Info rond de nieuwe privacy wetgeving CCV Brugge De Bron Harelbeke – 17 september 2018 Grootseminarie Brugge – 18 september 2018 Bart Vercauteren Wim Vervaeck
GDPR – AVG? GDPR = General Data Protection Regulation of AVG = Algemene Verordening Gegevensbescherming Verordening Europees Parlement 27 april 2016 Volledig nieuw gegeven? Nee Belgische privacywet 1992 ook recht op afbeelding/portretrecht camerawet sedert 2007 (gewijzigd 2018)
van kracht sedert 25 mei 2018… April – juni 2018 stormvloed van - informatie - mails met privacy-verklaringen allerhande - mails met vraag om toestemming tot bijhouden gegevens - brieven banken, verzekeringsmaatschappijen,… Tegelijkertijd veel onduidelijkheden, onbeantwoorde vragen, verschillende interpretaties,…
Waarop is regelgeving van toepassing? Even aftoetsen… Magda? Nummer opbeller opslaan? Doorgeven contact uit GSM? Ik doe mee aan sponsorloop contacten privé-mailadres? contacten eigen werk-mailadres? adressenbestand werk? Parochie houdt spaghettiavond contacten parochie? contacten privé-mailadres?
Toepassingsgebied Algemeen principe: Altijd van toepassing op het bijhouden van gegevens van natuurlijke (levende) personen (in een bestand) Uitzondering: Door natuurlijke personen EN voor persoonlijke/huishoudelijke activiteit
Enkele definities Betrokkene identificeerbare natuurlijke persoon Persoonsgegevens alle informatie over een betrokkene Verwerking bewerken van persoonsgegevens verzamelen, vastleggen, ordenen, opslaan,… Bestand gestructureerd geheel van persoonsgegevens Verwerkingsverantwoordelijke bepaalt doel van en middelen voor verwerking Parochie idealiter VZW PE (Federatie) pastoor
Enkele definities Verwerker verwerkt persoonsgegevens ten behoeve van verantwoordelijke => externe organisatie IT-firma, sociaal secretariaat, … dus NIET medewerker secretariaat dekenij/PE/FED/parochie (onder gezag van verwerkingsverantwoordelijke) Ontvanger aan wie persoonsgegevens worden doorgegeven Functionaris verplicht wanneer extra gevoelige gegevens o.a. religieuze overtuiging doel: informeren – ondersteunen – contactpersoon => secretaris-generaal van de r.-k. Bisschoppenconferentie van België
Toezichthoudende autoriteit België Commissie voor de bescherming van de persoonlijke levenssfeer Gegevensbeschermingsautoriteit (GBA) www.gegevensbeschermingsautoriteit.be
Beginselen verwerking persoonsgegevens rechtmatig, behoorlijk en transparant welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde “doelbinding” beperkt tot wat noodzakelijk is “minimale gegevensverwerking” juist en geactualiseerd “juistheid” niet langer dan nodig “opslagbeperking” passend beveiligd “integriteit en vertrouwelijkheid”
Rechtmatigheid van de verwerking ZES mogelijkheden TOESTEMMING betrokkene noodzakelijk voor uitvoeren van een OVEREENKOMST noodzakelijk voor voldoen aan wettelijke verplichting noodzakelijk voor vitale belangen noodzakelijk voor taak van algemeen belang Noodzakelijk voor GERECHTVAARDIGD BELANG belangenafweging
Toestemming? kunnen aantonen dat toestemming werd gegeven ! duidelijke en eenvoudige taal ! ! duidelijk onderscheiden van andere aangelegenheden ! ! even eenvoudig intrekbaar !
Toestemming kinderen? jonger dan 16 jaar door degene(n) die de ouderlijke verantwoordelijkheid draagt verplichting tot het doen van redelijke inspanning om dit te controleren
BIJZONDERE persoonsgegevens ras of etnische afkomst politieke opvattingen religieuze of levensbeschouwelijke overtuigingen lidmaatschap vakbond genetische en biometrische gegevens gezondheid Seksueel gedrag en geaardheid => verwerking is VERBODEN ruimer dan het feit zelf, alles waaruit blijkt…
Beperkte uitzonderingen Mogelijkheden voor Rooms-Katholieke kerk? uitdrukkelijke toestemming betrokkene of in het kader van gerechtvaardigde activiteiten artikel 9, 2. d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt
Rechten van de betrokkene Transparante informatie en communicatie beknopte, transformante, begrijpelijke en gemakkelijk toegankelijke vorm duidelijke en eenvoudige taal schriftelijk of elektronische middelen antwoorden <= maand in principe kosteloos
Rechten van de betrokkene Informeren van verzamelen gegevens op moment van verkrijgen bij de betrokkene - ontwerp bisschoppenconferentie - document initiatiesacramenten - “opt-in” bij inschrijven via website gegevens reeds in bezit? - meedelen dat men over gegevens beschikt - redelijke inspanningen - privacyverklaring (rondsturen, website)
Rechten van de betrokkene Recht van inzage meedelen van verwerkingsdoeleinden, welke gegevens, aan wie wordt doorgegeven, termijn van bijhouden, rechten bezorgen van kopij van persoonsgegevens elektronisch verzoek => elektronisch antwoorden ! bij problemen contact opnemen met bisdom
Rechten van de betrokkene Rectificatie en recht op “vergetelheid” onjuistheden rechtzetten onvolledige gegevens vervolledigen gegevenswissing? niet langer nodig voor doeleinde intrekken toestemming bezwaar bij ingeroepen gerechtvaardigde belangen onrechtmatige verwerking Kennisgevingsplicht ondernomen acties
Verwerkingsverantwoordelijke passende technische en organisatorische maatregelen nemen zodat verwerking overeenkomstig GDPR gevoelige gegevens => verhoogde maatregelen alleen noodzakelijke persoonsgegevens => voorzien van toegangsrechten (niet zomaar iedereen van de organisatie) gevoelige materie (en grootschalige verwerking) => gegevensbeschermingseffectbeoordeling Als beroep op VERWERKER => verwerkingsovereenkomst
Register van verwerkingsactiviteiten gegevens verwerkingsverantwoordelijke verwerkingsdoeleinden categorieën betrokkenen en persoonsgegevens eventuele ontvangers termijn waarna gewist wordt technische en organisatorische beveiligingsmaatregelen (vrijblijvend zelf zaken toevoegen) VERPLICHT voor gevoelige gegevens
Persoonsgegevensbeveiliging beveiliging van de verwerking versleutelen – vertrouwelijkheid garanderen – herstellen – testen voorkomen verlies en ongeoorloofde toegang/verstrekking toezicht op zij die handelen onder gezag (enkel hiervoor gebruiken) Inbreuk? melding binnen 72 uren aan autoriteit hoog risico voor rechten betrokkene => mededeling (openbare)
Bisdom, decanaat, PE/FED, parochie, … Hoe gaan we met GDPR om? GEEN alternatief Gevoelige materie => verhoogd regime Inventariseren welke persoonsgegevens men bijhoudt Gezond verstand Kunnen aantonen dat we ermee bezig zijn Specifieke aandacht voor registers sacramenten
Praktijk… Doop Eerste communie Vormsel => document voor initiatiesacramenten publicatie in K&L? doorgeven aan andere organisaties? bisdom onderwijs Huwelijk => huwelijksdossier
Document voor initiatiesacramenten https://www.kerknet.be/sites/default/files/171121FormulierInitiatiesa cramentenN.pdf Officiële document van de bisschoppenconferentie. Dit formulier moet gebruikt worden. Gebruik een formulier per initiatiesacrament (doop, 1e communie of vormsel). Doe de oefening welke gegevens u nog extra nodig hebt, naast dit officiële document en maak een aparte brief.
Document voor initiatiesacramenten Het luik van de privacy verklaring moet ondertekend worden. Geen akkoord = geen sacrament. Beide personen die het ouderlijk gezag uitoefenen moeten zich akkoord verklaren. Formule voor gegevens, naam en foto’s. Extra vraag voor toesturen pastorale informatie.
Het huwelijksdossier Document te koop in de religio winkels. Gelijkaardig als document voor de initiatiesacramenten. Toestemming nodig van bruid en bruidegom op volgende vragen: Gegevensverwerking OK? Publiceren van naam Gebruik van foto’s Toesturen van pastorale informatie
Praktijk… Begrafenis overledene valt buiten GDPR <-> nabestaanden WEL K&L, tijdschrift overeenkomst Nieuwsbrief overeenkomst nieuwe toestemming (bewijs bijhouden) bestaande informeren (privacyverklaring) Website zichtbaar item rond omgaan met privacy
Praktijk… Vrijwilligers Adressenlijsten Personeel
Hoe beginnen??? Inventariseren van de adreslijsten Model document van de bisschoppenconferentie invullen per adreslijst. Omzetten in algemene privacy verklaring voor website en mails. (bv. https://www.kerknet.be/ccv-partner-christelijk- vormingswerk/informatie/privacyverklaring-ccv Bv. https://www.kerknet.be/gebruiksvoorwaarden )
Het recht op afbeelding (portret recht) Elke persoon mag beslissen of er een foto van haar/hem mag genomen worden. -> Portretrecht Eens toestemming gekregen, betekent dit niet dat je de afbeelding overal mag publiceren. Je hebt toestemming nodig voor elke handeling. Bv. foto van persoon voor een artikel in Kerk & Leven, niet zo maar publiceren op Facebook. Is een andere handeling. Voor kinderen wordt toestemming gevraagd aan de ouders
Wanneer geen toestemming nodig? De publieke plaats: Indien een persoon zich bevindt op een publieke plaats geeft hij stilzwijgende toestemming. Bv. een groep mensen staat te praten voor een kerkgebouw. De menigte: deze vragen geen toestemming, de weergave van de persoon is bijkomstig. Foto van publieke personen Foto voor eigen foto album of huishoudelijk gebruik. Elke publicatie overstijgt dit huishoudelijk gebruik.
Wijziging door de GDPR Wanneer je dan die foto wil publiceren in het Kerk & Leven, in een folder, op Facebook,... dan komt de GDPR in het spel. Op dat moment verwerk je persoonsgegevens en zal je inderdaad toestemming moeten vragen voor het verdere gebruik van die foto en moet je die toestemming voldoende opsplitsen (een onderscheid maken tussen publicaties op papier, publicaties op het web en publicaties op sociale media). Dat laatste is belangrijk omdat je dan het gebruiksrecht aan de sociale media doorgeeft en geen controle meer hebt over wat er met die foto’s gebeuren. Bron: https://www.privacycommission.be/nl/recht-op-afbeelding
Vragen…
Tot slot Alles draait omtrent toestemming en informatie - intern gebruik - doorgeven Belang om aan te tonen dat we ermee bezig zijn Religie = verhoogde waakzaamheid