28 september 2017.

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Persoonsgegevens en de Wbp
PRIVACY ENHANCING TECHNOLOGIES Sergej Katus Bussum, 22 april 2008 Strategische informatiebeveiliging.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Kruispuntbank van de Sociale Zekerheid Willebroekkaai 38 B-1000 Brussel Website KSZ: 09/2015 ALGEMENE VERORDENING.
DPO’S, HOEKSTEEN IN HET PRIVACYBELEID
FHI Federatiecongres 20 april 2017.
ALGEMENE VERORDENING GEGEVENSBESCHERMING VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming.
GDPR: enkele belangrijke aandachtspunten
Privacy binnen de Drechtsteden
Gebruikersbijeenkomst data.overheid.nl
Privacy binnen de Drechtsteden
GDPR en de beveiliging van (patiënten)gegevens: wat moet er gebeuren?
Stichting van de Arbeid
GDPR en de beveiliging van (patiënten)gegevens: wat moet er gebeuren?

Het nieuwe Europese raamwerk “bescherming persoonsgegevens” in Europa en België/Vlaanderen… Willem Debeuckelaere De Privacyproef – deJuristen Gent 1 juni.
GDPR General Data Protection Regulation
Autoriteit Persoonsgegevens Toezicht onder de AVG
Dhr. Frank Robben GDPR: wat moet er gebeuren ?
EMPOWERMENT, ACCOUNTABLE EN COMPLIANT
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
De nieuwe rol van de Privacycommissie in de AVG
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
GDPR aanpak sessie deel II
De Privacy Muur Aangenaam en vredig tafereel..
De algemene verordening gegevensverwerking AVG
Steven Matheï Advocaat De Gendt Advocaten
Algemene Verordening Gegevensbescherming
Privacy, Law & Security Data Protection Impact assessment (DPIA)
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
College Privacy & Gegevensbescherming
Presentatie ‘Privacy & CRM’
Is uw kantoor Privacy Proof?
Algemene Verordening Gegevensbescherming youtube
Plichten Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT) Tilburg University, Netherlands
Algemene verordening gegevensbescherming
GDPR Online Dataregister & Data Subject dashboard
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
De Algemene Verordening Gegevensbescherming
AVG, wat moet ik ermee?.
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
DPO’S, HOEKSTEEN IN HET PRIVACYBELEID
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
INTRO De nieuwe privacy verordening & ons kantoor.
De GDPR en journalistiek
GDPR & niet-journalistieke doeleinden
Privacy Wat moet je weten van de nieuwe privacyverordening
Info rond de nieuwe privacy wetgeving
Handleiding VVLE template verwerkingsregister
De GDPR en journalistiek
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
Wim Van Holder.
AVG - Verenigingen Temse – 20/06/2018
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

28 september 2017

VERWERKING (BESCHERMING) VAN PERSOONSGEGEVENS

Verwerker Verwerkingsverantwoordelijke (“processor”) (“controller”) Gevoelige data Betrokkene (“datasubject”) Persoonsgegevens Identificatie

DOEL Passend beschermingsniveau ↓ Technische en organisatorische maatregelen CRITERIA Aard, omvang, context en doel v/d verwerking Waarschijnlijkheid en ernst v/d risico’s voor de rechten en vrijheden van betrokkene

Verantwoording (“accountability”) Principes Rechten Rechtmatigheid Doorgifte Doelbinding Verantwoording (“accountability”) Transparantie

Doelbinding Wat? Bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel Niet meer dan nodig (‘minimale gegevensverwerking’) Niet langer dan nodig (‘opslagbeperking’) Juist / actueel Voorbeeld: aankoop auto

Rechtmatigheid: wettelijke grondslag voor verwerking Toestemming v/d betrokkene (strenger) Overeenkomst m/d betrokkene Wettelijke verplichting v/d verantwoordelijke Gerechtvaardigd belang v/d verantwoordelijke Enkel strikt noodzakelijke gegevens

Doorgifte Aan wie? Derde landen of internationale organisaties Wanneer? Indien passend beschermingsniveau Adequaatheidsbeoordeling en –besluit OF O.b.v. passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen

(verantwoordingsplicht) Accountability (verantwoordingsplicht) Wordt bij de verantwoordelijke en de verwerker gelegd Verschuiving van de bewijslast: zeer belangrijk principe Passende technische en organisatorische maatregelen Tools: Register met verwerkingsactiviteiten Voorafgaande gegevensbeschermingseffectenbeoordeling (DPIA) Gegevensbeschermingsfunctionaris (DPO)

Rechten van de betrokkene NU Inzage Rectificatie Gegevenswissing (Google-arrest) Bezwaar NIEUW Beperking van de verwerking Overdraagbaarheid (‘data portability’)

Overdraagbaarheid (‘data portability’) Betrokkene kan zijn persoonsgegevens Bekomen (laten) doorgeven aan een andere verantwoordelijke – without “hindrance” Via: Een directe download Directe doorgifte Of gebruik makend van een derde partij Geen invloed op andere rechten (inzage, rectificatie,…)

Overdraagbaarheid (‘data portability’) 3 voorwaarden (cumulatief): Gegevens verstrekt op basis van toestemming of een overeenkomst Gegevens met betrekking tot de betrokkenen en door hem/haar verstrekt Zonder gevaar voor de rechten van derde partijen Verplichting om de betrokkenen te informeren Binnen een redelijke termijn In een ”structured, commonly used and machine –readable form” – interoperability (doel)

(Gegevensbescherming door ontwerp) Privacy by design (Gegevensbescherming door ontwerp) De architectuur van datasystemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een datasysteem moet hiermee rekening worden gehouden.

(Gegevensbescherming door standaardinstellingen) Privacy by default (Gegevensbescherming door standaardinstellingen) De instellingen van een datasysteem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. Minimale gegevensverwerking Beperking bewaringstermijn Beperkte toegang

NU Voorafgaande aangifte bij toezichthoudende autoriteit NIEUW Register van verwerkingsactiviteiten (‘records of processing activities’) Verwerkingsverantwoordelijke OF Verwerker UITZONDERING: KMO’s tenzij Niet incidenteel Gevoelige gegevens Waarschijnlijk risico Belgische Privacy Commissie: “geen uitzondering voor KMO’s”

Register van verwerkingsactiviteiten (‘records of processing activities’) Verantwoordelijke én verwerker -250 werknemers? Andere voorwaarden? Irrelevant door Privacy Commissie gemaakt: iedereen! (beperkt tot niet-incidentele verwerkingen) Komt in de plaats van de aangifteplicht (let wel: geen uitzonderingen meer, zoals loonadministratie) Schriftelijk (bv. elektronische vorm) Model (behoorlijk complex) Controle door Privacy Commissie zodra zij erom verzoekt

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Wat? Beschrijving van de verwerkingen en doeleinden Beoordeling van de noodzaak en evenredigheid van de verwerkingen i.f.v. de doeleinden Beoordeling van de risico’s Beoogde maatregelen om de risico’s aan te pakken

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Wanneer? “likely to result in a high risk to the rights and freedoms of natural persons” criteria Working Party 29 Geautomatiseerde besluitvorming (vb. profiling) New data processing technology Grootschalige verwerking van gevoelige data Systematische en grootschalige observatie van openbaar toegankelijke ruimten

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Vorm? Keuze (op voorwaarde dat het een echte risicobeoordeling mogelijk maakt) Gevolgen? Verantwoordelijkheid bij verwerkingsverantwoordelijke

Data Protection Officer (DPO – Functionaris van de gegevensbescherming) Wat? Toezicht op GDPR compliance - onafhankelijk Wanneer? Publieke sector Ondernemingen met als kerntaak Regelmatige en systematische observatie op grote schaal Ondernemingen met als kerntaak grootschalige verwerking van gevoelige gegevens

Data Protection Officer (DPO – Functionaris van de gegevensbescherming) Definities? Neen – Working Party 29 Wie? Zelfstandige vs. Bediende Verantwoordelijkheid? Neen (processor & controller) Voorbeelden: hospitaal, verwerking door verzekeraars, banken, telecom, arts, advocaat… (JA/NEEN)

Data lek (inbreuk) Meldingsplicht REGEL: zonder onredelijke vertraging Schadevergoeding Administratieve geldboete Andere sancties

Deadline: 25 mei 2018

Contact Kantoor: Website: www.lawtree.be Roy Maes Niels Van den Heuvel Vuurmolenstraat 33 - 2610 Antwerpen Tel.: +32 (0)3 345.35.05 Website: www.lawtree.be Roy Maes Niels Van den Heuvel +32 (0)495.24.54.47 +32 (0)495.87.61.51 rma@lawtree.be nvdh@lawtree.be Nicolas Wesling Wouter Thibaut +32 (0)497.46.76.53 +32 (0)472.99.62.27 nwe@lawtree.be wth@lawtree.be Sanne Van den Abbeele +32 (0)485.60.05.08 svda@lawtree.be