verplichtingen inzake de verwerking van persoonsgegevens: gdpr

Verplichtingen inzake de verwerking van persoonsgegevens: wat voorziet de ontwerptekstvan de GDPR?

Johan VandendriesschePartner – CrosslawGastprofessor ICT-recht – UGent

[email protected]

Responsabilisering als basisregel van de GDPR

Filosofie van de GDPR wijkt gedeeltelijk af van de filosofie van de Richtlijn 1995/46/EG Responsabilisering

Risico-gebaseerde aanpak

Richtlijn: sporadische omkering bewijslast, rol van betrokkenen en toezichthouders Principe van responsabilisering uitgewerkt in adviezen

GDPR: documentatieplicht en aantoonbare naleving van de GDPR Uitdrukkelijk opgenomen en sterk uitgewerkt in het wettelijke kader

Brussels - Kortrijk | www.crosslaw.be 2


Compliance wordt proactieve compliance Aantoonbare naleving van de wettelijke bepalingen

• Data protection officer

• Uitgebreide documentatieplicht en data protection impact assessments

• Meldingsplicht gegevenslekken (“data breach notification”)

In geval van geschil of controle: verantwoordelijke voor de verwerking moet naleving van de GDPR kunnen aantonen• Inbouwen van compliance processen

• Regelmatige controle van processen

• Compliance activiteit is een belangrijke factor bij risico- en aansprakelijkheidsbeperking



Risico-gebaseerde aanpak Twee stappen: risico en hoog risico

Risicobepaling Waarschijnlijkheid (‘likelihood’) Ernst (‘severity’) Criteria: de aard, omvang, context en de doeleinden van de verwerking Rol van pseudonymisering

Impact: specifieke bepalingen enkel van toepassing in geval van hoog risico Data protection impact assessment Kennisgeving aan betrokkenen bij gegevenslekken Voorafgaande consultatie van toezichthouder bij DPIAs


Compliance als voordeel

Externe compliance verplichtingen versoepelen de toepassing van de GDPR Verwerkingsgrondslag

• Toestemming

• Contractuele / precontractuele maatregelen

• Wettelijke of regelgevende verplichting

• Legitiem belang

Toetsing legitiem belang• Fraudebeheersing

• Intra-groep transfers

• Network & Information Security

Toetsing bij sanctiemechanismen


Data Protection Officer

Verplichte aanstelling DPO: aanzienlijk uitgehold Publieke overheid

Kernactiviteit bestaande uit regelmatige en systematische monitoring

Kernactiviteit bestaande uit verwerking van bijzondere categorieën van persoonsgegevens

Regel uit nationaal recht

Rol Informatie- en adviesfunctie

Compliance functie

SPOC voor toezichthouder


Documentatieplicht

Documentatieplicht in verband met verwerkingsactiviteiten Verantwoordelijke voor de verwerking Verwerker

Inhoud Naam en contactgegevens van de verantwoordelijke voor de verwerking en

haar eventuele data protection officer Doeleinden van de verwerking(en) Beschrijving van de categorieën van betrokkenen en persoonsgegevens Categorieën van ontvangers, met inbegrip van ontvangers in derde landen De internationale transfers van persoonsgegevens Indien mogelijk, de bewaringstermijn van de verschillende categorieën van

persoonsgegevens Indien mogelijk, een algemene omschrijving van de veiligheidsmaatregelen


Documentatieplicht

Vorm Schriftelijk (mag elektronisch)

Ter beschikking houden van toezichthouder

Vrijstelling voor ondernemingen met minder dan 250 werknemers, behalve indien: De verwerking resulteert waarschijnlijk in een risico voor de rechten en

vrijheden van de betrokkenen

De verwerking is niet occasioneel

De verwerking heeft betrekking op bijzondere categorieën van persoonsgegevens of gerechtelijke persoonsgegevens


Data Protection Impact Assessment

Analyse van de impact van een verwerking op bescherming persoonsgegevens Verplichting bij “hoog risico”, waaronder:

• Systematische en extensieve evaluatie van persoonlijke aspecten van natuurlijke personen, waaronder profilering

• Verwerking op grote schaal van bijzondere categorieën van persoonsgegevens

Lijst van verplichte verwerking Lijst van vrijstellingen Toch nuttig indien niet verplicht (beperkte DPIA?)

Indien gepast: raadpleging van betrokkenen of hun vertegenwoordigers

Indien DPIA een hoog risico vaststelt: procedure van voorafgaande consultatie


Data Protection Impact Assessment

Praktische aanpak (in afwachting van verduidelijking) Identificeer de noodzaak en/of het nut van een DPIA

Beschrijf de verwerking

Identificeer de risico’s voor de persoonlijke levenssfeer

Identificeer en evalueer de mitigerende maatregelen

Leg de conclusies van de DPIA vast

Integreer de conclusies van de DPIA in de praktische uitwerking van de verwerking

Artikel 29 Werkgroep (EDPB) heeft reeds aangekondigd om verduidelijking te verstrekken


Melding gegevenslekken

Verplichte melding gegevenslekken aan toezichthouder Gegevenslek

Zonder onnodige vertraging en niet later dan 72 uur na kennisname• Indien niet mogelijk: motivering voor vertraging

Vrijstelling indien geen risico

Verwerker heeft eveneens meldingsplicht naar verantwoordelijke

Inhoud• Aard van het gegevenslek

• Contactgegevens

• Gevolgen van het gegevenslek

• Remediëringsmaatregelen

Documentatieplicht


Melding gegevenslekken

Verplichte melding aan betrokkenen? Hoog risico

Duidelijke omschrijving van gegevenslek

Vrijstelling• Technische en organisatorische maatregelen die de toegang tot de data onmogelijk

maken (b.v. encryptie)

• Maatregelen die hoog risico tegengaan

• Disproportionele inspanning


Hoe omgaan met incidenten en notificatieplichten?

Praktische aanpak voor de omgang met incidenten en notificatieplichten vanuit een juridisch perspectief Ruimer dan louter verwerking van persoonsgegevens

Drie stadia Voor het incident

Tijdens het incident

Na het incident

Bepaal de strategieën voor (juridische) risicobeheersing en wettelijke verplichtingen gedurende elk stadium



Pre-incident stadium Evalueer de IT-infrastructuur

• Evalueer de aard van de veiligheids- en notificatieverplichtingen

• Documenteer en evalueer de gegevensverwerkingen

Evalueer de huidige stand van “compliance”• Identificeer de tekortkomingen

• Creëer een planning om de tekortkomingen op te vangen

Creëer en implementeer een incident policy (incident team!)

Bekijk de mogelijkheden voor cyberverzekeringen



Incident stadium (juridisch perspectief) Identificeer het incident

• Pas de incident policy toe op basis van de (voorlopige) identificatie van het incident

• Bekijk de mogelijkheid om cyberverzekeringen in te roepen

Identificeer de gevolgen van het incident• Evalueer de impact op de onderneming

• Evalueer mogelijke acties in verband met cybercriminaliteit

• Evalueer de wettelijke verplichtingen

Voer de wettelijke verplichtingen uit

Bekijk de mogelijkheden voor buitengerechtelijke schadebeperking• Communicatiemogelijkheden voor de beperking van imagoschade



Post-incident stadium Documenteer het incident en de afhandeling ervan

Bekijk het incident en identificeer handelingen om de herhaling ervan tevermijden

Volg eventuele gevolgen op• Schadeclaims

• Administratieve geldboetes

• Gerechtelijke procedures

“Lessons learnt”• Feedback naar het pre-incident stadium


Sanctieregeling

Breed spectrum aan sancties Klachtenprocedure

Gerechtelijke procedure

Aansprakelijkheid

Strafsancties

Administratieve geldboetes• Tot 2% wereldwijde jaarlijkse omzet: organisatorische inbreuken

• Tot 4% wereldwijde jaarlijkse omzet: essentiële bepalingen en rechten van betrokkenen


Sanctieregeling

Compliance heeft een impact Voorkomen van sancties

Potentiële matiging van administratieve geldboete• Het intentioneel of nalatig karakter van de inbreuk

• Handelingen getroffen om de schade te beperken

• De mate van aansprakelijkheid in het licht van de veiligheidsmaatregelen

• Relevante voorafgaande inbreuken

• Wijze van kennisname van de inbreuk door de toezichthouder

• Andere verzwarende of matigende omstandigheden, waaronder financiële voordelen

Gelet op de omvang van de administratieve geldboetes is een goed compliance beleid duidelijk zinvol


Big Data

Profilering Geautomatiseerde verwerking

Gebruik data

Evaluatie van bepaalde persoonlijkheidskenmerken

Doel: bepaalde analyse of voorspelling

Rechtvaardigingsgrond Expliciete toestemming

Wettelijke bepaling

Contractuele relatie

Recht op verzet

DPIA


Bedankt voor uw aandacht


verplichtingen inzake de verwerking van persoonsgegevens: gdpr

Law