GDPR in de praktijk Kurt Penninck Vlaams Welzijnsverbond

Slides:



Advertisements
Verwante presentaties
Vervolgbijeenkomst 2 Procesfasering bij Leren Leren.
Advertisements

Testdata Management Ketentest
Schoolpartnerschappen in Europa
Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.
& STAGEREGISTRATIE INFOSESSIE STAGE
Incident & Probleem management
Hoofdstuk 7 Procesmanagement.
Hoofdstuk 5 Onderhandelen over toegang en onderzoeksethiek Methoden en technieken van onderzoek, 5e editie, Mark Saunders, Philip Lewis, Adrian Thornhill,
Digitaal Sociaal Huis Samenwerkingsproject Vlaams-Brabantse sociale huizen 2 februari 2009.
Dit wordt het DSH Herent, 7 april Wettelijk kader Decreet van 3 maart 2008 Deadline van 22 mei 2009 voor het “sociaal huis” Minimale vereisten:
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Introductie OHSAS
1 1 ZO ZEIST Bouwen aan Brieven november Doelen Programma Dienstverlening aansluiten wensen en behoeften klant voldoen aan wettelijke eisen denken.
september 2009 Aanbevelingen van Compliance professionals
Een zorgsysteem voor betere arbeidsomstandigheden
SURF Juridisch normenkader cloudservices
De Bouwplaats-ID, een goed idee?
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Gegevensbescherming voor webmasters
Wet meldcode huiselijk geweld en kindermishandeling
Datacenter versus Cloud
28 september 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Autoriteit Persoonsgegevens Toezicht onder de AVG
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
HR in tijden van GDPR/AVG – 6 februari 2018 – VAC Gent
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Vergadering Personeelsdienst
Risicoanalyse … waarom?
ZIVVER introductie implementatieaanpak
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Verandering leidt tot beter sociaal werk? Of niet?
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Risicoanalyse … waarom?
GDPR met medewerking van
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
KBO en omgaan met privacy
Handleiding VVLE template verwerkingsregister
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
GDPR.
Wim Van Holder.
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Risicoanalyse … waarom?
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

GDPR in de praktijk Kurt Penninck Vlaams Welzijnsverbond Thanks Explain V-ICT-OR and LOLA Kurt Penninck Vlaams Welzijnsverbond V-ICT-OR| Vlaamse ICT Organisatie

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Wijs een functionaris voor gegevensbescherming (DPO) aan die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels binnen uw zorg- of welzijnsvoorziening Taken: zie syllabus 1, pag. 100 – 102 Maak een functieprofiel DPO op, laat dit goedkeuren door het hoogste beslissingsorgaan Zie bijlage ‘Stap 1-1-DPO-Functieomschrijving’ Wijs een DPO aan binnen uw voorziening Ga na binnen uw voorziening wie hiervoor in aanmerking komt en deze rol wil opnemen De directie moet de aanwijzing schriftelijk vastleggen in een beslissing Zie bijlage ‘Stap 1-2-DPO-Beslissing-Aanwijzing’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Maak een reglement DPO op Zie bijlage ‘Stap 1-3-DPO-Beslissing-Reglement DPO’ Meld de DPO aan bij de Gegevensbeschermingsautoriteit (GBA) Download het elektronisch formulier (Zie ook bijlage: Stap 1-4-FormDPO_nl‘) Vul het gedownloade formulier elektronisch (via uw computer) in. Tip: Gebruik hierbij de ‘Handleiding e-forms Gegevensbeschermingsautoriteit’ (Zie ook bijlage ‘Stap 1-5-Melding DPO-Handleiding_e_forms’) Laat uw directie het elektronisch ingevulde formulier verzenden via het eforms-webportaal van de GBA

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Ga na of uw voorziening een Vlaamse bestuursinstantie is Zie website Vlaamse Toezichtscommissie voor de verwerking van de persoonsgegevens (VTC) Bij twijfel, toets dit af met het VTC - tel: +32 (0)2 553 50 47 Zo ja, meld de DPO aan bij de VTC Laat uw directie het elektronisch ingevulde formulier dat dienstig was om de DPO te melden aan de GBA, via e-mail met als onderwerp: 'aanmelding DPO - naam instantie‘ overmaken aan het VTC: toezichtcommissie@vlaanderen.be Nuttige presentatie van Philippe De Backer, Staatssecretaris onder meer voor Privacy over de functie van DPO Zie bijlage ‘Stap 1-6-DPO HOEKSTEEN IN HET PRIVACYBELEID-Staatssecretaris’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 2: Werk in team (Team Gegevensbescherming) Persoonsgegevensbescherming is geen one-man job (taak van iedereen) Stel daarom een multifunctioneel team samen, waarbij alle leden elkaar versterken en dat de functionaris voor gegevensbescherming in de uitvoering van zijn taken ondersteund Neem bijvoorbeeld volgende relevante functies op in het team: Directielid Functionaris voor gegevensbescherming Verantwoordelijke ICT Verantwoordelijke personeel Diensthoofd(en) voor zorg of welzijn Verantwoordelijke preventie en bescherming op het werk Ad hoc op uitnodiging

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 2: Werk in team (Team Gegevensbescherming) Pleeg regelmatig over (bv. 1 x per maand) Maak formeel en schriftelijk een agenda en een beknopt verslag op, leg de to do’s, verantwoordelijkheden en timing vast (wie doet wat tegen wanneer) Belangrijk in functie van de aantoonbaarheid bij audits Maak een standaardformulier ‘Agenda’ Zie bijlage ‘2 - 2-Team Gegevensbescherming – Agenda’ Maak een standaardformulier ‘Verslag’ Zie bijlage ‘2 - 2-Team Gegevensbescherming – Verslag’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 2: Werk in team Creëer een bestandlocatie waar alle leden van het team toegang tot krijgen. Bewaar hier netjes alle documenten van het team volgens een vooraf vastgelegde structuur: Team Gegevensbescherming Agenda’s (zie bijlage ‘Stap 2-1-Team Gegevensbescherming – Agenda’ Verslagen (zie bijlage ‘Stap 2-2-Team Gegevensbescherming – Verslag’ Bijlagen Communiceer wat relevant is naar alle medewerkers In teambesprekingen Intranet FAQ …

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 3: Gegevensbeschermingsbeleid Maak een informatieveiligheids- en gegevensbeschermingsbeleid op Zie volledig uitgewerkt beleid in bijlage ‘Stap 3-1-Informatieveiligheids- en Gegevensbeschermingsbeleid’ Neem er volgende elementen in op: Het belang van het beleid (inleiding) Doel en reikwijdte Uitganspunten De van toepassing zijnde normen voor informatieveiligheid en wet- en regelgeving omtrent gegevensbescherming Organisatie rond het beleid (o.a. Rollen en verantwoordelijkheden Risicoanalyse

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 3: Gegevensbeschermingsbeleid Beschrijving van het managementsysteem voor informatieveiligheid en gegevensbescherming Voorlichting en bewustzijn Afhandeling incidenten en datalekken Controle, naleving en sancties Inwerkingtreding Laat het informatieveiligheids- en gegevensbeschermingsbeleid goedkeuren door het hoogste beslissingsorgaan van uw voorziening

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 4: Bewustwording Informatieveiligheid en persoonsgegevensbescherming is voor het grote deel mensenwerk en gedrag! Geef daarom als zorg- of welzijnsvoorziening op periodieke basis aandacht aan het zorgvuldig omgaan met informatieveiligheid en persoonsgegevens onder meer door middel van bewustwordingscampagnes, trainingen, vorming, workshops, flyers, FAQ (op een gedeelde map voor iedereen toegankelijk) Zie uitgewerkte bewustwordingscampagne in de bijlage: ‘Stap 4-1-Bewustwordingscampagne - Cartoon van verschillende maanden’ Zie uitgewerkte bewustwordingscampagne in de bijlage: ‘Stap 4-2-Bewustwordingscampagne informatieveiligheid provincie West-Vlaanderen’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 4: Bewustwording Zie bijlage ‘Stap 4-3-Bewustwordingscampagne - Richtlijnen omgaan met persoonsgegevens – Pictogrammen’ Zie bijlage ‘Stap bijlage ‘4-4-Bewustwordingscampagne – Media’ Bewustwording bij aanvang en tijdens het dienstverband Zie bijlage ‘Stap 4-5-Privacyverklaring Werknemers’ Zie bijlage ‘Stap 4-6-Vertrouwelijkheidsverklaring betreffende de toegang en de verwerking van persoonsgegevens’ Zie bijlage ‘Stap 4-7-Bijlage Vrijwilligersovereenkomst-Gegevensverwerking’ Zie bijlage ‘Stap 4-8-Bijlage Stageovereenkomst-Gegevensverwerking’ Organiseer voor de medewerkers een algemene infosessie informatieveiligheid en gegevensbescherming Zie bijlage ‘Stap 4-9-GDPR-Infosessie voor medewerkers’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 4: Bewustwording Afficheer op strategische (intranet, personeelsrefter, aankondigingsbord) of kwetsbare (printers) plaatsen info i.v.m. tips, aandachtspunten rond informatieveiligheid en gegevensbescherming

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 4: Bewustwording Bij het ter beschikking stellen in uw voorziening van een openbaar Wifi, wijs de gebruikers op de gevaren ervan (o.a. Doe geen dingen waarbij inloggevens moet worden ingevoerd, oftewel moeten worden prijsgeven, doe geen bankzaken, …)

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 5: Dataregister (voorbereiding op stap 6) Doel: zicht krijgen op de gegevensbronnen die de voorziening beheerd en wie welke toegangsrechten daarbij heeft Zicht krijgen op de categorieën van gegevens per gegevensbron Zicht krijgen activiteiten en doelstellingen en welke gegevensbronnen daarvoor worden aangewend Tip: Hou het overzichtelijk en beheersbaar, anders heeft je dataregister geen meerwaarde. Streef niet naar perfectie. Vervolledigen kan je altijd op termijn (gegevensbescherming is een kwaliteitsproces en vraagt tijd) Maak gebruik van bestaande bronnen (verwerkingsregisters) en inspireer Deel kennis en inzichten met elkaar

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Functies-Gegevensbronnen-Autorisaties (vergeet niet de externen!) Vraag overzicht van functies of organogram bij de personeelsdienst Gegevensbronnen kunnen applicaties (ook cloudtoepassingen), mappen, documenten zijn Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Functies-Applicaties-Rechten’ Dit verkleint de kans op fouten en inbreuken op persoonsgegevens. Dat komt omdat iedereen weet wat zijn of haar toegangsrechten zijn op applicaties en bestanden. Op die manier wordt duidelijk in kaart gebracht welke data (gegevensbronnen) moeten beveiligd worden

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Categorieën persoonsgegevens - Gegevensbronnen Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Cat. Gegevens-Bronnen’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Activiteiten-Gegevensbronnen-Doelen Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Act.-Bronnen-Doelen’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten ‘Hart’ van de GDPR Het verwerkingsregister geeft u als voorziening en ook de toezichthoudende autoriteit een overzicht van het soort persoonsgegevens dat u verwerkt, voor welk doel, hoelang het wordt opgeslagen, of het wordt doorgestuurd naar ontvangers enzovoort. Er is geen specifiek formaat voor dit register, maar dit is het belangrijkste punt in hoe te voldoen aan AVG (Artikel 30); Deze documentatieplicht vervangt de aangifteplicht bij de Gegevensbeschermingsautoriteit Let wel: bij verwerkingen met een hoog restrisico (DPIA) voor de privacy van de betrokkene is er de verplichting van de ‘voorafgaande raadpleging’ bij de Gegevensbeschermingsautoriteit

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten Het register bevat minimaal volgende gegevens: in voorkomend geval, de naam en contactgegevens van de (gezamenlijke) verwerkingsverantwoordelijke, van de vertegenwoordiger van de verwerkingsverantwoordelijke en/of van de functionaris voor gegevensbescherming; de verwerkingsdoeleinden; enerzijds een beschrijving van de categorieën van betrokkenen en anderzijds van de categorieën van persoonsgegevens; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt (onder meer ontvangers in derde landen of internationale organisaties);

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden bewaard indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, indien nodig, de documenten inzake de passende waarborgen Er is geen vast opgelegd model De Gegevensbeschermingsautoriteit komt organisaties te hulp en stelt een model ter beschikking op haar website. De voorzieningen bepalen zelf wel format ze willen gebruiken Tip: welk format je ook gebruikt, maak het overzichtelijk en beheersbaar

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten Aanbevolen model Zie bijlage ‘Stap 6-1-Model Verwerkingsregister GDPR-Full-Blanco Zie bijlage ‘Stap 6-2-Model Verwerkingsregister GDPR-Verplicht-Blanco Zie bijlage ‘Stap 6--Model Verwerkingsregister GDPR-Verplicht-Ingevuld

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten Vorm een team Om snel een compleet verwerkingsregister op te zetten is het goed om in een team te werken. Dat één iemand alles van elke discipline weet, is een utopie. Verzamel daarom verantwoordelijkheden (proceseigenaren) die kennis van zaken hebben binnen hun eigen vakgebied. Met het organiseren van groepssessies wordt iedereen betrokken (belang van bewustwording) en kan iedereen input geven

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten Start op taakniveau of op procesniveau Wat is een verwerking? Voor je het weet verzand je in tal van details. Vraag je daarom af welke taken en processen je uitvoert om je missie (kernopdracht) te realiseren. Vaak geeft je website hier al een antwoord op. Kijk ook naar de regelgeving(en) die op jouw voorziening van toepassing zijn. Hierin zijn veelal de wettelijke taken opgesomd. Kijk op grond hiervan naar de categorieën van persoonsgegevens die verzameld worden, de grondslag, het doel, …Later kan je nog altijd een verdiepingsslag maken Tip: Kijk uw kwaliteitshandboek na, hierin zijn reeds heel wat taken en processen beschreven Tip: laat u inspireren door reeds uitgewerkte verwerkingsregisters, en stem af op maat van uw voorziening

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 6 : Register van verwerkingsactiviteiten Na opmaak: organiseer periodieke bijeenkomsten Het beheren van het verwerkingsregister is een proces. De beste manier om het verwerkingsregister up to date te houden is om als team periodiek bijeen te komen. Zo kan iedereen een statusupdate geven van veranderingen in de eigen werkzaamheden. Op die manier blijft iedereen ook betrokken Pas het register onmiddellijk aan bij wijziging, vernieuwing van taken en processen Controleer met het team minstens jaarlijks het register

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 7 : Passende beveiliging persoonsgegevens Het kader rond informatieveiligheid is grotendeels gebaseerd op de internationale standaard voor informatiebeveiliging ISO 27001 en 27002 Hiervan afgeleid zijn de Richtsnoeren v3 en de Minimale Normen van de Kruispuntbank Sociale Zekerheid. Hoewel de Richtsnoeren en Minimale Normen met betrekking tot informatieveiligheid opgelegd zijn voor de lokale besturen (stad en OCMW) kunnen deze fungeren als leidraad voor organisaties van om het even welk type Zie Syllabus lesdag 2 Zie bijlage ‘Lesdag 2 - cybersecurity-guide-sme-NL’ Zie bijlage ‘Lesdag 2 - Richtsnoeren-Steden en gemeenten_v 3.0_0’ Zie bijlage ‘Lesdag1 - KSZ - mnm_minimale_normen_vragenlijst[1]’

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 7 : Passende beveiliging persoonsgegevens Het kader rond informatieveiligheid is grotendeels gebaseerd op de internationale standaard voor informatiebeveiliging ISO 27001 en 27002 Hiervan afgeleid zijn de Richtsnoeren v3 en de Minimale Normen van de Kruispuntbank Sociale Zekerheid. Hoewel de Richtsnoeren en Minimale Normen met betrekking tot informatieveiligheid opgelegd zijn voor de lokale besturen (stad en OCMW) kunnen deze fungeren als leidraad voor organisaties van om het even welk type

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 7 : Passende beveiliging persoonsgegevens Voer periodiek een risicoanalyse uit (bv. Jaarlijks en telkens bij de in gebruikname van een nieuwe applicatie of fundamentele wijziging ervan) Zicht krijgen op kwetsbaarheden en bedreigingen van de informatiesystemen Zorg voor een goedgekeurd informatieveiligheids- en gegevensbeschermingsbeleid (strategisch niveau) Zorg voor een informatieveiligheids- en gegevensbeschermingsplan (tactisch niveau) Zorg voor gedragscodes (policy’s) en procedures (operationeel niveau) waaronder Backup en recoverybeleid Wachtwoordbeleid Gebruik van e-mail, internet (incl. sociale media) en ict-middelen Gebruik van mobiele toestellen Thuiswerken (telewerken) Beheer toegangen, zowel fysiek als digitaal (vb. active directory), zorg voor minimale autorisatie Verwijderen van opslagmedia (bv. Computer uit dienst)

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 7 : Passende beveiliging persoonsgegevens Zorg voor een anti-malware programma Zorg voor een sleutelplan Zorg voor een inventaris van toestellen en applicaties Zorg voor logging Zorg voor updates Zorg voor een vertrouwelijkheidsverklaring (geheimhoudingsverklaring) Zorg voor redundantie (uitwijkcentrum) Zorg voor een continuïteitsplan (kritische apparatuur en kritische processen) Zorg ervoor dat uw derde partijen uw beveiligingsniveau naleven (belang van goede afspraken, schriftelijk vastgelegd) Zorg voor een centraal aanspreekpunt beveiligingsincidenten incl. datalekken (dienst informatica, dpo) Zorg voor registratie beveiligingsincidenten incl. datalekken

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 7 : Passende beveiliging persoonsgegevens Zie bijlage ‘Stap 7-1-e-Policy voor het gebruik van internet, sociale media, e-mail en ict-middelen’ Zie bijlage ‘Stap 7-2-Wachtwoordbeleid’ Zie bijlage ‘Stap 7-3-Backupbeleid’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 8 : Contracten GDPR verplicht verwerkingsverantwoordelijke en verwerker om afspraken te maken over de verwerking van de persoonsgegevens Verwerkersovereenkomst niet verplicht, wel verplicht afspraken schriftelijk vast te leggen

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 8 : Contracten Over volgende onderwerpen moeten verplicht afspraken gemaakt worden: onderwerp overeenkomst; duur; aard en doel; soort persoonsgegevens; categorieën van betrokkenen; rechten en verplichtingen van de verwerkingsverantwoordelijke; verwerking alleen op basis van schriftelijke instructies; doorgifte naar derde landen; vertrouwelijkheid; passende technische en organisatorische maatregelen; inschakeling subverwerkers; verwerker verleent bijstand bij verzoeken van betrokkene; verwerker verleent bijstand bij nakoming; verwerker geeft persoonsgegevens terug na afloop verwerking.

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 8 : Contracten Relatie Verwerkingsverantwoordelijke – Verwerker Maak verwerkersovereenkomst op Zie bijlage ‘Stap 8-1-Verwerkersovereenkomst’ Zie bijlage ‘Stap 8-2-Verwerkersovereenkomst-Toelichting’ Maak SLA op (Service Level Agreement met interventie- en hersteltijden) Relatie Verwerkingsverantwoordelijke – Samenwerkende partner Laat vertrouwelijkheidsverklaring onderteken Zie bijlage ‘Stap 4-5-Vertrouwelijkheidsverklaring betreffende de toegang en de verwerking van persoonsgegevens’ Onderteken gezamenlijk een document waarbij elke partij erkent de verplichtingen van de AVG en Kaderwet te zullen naleven

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 8 : Contracten Nog enkele concrete tips Neem als zorg- of welzijnsvoorziening zelf het initiatief naar de verwerker toe Accepteer niet zomaar een door de verwerker aangeboden verwerkersovereenkomst / laat dit schriftelijk weten aan de verwerker Als je met de verwerker niet tot een gezamenlijk akkoord komt: ga rond de tafel zitten en onderhandel! Evalueer bestaande of aangeboden verwerkersovereenkomsten Zie bijlage ‘8- 3-Verwerkersovereenkomst-Evaluatiecriteria’ Neem in het bestek voor de toewijzing van nieuwe opdrachten een clausule op waarbij de kandidaat verklaart de rol van verwerker te zullen opnemen en de AVG-verplichtingen die op hem rust te zullen naleven Zie bijlage ‘Stap 8-4-Verwerkersovereenkomst-Clausule opdrachten’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 9 : Melding datalek (= inbreuk op persoonsgegevens) Zorg voor een procedure melding datalekken (goedkeuring hoogste beslissingsorgaan) Zie bijlage ’Stap 9-1- Procedure meldplicht datalek’ Communiceer interne afspraken i.v.m. datalekken Zie bijlage ‘Stap 9-2- Procedure meldplicht datalek - Interne afspraken’ Registreer het datalek (is een verplichting!) Zie bijlage ‘Stap 9-3-Register Datalek’ Ga na (aan de hand van bijlage ’Stap 9-1- Procedure meldplicht datalek’, punt 8 Beslissingsboom) of het datalek moet gemeld worden aan de GBA en aan de betrokken Zie bijlage ‘Stap 9-4-GBA-Melding-Gegevenslek’ Gebruik hiervoor bijlage ‘Stap 9-5-GBA-Handleiding e-forms’ Zie https://www.privacycommission.be/nl/melding-van-gegevenslekken Doe het nodige om de gevolgen van het datalek te beperken Doe het nodige om (soortgelijke) datalekken in de toekomst te voorkomen

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 10 : Procedure rechten betrokkene Zorg voor een procedure rechten betrokkene (goedkeuring hoogste beslissingsorgaan) Zie bijlage Stap 10-1-Procedure informatieplicht en rechten van betrokkene’ Communiceer interne afspraken i.v.m. deze procedure Zie bijlage ‘Stap 9-2- Procedure meldplicht datalek - Interne afspraken’ Registreer individuele aanvragen i.v.m. uitoefening rechten van betrokkene Zie bijlage ‘Stap 10-2-Standaardformulier Aanvraag rechten GDPR’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 11 : Communicatie Maak een algemene privacyverklaring Zie bijlage ‘Stap 11-1-Algemene privacyverklaring’ Publiceer die op uw website Informeer betrokkene tijdig over zijn rechten (o.a. Bij eerste contact, op formulier verzoek toestemming, …) Brieven, folders, flyers behoren ook tot de communicatiemogelijkheden. Zorg in ieder geval altijd dat de informatie goed vindbaar of duidelijk aanwezig is (balie, spreekkamers, wachtruimtes, op videoscherm …) De informatieverstrekking moet het transparantiebeginsel respecteren, d.w.z. Beknopt Helder Begrijpelijk en gemakkelijk toegankelijke vorm Duidelijke en eenvoudige taal. Dit moet beoordeeld worden in functie van het doelpubliek (bv. aangepaste taal voor minderjarigen; rekening houden met een eventueel allochtoon publiek, …), werk met iconen

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 11 : Communicatie Algemene tips bij uw communicatie: Denk vanuit de lezer, niet vanuit de wet Vermijd wettelijke termen Schrijf begrijpelijk Visualiseer Kies een passende tone of voice Voor meer info, zie https://www.frankwatching.com/archive/2018/04/20/avg-zo-maak-je-je-privacyverklaring-begrijpelijk-6-tips/

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 11 : Communicatie Besteed ook aandacht aan je interne communicatie (link met stap 4-Bewustwording, o.a. privacyverklaring medewerkers, zie bijlage ‘Stap 4-5-Privacyverklaring Werknemers’ en Stap 4-4-Bewustwordingscampagne - Media) Neem informatieveiligheid en gegevensbescherming als vast agendapunt op in werk- of teamoverleg / directieoverleg Verwijs in je huishoudelijke reglementen naar uw privacyverklaring Zie bijlage ‘Stap 11-2-Paragrafen huishoudelijke reglementen’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 12 : Wettelijke grondslag Leg vast in uw privacyverklaring en register van verwerkingsactiviteiten

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 13 : TOESTEMMING Voor uitgebreide info zie syllabus dag 1 Verzoeken om toestemming Zie bijlage ’Stap 13-1-Standaardformulier-Toestemming – Persoonsgegevens’ Zie bijlage ‘Stap 13-2-Standaardformulier-Toestemming-Gericht beeldmateriaal’ Zie bijlage ‘Stap 13-3-Info-Toestemming-Gericht beeldmateriaal’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 14: PRIVAYCY BY DESIGN & DATA PROTECTION IMPACT ASSESSMENT (DPIA) Privacy by design Het idee is om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Het houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy Bijvoorbeeld: bij de ontwikkeling van een intranet voor personeel of de uitwerking van een sjabloon om intakes af te nemen moet je van bij de aanvang van zo’n acties gegevensbeschermende maatregelen nemen (basis hiervoor: eisen voor informatieveiligheid en beginselen van gegevensverwerking) Bij hoog risicovolle gegevensverwerkingen, voor een DPIA uit Data Protection Impact Assessment - Ned. Vertaling: gegevensbeschermingseffectbeoordeling Zie bijlage ‘Stap 14-1-Data-Protection-Impact-Assessment’ Zie bijlage ‘IVC-Tools’, tabblad ‘PIA-Vragenlijst’

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 15 : Kinderen Het verwerken van persoonsgegevens van kinderen houdt gezien de kwetsbaarheid van kinderen extra risico's in. Om die reden eist de AVG/GDPR dat uw voorziening strengere beveiligingsmaatregelen neemt Uw voorziening moet diegene van wie persoonsgegevens verwerkt worden, informeren. Dit dient te gebeuren in een duidelijke en eenvoudige taal. Verder moet de informatie in gemakkelijke, toegankelijke vorm worden aangeboden en beknopt, transparant en begrijpelijk zijn. Wanneer uw voorziening zich tot een kind richt, dan moet extra rekening gehouden worden met de bovenstaande kwaliteitseisen. Deze eisen moeten bijzondere aandacht krijgen wanneer uw voorziening communicatie voert in het kader van het uitvoeren van een verzoek (rechten van betrokkene) van een kind

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 15 : Kinderen Toestemming beeldmateriaal kinderen Zie stap 13 Toestemming Gegevensbescherming en kinderopvang Zie bijlage ‘Stap 15-1-Webinar_avg_en_de_kinderopvang_2018’ Gegevensbescherming en jongeren Zie https://www.ikbeslis.be/jongeren Privacy op school Zie https://wwwtest.ikbeslis.be/ouders-leerkrachten/privacy-op-school

GDPR - General Data Protection Regulation GDPR in de praktijk

GDPR - General Data Protection Regulation GDPR in de praktijk Stap 16 : Internationaal Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgd

Aan alle deelnemers van de opleiding DPO Brussel 7-14-21/09/2018 Van harte dank voor jullie enthousiasme, constructieve inbreng, volgehouden inspanningen. Veel succes verder met de implementatie van de GDPR