De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Opleiding Aanspreekpunt Informatieveiligheid

GepubliceerdStefanie Baert Laatst gewijzigd meer dan 6 jaar geleden

Verwante presentaties

Presentatie over: "Opleiding Aanspreekpunt Informatieveiligheid"— Transcript van de presentatie:

1 Opleiding Aanspreekpunt Informatieveiligheid
26 januari 2017 Opleiding Aanspreekpunt Informatieveiligheid GELIEVE HET TOELATINGSFORMULIER IN TE VULLEN EN AF TE GEVEN BIJ HET BEGIN AUB !  Gino De Meester

2 Informatieveiligheid
26 januari 2017 “Disclaimer” Instellingen / schoolbesturen met veel vragen Gevolgen i.d. praktijk? Organisatie i.d. praktijk Middelen / uren ter beschikking stellen Opleiding voor AIV – ondersteuning vanuit dienst Bestuur & Organisatie Wetgeving is nuttig, nodig en doordacht; mentaliteitswijziging is aangewezen; maar ze “komt niet van ons” … Gino De Meester

3 Informatieveiligheid
26 januari 2017 DAGINDELING (Elke sessie duurt ca. 1,5 uur) Inleiding De wetgeving praktisch & in een notendop Vragenronde Case studies Een inventaris van persoonsgegevens en een risicoanalyse opstellen voor uw school Gino De Meester

4 Informatieveiligheid
26 januari 2017 INLEIDING Gino De Meester

5 Informatieveiligheid
26 januari 2017 Wat is / doet een AIV? Affiniteit met ICT, persoonsgegevens ICT, preventieadviseur, directie bijstaan inzake informatieveiligheid en privacy In orde stellen met nieuwe wetgeving, uiterlijk tegen 25 mei 2018 Meewerken aan sensibilisering Allerhande vragen en problemen inzake informatieveiligheid en privacy oplossen Beheer van toestemmingen Wat te doen bij en opvolging datalekken Wil niet zeggen dat AIV dit alleen moet doen … Gino De Meester

6 Informatieveiligheid
26 januari 2017 Opleidingstraject Verdere sessies (en reeksen) Te vinden op nascholing.be: “aanspreekpunt” Gino De Meester

7 Informatieveiligheid
26 januari 2017 Opleidingstraject : 3 volledige dagen Wetgeving + waarom / Voorbereidingen In regel met administratieve verplichtingen Interne en externe communicatie : vervolgtraject Sensibilisering / interne opleiding personeel Best practices inzake (betere) beveiliging Opvolging, (zelf)auditing, … Gino De Meester

8 Informatieveiligheid
26 januari 2017 MATERIAAL Syllabus Notitie nemen bij presentaties Bijkomende documentatie Vervolg i.d. reeks  meebrengen aub Sessie 3 & 4: laptop is aangewezen Portaal Tijdelijk! Originele presentaties Digitale versies van documentatie en bijlagen Gino De Meester

9

10 AVG in een notendop Toegepast op scholen

11 Informatieveiligheid
26 januari 2017 Bronnen Gino De Meester

12 Informatieveiligheid
26 januari 2017 Algemene principes “ Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. ” [NOTITIES PAG, 7 E.V.] Artikel 1 Gino De Meester

13 Informatieveiligheid
26 januari 2017 Toepassingsbereik Niet voor huishoudelijk gebruik (art. 2) Identificeerbare gegevens van natuurlijke personen (art. 4) Verwerking met het oog op opslag (art. 2) Losse post-it’s versus fichebak of geordende kaft Verzamelen (vragen) is ook verwerken Gino De Meester

14 Informatieveiligheid
26 januari 2017 Gegevens van wie? Gegevens over en van natuurlijke personen (art. 1) Die opgeslagen worden in een bestand (art. 2 en 4) Bestand: bevat een structuur Alles op elektronisch toestel / locatie Maar bv. ook fichebak Alle EU-burgers (art. 3) Ongeacht waar gegevens bewaard worden Activiteiten: enkel indien die zich voordoen in EU Ook niet-EU-burgers (art. 3) Indien gegevens bewaard in EU Gino De Meester

15 Informatieveiligheid
26 januari 2017 Algemene principes Rechtmatig, behoorlijk en transparant Doelbinding Data minimalisatie Juistheid opslagbeperking integriteit en vertrouwelijkheid De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving ervan en kan deze aantonen Gino De Meester

16 Informatieveiligheid
26 januari 2017 Wie speelt een rol? Betrokkene Verwerkingsverantwoordelijke Verwerker (Art. 4) Gino De Meester

17 Informatieveiligheid
26 januari 2017 Wat is verwerken? Verzamelen, vragen Bewaren Raadplegen Analyseren Aanpassen Verwijderen Archiveren Doorgeven  met de bedoeling om de gegevens in een bestand op te nemen (Art. 4, definitie 2) Gino De Meester

18 Welke gegevens mag je verwerken?
Informatieveiligheid 26 januari 2017 Welke gegevens mag je verwerken? GRONDSLAGEN [NOTITIES PAG. 10 E.V.] Gino De Meester

19 Informatieveiligheid
26 januari 2017 Gino De Meester

20 Informatieveiligheid
26 januari 2017 Verwerking van persoonsgegevens dient altijd te gebeuren met inachtneming van een rechtmatigheid (een grondslag). Art. 6 Gino De Meester

21 Grondslagen voor de verwerking (art. 6)
Informatieveiligheid 26 januari 2017 Grondslagen voor de verwerking (art. 6) Enkel met toestemming In het kader van een overeenkomst die aangegaan werd Indien je een wettelijke verplichting moet nakomen Als het gaat om vitaal belang Als het gaat om openbaar belang Als er een gerechtvaardigd belang is NIET: Gegevens met bijzondere bescherming (art. 9) [NOTITIES PAG. 10 E.V. Gino De Meester

22 3. Wettelijke verplichting
Informatieveiligheid 26 januari 2017 3. Wettelijke verplichting Voorbeelden (leerlingen) Heeft moeder diploma / getuigschrift secundair? (decreet Gelijke OnderwijsKansen) Identificatie leerling: AgODi Naamgegevens, adres, aanwezigheden: verificateur Zorggegevens, gezinssituatie: CLB BuO / BuSO: multidisciplinair team Loopbaan en identiteit personeelslid: Agodi (werkstation) en SG Gino De Meester

23 3. Wettelijke verplichting
Informatieveiligheid 26 januari 2017 3. Wettelijke verplichting Voorbeelden (pedagogische begeleiding) Loopbaan, i.h.b. beginnende leerkrachten of specifieke opdracht Gino De Meester

24 2. In het kader van een overeenkomst
Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Inschrijven van een leerling Ondertekenen schoolreglement Les geven Leerlingadministratie Leerling volgen Leerling evalueren Gino De Meester

25 2. In het kader van een overeenkomst
Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Aannemen van een personeelslid Ondertekenen arbeidsovereenkomst Te werk stellen Identificatie Loopbaan Loonadministratie Gino De Meester

26 2. In het kader van een overeenkomst
Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Bijkomende voorbeelden: Noodtelefoon: nabewaking / secretariaat Klas, identiteit > uitgeverij voor bv. login op digitaal platform Vgl. voor deze nascholing: Algemene opsomming  informatie die nodig is om nascholingen te organiseren, geven en op te volgen Gino De Meester

27 Informatieveiligheid
26 januari 2017 1. Enkel met toestemming Vooraf te geven Hangt samen met duidelijk(e) omschreven doel(en) Actieve handeling & aantoonbaar Ten allen tijde intrekbaar > 16: zelf < 16 of niet-bekwaam: ouder(s) of voogd Leeftijdsgrens voor BE nog niet definitief… Sowieso tussen 13 en 16 (Art. 7) (Art. 8) Gino De Meester

28 Informatieveiligheid
26 januari 2017 1. Enkel met toestemming Toestemmingsformulier / -strookje (art. 4, def. 11) Niet meer “stilzwijgend” Vinkje of dergelijke zetten, opgesplitst naar doel toe, bv. in een rooster (art. 7, lid 2) Naam / contactgegevens op website Foto op afgeschermd platform Foto op website Foto op Facebook Te ondertekenen – bijhouden (art. 7, lid 1) [SPECIMEN PAG. 24] Gino De Meester

29 Informatieveiligheid
26 januari 2017 4. Vitaal belang Omwille van dwingende nood (levensbedreigende situaties) Cf procedure(s) Preventie(verantwoordelijke) Dan mag informatie wel doorgegeven worden Epilepsieaanval, diabetes, … Gino De Meester

30 Informatieveiligheid
26 januari 2017 5. Openbaar belang Voorbeeld Epidemie (TBC, meningitis) Gino De Meester

31 6. Gerechtvaardigd belang
Informatieveiligheid 26 januari 2017 6. Gerechtvaardigd belang De verwerking van gegevens is nodig omdat de activiteit anders niet uitvoerbaar is. Welke gegevens heb je nodig om de praktische werking te kunnen garanderen op school? Verwerkingen die voor de bedrijfs-continuïteit essentieel zijn. Gino De Meester

32 6. Gerechtvaardigd belang
Informatieveiligheid 26 januari 2017 6. Gerechtvaardigd belang Voorbeelden Gegevens voor (digitale) leermiddelen (zodat er kan worden gewerkt met hetzelfde boek in de klas) CLB-dossier versus Schooldossier (art. 9, lid 1, punt h) “Kringen van vertrouwelijkheid” (betekent dat er een beperking is op het aantal personen dat toegang heeft tot de gegevens) Beveiligingslagen Dit is een beleidskeuze / beleidsmaterie ! [NOTITIES PAG. 13] Gino De Meester

33 CLB- versus schooldossier
Informatieveiligheid 26 januari 2017 CLB- versus schooldossier CLB-dossier Schooldossier Beroepsgeheim Ambtsgeheim [NOTITIES PAG. 14] § 3.6.2 Gino De Meester

34 CLB- versus schooldossier
Informatieveiligheid 26 januari 2017 CLB- versus schooldossier CLB-dossier Schooldossier Beroepsgeheim Meest gevoelige info (gezin, medisch, zorg, …) Geen toegang personeel school Discretieplicht Enkel info, nodig om les te geven & leerling op te volgen Eventueel leestoegang personeel CLB (Enkel lln. onder hun begeleiding) [NOTITIES PAG. 14] § 3.6.2 Gino De Meester

35 “Kringen van vertrouwelijkheid”
Informatieveiligheid 26 januari 2017 “Kringen van vertrouwelijkheid” Ouder(s) Leerkrachten & secretariaat Leerling zelf Derden Leerkrachten met les aan ll Verlofstelstels Extern(e partijen) Tucht (“prefect”) Zorg Leerlingen-begeleiding [NOTITIES PAG. 14] § 3.6.3 (Directie) CLB (Zorg) ICT ? Gino De Meester

36 Omgaan met gevoelige info
Informatieveiligheid 26 januari 2017 Omgaan met gevoelige info Belang van de leerling dienen Samenspraak met leerling / ouders Personeelsleden: discretieplicht Arbeidsreglement, maar geldt ook na vertrek CLB-medewerkers: beroepsgeheim Externe begeleiding: Statuut? Desgevallend overeenkomst sluiten… [NOTITIES PAG. 15] § 3.6.4 Gino De Meester

37 Omgaan met gevoelige info
Informatieveiligheid 26 januari 2017 Omgaan met gevoelige info Privacywetgeving steeds van toepassing (art. 9, lid 4) Extra bescherming: minderjarigen GEB (gegevensbeschermingseffectbeoordeling): Verplicht voor CLB (art. 35) Scholen: verplicht voor LVS (Privacy Commissie) (aanbeveling met betrekking tot de gegevensbeschermingseffectbeoordeling) [NOTITIES PAG. 15] § 3.6.4 Gino De Meester

38 Informatieveiligheid
26 januari 2017 Bijzondere gegevens Mogen in principe NIET verwerkt worden !!! (art. 9) Gevoelige gegevens Rijksregisternummer (art 87) Strafrechterlijke informatie Niet van toepassing voor onderwijs (Uittreksel strafregister is iets anders!) [NOTITIES PAG. 16] Gino De Meester

39 Informatieveiligheid
26 januari 2017 Gevoelige gegevens Niet !!! verwerken, tenzij: Uitdrukkelijke toestemming voor een een welbepaald doel (art. 9, lid 2, punt a) Niet oplijsten [NOTITIES PAG. 16] Gino De Meester

40 Informatieveiligheid
26 januari 2017 Gevoelige gegevens Raciaal / etnische afkomst Politieke overtuiging Levensbeschouwelijke aspecten Lidmaatschap vakvereniging (vakbond) Genetische of biometrische gegevens Medische informatie Seksuele geaardheid of voorkeur [NOTITIES PAG. 16] Gino De Meester

41 Informatieveiligheid
26 januari 2017 Medische informatie Expliciete toestemming nodig Zelf periodiek bijwerken / verwijderen Voorbeelden (leerlingen) (Tijdelijk) verminderde mobiliteit Allergie Medicatie Epilepsie, diabetes, … [NOTITIES PAG. 16] – § Gino De Meester

42 Informatieveiligheid
26 januari 2017 Rijksregisternummer Is wettelijk beschermd; machtiging nodig (wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen) Beheer: Vlaamse Toezichtscommissie (VTC) Er moet een veiligheidsplan en een –consulent aangesteld zijn Schoolinstellingen gemachtigd om: Doorgeven aan AgODi (mag leerling weigeren) Controle door verificateur Opvraging schoolloopbaan door overheid Dus niet gemachtigd om: (interne) identificatie / pseudonimisering TIP: gebruik WISA of stamboeknummer [NOTITIES PAG. 17] – § Gino De Meester

43 Hoe moet je gegevens correct verwerken?
Informatieveiligheid 26 januari 2017 Hoe moet je gegevens correct verwerken? VOORWAARDEN [NOTITIES PAG. 18 E.V.] Gino De Meester

44 Informatieveiligheid
26 januari 2017 “Accountability” Verantwoordingsplicht (art. 5) Een van de centrale principes Communiceren, informeren IVPB opstellen (InformatieVeiligheid- en PrivacyBeleid) Register kunnen voorleggen (art. 30) Sommige gevallen: GEB (art. 35, lid 4 en 5) (GegevensbeschermingsEffectBeoordeling - Data Protection Impact Assessment) [NOTITIES PAG. 18 E.V.] – § 4.0.1 Gino De Meester

45 Informatieveiligheid
26 januari 2017 Hoe? => zorgen voor: Rechtmatigheid en transparantie (art. 5, lid 1, punt a) Steeds in overeenstemming met het doel (art. 5, lid 1, punt b) Proportioneel (art. 5, lid 1, punt c) Juistheid en integriteit (art. 5, lid 1, punt d) Opslagbeperking (art. 5, lid 1, punt e) Beveiliging waarborgen (art. 5, lid 1, punt f) [NOTITIES PAG. 18 E.V.] – § 4.0.2 (Art. 5) Gino De Meester

46 Rechtmatigheid en transparantie
Informatieveiligheid 26 januari 2017 Rechtmatigheid en transparantie Rechtmatigheid Enkel gegevens die je nodig hebt Cf. grondslagen (6) / doelbinding Moet je verantwoorden Transparantie Communicatie met betrokkenen Kennisgeving (1 keer) Aanpassingen, wijzigingen, …  melden / vragen Moet in begrijpelijke taal [NOTITIES PAG. 19] Gino De Meester

47 Informatieveiligheid
26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat [NOTITIES PAG. 19] Gino De Meester

48 Informatieveiligheid
26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren [NOTITIES PAG. 19] Gino De Meester

49 Informatieveiligheid
26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren Allergie of dergelijke [NOTITIES PAG. 19] Gino De Meester

50 Informatieveiligheid
26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren Allergie of dergelijke  opvang, reis [NOTITIES PAG. 19] Gino De Meester

51 Informatieveiligheid
26 januari 2017 Proportioneel Enkel gegevens die strikt nodig zijn voor Doelbinding Nakomen overeenkomst “Nice to know” / “Need to know” Voorbeeld Diploma moeder, vader [NOTITIES PAG. 20] Gino De Meester

52 Informatieveiligheid
26 januari 2017 Juistheid Ten allen tijde up-to-date en juist (bv. gegevens aanpassen na het ontvangen van een adreswijziging) Procedures / afspraken & audit nodig (?) (is een verplichting bij medische informatie) Cf. recht op inzage [NOTITIES PAG. 20] Gino De Meester

53 Informatieveiligheid
26 januari 2017 Opslagbeperking Per gegeven dat je verwerkt moet je vastleggen (en informeren): Doelbinding Tijdsduur Welke groepen toegang hebben Beveiligingsmaatregel(en) [NOTITIES PAG. 20 & 21] Gino De Meester

54 Informatieveiligheid
26 januari 2017 Opslagbeperking Beperking in de tijd Hoe lang worden de gegevens verwerkt Worden ze daarna gearchiveerd of verwijderd Gearchiveerd: voor hoe lang Verwijderen in databank … [NOTITIES PAG. 20 & 21] Gino De Meester

55 Informatieveiligheid
26 januari 2017 Opslagbeperking Anonimiseren Identiteit kan onmogelijk terug achterhaald worden (anonimiseren voor statistische of onderzoeksdoeleinden) Pseudonimiseren (bv. met een nummer) Code/sleutel zorgt ervoor dat personen niet rechtstreeks achterhaald kunnen worden Code/sleutel moet apart bijgehouden en extra beveiligd worden (bv. encryptie) Sleutelbeheer (en beveiliging) moet gedocumenteerd worden [NOTITIES PAG. 20 & 21] Gino De Meester

56 Informatieveiligheid
26 januari 2017 Opslagbeperking Voor leerlingengegevens Wettelijke bewaartermijnen leerlinggebonden documenten: Omzendbrief Bewaartermijn van leerlinggebonden documenten Gedurende schoolloopbaan op die instelling Gestart schooljaar “uitdoen” Oud-leerlingen (bv. contactgegevens)  toestemming vragen [NOTITIES PAG. 20 & 21] Gino De Meester

57 Informatieveiligheid
26 januari 2017 Opslagbeperking Voor personeelsgegevens Wettelijke bewaartermijnen … Gedurende werkloopbaan op die instelling Langer bewaren  toestemming vragen Sollicitatiebrieven / CV’s (?) [NOTITIES PAG. 20 & 21] Gino De Meester

58 Beveiliging waarborgen
Informatieveiligheid 26 januari 2017 Beveiliging waarborgen Organisatorisch Preventieadviseur Technisch ICT Voorbeelden: Fysieke beveiligingsmaatregelen (bv. sloten en alarm) Backups, encryptie “Privacy by design” (bv. login en encryptie) en “Privacy by default” (bv. starten met minimale rechten) Two-factor authentication (bv. wachtwoord en vingerafdruk) [NOTITIES PAG. 21] Gino De Meester

59 Rechten van de betrokkene
Informatieveiligheid 26 januari 2017 Rechten van de betrokkene [NOTITIES PAG. 22 E.V.] Gino De Meester

60 Rechten van de betrokkene (vervolg)
Informatieveiligheid 26 januari 2017 Rechten van de betrokkene (vervolg) Toestemming geven en ten allen tijde kunnen intrekken (art. 7, lid 3) Inzagerecht (kennisnemen) (art. 15) Verschil met kennisgeving Verbeteren / betwisten gegevens (art. 16) Recht om vergeten te worden (art. 17) [NOTITIES PAG. 22 E.V.] Gino De Meester

61 Toestemmingen (herhaling)
Informatieveiligheid 26 januari 2017 Toestemmingen (herhaling) Vooraf te geven + Actieve handeling Hangt samen met duidelijk omschreven doel(en) Leeftijdsgrens 16 (en bekwaam) Sowieso tussen 13 en 16 Aantoonbaar D.w.z. bijhouden Digitaal kan ook! [NOTITIES PAG. 22 – SPECIMEN § PAG. 24] Gino De Meester

62 Enkele praktijkvoorbeelden
Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Foto’s en beeldmateriaal: In principe: telkens apart Algemene toelating kan, maar: Splitsen waarvoor gebruikt (cf. doelbinding) Bijv. m.b.v. een rooster (ja / nee) Intern platform, website, Facebook, …  apart Gegevens van ouders delen Adres, telefoon, Iedere ouder apart [NOTITIES PAG. 22 – SPECIMEN § PAG. 24] Gino De Meester

63 Enkele praktijkvoorbeelden
Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Gegevens doorgeven aan derden Bv. tijdschrift, parochie (bv. communie), uitgevers, secundaire scholen, … Mag NIET Tenzij: Afzonderlijke (!) toestemming vragen Doel duidelijk vermelden (en dan ook enkel voor dat doel) [NOTITIES PAG. 23 – SPECIMEN § PAG. 24] Gino De Meester

64 Enkele praktijkvoorbeelden
Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Gegevens personeel publiceren GSM: wel indien werknummer mag, maar enkel werkadres, niet privé Foto’s: eigenlijk niet, zonder toestemming In overeenstemming met uit te oefenen taak [NOTITIES PAG. 23 – SPECIMEN § PAG. 24] Gino De Meester

65 Intrekken toestemming
Informatieveiligheid 26 januari 2017 Intrekken toestemming Kan ten allen tijde Schriftelijk Via of andere elektronische weg Geldt niet “terugwerkend” ! Vanaf moment intrekking is verwerking niet meer toegelaten “Zonder onredelijke vertraging” Verwerkte gegevens van voor dat moment, dienen daarom niet verwijderd of teruggeroepen te worden [NOTITIES PAG. 23 – SPECIMEN § PAG. 24] Gino De Meester

66 Niet geven toestemming
Informatieveiligheid 26 januari 2017 Niet geven toestemming Er mag geen “dwang” zijn Enkel opnemen in schoolreglement (als “veronderstelling”) volstaat niet !! Inschrijving weigeren wegens niet geven van toestemming(en) mag niet !! [NOTITIES PAG. 23 – SPECIMEN § PAG. 24] Gino De Meester

67 Inzagerecht (kennisnemen)
Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Gegevens opvragen Identificatie, contact, punten, LVS, … Cf. leeftijdsgrens Vanaf 16 leerling zelf, anders ouders Kan op eender welk moment Moet binnen bewaartermijn Als school te bepalen (uitz. wettelijk vereist) Moet wel vooraf gecommuniceerd zijn [NOTITIES PAG. 25] Gino De Meester

68 Inzagerecht (kennisnemen)
Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Mag geanonimiseerd worden, bv. LVS (namen van leerkrachten en/of andere leerlingen) Mag niet “geschrapt” worden Binnen 1 maand Mits motivatie, 2 maanden extra Kan geweigerd worden (bv. bij gescheiden ouders) Motiveren Betwisting: Privacy Commissie [NOTITIES PAG. 25] Gino De Meester

69 Inzagerecht (kennisnemen)
Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Kosten aanrekenen kan Bijkomende kopie(ën) – 1 kopie sowieso gratis Moet billijk / in verhouding zijn Cf. externen die gegevens verwerken Zie verder [NOTITIES PAG. 25] Gino De Meester

70 Verbeteren / betwisten gegevens
Informatieveiligheid 26 januari 2017 Verbeteren / betwisten gegevens Updaten, verbeteren, schrappen bepaalde gegevens Kosteloos Indien door verwerker zelf, of andere betrokkenen Alle betrokkenen moeten ingelicht worden Kan niet indien in strijd met een (andere) wetgeving of decreet (bv. om punten te veranderen, om afwezigheden te betwisten, …) [NOTITIES PAG. 26] Gino De Meester

71 Recht om vergeten te worden
Informatieveiligheid 26 januari 2017 Recht om vergeten te worden Niet langer nodig Onrechtmatigheid “Zonder onredelijke vertraging” Definitief verwijderen Voorbeelden Mailinglijsten Afstuderende leerling Kan nooit voor een leerling /personeelslid, nog op de school [NOTITIES PAG. 26] Gino De Meester

72 Informatieveiligheid
26 januari 2017 Uitoefenen rechten Moet men schriftelijk aanvragen Communicatie misschien efficiënt via Cf. transparante en eenvoudige communicatie Suggestie: (Ook als meldpunt datalekken gebruiken) [NOTITIES PAG. 26] Gino De Meester

73 Plichten van de verwerkings-verantwoordelijke
Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke [NOTITIES PAG. 27 E.V.] Gino De Meester

74 Informatieveiligheid
26 januari 2017 Gino De Meester

75 Plichten van de verwerkings-verantwoordelijke
Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke Kennisgeving Verschil met inzagerecht (kennisneming) Eerlijk beheer Beveiliging Cf. IVPB en register Voortdurend mee bezig zijn Best practices (volgen) [NOTITIES PAG. 27 E.V.] (Art. 5) Gino De Meester

76 Informatieveiligheid
26 januari 2017 Kennisgeving Welke gegevens je verwerkt, waarvoor (doelbinding) en hoe lang Moet éénmalig gecommuniceerd worden Kan via (bijlage bij) schoolreglement Ook informeren indien: Andere gegevens Voor een ander doel Ook indien door externe verwerkers Kenniswetgeving niet nodig indien wetgeving / decreet (wettelijke grondslag 3) [NOTITIES PAG. 27] Gino De Meester

77 Informatieveiligheid
26 januari 2017 Eerlijk beheer Bijwerken, verbeteren, verwijderen indien nodig of volgens eigen beleid Toegang beperken tot personen waar het echt voor nodig is Bijhouden in Register van verwerkings-activiteiten !!! [NOTITIES PAG. 27] Gino De Meester

78 Informatieveiligheid
26 januari 2017 Eerlijk beheer Betrokken personeel ook informeren en sensibiliseren Zie ook algemeen reglement: 1/09/2012 art. 7 lid 7 Zie ook arbeidsreglement: art. 6, lid 8 en 9 [NOTITIES PAG. 27] Gino De Meester

79 Informatieveiligheid
26 januari 2017 Beveiliging Uitvoeren risicoanalyse Gebaseerd op ISO / ITIL Bepalen eigen maatregelen Er aan houden Bijsturen en manier van werken aanpassen Cf. auditing [NOTITIES PAG. 28] Gino De Meester

80 Informatieveiligheid
26 januari 2017 Beveiliging Enkele voorbeelden Noodstroomvoorziening Backups Antivirus Wachtwoordbeleid (eventueel 2-factor) Encryptie Gebruikersrechtenbeleid [NOTITIES PAG. 28] Gino De Meester

81 Informatieveiligheid
26 januari 2017 Beveiliging Opletten voor Buiten gebruik gesteld materiaal (pc’s) Archief en backups onderhouden Cloud toepassingen / externe datacenters Duidelijke afspraken maken (op papier) Verwerkersovereenkomsten sluiten [NOTITIES PAG. 28] Gino De Meester

82 Plichten van de verwerkings-verantwoordelijke (vervolg)
Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Ook verantwoordelijk voor VERWERKERS Externe partijen, platformen, leveranciers Verwerkersovereenkomst(en) afsluiten !!! KathOndVla & Go!  Intentieverklaring Moet niet indien wettelijke verplichting (wel opnemen in Register) [NOTITIES PAG. 28] Gino De Meester

83 Plichten van de verwerkings-verantwoordelijke (vervolg)
Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Melden van datalekken Meldpunt voorzien Suggestie: of Van wie zijn welke gegevens (mogelijk) “gelekt” Niet nodig indien: Geanonimiseerd Gepseudonimiseerd (zonder sleutel) Geëncrypteerd [NOTITIES PAG. 29] Gino De Meester

84 Plichten van de verwerkings-verantwoordelijke (vervolg)
Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Melden van datalekken Melden aan privacycommissie Betrokkenen informeren Indien persoonlijke rechten en vrijheden in gevaar Beleid opstellen  voorkomen Sensibiliseren [NOTITIES PAG. 29] Gino De Meester

Download ppt "Opleiding Aanspreekpunt Informatieveiligheid"

Verwante presentaties

Privacywetgeving - toegang tot het schooldossier

Privacywetgeving - toegang tot het schooldossier
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
relevante wetgeving en achtergrondinformatie

relevante wetgeving en achtergrondinformatie
Verhoor door AIG Uw rechten en plichten

Verhoor door AIG Uw rechten en plichten
Inkomenstarief en kindcode voor ouders en opvang 22 november 2013

Inkomenstarief en kindcode voor ouders en opvang 22 november 2013
Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.

Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.
auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.

auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.
Www.bestuurszaken.be De juridische context van de digitale factuur.

De juridische context van de digitale factuur.
Een zorgsysteem voor betere arbeidsomstandigheden

Een zorgsysteem voor betere arbeidsomstandigheden
E-invoicing – Juridische spelregels Korneel Decroix/Wouter Claes Advocaten Algemene titel/welkomslide.

E-invoicing – Juridische spelregels Korneel Decroix/Wouter Claes Advocaten Algemene titel/welkomslide.
Persoonsgegevens en de Wbp

Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.

Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.

Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Vlaams Agentschap voor Personen met een Handicap1 Minimale kwaliteitseisen voor multidisciplinaire teams provinciale informatiesessie.

Vlaams Agentschap voor Personen met een Handicap1 Minimale kwaliteitseisen voor multidisciplinaire teams provinciale informatiesessie.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.

Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,

Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
Gids door Doccle Doccle. De Cloud 2 1.Wat is de Cloud? 2.Voordelen van de Cloud 3.Nadelen van de Cloud 4.Doccle is geen cloudapplicatie.

Gids door Doccle Doccle. De Cloud 2 1.Wat is de Cloud? 2.Voordelen van de Cloud 3.Nadelen van de Cloud 4.Doccle is geen cloudapplicatie.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL 2016.  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € 820.000,-  Toezichthouder: Autoriteit Persoonsgegevens.

PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
De rechten en Verantwoordelijkheden in Jean-Marc Van Gyseghem

De rechten en Verantwoordelijkheden in Jean-Marc Van Gyseghem
Gij zult openbaren: privacy en de open overheid

Gij zult openbaren: privacy en de open overheid

Verwante presentaties

Ads door Google