GDPR General Data Protection Regulation

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Informatiebeveiliging
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Testdata Management Ketentest
auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gij zult openbaren: privacy en de open overheid
Datacenter versus Cloud
28 september 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
HR in tijden van GDPR/AVG – 6 februari 2018 – VAC Gent
PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Sportfederatie Den Helder
In 7 stappen uw organisatie klaar voor AVG
De algemene verordening gegevensverwerking AVG
Privacy in wetgeving: wat mag wel en wat mag niet
Steven Matheï Advocaat De Gendt Advocaten
De nieuwe privacywet GDPR op maat van je sportclub
Algemene Verordening Gegevensbescherming
GDPR online GDPR sessie
Presentatie ‘Privacy & CRM’
AVG Privacy, is het recht om met rust gelaten te worden.
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
ondersteuning beheer van je organisatie
Algemene verordening gegevensbescherming
Hergebruik van overheidsinformatie
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Privacy bij Vrijwilligersorganisaties
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
Privacy en Leerplicht/RMC
De GDPR en journalistiek
GDPR met medewerking van
GDPR & niet-journalistieke doeleinden
Wet op de privacy.
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Info rond de nieuwe privacy wetgeving
Handleiding VVLE template verwerkingsregister
De GDPR en journalistiek
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
GDPR.
Wim Van Holder.
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Transcript van de presentatie:

GDPR General Data Protection Regulation Algemene Verordening Gegevensbescherming

bescherming en verwerking persoonsgegevens verwerking: van het verzamelen, raadplegen, verspreiden, koppelen, registreren tot het vernietigen van gegevens. persoonsgegevens: gegevens over een natuurlijke persoon. Naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken, financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding, lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname, geluidsopname,…

rollen en verantwoordelijkheden verwerkingsverantwoordelijke feitelijke persoon, rechtspersoon,… bepaalt middelen en doeleinden verwerking verantwoordelijk (overeenkomsten met verwerkers, organisatorische en technische maatregelen nemen) verwerker personen die de verwerking uitvoeren intern (personeel, vrijwilligers,…) extern (verzekering, soc.cecretariaat) betrokkene persoon wiens gegevens je verwerkt verkregen via hem/haar of via derden rechten je organisatie kan zowel verwerker als verantwoordelijke zijn aangezien je diverse vormen van categorieën van gegevensverwerking hebt in een organisatie of samenwerkingen.

gevoelige gegevens In de socioculturele sector worden persoonsgegevens verzameld en verwerkt die door de Verordening als ‘gevoelige gegevens’ beschouwd worden en om die reden extra bescherming vereisen: medische gegevens politieke voorkeur seksuele voorkeur geloofsovertuiging etnische afkomst lidmaatschap van vakbonden, politieke partijen.

gevoelige gegevens Mogen alleen verwerkt worden met het oog op een beperkt aantal doeleinden en op strikte voorwaarden. toegelaten voor vzw’s, stichtingen of andere instanties zonder winstoogmerk op volgende voorwaarden (Met uitzondering van de strafrechtelijke gegevens) : de organisatie is werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied de verwerking gebeurt in het kader van die gerechtvaardigde activiteiten en met passende waarborgen de verwerking heeft alleen betrekking op leden of voormalige leden van de organisatie OF op personen die regelmatig contact met haar onderhouden in verband met haar doeleinden de persoonsgegevens worden niet zonder toestemming van betrokkene buiten die instantie doorgegeven

persoonsgegevens -16 jarigen De GDPR biedt speciale bescherming aan de persoonsgegevens van kinderen, in het bijzonder in de context van commerciële internetdiensten zoals sociale netwerken. Profilering is sowieso niet toegestaan. Als je organisatie gegevens van -16 jarigen verzamelt, in het kader van een rechtstreeks aanbod van onlinediensten en als voor die verwerking toestemming nodig is, moet een ouder of voogd die toestemming geven. Er moet geen toestemming gevraagd worden, noch van het kind, noch van de ouder wanneer de verwerking niet op een toestemming moet gebaseerd worden, maar bijvoorbeeld mag omdat het noodzakelijk is voor de uitvoering van de wettelijke verplichtingen. Je moet natuurlijk wel duidelijk informeren over de verwerking van de persoonsgegevens.

registratie leden, deelnemers, nieuwsbrieven GDPR privacycommissie toezicht verordening organisatie & beveiliging afdelingen planlast leden registratie leden, deelnemers, nieuwsbrieven

proportionaliteit - legaliteit - transparantie rechten van betrokkenen verantwoordelijkheid organisatie proportionaliteit - legaliteit - transparantie beveiliging rechten van betrokkenen

proportionaliteit ‘Is het echt noodzakelijk in functie van onze doelstelling om:’ deze gegevens te verzamelen en verder te verwerken? zijn er misschien andere manieren? deze gegevens zo lang te bewaren? (deelnemer cursus zit jarenlang in bestanden) al deze personen toegang te geven tot de gegevens? deze gegevens aan een specifieke persoon te blijven koppelen, of kunnen we ze pseudonimiseren? (probleem koppeling persoonsgegevens aan boekhouding)

legaliteit contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv arbeidsovereenkomst) wettelijke verplichting (noodzakelijk voor uitvoering wettelijke plicht, bv opgelegd in decreet) algemeen belang of openbaar gezag ( door de wet opgedragen, bv. aan de politie) vitaal belang (bv om dringende medische reden) gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacyverwachtingen van de betrokkenen ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van betrokkenen)

transparantie De betrokkenen (leden, werknemers, doelgroep, deelnemers, je vrijwilligers,…) moeten duidelijk geïnformeerd worden in een heldere taal. De transparantie- of informatieplicht geldt ongeacht de wettelijke doelstelling die je beoogt. Je organisatie moet dus altijd actief informeren over de verwerking van de persoonsgegevens en de rechten van de betrokkenen. Dat moet proactief gebeuren. De verantwoordelijke mag dus niet wachten met het geven van de informatie totdat een betrokkene ernaar vraagt.

beveiliging organisatorische maatregelen technische maatregelen afspraken in het team rond verwerking, rondslingeren deelnemerslijsten, beperking info op deelnemerslijsten, afspraken vernietiging cv na sollicitatieronde,… technische maatregelen ict beveiliging computers wachtwoorden, back up, … —> www.safeonweb.be juridische maatregelen werkgeversaspect sociare contracten met verwerkers documenten

rechten betrokkenen De rechten van de betrokkenen • recht op informatie • recht op inzage en kopie • recht op aanpassing (rectification) • recht op bezwaar • recht op vergetelheid (verwijderen van gegevens) • recht op intrekken toestemming • recht op overdraagbaarheid • recht op weigering geautomatiseerde individuele besluitvorming, profilering • recht op beperking van verwerking

recht op: informatie inzage en kopie aanpassing (rectification) transparant en duidelijk informeren (privacyverklaring ) inzage en kopie De verantwoordelijke moet op vraag gratis een kopie verstrekken van de verwerkte persoonsgegevens en dit binnen de maand. aanpassing (rectification) de organisatie moet de betrokkene meedelen aan welke derden je de aangepaste gegevens heb bezorgd bezwaar Algemeen: de organisatie moet de betrokkene bij de eerste communicatie informeren van zijn recht op verzet en het uitdrukkelijk vermelden in de privacy verklaring verzet tegen direct marketing: organisatie moet onmiddellijk stoppen met de verwerking verzet tegen verwerking o.b.v. gerechtvaardigde gronden. De organisatie kan enkel om bepaalde wettelijke redenen nog verder verwerken vergetelheid (verwijderen gegevens) De betrokkene kan vragen om ‘vergeten’ te worden en te worden verwijderd uit de bestanden ( met wettelijke uitzonderingen ) intrekken toestemming betrokkene heeft het recht om eerder gegeven toestemming in te trekken overdraagbaarheid De betrokkene heeft het recht om de persoonsgegevens die hij heeft verstrekt te laten overdragen naar een andere verwerker weigering profilering Alle betrokkenen hebben het recht om niet te worden onderworpen aan een volledig geautomatiseerde besluitvorming. De organisatie er voor zorgen dat de betrokkene de mogelijkheid heeft om menselijke tussenkomst te bekomen; zijn standpunt te kunnen bijbrengen en uitleg te krijgen omtrent de besluitvorming en dit kan betwisten recht op beperking verwerking recht op beperking wanneer bijvoorbeeld de juistheid van gegevens door de betrokkene worden betwist

recht op vergetelheid wanneer: de gegevens niet langer in verband zijn met de doelen waarvoor zij zijn verzameld de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond is voor de verwerking de gegevens onrechtmatig zijn verwerkt de gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting de gegevens zijn verzameld in verband met online diensten, direct marketing,… de betrokkene maakt succesvol bezwaar tegen verwerking de verwerkinsverantwoordelijke moet maatregelen nemen om de gegevens te verwijderen, maar ook om iedere koppeling naar kopie of reproductie te wissen

recht van inzage categorieën persoonsgegevens verwerkingsdoeleinden verplichte informatie die ter inzage moet worden versterkt: verwerkingsdoeleinden categorieën persoonsgegevens (categorieën) ontvangers bewaarperiode of criteria om termijn te bepalen bron van gegevens als ze niet bij betrokkene zijn gehaald bestaan van profilering als dit aanwezig is recht indienen van klacht passende voorwaarden inzake doorgifte aan derde landen indien dit het geval is

stappenplan stap 1 bewustmaking stap 2 inventaris stap 3 analyse en maatregelen stap 4 gegevensverwerkingregister stap 5 privacyverklaring stap 6 procedures rechten betrokkenen stap 7 aanpak datalek

stap 1 bewustmaking raad van bestuur team Informeer de sleutelfiguren in je organisatie (medewerkers die met gegevens werken, directie, bestuur, ...) over de noodzakelijke stappen om je organisatie in regel te brengen met de GDPR verordening . Overloop wie welke persoonsgegevens verwerkt en gebruikt bekijk of je organisatie verwerker is, verantwoordelijke, of beiden in diverse gevallen belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken —> agenderen en verslagen bijhouden

stap 2 inventaris Welke gegevens worden er bewaard (naam, adres, leeftijd,…) ? Waar komen de gegevens vandaan Waar worden de gegevens bewaard ? Hoe lang worden ze bewaard ? Wie heeft er toegang toe? Worden de gegevens beschermd? (Hoe) worden gegevens intern uitgewisseld? (vb aanwezigheidslijst) (Hoe) worden gegevens extern uitgewisseld ? Waarvoor gebruiken jullie de gegevens?(direct mailing, nieuwsbrief, bevestigingen)

stap 3 analyse 3 a. screening Breid de inventaris uit met een interne screening zodat je zicht krijgt op de noodzakelijke maatregelen die je moet nemen om in regel te zijn. Op basis van de inventaris bekijk je per gegevenscategorie of • je een legitieme doelstelling hebt om deze te verwerken • de verwerkingsactiviteiten in verhouding zijn tot die doelstelling • je voldoende transparant bent over de verwerkingsactiviteiten je de rechten van de betrokkenen voldoende respecteert (tabel) Zet na deze screening de verwerking van persoonsgegevens stop die niet noodzakelijk zijn voor de verwerkingsdoelstelling

stap 3 analyse 3 b. veiligheidsmaatregelen Breng voor de gegevens die je blijft verwerken, de risico’s in kaart op verlies, diefstal of ongeoorloofde toegang en de mogelijke gevolgen die elk daarvan zou kunnen hebben voor de betrokken personen. Bekijk welke verbeterstappen je kan / moet zetten en lijst op wie welke maatregelen hoe gaat nemen binnen welke timing. Verdeel de maatregelen onder in een • een organisatorisch deel • een technisch deel • (eventueel) juridisch deel.

stap 3 audit 3 c. GDPR compliant De GDPR heeft ook een impact op de diensten en tools die je organisatie gebruikt. Zowel contractpartners als softwaretools en onlineservices waar je mee werkt, moeten in de toekomst GDPR-compliant zijn, in een schriftelijk contract gegarandeerd. Dat geldt overigens ook voor allerlei cloudoplossingen. Sluit met alle betrokken partijen een verwerkersovereenkomst, met afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen

stap 4 register biedt een overzicht van de verwerking van gegevens, gekoppeld aan de doeleinden per verwerkingsprocedure. verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke handige leidraad voor de verwerkers binnen je organisatie wordt continu geactualiseerd en aangevuld. (In tegenstelling tot de inventaris en analyse) de informatie uit de inventaris en analyse zijn goede basis voor een verdere uitwerking in een register online template scwitch als basis

stap 4 register verplicht per verwerkingsactiviteit naam en contactgegevens verwerker en verwerkings-verantwoordelijke verwerkingsdoeleinden categorieën van verwerking categorieën persoonsgegevens en betrokkenen categorieën van ontvangers en derde landen of organisaties bewaartermijn gegevens technische en organisatorische maatregelen beveiliging waarborgen bij doorgifte gegevens aan derde landen

stap 5 privacyverklaring Je organisatie moet de betrokkenen proactief informeren over de verwerking van persoonsgegevens en hun rechten. beknopt, transparant, in een duidelijke eenvoudige taal en in een begrijpelijke en gemakkelijk toegankelijke vorm. op de meest aangewezen plaats voor de betrokkenen van wie de persoonsgegevens verwerkt worden. Werk o.a. volgende luiken uit in een heldere privacyverklaring • welke informatie wordt verzameld • wie verzamelt de informatie • hoe wordt ze verzameld • waarom wordt ze verzameld • hoe wordt ze gebruikt • met wie wordt de informatie gedeeld effect op het individu voor het gebruik van zijn persoonlijke gegevens (laatste enkel wanneer sprake van geautomatiseerde besluitvorming)

toestemming betrokkene toestemming = ‘ Elke uit vrije wil gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene waardoor hij of zij actief aangeeft akkoord te gaan met de verwerking van zijn/haar persoonsgegevens’ • duidelijke vraag om toestemming • bevat voldoende informatie om een keuze te kunnen maken • bevat een duidelijke toelichting over hoe gegevens gebruikt worden • voorzie een duidelijke en eenvoudige manier om toestemming te geven (ja-aanvinkvakje)

stap 6 verantwoordelijke De Data Protection Officer is een deskundige inzake gegevensbescherming die je organisatie bijstaat in het toezicht op de interne naleving van de GDPR. DE TAKEN VAN DE DPO toezicht op de naleving van de GDPR en van het interne beleid daaromtrent de organisatie en haar medewerkers informeren en adviseren omtrent hun verplichtingen ivm GDPR advies over nieuwe software, gebruik van database, etc… monitoring van het al dan niet voldoen aan de regels van de GDPR contactpunt voor en samenwerking met privacycommissie brengt jaarlijks verslag uit van zijn/haar werkzaamheden en bevindingen aan de hoogste leidinggevende in de organisatie kan door de betrokkene gecontacteerd worden over GDPR-aangelegenheden

Wanneer ben je verplicht een DPO (intern of extern ) aan te duiden? Je hebt een DPO nodig in volgende gevallen: • Je organisatie is een overheidsinstantie of een overheidsorgaan • Je organisatie is hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (wegens aard, omvang en doeleinden) • Je verwerkt op grote schaal bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religie, medische of strafrechtelijke gegevens Conclusie: De verwerking ‘op grote schaal’ en ‘bijzondere categorieën’ geldt ons inziens enkel als je organisatie van bepaalde groepen heel regelmatig individuele voorkeuren gaat onderzoeken, profileren. We nemen aan dat de meeste van de vzw’s in de socioculturele sector geen externe DPO hoeven aan te stellen en dat een register plus maatregelen en privacyverklaring volstaat. Tenzij er later nog nationale wetgeving komt die deze verplichting zal opleggen of de commissie of rechtspraak een ander standpunt inneemt.

stap 7 aanpak datalek meldplicht voor datalekken die de betrokkene(n) schade kunnen berokkenen ( bv financieel verlies, schending geheimhoudingsplicht, identiteitsdiefstal). Elk incident dat impact kan hebben op de veiligheid van je gegevens (zoals diefstal van een laptop of verlies van een usb-stick) en enige vorm van schade kan veroorzaken aan de betrokkenen(n), moet binnen 72 uur gemeld worden aan de privacycommissie. Bij een hoog risico voor zijn rechten en vrijheden moet dit ook aan de betrokkene zelf gemeld worden zodat deze de nodige voorzorgsmaatregelen kan nemen. procedure duidelijke verantwoordelijke / aanspreekpunt informeer alle verwerkers datalekdocument info site privacycommissie

www.scwitch.be logboek tools & templates http://scwitch.be/toolkit/ actieve sessies met expert 1op1 begeleiding door expert