De Privacy Muur Aangenaam en vredig tafereel.
Intercare - Perfiction: GDPR Intro . Innovatie en privacy staan op gespannen voet met elkaar. Zeker toen de GDPR langzaam zijn definitieve vorm begon aan te nemen was de kritiek rond innovatie niet van de lucht. Cultuur, hier en Amrika, niet belangrijk, alles moet kunnen Regels gelden al jaren, maar nu biedt gde GDPR een hele grote stok om mee te slaan. Wat men vergeet: privacy hangt samen met vertrouwen, en als een organsiatie niet goed omgaat met privacy schaadt dat het vertrouwen, en als het vertrouwen schaadt, schaadt het ook de bottomline, de winst. En daar zit meestal een element waar men wel voor open staat. Intercare - Perfiction: GDPR Intro
“Ja, ok, maar dat is Amerika! Daar snappen ze privacy niet…” Klopt, is eerder gunst Voorbeeld privacy collega Amerika Privacy Shield, discussies, Intercare - Perfiction: GDPR Intro
Intercare - Perfiction: GDPR Intro . Innovatie en privacy staan op gespannen voet met elkaar. Zeker toen de GDPR langzaam zijn definitieve vorm begon aan te nemen was de kritiek rond innovatie niet van de lucht. Cultuur, hier en Amrika, niet belangrijk, alles moet kunnen Regels gelden al jaren, maar nu biedt gde GDPR een hele grote stok om mee te slaan. Wat men vergeet: privacy hangt samen met vertrouwen, en als een organsiatie niet goed omgaat met privacy schaadt dat het vertrouwen, en als het vertrouwen schaadt, schaadt het ook de bottomline, de winst. En daar zit meestal een element waar men wel voor open staat. Intercare - Perfiction: GDPR Intro
Data protection by design & default. Heb zo’n gevoel dat die term al wel een paar keer gevallen is Data protection by design default Gegevensescherming door ontwerp en standaardinstellingen Het is een concept, dat in de GDPR vertaald wordt naar concrete maatregelen zoals: Intercare - Perfiction: GDPR Intro
Is het dan een certificaat? Ok, is het dan marketing onzin? Is het beleid? Is het een tool? Is het een DPO? Is het een checklist? Is het dan een certificaat? Ok, is het dan marketing onzin? Nee, nee nee, Intercare - Perfiction: GDPR Intro
Intercare - Perfiction: GDPR Intro Het integreren van de basisprincipes van verwerking van persoonsgegevens in ontwikkeling, processen, tools en communicatie. Dat doen we nu immers ook al Intercare - Perfiction: GDPR Intro
Data Protection Impact Assessment Gegevensbeschermingseffectbeoordeling. De link met data protection by design “Risk based approach” Voor hoog risico verwerkingen Identificeer en behandel Intercare - Perfiction: GDPR Intro
Data Protection Impact Assessment Heb je een compliance officer, security officer, kwaliteitsmedewerkers, … ? Zij hebben dit al vaak genoeg gedaan! Context beoordelen Risico’s inschatten Maatregelen voorstellen Google has begun using billions of credit-card transaction records to prove that its online ads are prompting people to make purchases - even when they happen offline in brick-and-mortar stores, the company said Tuesday. Opt out Stel toch gewoon de vraag? Ben je bang dat men nee zegt? REDEN TE MEER om de vraag dus te stellen. Maakt me niks uit dat jullie gratis dienstne aanbieden. Sterker nog, ik betaal liever. Data is niet van Google, maar van het individu. Cultuur omslag, we komen er wel. Verschil US en EU Intercare - Perfiction: GDPR Intro
Register bijhouden Iedere vorm van documentatie rond de verwerkingen die bevat: Wie verwerkt? Waarom? Waar? Wiens data? Hoe lang? Welke bescherming? Intercare - Perfiction: GDPR Intro – 20/10/2017
Toestemming Toestemming is Elke vrije, specieke, geinformeerde, en ondubbelzinnige wilsuiting Waarmee de betrokkene Dmv een verklaring of ondubbelzinnige handeling de verwerking aanvaardt Moet net zo eenvoudig in te trekken zijn als te verstrekken! Intercare - Perfiction: GDPR Intro
Externen, oftewel verwerkers Handelt enkel op instructie verantwoordelijke Verplichtingen rond vertrouwelijkheid Beveiliging van de gegevens Toestemming voor gebruik onderaannemers Assisteert de verantwoordelijke (DPA, vragen van individuen) Toont compliance aan (bv audits, certificering) Wat gebeurt er als het contract is afgelopen? Intercare - Perfiction: GDPR Intro
De rechten van het Individu Transparante informatie Recht op toegang, verbetering, wissing Overdraagbaarheid Recht op verzet Recht op beperking Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming Intercare - Perfiction: GDPR Intro
Meld datalekken Basisprincipes van confidentiality, integrity, availability Melding naar CBPL moet binnen 72 uur plaats vinden Tenzij er geen risico voor individuen is Iedere inbreuk registeren! Ook individuen rechtstreeks contacteren: Hoog risico, of Als de CBPL het oplegt, of Omdat je transparant wilt zijn Intercare - Perfiction: GDPR Intro
DPO aanstellen Deskundige op gebied van gegevensbescherming Niet iederen heeft een DPO nodig Overheidsinstantie, incl. Semi-overheid Kernactiviteiten, regelmatige en stelselmatige observatie (tracking, surveillance) Kernactiviteit waar op grote schaal gevoelige persoonsgegevens worden verwerkt Deskundige op gebied van gegevensbescherming Intern of extern DPO voor één organisatie of een groep Intercare - Perfiction: GDPR Intro
Houd gegevens binnen de EU Dat is de ‘zonder zorgen’ optie Moet het dan toch buiten de EU, zijn er drie opties: Adequacy decision (e.g. Privacy Shield) Standard contractual clauses Binding Corporate Rules Intercare - Perfiction: GDPR Intro
Zorg dat je persoonsgegevens mag verwerken = rechtmatigheid Je hebt een specifiek doel nodig = doelbinding Gebruik enkel de gegevens nodig voor dit doel = minimale verwerking Werk zoveel mogelijk met accurate gegevens = juistheid Niet langer bewaren dan nodig = opslagbeperking Verlies de data niet, beperk toegang = integriteit & vertrouwelijkheid Al de bovenstaanden, en noteer wat je doet = verantwoordingplicht. Intercare - Perfiction: GDPR Intro
Drukken we innovatie nu de kop in? Intercare - Perfiction: GDPR Intro
Treating patients, there’s an app for that. Bewell Innovations Treating patients, there’s an app for that.
Innoveer gezondheids gegevens Buiten ziekenhuis enkel gepseudonimiseerde IDs op eigen platform Controle bij gebruiker, incl. consent management via de app Multifactor authentication (2FA) Overweging doorheen design: wat zijn de redelijke verwachtingen van de gebruiker? Intercare - Perfiction: GDPR Intro
Sentiance The context of you.
Intercare - Perfiction: GDPR Intro
De context van profiling Transparantie Expliciete toestemming Uitgebreide portal: recht op toegang, recht op verbetering, recht op verwijderen Privacy@sentiance.com Publieke informatie over de “appropriate technical and organizational measures” Intercare - Perfiction: GDPR Intro
Transparantie & informatie. Controle bij de gebruiker. Rechten van het individu respecteren. Anticipeer & documenteer: risico, impact, & verwachtingen. Anonimiseer, pseudonimiseer, minimaliseer. Gegevensbescherming. Privacy by design Intercare - Perfiction: GDPR Intro
Intercare - Perfiction: GDPR Intro Stel een verwerkingsregister op en beoordeel tegelijk of gegevens rechtmatig zijn, en hoe lang je ze mag bewaren Beoordeel hoe de gegevens beveiligd zijn, is dit gepast, voldoende? (hier kan externe hulp handig zijn) Loop overeenkomsten na (zowel als verwerker, en als verantwoordelijke naar verwerkers), Bewustmaking personeel, directie (zaakvoerders) Review op welke manier informatie wordt verstrekt (intake, opdrachtbrief, andere documentatie), voorzie privacy verklaring / kennisgeving (website is de makkelijkste optie), en een beleidstekst naar interne werking Communiceer proactief naar klanten Stel een DPO aan (waar nodig) Schrijf aantal dingen uit: Aanpak vragen van betrokkene (rechten zoals inzage) Beleid rond gegevensbescherming Incidentenprocedure (wie, wanneer, hoe, zie “omgaan met incidenten”) Privacy by design Intercare - Perfiction: GDPR Intro
Bart van Buitenen Always happy to connect! Email: bart@whitewire.be Linkedin: https://www.linkedin.com/in/bartvanbuitenen Website: https://whitewire.be Twitter: @bartwhitewire