in medisch
tijdschrift
X-ray
Zijn mijn persoonsgegevens belangrijk?
III. Belang persoonsgegevens?
30
Hoeveel verdien jij?
Wie was jouw laatste bedpartner?
Waarover ging je laatste
doktersbezoek?
TED Talk Glenn Greenwald: Why
privacy matters
Ik heb niks te
verbergen! Dus wat
maakt het uit?
31
Persoonsgegevens zijn de core
business van vele bedrijven en
organisaties
Betrokkenen verwachten respect voor
hun privacy én hebben er recht op
Zware boetes voor de organisatie &
reputatieschade
Belang voor
organisatie?
Wat moet ik in het achterhoofd houden bij gegevensverwerking?
IV. Principes verwerking
33© 2018 IFORI – All rights reserved
Belangrijkste doelstelling
Het waarborgen van het recht van een persoon om zijn eigen beslissingen
te nemen wat betreft informatie die op hem betrekking heeft.
Beginselen van verwerking:
‒ Rechtmatigheid, behoorlijkheid
‒ Transparantie
‒ Doelbinding
‒ Minimale gegevensverwerking
‒ Juistheid
‒ Opslagbeperking
‒ Integriteit en vertrouwelijkheid
+ Verantwoordingsplicht
Verwerking van persoonsgegevens is pas rechtmatig indien je over een grondslag beschikt!
V. Rechtmatigheid verwerking
35© 2018 IFORI – All rights reserved
II. Rechtmatigheid
Er is een grond vereist om de gegevens te verwerken:
‒ Toestemming
‒ Noodzakelijk voor een contract
‒ Wettelijke verplichting
‒ Legitiem belang
36
– Vrijwillig gegeven, specifiek, geïnformeerd en
ondubbelzinnig
– Moet middels een verklaring of duidelijke
affirmatieve actie worden gegeven (opt-out is dus
NIET mogelijk)
– Bewijs van toestemming moet door de controller
kunnen worden voorgelegd
– Intrekbaar
– Afzonderlijk verkregen
– Kinderen: bij het aanbieden van diensten van de
informatiemaatschappij is verwerking alleen
wettelijk als het kind ten minste 16 jaar oud is
Jonger = toestemming nodig van de persoon die de
ouderlijke verantwoordelijkheid draagt
Toestemming
37
Noodzakelijk voor
een contract
38
Wettelijke
verplichting
39
― Nagestreefd door de
organisatie
― Evenwicht:
belangen/grondrechten en
vrijheden van betrokkene
Gerechtvaardigd
belang
VI. Verplichtingen organisatie
41
Uw contactgegevens
Voor elke verwerkingsactiviteit:
• doeleinden;
• categorieën van gegevenssubjecten en
persoonsgegevens;
• categorieën van ontvangers;
• overdrachten naar een ander land +
voorzorgsmaatregelen;
• bewaartermijn;
• beschrijving van
beveiligingsmaatregelen.
Artikel 30 AVG
VerwerkingsregisterWHO
Processing Activity Purposes Categories of Subjects Categories of PD SpecificSourc
eLegal Ground Retention Storage Measures Receivers
Outsid
e EEAMeasures
Identificatiegegevens
naam, voornaam,
leeftijd, docmilie
en verblijf
Uitvoering AO Onbeperkt Papier/AD
MB-
tool/Mailb
ox
Informatieveiligheids
beleid
AMNB N/A N/A
Opleiding en vorming
CV's, opleidingen,
certificering
(clarck),
vakbekwaamheid
Uitvoering AO Onbeperkt Papier/AD
MB-
tool/Volta
(federatie
Informatieveiligheids
beleid
ADMB N/A N/A
Interims/Vakantiejobber Identificatiegegevens
naam, contract,
adres,
rijksregisternumm
er,
Uitvoering AO Onbeperkt Mailbox/
contract
papier
Informatieveiligheids
beleid
Interimkantoor N/A N/A
Opleiding en
vorming/Beroep en
betrekking
CV Uitvoering AO Onbeperkt Mailbox Informatieveiligheids
beleid
N/A N/A N/A
Identificatiegegevensemail/naam Uitvoering AO Onbeperkt mailbox Informatieveiligheids
beleid
N/A N/A N/A
Maaltijdcheques Huidig personeel identificatiegegevensnaam,
rijksregisternumm
er
Uitvoering AO Onbeperkt Edenred Informatieveiligheids
beleid
Edenred N/A N/A
Werkplanning Huidig personeel Organisatie van het werkVerlof Uitvoering AO Onbeperkt ADMB Informatieveiligheids
beleid
N/A N/A N/A
Leveranciersadministratie Leveranciersbeheer Contacten bij leveranciers Identificatiegegevensnaam, email,
telefoon, adres
Uitvoering CT Onbeperkt CRM Informatieveiligheids
beleid
Cloud CRM N/A N/A
B2C: webshop identificatiegegevenszie webshop Uitvoering CT Onbeperkt CRM Informatieveiligheids
beleid
N/A N/A N/A
Werknemers identificatiegegevenszie webshop Uitvoering CT Onbeperkt Excel +
CRM
Informatieveiligheids
beleid
Microsoft
(Onedrive)
VS Model
Clauses
Invoicing identificatiesgegevensuser-id Uitvoering CT Onbeperkt EVA
Online
Informatieveiligheids
beleid
Boekhouder/Ev
a Online
N/A N/A
Boekhouding identificatiegevensnaam, email,
adres
Uitvoering CT Onbeperkt EVA
Online
Informatieveiligheids
beleid
Boekhouder/Ev
a Online
N/A N/A
Email marketing Klanten Identificatiegegevensemailadres Toestemming Onbeperkt CRM Informatieveiligheids
beleid
Mailchimp N/A N/A
Telemarketing contactgegevens identificatiegegevenstelefoonnummer Legitiem
Belang
Onbeperkt CRM Informatieveiligheids
beleid
Yello/Trendstop N/A N/A
Bezoekersadministratie BezoekersElektronische
identificatiegegevens
IP-adres Legitiem
Belang
Onbeperkt Cloud CRM Informatieveiligheids
beleid
Cloud CRM,
Analytics
VS Model
Clauses/P
rivacy
Contactformulier Bezoekers contactgegevens
Naam, email,
vraag
Toestemming Onbeperkt Cloud CRM Informatieveiligheids
beleid
Cloud CRM N/A N/A
Camerabewaking Bewaking Bezokers Afbeeldingen
Video Toestemming
(sticker)
31 dagen On
premisse
server
Informatieveiligheids
beleid
N/A N/A N/A
HR
Marketing
Klantenbeheer
Website
Records of processing activities Company XYZTRANSFER
Boekhouding
WHERE
Klantenadministratie
WHY WHAT
Beheer van personeel
(Selectie/verwerving)Sollicitanten
Personeeladministratie
Huidig personeel/Oud
personeel/Leercontract
Klanten
42
WHO
Processing Activity Purposes Categories of Subjects Categories of PD SpecificSourc
eLegal Ground Retention Storage Measures Receivers
Outsid
e EEAMeasures
Identificatiegegevens
naam, voornaam,
leeftijd, docmilie
en verblijf
Uitvoering AO Onbeperkt Papier/AD
MB-
tool/Mailb
ox
Informatieveiligheids
beleid
AMNB N/A N/A
Opleiding en vorming
CV's, opleidingen,
certificering
(clarck),
vakbekwaamheid
Uitvoering AO Onbeperkt Papier/AD
MB-
tool/Volta
(federatie
Informatieveiligheids
beleid
ADMB N/A N/A
Interims/Vakantiejobber Identificatiegegevens
naam, contract,
adres,
rijksregisternumm
er,
Uitvoering AO Onbeperkt Mailbox/
contract
papier
Informatieveiligheids
beleid
Interimkantoor N/A N/A
Opleiding en
vorming/Beroep en
betrekking
CV Uitvoering AO Onbeperkt Mailbox Informatieveiligheids
beleid
N/A N/A N/A
Identificatiegegevensemail/naam Uitvoering AO Onbeperkt mailbox Informatieveiligheids
beleid
N/A N/A N/A
Maaltijdcheques Huidig personeel identificatiegegevensnaam,
rijksregisternumm
er
Uitvoering AO Onbeperkt Edenred Informatieveiligheids
beleid
Edenred N/A N/A
Werkplanning Huidig personeel Organisatie van het werkVerlof Uitvoering AO Onbeperkt ADMB Informatieveiligheids
beleid
N/A N/A N/A
Leveranciersadministratie Leveranciersbeheer Contacten bij leveranciers Identificatiegegevensnaam, email,
telefoon, adres
Uitvoering CT Onbeperkt CRM Informatieveiligheids
beleid
Cloud CRM N/A N/A
B2C: webshop identificatiegegevenszie webshop Uitvoering CT Onbeperkt CRM Informatieveiligheids
beleid
N/A N/A N/A
Werknemers identificatiegegevenszie webshop Uitvoering CT Onbeperkt Excel +
CRM
Informatieveiligheids
beleid
Microsoft
(Onedrive)
VS Model
Clauses
Invoicing identificatiesgegevensuser-id Uitvoering CT Onbeperkt EVA
Online
Informatieveiligheids
beleid
Boekhouder/Ev
a Online
N/A N/A
Boekhouding identificatiegevensnaam, email,
adres
Uitvoering CT Onbeperkt EVA
Online
Informatieveiligheids
beleid
Boekhouder/Ev
a Online
N/A N/A
Email marketing Klanten Identificatiegegevensemailadres Toestemming Onbeperkt CRM Informatieveiligheids
beleid
Mailchimp N/A N/A
Telemarketing contactgegevens identificatiegegevenstelefoonnummer Legitiem
Belang
Onbeperkt CRM Informatieveiligheids
beleid
Yello/Trendstop N/A N/A
Bezoekersadministratie BezoekersElektronische
identificatiegegevens
IP-adres Legitiem
Belang
Onbeperkt Cloud CRM Informatieveiligheids
beleid
Cloud CRM,
Analytics
VS Model
Clauses/P
rivacy
Contactformulier Bezoekers contactgegevens
Naam, email,
vraag
Toestemming Onbeperkt Cloud CRM Informatieveiligheids
beleid
Cloud CRM N/A N/A
Camerabewaking Bewaking Bezokers Afbeeldingen
Video Toestemming
(sticker)
31 dagen On
premisse
server
Informatieveiligheids
beleid
N/A N/A N/A
HR
Marketing
Klantenbeheer
Website
Records of processing activities Company XYZTRANSFER
Boekhouding
WHERE
Klantenadministratie
WHY WHAT
Beheer van personeel
(Selectie/verwerving)Sollicitanten
Personeeladministratie
Huidig personeel/Oud
personeel/Leercontract
Klanten
43
a) Rechten betrokkenen
b) Informatieveiligheid
c) Gegevenslekken
VII. Wat kan en moet ik zelf doen?
45© 2018 IFORI – All rights reserved
a) Rechten van de betrokkenen
Transparantie
Inzage
Rectificatie
Gegevenswissing (recht om vergeten te worden)
Beperking
Overdraagbaarheid
Bezwaar
Niet onderworpen te worden aan automatische besluitvorming (profiling)
46
Meld dit zo snel mogelijk aan de
DPO/informatieveiligheidsconsulent
Geef niet zelf uitvoering aan de vraag
Verwijs naar privacyverklaring en/of
DPO/Informatieveiligheidsconsulent
a) Vraag uitoefening rechten?
47© 2018 IFORI – All rights reserved
Maandag 28
januari 2019
48
Informatiebeveiliging is de taak van
iedereen!
b) Hoe veilig werken met
(persoons)gegevens?
49© 2018 IFORI – All rights reserved
b) Veilig omgaan met (persoons)gegevens
• Bewust zijn dreigingen
• Phishing
• Slechte wachtwoordbeveiliging
• Patchen / bijwerken toestel
• Mobiele apparaten
• Te veel delen op sociale media
• Gegevens onbewaakt laten
• Ruimtelijke privacy
50
Dreigingen
Malware via websites
Verouderde software
Mobiele toestellen
Cybercrime, (D)DoS, phishing
Digitale spionage
Werknemers
Buitenlandse wetgeving
Verlies van data, BYOD
Stroomstoring
Verlies van kennis
Apps van derden
Identiteitsdiefstal
Hackers/Crackers/Scriptkiddies
51© 2018 IFORI – All rights reserved
C) Gegevenslekken
Een inbreuk op de beveiliging die per ongeluk of op een onrechtmatige
wijze leidt tot:
• Vernietiging
• Verlies
• Wijziging
• Ongeoorloofde verstrekking of toegang
van persoonsgegevens
52
Belang: Verplichte melding
bij de gegevensbeschermingsautoriteit
– Binnen 72 uur
– Specifieke informatie
– Documentatie
Aan de betrokkene
– Hoog risico voor rechten en
vrijheden
– Heldere en duidelijke taal
– Uitzonderingen
53
Meldt dit onmiddellijk aan de
DPO/Informatieveiligheidsconsulent
Probeer het niet te verbergen
Probeer indien mogelijk al het lek te
doen ophouden
c) Wat doen bij een lek?
54
- Structureel: audit, gap-analyse
en stappenplan. Weet waar je
staat.
- Geen oplapwerk: met als
uitgangspunt “we hebben een
privacyverklaring nodig voor op
de website” val je door de mand.
- Werk met een multidisciplinair
team van jurist(en) en IT’er(s).
- GDPR belangt elk aspect van
de bedrijfsvoering aan: duid
een verantwoordelijke aan
binnen elk team voor GDPR
gerelateerde zaken.
VIII. Aanpak
55
- Informatie en documentatie
vergaren en structureren
- Samenwerkingsmodel
conflictmodel
- Het is niet louter een kost maar
een opportuniteit
- Geen zoveelste regelneverij
maar een filosofie
IX. Uitdagingen bij audit
en implementatie
56
IFORI Referenties
Victor Braeckmanlaan 107
9040 Gent, Belgium
Tel: +32 9 230 36 62
Fax: +32 9 231 63 71
E-mail: [email protected]
IFORI BVBA
RPR: 472.073.759 (Gent)
BTW: BE 472.073.759
IBAN: BE14 0689 0654 8283
BIC: GKCCBEBB
Bedankt!
Nog vragen?
WWW.IFORI.BE
WWW.GDPREXPERT.BE
Presentatie online beschikbaar: www.gdprexpert.be/blog