Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
28 september 2017
2
VERWERKING (BESCHERMING) VAN PERSOONSGEGEVENS
3
Verwerker Verwerkingsverantwoordelijke (“processor”) (“controller”) Gevoelige data Betrokkene (“datasubject”) Persoonsgegevens Identificatie
4
DOEL Passend beschermingsniveau ↓ Technische en organisatorische maatregelen CRITERIA Aard, omvang, context en doel v/d verwerking Waarschijnlijkheid en ernst v/d risico’s voor de rechten en vrijheden van betrokkene
5
Verantwoording (“accountability”)
Principes Rechten Rechtmatigheid Doorgifte Doelbinding Verantwoording (“accountability”) Transparantie
6
Doelbinding Wat? Bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel Niet meer dan nodig (‘minimale gegevensverwerking’) Niet langer dan nodig (‘opslagbeperking’) Juist / actueel Voorbeeld: aankoop auto
7
Rechtmatigheid: wettelijke grondslag voor verwerking
Toestemming v/d betrokkene (strenger) Overeenkomst m/d betrokkene Wettelijke verplichting v/d verantwoordelijke Gerechtvaardigd belang v/d verantwoordelijke Enkel strikt noodzakelijke gegevens
8
Doorgifte Aan wie? Derde landen of internationale organisaties
Wanneer? Indien passend beschermingsniveau Adequaatheidsbeoordeling en –besluit OF O.b.v. passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen
9
(verantwoordingsplicht)
Accountability (verantwoordingsplicht) Wordt bij de verantwoordelijke en de verwerker gelegd Verschuiving van de bewijslast: zeer belangrijk principe Passende technische en organisatorische maatregelen Tools: Register met verwerkingsactiviteiten Voorafgaande gegevensbeschermingseffectenbeoordeling (DPIA) Gegevensbeschermingsfunctionaris (DPO)
10
Rechten van de betrokkene
NU Inzage Rectificatie Gegevenswissing (Google-arrest) Bezwaar NIEUW Beperking van de verwerking Overdraagbaarheid (‘data portability’)
11
Overdraagbaarheid (‘data portability’)
Betrokkene kan zijn persoonsgegevens Bekomen (laten) doorgeven aan een andere verantwoordelijke – without “hindrance” Via: Een directe download Directe doorgifte Of gebruik makend van een derde partij Geen invloed op andere rechten (inzage, rectificatie,…)
12
Overdraagbaarheid (‘data portability’) 3 voorwaarden (cumulatief):
Gegevens verstrekt op basis van toestemming of een overeenkomst Gegevens met betrekking tot de betrokkenen en door hem/haar verstrekt Zonder gevaar voor de rechten van derde partijen Verplichting om de betrokkenen te informeren Binnen een redelijke termijn In een ”structured, commonly used and machine –readable form” – interoperability (doel)
13
(Gegevensbescherming door ontwerp)
Privacy by design (Gegevensbescherming door ontwerp) De architectuur van datasystemen moet van bij de ontwikkeling en uitwerking rekening houden met de verplichtingen omtrent gegevensbescherming. Ook bij de keuze van een datasysteem moet hiermee rekening worden gehouden.
14
(Gegevensbescherming door standaardinstellingen)
Privacy by default (Gegevensbescherming door standaardinstellingen) De instellingen van een datasysteem moeten standaard ingesteld zijn dat ze maximaal de persoonsgegevens beschermen. Minimale gegevensverwerking Beperking bewaringstermijn Beperkte toegang
15
NU Voorafgaande aangifte bij toezichthoudende autoriteit
NIEUW Register van verwerkingsactiviteiten (‘records of processing activities’) Verwerkingsverantwoordelijke OF Verwerker UITZONDERING: KMO’s tenzij Niet incidenteel Gevoelige gegevens Waarschijnlijk risico Belgische Privacy Commissie: “geen uitzondering voor KMO’s”
16
Register van verwerkingsactiviteiten
(‘records of processing activities’) Verantwoordelijke én verwerker -250 werknemers? Andere voorwaarden? Irrelevant door Privacy Commissie gemaakt: iedereen! (beperkt tot niet-incidentele verwerkingen) Komt in de plaats van de aangifteplicht (let wel: geen uitzonderingen meer, zoals loonadministratie) Schriftelijk (bv. elektronische vorm) Model (behoorlijk complex) Controle door Privacy Commissie zodra zij erom verzoekt
17
Data Protection Impact Assessment
(DPIA – Gegevensbeschermingseffectbeoordeling) Wat? Beschrijving van de verwerkingen en doeleinden Beoordeling van de noodzaak en evenredigheid van de verwerkingen i.f.v. de doeleinden Beoordeling van de risico’s Beoogde maatregelen om de risico’s aan te pakken
18
Data Protection Impact Assessment
(DPIA – Gegevensbeschermingseffectbeoordeling) Wanneer? “likely to result in a high risk to the rights and freedoms of natural persons” criteria Working Party 29 Geautomatiseerde besluitvorming (vb. profiling) New data processing technology Grootschalige verwerking van gevoelige data Systematische en grootschalige observatie van openbaar toegankelijke ruimten
19
Data Protection Impact Assessment
(DPIA – Gegevensbeschermingseffectbeoordeling) Vorm? Keuze (op voorwaarde dat het een echte risicobeoordeling mogelijk maakt) Gevolgen? Verantwoordelijkheid bij verwerkingsverantwoordelijke
20
Data Protection Officer
(DPO – Functionaris van de gegevensbescherming) Wat? Toezicht op GDPR compliance - onafhankelijk Wanneer? Publieke sector Ondernemingen met als kerntaak Regelmatige en systematische observatie op grote schaal Ondernemingen met als kerntaak grootschalige verwerking van gevoelige gegevens
21
Data Protection Officer
(DPO – Functionaris van de gegevensbescherming) Definities? Neen – Working Party 29 Wie? Zelfstandige vs. Bediende Verantwoordelijkheid? Neen (processor & controller) Voorbeelden: hospitaal, verwerking door verzekeraars, banken, telecom, arts, advocaat… (JA/NEEN)
22
Data lek (inbreuk) Meldingsplicht REGEL: zonder onredelijke vertraging
Schadevergoeding Administratieve geldboete Andere sancties
23
Deadline: 25 mei 2018
24
Contact Kantoor: Website: www.lawtree.be Roy Maes Niels Van den Heuvel
Vuurmolenstraat Antwerpen Tel.: +32 (0) Website: Roy Maes Niels Van den Heuvel +32 (0) (0) Nicolas Wesling Wouter Thibaut +32 (0) (0) Sanne Van den Abbeele +32 (0)
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.