De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

GDPR General Data Protection Regulation

Verwante presentaties


Presentatie over: "GDPR General Data Protection Regulation"— Transcript van de presentatie:

1

2 GDPR General Data Protection Regulation
Algemene Verordening Gegevensbescherming

3 bescherming en verwerking
persoonsgegevens verwerking: van het verzamelen, raadplegen, verspreiden, koppelen, registreren tot het vernietigen van gegevens. persoonsgegevens: gegevens over een natuurlijke persoon. Naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken, financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding, lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname, geluidsopname,…

4 rollen en verantwoordelijkheden
verwerkingsverantwoordelijke feitelijke persoon, rechtspersoon,… bepaalt middelen en doeleinden verwerking verantwoordelijk (overeenkomsten met verwerkers, organisatorische en technische maatregelen nemen) verwerker personen die de verwerking uitvoeren intern (personeel, vrijwilligers,…) extern (verzekering, soc.cecretariaat) betrokkene persoon wiens gegevens je verwerkt verkregen via hem/haar of via derden rechten je organisatie kan zowel verwerker als verantwoordelijke zijn aangezien je diverse vormen van categorieën van gegevensverwerking hebt in een organisatie of samenwerkingen.

5 gevoelige gegevens In de socioculturele sector worden persoonsgegevens verzameld en verwerkt die door de Verordening als ‘gevoelige gegevens’ beschouwd worden en om die reden extra bescherming vereisen: medische gegevens politieke voorkeur seksuele voorkeur geloofsovertuiging etnische afkomst lidmaatschap van vakbonden, politieke partijen.

6 gevoelige gegevens Mogen alleen verwerkt worden met het oog op een beperkt aantal doeleinden en op strikte voorwaarden. toegelaten voor vzw’s, stichtingen of andere instanties zonder winstoogmerk op volgende voorwaarden (Met uitzondering van de strafrechtelijke gegevens) : de organisatie is werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied de verwerking gebeurt in het kader van die gerechtvaardigde activiteiten en met passende waarborgen de verwerking heeft alleen betrekking op leden of voormalige leden van de organisatie OF op personen die regelmatig contact met haar onderhouden in verband met haar doeleinden de persoonsgegevens worden niet zonder toestemming van betrokkene buiten die instantie doorgegeven

7 persoonsgegevens -16 jarigen
De GDPR biedt speciale bescherming aan de persoonsgegevens van kinderen, in het bijzonder in de context van commerciële internetdiensten zoals sociale netwerken. Profilering is sowieso niet toegestaan. Als je organisatie gegevens van -16 jarigen verzamelt, in het kader van een rechtstreeks aanbod van onlinediensten en als voor die verwerking toestemming nodig is, moet een ouder of voogd die toestemming geven. Er moet geen toestemming gevraagd worden, noch van het kind, noch van de ouder wanneer de verwerking niet op een toestemming moet gebaseerd worden, maar bijvoorbeeld mag omdat het noodzakelijk is voor de uitvoering van de wettelijke verplichtingen. Je moet natuurlijk wel duidelijk informeren over de verwerking van de persoonsgegevens.

8 registratie leden, deelnemers, nieuwsbrieven
GDPR privacycommissie toezicht verordening organisatie & beveiliging afdelingen planlast leden registratie leden, deelnemers, nieuwsbrieven

9 proportionaliteit - legaliteit - transparantie rechten van betrokkenen
verantwoordelijkheid organisatie proportionaliteit - legaliteit - transparantie beveiliging rechten van betrokkenen

10 proportionaliteit ‘Is het echt noodzakelijk in functie van onze doelstelling om:’ deze gegevens te verzamelen en verder te verwerken? zijn er misschien andere manieren? deze gegevens zo lang te bewaren? (deelnemer cursus zit jarenlang in bestanden) al deze personen toegang te geven tot de gegevens? deze gegevens aan een specifieke persoon te blijven koppelen, of kunnen we ze pseudonimiseren? (probleem koppeling persoonsgegevens aan boekhouding)

11 legaliteit contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv arbeidsovereenkomst) wettelijke verplichting (noodzakelijk voor uitvoering wettelijke plicht, bv opgelegd in decreet) algemeen belang of openbaar gezag ( door de wet opgedragen, bv. aan de politie) vitaal belang (bv om dringende medische reden) gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacyverwachtingen van de betrokkenen ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van betrokkenen)

12 transparantie De betrokkenen (leden, werknemers, doelgroep, deelnemers, je vrijwilligers,…) moeten duidelijk geïnformeerd worden in een heldere taal. De transparantie- of informatieplicht geldt ongeacht de wettelijke doelstelling die je beoogt. Je organisatie moet dus altijd actief informeren over de verwerking van de persoonsgegevens en de rechten van de betrokkenen. Dat moet proactief gebeuren. De verantwoordelijke mag dus niet wachten met het geven van de informatie totdat een betrokkene ernaar vraagt.

13 beveiliging organisatorische maatregelen technische maatregelen
afspraken in het team rond verwerking, rondslingeren deelnemerslijsten, beperking info op deelnemerslijsten, afspraken vernietiging cv na sollicitatieronde,… technische maatregelen ict beveiliging computers wachtwoorden, back up, … —> juridische maatregelen werkgeversaspect sociare contracten met verwerkers documenten

14 rechten betrokkenen De rechten van de betrokkenen
• recht op informatie • recht op inzage en kopie • recht op aanpassing (rectification) • recht op bezwaar • recht op vergetelheid (verwijderen van gegevens) • recht op intrekken toestemming • recht op overdraagbaarheid • recht op weigering geautomatiseerde individuele besluitvorming, profilering • recht op beperking van verwerking

15 recht op: informatie inzage en kopie aanpassing (rectification)
transparant en duidelijk informeren (privacyverklaring ) inzage en kopie De verantwoordelijke moet op vraag gratis een kopie verstrekken van de verwerkte persoonsgegevens en dit binnen de maand. aanpassing (rectification) de organisatie moet de betrokkene meedelen aan welke derden je de aangepaste gegevens heb bezorgd bezwaar Algemeen: de organisatie moet de betrokkene bij de eerste communicatie informeren van zijn recht op verzet en het uitdrukkelijk vermelden in de privacy verklaring verzet tegen direct marketing: organisatie moet onmiddellijk stoppen met de verwerking verzet tegen verwerking o.b.v. gerechtvaardigde gronden. De organisatie kan enkel om bepaalde wettelijke redenen nog verder verwerken vergetelheid (verwijderen gegevens) De betrokkene kan vragen om ‘vergeten’ te worden en te worden verwijderd uit de bestanden ( met wettelijke uitzonderingen ) intrekken toestemming betrokkene heeft het recht om eerder gegeven toestemming in te trekken overdraagbaarheid De betrokkene heeft het recht om de persoonsgegevens die hij heeft verstrekt te laten overdragen naar een andere verwerker weigering profilering Alle betrokkenen hebben het recht om niet te worden onderworpen aan een volledig geautomatiseerde besluitvorming. De organisatie er voor zorgen dat de betrokkene de mogelijkheid heeft om menselijke tussenkomst te bekomen; zijn standpunt te kunnen bijbrengen en uitleg te krijgen omtrent de besluitvorming en dit kan betwisten recht op beperking verwerking recht op beperking wanneer bijvoorbeeld de juistheid van gegevens door de betrokkene worden betwist

16 recht op vergetelheid wanneer:
de gegevens niet langer in verband zijn met de doelen waarvoor zij zijn verzameld de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond is voor de verwerking de gegevens onrechtmatig zijn verwerkt de gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting de gegevens zijn verzameld in verband met online diensten, direct marketing,… de betrokkene maakt succesvol bezwaar tegen verwerking de verwerkinsverantwoordelijke moet maatregelen nemen om de gegevens te verwijderen, maar ook om iedere koppeling naar kopie of reproductie te wissen

17 recht van inzage categorieën persoonsgegevens verwerkingsdoeleinden
verplichte informatie die ter inzage moet worden versterkt: verwerkingsdoeleinden categorieën persoonsgegevens (categorieën) ontvangers bewaarperiode of criteria om termijn te bepalen bron van gegevens als ze niet bij betrokkene zijn gehaald bestaan van profilering als dit aanwezig is recht indienen van klacht passende voorwaarden inzake doorgifte aan derde landen indien dit het geval is

18 stappenplan stap 1 bewustmaking stap 2 inventaris
stap analyse en maatregelen stap gegevensverwerkingregister stap privacyverklaring stap procedures rechten betrokkenen stap aanpak datalek

19 stap 1 bewustmaking raad van bestuur team
Informeer de sleutelfiguren in je organisatie (medewerkers die met gegevens werken, directie, bestuur, ...) over de noodzakelijke stappen om je organisatie in regel te brengen met de GDPR verordening . Overloop wie welke persoonsgegevens verwerkt en gebruikt bekijk of je organisatie verwerker is, verantwoordelijke, of beiden in diverse gevallen belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken —> agenderen en verslagen bijhouden

20 stap 2 inventaris Welke gegevens worden er bewaard (naam, adres, leeftijd,…) ? Waar komen de gegevens vandaan Waar worden de gegevens bewaard ? Hoe lang worden ze bewaard ? Wie heeft er toegang toe? Worden de gegevens beschermd? (Hoe) worden gegevens intern uitgewisseld? (vb aanwezigheidslijst) (Hoe) worden gegevens extern uitgewisseld ? Waarvoor gebruiken jullie de gegevens?(direct mailing, nieuwsbrief, bevestigingen)

21 stap 3 analyse 3 a. screening
Breid de inventaris uit met een interne screening zodat je zicht krijgt op de noodzakelijke maatregelen die je moet nemen om in regel te zijn. Op basis van de inventaris bekijk je per gegevenscategorie of • je een legitieme doelstelling hebt om deze te verwerken • de verwerkingsactiviteiten in verhouding zijn tot die doelstelling • je voldoende transparant bent over de verwerkingsactiviteiten je de rechten van de betrokkenen voldoende respecteert (tabel) Zet na deze screening de verwerking van persoonsgegevens stop die niet noodzakelijk zijn voor de verwerkingsdoelstelling

22 stap 3 analyse 3 b. veiligheidsmaatregelen
Breng voor de gegevens die je blijft verwerken, de risico’s in kaart op verlies, diefstal of ongeoorloofde toegang en de mogelijke gevolgen die elk daarvan zou kunnen hebben voor de betrokken personen. Bekijk welke verbeterstappen je kan / moet zetten en lijst op wie welke maatregelen hoe gaat nemen binnen welke timing. Verdeel de maatregelen onder in een • een organisatorisch deel • een technisch deel • (eventueel) juridisch deel.

23 stap 3 audit 3 c. GDPR compliant
De GDPR heeft ook een impact op de diensten en tools die je organisatie gebruikt. Zowel contractpartners als softwaretools en onlineservices waar je mee werkt, moeten in de toekomst GDPR-compliant zijn, in een schriftelijk contract gegarandeerd. Dat geldt overigens ook voor allerlei cloudoplossingen. Sluit met alle betrokken partijen een verwerkersovereenkomst, met afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen

24 stap 4 register biedt een overzicht van de verwerking van gegevens, gekoppeld aan de doeleinden per verwerkingsprocedure. verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke handige leidraad voor de verwerkers binnen je organisatie wordt continu geactualiseerd en aangevuld. (In tegenstelling tot de inventaris en analyse) de informatie uit de inventaris en analyse zijn goede basis voor een verdere uitwerking in een register online template scwitch als basis

25 stap 4 register verplicht per verwerkingsactiviteit
naam en contactgegevens verwerker en verwerkings-verantwoordelijke verwerkingsdoeleinden categorieën van verwerking categorieën persoonsgegevens en betrokkenen categorieën van ontvangers en derde landen of organisaties bewaartermijn gegevens technische en organisatorische maatregelen beveiliging waarborgen bij doorgifte gegevens aan derde landen

26 stap 5 privacyverklaring
Je organisatie moet de betrokkenen proactief informeren over de verwerking van persoonsgegevens en hun rechten. beknopt, transparant, in een duidelijke eenvoudige taal en in een begrijpelijke en gemakkelijk toegankelijke vorm. op de meest aangewezen plaats voor de betrokkenen van wie de persoonsgegevens verwerkt worden. Werk o.a. volgende luiken uit in een heldere privacyverklaring • welke informatie wordt verzameld • wie verzamelt de informatie • hoe wordt ze verzameld • waarom wordt ze verzameld • hoe wordt ze gebruikt • met wie wordt de informatie gedeeld effect op het individu voor het gebruik van zijn persoonlijke gegevens (laatste enkel wanneer sprake van geautomatiseerde besluitvorming)

27 toestemming betrokkene
toestemming = ‘ Elke uit vrije wil gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene waardoor hij of zij actief aangeeft akkoord te gaan met de verwerking van zijn/haar persoonsgegevens’ • duidelijke vraag om toestemming • bevat voldoende informatie om een keuze te kunnen maken • bevat een duidelijke toelichting over hoe gegevens gebruikt worden • voorzie een duidelijke en eenvoudige manier om toestemming te geven (ja-aanvinkvakje)

28 stap 6 verantwoordelijke
De Data Protection Officer is een deskundige inzake gegevensbescherming die je organisatie bijstaat in het toezicht op de interne naleving van de GDPR. DE TAKEN VAN DE DPO toezicht op de naleving van de GDPR en van het interne beleid daaromtrent de organisatie en haar medewerkers informeren en adviseren omtrent hun verplichtingen ivm GDPR advies over nieuwe software, gebruik van database, etc… monitoring van het al dan niet voldoen aan de regels van de GDPR contactpunt voor en samenwerking met privacycommissie brengt jaarlijks verslag uit van zijn/haar werkzaamheden en bevindingen aan de hoogste leidinggevende in de organisatie kan door de betrokkene gecontacteerd worden over GDPR-aangelegenheden

29 Wanneer ben je verplicht een DPO (intern of extern ) aan te duiden?
Je hebt een DPO nodig in volgende gevallen: • Je organisatie is een overheidsinstantie of een overheidsorgaan • Je organisatie is hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (wegens aard, omvang en doeleinden) • Je verwerkt op grote schaal bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religie, medische of strafrechtelijke gegevens Conclusie: De verwerking ‘op grote schaal’ en ‘bijzondere categorieën’ geldt ons inziens enkel als je organisatie van bepaalde groepen heel regelmatig individuele voorkeuren gaat onderzoeken, profileren. We nemen aan dat de meeste van de vzw’s in de socioculturele sector geen externe DPO hoeven aan te stellen en dat een register plus maatregelen en privacyverklaring volstaat. Tenzij er later nog nationale wetgeving komt die deze verplichting zal opleggen of de commissie of rechtspraak een ander standpunt inneemt.

30 stap 7 aanpak datalek meldplicht voor datalekken die de betrokkene(n) schade kunnen berokkenen ( bv financieel verlies, schending geheimhoudingsplicht, identiteitsdiefstal). Elk incident dat impact kan hebben op de veiligheid van je gegevens (zoals diefstal van een laptop of verlies van een usb-stick) en enige vorm van schade kan veroorzaken aan de betrokkenen(n), moet binnen 72 uur gemeld worden aan de privacycommissie. Bij een hoog risico voor zijn rechten en vrijheden moet dit ook aan de betrokkene zelf gemeld worden zodat deze de nodige voorzorgsmaatregelen kan nemen. procedure duidelijke verantwoordelijke / aanspreekpunt informeer alle verwerkers datalekdocument info site privacycommissie

31 www.scwitch.be logboek tools & templates http://scwitch.be/toolkit/
actieve sessies met expert 1op1 begeleiding door expert


Download ppt "GDPR General Data Protection Regulation"

Verwante presentaties


Ads door Google