GDPR Online Dataregister & Data Subject dashboard Blendr.io

Artikel 30 van de GDPR: register van verwerkingsactiviteit (record of processing activities) Wie ? Aanbeveling Belgische privacy commissie: elk bedrijf (ook KMO) Wat ? Opsomming van alle VERWERKINGEN (business processes) van persoonsgegevens. Wat is “verwerking “? Verzamelen, raadplegen, verspreiden, koppelen, registreren, vernietigen van gegevens Aan wie voorleggen ? Enkel aan authoriteiten indien gevraagd. Geen aangifte nodig. Waarom ? Accountability!

Artikel 30 van de GDPR: register van verwerkingsactiviteit (record of processing activities) Verwerkingsverantwoordelijke CONTROLLER Verwerker PROCESSOR Contact gegevens controller & DPO Doel van de verwerking Categorieën van data subjects Categorieën van verwerking uitgevoerd in opdracht van elke controller Categorieën van persoonlijke data Partijen die persoonlijke data ontvangen Export buiten de EU + nodige waarborgen Bewaar termijnen Technische & organisatorische beveilingsmaatregelen

Algemene gegevens Bedrijfsnaam KBO nummer Adres Contact gegevens Verantwoordelijke voor de gegevensverwerking Naam Contact gegevens Behoort tot personeel ? Functionaris van de gegevensverwerking

Eén lijn voor elke ”verwerking” - voorbeelden Personeel HRM Sales CRM Boekhouding Facturatie Marketing Profilering Beveiling Camera’s

Leidraad: template van de Belgische DPA (Privacy commissie)

Doel van de verwerking – enkele voorbeelden Algemeen Administratie personeel Werkplanning Klantenbeheer Pulic relations Beveiliging ... Overheden Belastingen Subsidies Vergunningen … Onderwijs Leerlingenadministratie Gezondheidszorg Patiënten zorg Wetenschappelijk onderzoek

Functionele gegevens categorieën Voorbeeld: sub categorieën in “beroep” Meerdere categorieën en sub-categorieën mogelijk voor één verwerking !

Verwerkingsgrond (“legal basis”) Toestemming betrokkene Noodzakelijk voor uitvoering van een overeenkomst Wettelijke verplichting Beschermen van vitale belangen van de betrokkene Taak van algemeen belang of uitoefening van het openbaar gezag Gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde

Type verwerking Normaal (geen van onderstaande types) Evaluatie of beoordeling van mensen waaronder profilering en het maken van prognoses Geautomatiseerde beslissingen met rechtsgevolgen of vergelijkbare wezenlijke gevolgen Stelselmatige monitoring (betrokkene volgen, monitoren en controleren; klank-, beeld- of video-opname) Grootschalige gegevensverwerkingen of verwerkingen die gevolgen hebben voor een groot aantal stakeholders Combinatie of koppeling van gegevensverzamelingen die betrokkenen niet redelijkerwijs kunnen verwachten Gegevensverwerking die tot gevolg heeft dat betrokkenen een recht niet kunnen uitoefenen, dat zij geen gebruik kunnen maken van een dienst of geen contract kunnen afsluiten   Gebruik van nieuwe technologieën of toepassing van technische en organisatorische middelen Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten Overweeg een gegevensbescherming-effect-beoordeling = GEB (Data Protection Impact Assessment = DPIA) Merk op: verwerking van gegevens van kwetsebare betrokkenen ( kinderen, patiënten...) is ook een criterium voor een DPIA.

Technologische hulpmiddelen Hardware Software Databanken

Verwerkers (processors & sub-processors) Partners / diensten leveranciers Vb. Sociaal secretariaat, marketing bureau... Cloud software Vb. ERP, CRM, mailing tool, boekhoudpakket... … Processor Verwerker Verwerkings- Verantwoordelijke Data Controller Processor Verwerker

Ontvangers Ontvangers van de persoonsgegevens De geregistreerde persoon zelf Persoonlijke relaties van de geregistreerde persoons Professionele raadgevers van de geregistreerde persoon Werkgever of zakenrelaties van de geregistreerde persoon Individuen of organisaties in directe relatie met de verantwoordelijke Andere privé-ondernemingen Overheidsdiensten Gerecht en politiediensten Sociale zekerheidsinstanties Banken en verzekeringsmaatschappijen Makelaars in persoonsgegevens of direct marketing

Export Geen doorgifte naar een ander land Doorgifte op basis van een adequaatsheidbesluit (Art.45 AVG) Enkel mogelijk voor specifieke lijst van 12 landen, o.a.: Canada Zwitserland Verenigde Staten (EU-US Privacy Shield) Doorgifte op basis van passende waarborgen (Art.46 AVG) Doorgifte op basis van bindende bedrijfsvoorschriften (Art.47 AVG) Andere, gelieve te specifiëren Doorgifte op basis van een afwijking voor specifieke situaties (Art.49.1 AVG) Doorgifte op basis voorwaarde (Art. 49.2 AVG) Dank aan servers buiten de EU !

Risico’s en beveiligingsmaatregelen Beschrijving beveiligingsmaatregelen Documentatie beveiligingsmaatregelen Gegevensbescherming-effect-beoordeling = GEB (Data Protection Impact Assessment = DPIA) Top 10 Privacy Risks Project Title Frequency Impact     P1 Web Application Vulnerabilities High Very high P2 Operator-sided Data Leakage P3 Insufficient Data Breach Response P4 Insufficient Deletion of Personal Data P5 Non-transparent Policies, Terms and Conditions P6 Collection of data not required for the primary purpose P7 Sharing of Data with Third Party P8 Outdated personal data P9 Missing or insufficient Session Expiration Medium P10 Insecure Data Transfer

Rechten van de betrokkenen Link to privacy statement

Bewaartermijnen Voor elke databank/applicatie: Start datum vb. datum ondertekening contract Eind datum vb. datum einde contract + 12 maanden Denk ook aan uw backups !

Blendr.io oplossingen voor GDPR: Online Dataregister & Data Subject dashboard

Blendr.io voor GDPR compliance

Online samenstellen van een dataregister

Centraal beheer van persoonlijke data Update Forget Exclude PDF Opzoeken van individu in 100+ databanken Centraal beheer van de data: met één muisklik alle gevraagde data opsturen naar de eindgebruiker, of eindgebruiker wissen, updaten etc. Resultaat beschikbaar In real-time Dashboard volledig instelbaar op maat

Prijzen & services Online dataregister Starter Pro Enterprise 50 EUR/maand Online samenstellen dataregister Contract 12 maanden Starter 100 EUR/maand Online samenstellen dataregister Dashboard centraal beheer persoonlijke data Verbinding met max. 2 databanken 1 uur online training Contract 12 maanden Pro 200 EUR/maand Online samenstellen dataregister Dashboard centraal beheer persoonlijke data Verbinding met max. 5 databanken 1 uur online training Contract 12 maanden Enterprise 600 EUR/maand Online samenstellen dataregister Dashboard centraal beheer persoonlijke data Verbinding met max. 20 databanken 4 uur online training Contract 12 maanden