GDPR@PPW Wim Van Holder
GDPR General Data Protection Regulation AVG Algemene Verordening Gegevensbescherming
Persoonsgegevens Richtlijn 95/46/EG 1995 iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit Verordening (EU) 2016/679 alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
Nieuwigheden in AVG Geglobaliseerde digitale wereld Bescherming van digitale persoonsgegevens Verantwoordelijkheid en transparantie Register ipv aangifte privacycommissie Doeleinde, grondslag, bewaring Actieve toestemming Geen op voorhand aangevinkte vakjes Enkel voor het vermelde doeleinde Verantwoordelijken en verwerkers Duidelijke overeenkomsten Verwerking buiten EU
Register van verwerkingsactiviteiten AVG Art. 30: de instelling is wettelijk verplicht een verwerkingsregister bij te houden: - Ter vervanging van de aangifteplicht verwerking persoonsgegevens - Met als doel: Aan te tonen dat voldaan wordt aan de AVG (compliance) Als achtergrondinformatie bij het behandelen van datalekken Inschatting te maken of een risicoanalyse van toepassing is (bv. bij de verwerking van gevoelige persoonsgegevens) To do: Omgang met nog onbekende parameter: de lidstatelijke invulling omtrent wetenschappelijk onderzoek, archivering en statistische doeleinden (AVG art. 89)
Register van verwerkingsactiviteiten Het register omvat: Minimaal bij te houden informatie cf. art. 30 AVG, ingeval verwerkingsverantwoordelijk: Welke organisaties zijn betrokken bij de verwerking? Van welke personen worden welke type gegevens verwerkt? Welke zijn de doeleinden van de verwerking? Met wie worden de gegevens gedeeld? Hoe worden de gegevens beveiligd en wat is de bewaartermijn?
Aanpak KU Leuven - Register 1 centraal register Hierin opgenomen de verwerkingen van persoonsgegevens: (1) waarvoor de KU Leuven (en/of partners) verantwoordelijk is (verwerkingsverantwoordelijke) (2) die de KU Leuven doet voor een andere organisatie (verwerker) Opm: ook informatie over andere organisaties die verwerkingen uitvoeren voor de KU Leuven (derde verwerker) Locatie: groupware.kuleuven.be/sites/informatieveiligheidregister/ Toegang voorbehouden aan privacyteam + lokale aanspreekpunten (lezen)
Aanpak KU Leuven - Administratie Register aangelegd centrale diensten en systemen geaggregeerde aanpak samen met aanspreekpunten van faculteiten en departementen aanvullen Facultaire aanvullingen - PPW piloot waar gaan lokale verwerkingen verder (doeleinde)? waar bieden lokale verwerkingen niet dezelfde garanties (technisch/organisatorisch)? Attitude & design !
Aanpak KU Leuven - Onderzoek Art. 89 AVG BE: Voorontwerp van Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens Verplichte betrokkenheid DPO nog te bevestigen KU Leuven aanpak Inbedden via ethisch advies Standaardomschrijvingen (“koepelaangifte”) “Informed consent” Kader volgt nog
www.kuleuven.be/privacy Eerstdaags lancering nieuwe site “wat moet u weten” Intranet gedeelte 5 vragen die u zich moet stellen (= gedragscode) ICT-normenkader voor IT-aanbieders Procedure datalekken FAQ Internet gedeelte Privacy policy Rechten van betrokkene Formulier
www.kuleuven.be/privacy
Non-issues Generieke verwerkingen Respecteer ICT-normen en verantwoordelijkheid Wettelijke grondslagen Respecteer de doeleinden Geanonimiseerde/gecodeerde data Maar opletten met codes en met contracten (voorrang) Geëncrypteerde data Meer dan een paswoord… Redelijke effort Geen persoonsgegevens verwijderen uit veilig bewaarde backups etc.
Tips voor PPW (1/3) Lokaliseer en bescherm gevoelige persoonsgegevens Psychisch, medisch, religieus, politiek, etnisch, seksuele geaardheid… Zorg voor een adequate bescherming en bewaring van codebestanden (niet noodzakelijk “the Vault”) Gebruik “voor uw gemak” het standaard ICT aanbod BitLocker (Windows)/FileVault (Mac) encryptie van de harde schijf Netwerkschijven of SharePoint met beperkte toegang Accounts voor externen, toegang via https://drives.kuleuven.be Ook voor Mac! https://ppw.kuleuven.be/home/ppw- dict/dictservicedesk/mac-osx-configuration Verbeteringen op komst: delen, encryptie, multi-factor…
Tips voor PPW (2/3) Consulteer onze PPW opslagwijzer https://ppw.kuleuven.be/home/ppw-dict/faq/ppw-data-classification-and-storage- guidelines Volg de nieuwe ICT-normen voor “eigen” ICT oplossingen https://admin.kuleuven.be/privacy/intranet/it-beheerders Volg de adviezen voor ZAP en diensthoofden voor het gebruik van cloud en persoonlijke opslagruimte https://ppw.kuleuven.be/home/ppw-dict/newsitems/important-advice-on-the-use-of- cloud-storage-for-zap-and-heads-of-service
Tips voor PPW (3/3) Repatrieer niet-versleutelde, persoonlijk identificeerbare gegevens op Dropbox, Box, Google Drive, OneDrive Indien je de eigenaar bent en geen contract hebt met de service provider voor het naleven van de ICT-normen EU-projecten kunnen opslag op EU bodem eisen (<> Box) Gebruik onze checklist voor uit-dienst https://ppw.kuleuven.be/home/ppw-dict/faq/ppw-ict-checklist-uit-dienst-v0-4.docx Controleer regelmatig de toegangsrechten PPGM tool voor databeheerders https://hwit.ghum.kuleuven.be/ManageShare.aspx
Vragen privacy@kuleuven.be http://admin.kuleuven.be/privacy