28 september 2017

VERWERKING (BESCHERMING) VAN PERSOONSGEGEVENS

Verwerker Verwerkingsverantwoordelijke (“processor”) (“controller”) Gevoelige data Betrokkene (“datasubject”) Persoonsgegevens Identificatie

DOEL Passend beschermingsniveau ↓ Technische en organisatorische maatregelen CRITERIA Aard, omvang, context en doel v/d verwerking Waarschijnlijkheid en ernst v/d risico’s voor de rechten en vrijheden van betrokkene

Verantwoording (“accountability”) Principes Rechten Rechtmatigheid Doorgifte Doelbinding Verantwoording (“accountability”) Transparantie

Doelbinding Wat? Bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel Niet meer dan nodig (‘minimale gegevensverwerking’) Niet langer dan nodig (‘opslagbeperking’) Juist / actueel Voorbeeld: aankoop auto

Rechtmatigheid: wettelijke grondslag voor verwerking Toestemming v/d betrokkene (strenger) Overeenkomst m/d betrokkene Wettelijke verplichting v/d verantwoordelijke Gerechtvaardigd belang v/d verantwoordelijke Enkel strikt noodzakelijke gegevens

Doorgifte Aan wie? Derde landen of internationale organisaties Wanneer? Indien passend beschermingsniveau Adequaatheidsbeoordeling en –besluit OF O.b.v. passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen

(verantwoordingsplicht) Accountability (verantwoordingsplicht) Wordt bij de verantwoordelijke en de verwerker gelegd Verschuiving van de bewijslast: zeer belangrijk principe Passende technische en organisatorische maatregelen Tools: Register met verwerkingsactiviteiten Voorafgaande gegevensbeschermingseffectenbeoordeling (DPIA) Gegevensbeschermingsfunctionaris (DPO)

Rechten van de betrokkene NU Inzage Rectificatie Gegevenswissing (Google-arrest) Bezwaar NIEUW Beperking van de verwerking Overdraagbaarheid (‘data portability’)

Overdraagbaarheid (‘data portability’) Betrokkene kan zijn persoonsgegevens Bekomen (laten) doorgeven aan een andere verantwoordelijke – without “hindrance” Via: Een directe download Directe doorgifte Of gebruik makend van een derde partij Geen invloed op andere rechten (inzage, rectificatie,…)

Overdraagbaarheid (‘data portability’) 3 voorwaarden (cumulatief): Gegevens verstrekt op basis van toestemming of een overeenkomst Gegevens met betrekking tot de betrokkenen en door hem/haar verstrekt Zonder gevaar voor de rechten van derde partijen Verplichting om de betrokkenen te informeren Binnen een redelijke termijn In een ”structured, commonly used and machine –readable form” – interoperability (doel)

(Gegevensbescherming door ontwerp) Privacy by design (Gegevensbescherming door ontwerp) De architectuur van datasystemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een datasysteem moet hiermee rekening worden gehouden.

(Gegevensbescherming door standaardinstellingen) Privacy by default (Gegevensbescherming door standaardinstellingen) De instellingen van een datasysteem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. Minimale gegevensverwerking Beperking bewaringstermijn Beperkte toegang

NU Voorafgaande aangifte bij toezichthoudende autoriteit NIEUW Register van verwerkingsactiviteiten (‘records of processing activities’) Verwerkingsverantwoordelijke OF Verwerker UITZONDERING: KMO’s tenzij Niet incidenteel Gevoelige gegevens Waarschijnlijk risico Belgische Privacy Commissie: “geen uitzondering voor KMO’s”

Register van verwerkingsactiviteiten (‘records of processing activities’) Verantwoordelijke én verwerker -250 werknemers? Andere voorwaarden? Irrelevant door Privacy Commissie gemaakt: iedereen! (beperkt tot niet-incidentele verwerkingen) Komt in de plaats van de aangifteplicht (let wel: geen uitzonderingen meer, zoals loonadministratie) Schriftelijk (bv. elektronische vorm) Model (behoorlijk complex) Controle door Privacy Commissie zodra zij erom verzoekt

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Wat? Beschrijving van de verwerkingen en doeleinden Beoordeling van de noodzaak en evenredigheid van de verwerkingen i.f.v. de doeleinden Beoordeling van de risico’s Beoogde maatregelen om de risico’s aan te pakken

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Wanneer? “likely to result in a high risk to the rights and freedoms of natural persons” criteria Working Party 29 Geautomatiseerde besluitvorming (vb. profiling) New data processing technology Grootschalige verwerking van gevoelige data Systematische en grootschalige observatie van openbaar toegankelijke ruimten

Data Protection Impact Assessment (DPIA – Gegevensbeschermingseffectbeoordeling) Vorm? Keuze (op voorwaarde dat het een echte risicobeoordeling mogelijk maakt) Gevolgen? Verantwoordelijkheid bij verwerkingsverantwoordelijke

Data Protection Officer (DPO – Functionaris van de gegevensbescherming) Wat? Toezicht op GDPR compliance - onafhankelijk Wanneer? Publieke sector Ondernemingen met als kerntaak Regelmatige en systematische observatie op grote schaal Ondernemingen met als kerntaak grootschalige verwerking van gevoelige gegevens

Data Protection Officer (DPO – Functionaris van de gegevensbescherming) Definities? Neen – Working Party 29 Wie? Zelfstandige vs. Bediende Verantwoordelijkheid? Neen (processor & controller) Voorbeelden: hospitaal, verwerking door verzekeraars, banken, telecom, arts, advocaat… (JA/NEEN)

Data lek (inbreuk) Meldingsplicht REGEL: zonder onredelijke vertraging Schadevergoeding Administratieve geldboete Andere sancties

Deadline: 25 mei 2018

Contact Kantoor: Website: www.lawtree.be Roy Maes Niels Van den Heuvel Vuurmolenstraat 33 - 2610 Antwerpen Tel.: +32 (0)3 345.35.05 Website: www.lawtree.be Roy Maes Niels Van den Heuvel +32 (0)495.24.54.47 +32 (0)495.87.61.51 rma@lawtree.be nvdh@lawtree.be Nicolas Wesling Wouter Thibaut +32 (0)497.46.76.53 +32 (0)472.99.62.27 nwe@lawtree.be wth@lawtree.be Sanne Van den Abbeele +32 (0)485.60.05.08 svda@lawtree.be