Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdDavid van de Brink Laatst gewijzigd meer dan 6 jaar geleden
1
GDPR in de praktijk Kurt Penninck Vlaams Welzijnsverbond
Thanks Explain V-ICT-OR and LOLA Kurt Penninck Vlaams Welzijnsverbond V-ICT-OR| Vlaamse ICT Organisatie
2
GDPR - General Data Protection Regulation GDPR in de praktijk
3
GDPR - General Data Protection Regulation GDPR in de praktijk
4
GDPR - General Data Protection Regulation GDPR in de praktijk
5
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Wijs een functionaris voor gegevensbescherming (DPO) aan die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels binnen uw zorg- of welzijnsvoorziening Taken: zie syllabus 1, pag. 100 – 102 Maak een functieprofiel DPO op, laat dit goedkeuren door het hoogste beslissingsorgaan Zie bijlage ‘Stap 1-1-DPO-Functieomschrijving’ Wijs een DPO aan binnen uw voorziening Ga na binnen uw voorziening wie hiervoor in aanmerking komt en deze rol wil opnemen De directie moet de aanwijzing schriftelijk vastleggen in een beslissing Zie bijlage ‘Stap 1-2-DPO-Beslissing-Aanwijzing’
6
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Maak een reglement DPO op Zie bijlage ‘Stap 1-3-DPO-Beslissing-Reglement DPO’ Meld de DPO aan bij de Gegevensbeschermingsautoriteit (GBA) Download het elektronisch formulier (Zie ook bijlage: Stap 1-4-FormDPO_nl‘) Vul het gedownloade formulier elektronisch (via uw computer) in. Tip: Gebruik hierbij de ‘Handleiding e-forms Gegevensbeschermingsautoriteit’ (Zie ook bijlage ‘Stap 1-5-Melding DPO-Handleiding_e_forms’) Laat uw directie het elektronisch ingevulde formulier verzenden via het eforms-webportaal van de GBA
7
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 1: FUNCTIONARIS VOOR GEGEVENSBESCHERMING Ga na of uw voorziening een Vlaamse bestuursinstantie is Zie website Vlaamse Toezichtscommissie voor de verwerking van de persoonsgegevens (VTC) Bij twijfel, toets dit af met het VTC - tel: +32 (0) Zo ja, meld de DPO aan bij de VTC Laat uw directie het elektronisch ingevulde formulier dat dienstig was om de DPO te melden aan de GBA, via met als onderwerp: 'aanmelding DPO - naam instantie‘ overmaken aan het VTC: Nuttige presentatie van Philippe De Backer, Staatssecretaris onder meer voor Privacy over de functie van DPO Zie bijlage ‘Stap 1-6-DPO HOEKSTEEN IN HET PRIVACYBELEID-Staatssecretaris’
8
GDPR - General Data Protection Regulation GDPR in de praktijk
9
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 2: Werk in team (Team Gegevensbescherming) Persoonsgegevensbescherming is geen one-man job (taak van iedereen) Stel daarom een multifunctioneel team samen, waarbij alle leden elkaar versterken en dat de functionaris voor gegevensbescherming in de uitvoering van zijn taken ondersteund Neem bijvoorbeeld volgende relevante functies op in het team: Directielid Functionaris voor gegevensbescherming Verantwoordelijke ICT Verantwoordelijke personeel Diensthoofd(en) voor zorg of welzijn Verantwoordelijke preventie en bescherming op het werk Ad hoc op uitnodiging
10
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 2: Werk in team (Team Gegevensbescherming) Pleeg regelmatig over (bv. 1 x per maand) Maak formeel en schriftelijk een agenda en een beknopt verslag op, leg de to do’s, verantwoordelijkheden en timing vast (wie doet wat tegen wanneer) Belangrijk in functie van de aantoonbaarheid bij audits Maak een standaardformulier ‘Agenda’ Zie bijlage ‘2 - 2-Team Gegevensbescherming – Agenda’ Maak een standaardformulier ‘Verslag’ Zie bijlage ‘2 - 2-Team Gegevensbescherming – Verslag’
11
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 2: Werk in team Creëer een bestandlocatie waar alle leden van het team toegang tot krijgen. Bewaar hier netjes alle documenten van het team volgens een vooraf vastgelegde structuur: Team Gegevensbescherming Agenda’s (zie bijlage ‘Stap 2-1-Team Gegevensbescherming – Agenda’ Verslagen (zie bijlage ‘Stap 2-2-Team Gegevensbescherming – Verslag’ Bijlagen Communiceer wat relevant is naar alle medewerkers In teambesprekingen Intranet FAQ …
12
GDPR - General Data Protection Regulation GDPR in de praktijk
13
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 3: Gegevensbeschermingsbeleid Maak een informatieveiligheids- en gegevensbeschermingsbeleid op Zie volledig uitgewerkt beleid in bijlage ‘Stap 3-1-Informatieveiligheids- en Gegevensbeschermingsbeleid’ Neem er volgende elementen in op: Het belang van het beleid (inleiding) Doel en reikwijdte Uitganspunten De van toepassing zijnde normen voor informatieveiligheid en wet- en regelgeving omtrent gegevensbescherming Organisatie rond het beleid (o.a. Rollen en verantwoordelijkheden Risicoanalyse
14
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 3: Gegevensbeschermingsbeleid Beschrijving van het managementsysteem voor informatieveiligheid en gegevensbescherming Voorlichting en bewustzijn Afhandeling incidenten en datalekken Controle, naleving en sancties Inwerkingtreding Laat het informatieveiligheids- en gegevensbeschermingsbeleid goedkeuren door het hoogste beslissingsorgaan van uw voorziening
15
GDPR - General Data Protection Regulation GDPR in de praktijk
16
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 4: Bewustwording Informatieveiligheid en persoonsgegevensbescherming is voor het grote deel mensenwerk en gedrag! Geef daarom als zorg- of welzijnsvoorziening op periodieke basis aandacht aan het zorgvuldig omgaan met informatieveiligheid en persoonsgegevens onder meer door middel van bewustwordingscampagnes, trainingen, vorming, workshops, flyers, FAQ (op een gedeelde map voor iedereen toegankelijk) Zie uitgewerkte bewustwordingscampagne in de bijlage: ‘Stap 4-1-Bewustwordingscampagne - Cartoon van verschillende maanden’ Zie uitgewerkte bewustwordingscampagne in de bijlage: ‘Stap 4-2-Bewustwordingscampagne informatieveiligheid provincie West-Vlaanderen’
17
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 4: Bewustwording Zie bijlage ‘Stap 4-3-Bewustwordingscampagne - Richtlijnen omgaan met persoonsgegevens – Pictogrammen’ Zie bijlage ‘Stap bijlage ‘4-4-Bewustwordingscampagne – Media’ Bewustwording bij aanvang en tijdens het dienstverband Zie bijlage ‘Stap 4-5-Privacyverklaring Werknemers’ Zie bijlage ‘Stap 4-6-Vertrouwelijkheidsverklaring betreffende de toegang en de verwerking van persoonsgegevens’ Zie bijlage ‘Stap 4-7-Bijlage Vrijwilligersovereenkomst-Gegevensverwerking’ Zie bijlage ‘Stap 4-8-Bijlage Stageovereenkomst-Gegevensverwerking’ Organiseer voor de medewerkers een algemene infosessie informatieveiligheid en gegevensbescherming Zie bijlage ‘Stap 4-9-GDPR-Infosessie voor medewerkers’
18
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 4: Bewustwording Afficheer op strategische (intranet, personeelsrefter, aankondigingsbord) of kwetsbare (printers) plaatsen info i.v.m. tips, aandachtspunten rond informatieveiligheid en gegevensbescherming
19
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 4: Bewustwording Bij het ter beschikking stellen in uw voorziening van een openbaar Wifi, wijs de gebruikers op de gevaren ervan (o.a. Doe geen dingen waarbij inloggevens moet worden ingevoerd, oftewel moeten worden prijsgeven, doe geen bankzaken, …)
20
GDPR - General Data Protection Regulation GDPR in de praktijk
21
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 5: Dataregister (voorbereiding op stap 6) Doel: zicht krijgen op de gegevensbronnen die de voorziening beheerd en wie welke toegangsrechten daarbij heeft Zicht krijgen op de categorieën van gegevens per gegevensbron Zicht krijgen activiteiten en doelstellingen en welke gegevensbronnen daarvoor worden aangewend Tip: Hou het overzichtelijk en beheersbaar, anders heeft je dataregister geen meerwaarde. Streef niet naar perfectie. Vervolledigen kan je altijd op termijn (gegevensbescherming is een kwaliteitsproces en vraagt tijd) Maak gebruik van bestaande bronnen (verwerkingsregisters) en inspireer Deel kennis en inzichten met elkaar
22
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Functies-Gegevensbronnen-Autorisaties (vergeet niet de externen!) Vraag overzicht van functies of organogram bij de personeelsdienst Gegevensbronnen kunnen applicaties (ook cloudtoepassingen), mappen, documenten zijn Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Functies-Applicaties-Rechten’ Dit verkleint de kans op fouten en inbreuken op persoonsgegevens. Dat komt omdat iedereen weet wat zijn of haar toegangsrechten zijn op applicaties en bestanden. Op die manier wordt duidelijk in kaart gebracht welke data (gegevensbronnen) moeten beveiligd worden
23
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Categorieën persoonsgegevens - Gegevensbronnen Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Cat. Gegevens-Bronnen’
24
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 5: Dataregister (voorbereiding op stap 5) Maak matrix Activiteiten-Gegevensbronnen-Doelen Zie bijlage ‘Z-Opleiding - IVC-TOOLS’, tabblad ‘Act.-Bronnen-Doelen’
25
GDPR - General Data Protection Regulation GDPR in de praktijk
26
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten ‘Hart’ van de GDPR Het verwerkingsregister geeft u als voorziening en ook de toezichthoudende autoriteit een overzicht van het soort persoonsgegevens dat u verwerkt, voor welk doel, hoelang het wordt opgeslagen, of het wordt doorgestuurd naar ontvangers enzovoort. Er is geen specifiek formaat voor dit register, maar dit is het belangrijkste punt in hoe te voldoen aan AVG (Artikel 30); Deze documentatieplicht vervangt de aangifteplicht bij de Gegevensbeschermingsautoriteit Let wel: bij verwerkingen met een hoog restrisico (DPIA) voor de privacy van de betrokkene is er de verplichting van de ‘voorafgaande raadpleging’ bij de Gegevensbeschermingsautoriteit
27
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten Het register bevat minimaal volgende gegevens: in voorkomend geval, de naam en contactgegevens van de (gezamenlijke) verwerkingsverantwoordelijke, van de vertegenwoordiger van de verwerkingsverantwoordelijke en/of van de functionaris voor gegevensbescherming; de verwerkingsdoeleinden; enerzijds een beschrijving van de categorieën van betrokkenen en anderzijds van de categorieën van persoonsgegevens; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt (onder meer ontvangers in derde landen of internationale organisaties);
28
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden bewaard indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, indien nodig, de documenten inzake de passende waarborgen Er is geen vast opgelegd model De Gegevensbeschermingsautoriteit komt organisaties te hulp en stelt een model ter beschikking op haar website. De voorzieningen bepalen zelf wel format ze willen gebruiken Tip: welk format je ook gebruikt, maak het overzichtelijk en beheersbaar
29
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten Aanbevolen model Zie bijlage ‘Stap 6-1-Model Verwerkingsregister GDPR-Full-Blanco Zie bijlage ‘Stap 6-2-Model Verwerkingsregister GDPR-Verplicht-Blanco Zie bijlage ‘Stap 6--Model Verwerkingsregister GDPR-Verplicht-Ingevuld
30
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten Vorm een team Om snel een compleet verwerkingsregister op te zetten is het goed om in een team te werken. Dat één iemand alles van elke discipline weet, is een utopie. Verzamel daarom verantwoordelijkheden (proceseigenaren) die kennis van zaken hebben binnen hun eigen vakgebied. Met het organiseren van groepssessies wordt iedereen betrokken (belang van bewustwording) en kan iedereen input geven
31
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten Start op taakniveau of op procesniveau Wat is een verwerking? Voor je het weet verzand je in tal van details. Vraag je daarom af welke taken en processen je uitvoert om je missie (kernopdracht) te realiseren. Vaak geeft je website hier al een antwoord op. Kijk ook naar de regelgeving(en) die op jouw voorziening van toepassing zijn. Hierin zijn veelal de wettelijke taken opgesomd. Kijk op grond hiervan naar de categorieën van persoonsgegevens die verzameld worden, de grondslag, het doel, …Later kan je nog altijd een verdiepingsslag maken Tip: Kijk uw kwaliteitshandboek na, hierin zijn reeds heel wat taken en processen beschreven Tip: laat u inspireren door reeds uitgewerkte verwerkingsregisters, en stem af op maat van uw voorziening
32
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 6 : Register van verwerkingsactiviteiten Na opmaak: organiseer periodieke bijeenkomsten Het beheren van het verwerkingsregister is een proces. De beste manier om het verwerkingsregister up to date te houden is om als team periodiek bijeen te komen. Zo kan iedereen een statusupdate geven van veranderingen in de eigen werkzaamheden. Op die manier blijft iedereen ook betrokken Pas het register onmiddellijk aan bij wijziging, vernieuwing van taken en processen Controleer met het team minstens jaarlijks het register
33
GDPR - General Data Protection Regulation GDPR in de praktijk
34
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 7 : Passende beveiliging persoonsgegevens Het kader rond informatieveiligheid is grotendeels gebaseerd op de internationale standaard voor informatiebeveiliging ISO en 27002 Hiervan afgeleid zijn de Richtsnoeren v3 en de Minimale Normen van de Kruispuntbank Sociale Zekerheid. Hoewel de Richtsnoeren en Minimale Normen met betrekking tot informatieveiligheid opgelegd zijn voor de lokale besturen (stad en OCMW) kunnen deze fungeren als leidraad voor organisaties van om het even welk type Zie Syllabus lesdag 2 Zie bijlage ‘Lesdag 2 - cybersecurity-guide-sme-NL’ Zie bijlage ‘Lesdag 2 - Richtsnoeren-Steden en gemeenten_v 3.0_0’ Zie bijlage ‘Lesdag1 - KSZ - mnm_minimale_normen_vragenlijst[1]’
35
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 7 : Passende beveiliging persoonsgegevens Het kader rond informatieveiligheid is grotendeels gebaseerd op de internationale standaard voor informatiebeveiliging ISO en 27002 Hiervan afgeleid zijn de Richtsnoeren v3 en de Minimale Normen van de Kruispuntbank Sociale Zekerheid. Hoewel de Richtsnoeren en Minimale Normen met betrekking tot informatieveiligheid opgelegd zijn voor de lokale besturen (stad en OCMW) kunnen deze fungeren als leidraad voor organisaties van om het even welk type
36
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 7 : Passende beveiliging persoonsgegevens Voer periodiek een risicoanalyse uit (bv. Jaarlijks en telkens bij de in gebruikname van een nieuwe applicatie of fundamentele wijziging ervan) Zicht krijgen op kwetsbaarheden en bedreigingen van de informatiesystemen Zorg voor een goedgekeurd informatieveiligheids- en gegevensbeschermingsbeleid (strategisch niveau) Zorg voor een informatieveiligheids- en gegevensbeschermingsplan (tactisch niveau) Zorg voor gedragscodes (policy’s) en procedures (operationeel niveau) waaronder Backup en recoverybeleid Wachtwoordbeleid Gebruik van , internet (incl. sociale media) en ict-middelen Gebruik van mobiele toestellen Thuiswerken (telewerken) Beheer toegangen, zowel fysiek als digitaal (vb. active directory), zorg voor minimale autorisatie Verwijderen van opslagmedia (bv. Computer uit dienst)
37
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 7 : Passende beveiliging persoonsgegevens Zorg voor een anti-malware programma Zorg voor een sleutelplan Zorg voor een inventaris van toestellen en applicaties Zorg voor logging Zorg voor updates Zorg voor een vertrouwelijkheidsverklaring (geheimhoudingsverklaring) Zorg voor redundantie (uitwijkcentrum) Zorg voor een continuïteitsplan (kritische apparatuur en kritische processen) Zorg ervoor dat uw derde partijen uw beveiligingsniveau naleven (belang van goede afspraken, schriftelijk vastgelegd) Zorg voor een centraal aanspreekpunt beveiligingsincidenten incl. datalekken (dienst informatica, dpo) Zorg voor registratie beveiligingsincidenten incl. datalekken
38
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 7 : Passende beveiliging persoonsgegevens Zie bijlage ‘Stap 7-1-e-Policy voor het gebruik van internet, sociale media, en ict-middelen’ Zie bijlage ‘Stap 7-2-Wachtwoordbeleid’ Zie bijlage ‘Stap 7-3-Backupbeleid’
39
GDPR - General Data Protection Regulation GDPR in de praktijk
40
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 8 : Contracten GDPR verplicht verwerkingsverantwoordelijke en verwerker om afspraken te maken over de verwerking van de persoonsgegevens Verwerkersovereenkomst niet verplicht, wel verplicht afspraken schriftelijk vast te leggen
41
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 8 : Contracten Over volgende onderwerpen moeten verplicht afspraken gemaakt worden: onderwerp overeenkomst; duur; aard en doel; soort persoonsgegevens; categorieën van betrokkenen; rechten en verplichtingen van de verwerkingsverantwoordelijke; verwerking alleen op basis van schriftelijke instructies; doorgifte naar derde landen; vertrouwelijkheid; passende technische en organisatorische maatregelen; inschakeling subverwerkers; verwerker verleent bijstand bij verzoeken van betrokkene; verwerker verleent bijstand bij nakoming; verwerker geeft persoonsgegevens terug na afloop verwerking.
42
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 8 : Contracten Relatie Verwerkingsverantwoordelijke – Verwerker Maak verwerkersovereenkomst op Zie bijlage ‘Stap 8-1-Verwerkersovereenkomst’ Zie bijlage ‘Stap 8-2-Verwerkersovereenkomst-Toelichting’ Maak SLA op (Service Level Agreement met interventie- en hersteltijden) Relatie Verwerkingsverantwoordelijke – Samenwerkende partner Laat vertrouwelijkheidsverklaring onderteken Zie bijlage ‘Stap 4-5-Vertrouwelijkheidsverklaring betreffende de toegang en de verwerking van persoonsgegevens’ Onderteken gezamenlijk een document waarbij elke partij erkent de verplichtingen van de AVG en Kaderwet te zullen naleven
43
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 8 : Contracten Nog enkele concrete tips Neem als zorg- of welzijnsvoorziening zelf het initiatief naar de verwerker toe Accepteer niet zomaar een door de verwerker aangeboden verwerkersovereenkomst / laat dit schriftelijk weten aan de verwerker Als je met de verwerker niet tot een gezamenlijk akkoord komt: ga rond de tafel zitten en onderhandel! Evalueer bestaande of aangeboden verwerkersovereenkomsten Zie bijlage ‘8- 3-Verwerkersovereenkomst-Evaluatiecriteria’ Neem in het bestek voor de toewijzing van nieuwe opdrachten een clausule op waarbij de kandidaat verklaart de rol van verwerker te zullen opnemen en de AVG-verplichtingen die op hem rust te zullen naleven Zie bijlage ‘Stap 8-4-Verwerkersovereenkomst-Clausule opdrachten’
44
GDPR - General Data Protection Regulation GDPR in de praktijk
45
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 9 : Melding datalek (= inbreuk op persoonsgegevens) Zorg voor een procedure melding datalekken (goedkeuring hoogste beslissingsorgaan) Zie bijlage ’Stap 9-1- Procedure meldplicht datalek’ Communiceer interne afspraken i.v.m. datalekken Zie bijlage ‘Stap 9-2- Procedure meldplicht datalek - Interne afspraken’ Registreer het datalek (is een verplichting!) Zie bijlage ‘Stap 9-3-Register Datalek’ Ga na (aan de hand van bijlage ’Stap 9-1- Procedure meldplicht datalek’, punt 8 Beslissingsboom) of het datalek moet gemeld worden aan de GBA en aan de betrokken Zie bijlage ‘Stap 9-4-GBA-Melding-Gegevenslek’ Gebruik hiervoor bijlage ‘Stap 9-5-GBA-Handleiding e-forms’ Zie Doe het nodige om de gevolgen van het datalek te beperken Doe het nodige om (soortgelijke) datalekken in de toekomst te voorkomen
46
GDPR - General Data Protection Regulation GDPR in de praktijk
47
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 10 : Procedure rechten betrokkene Zorg voor een procedure rechten betrokkene (goedkeuring hoogste beslissingsorgaan) Zie bijlage Stap 10-1-Procedure informatieplicht en rechten van betrokkene’ Communiceer interne afspraken i.v.m. deze procedure Zie bijlage ‘Stap 9-2- Procedure meldplicht datalek - Interne afspraken’ Registreer individuele aanvragen i.v.m. uitoefening rechten van betrokkene Zie bijlage ‘Stap 10-2-Standaardformulier Aanvraag rechten GDPR’
48
GDPR - General Data Protection Regulation GDPR in de praktijk
49
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 11 : Communicatie Maak een algemene privacyverklaring Zie bijlage ‘Stap 11-1-Algemene privacyverklaring’ Publiceer die op uw website Informeer betrokkene tijdig over zijn rechten (o.a. Bij eerste contact, op formulier verzoek toestemming, …) Brieven, folders, flyers behoren ook tot de communicatiemogelijkheden. Zorg in ieder geval altijd dat de informatie goed vindbaar of duidelijk aanwezig is (balie, spreekkamers, wachtruimtes, op videoscherm …) De informatieverstrekking moet het transparantiebeginsel respecteren, d.w.z. Beknopt Helder Begrijpelijk en gemakkelijk toegankelijke vorm Duidelijke en eenvoudige taal. Dit moet beoordeeld worden in functie van het doelpubliek (bv. aangepaste taal voor minderjarigen; rekening houden met een eventueel allochtoon publiek, …), werk met iconen
50
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 11 : Communicatie Algemene tips bij uw communicatie: Denk vanuit de lezer, niet vanuit de wet Vermijd wettelijke termen Schrijf begrijpelijk Visualiseer Kies een passende tone of voice Voor meer info, zie
51
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 11 : Communicatie Besteed ook aandacht aan je interne communicatie (link met stap 4-Bewustwording, o.a. privacyverklaring medewerkers, zie bijlage ‘Stap 4-5-Privacyverklaring Werknemers’ en Stap 4-4-Bewustwordingscampagne - Media) Neem informatieveiligheid en gegevensbescherming als vast agendapunt op in werk- of teamoverleg / directieoverleg Verwijs in je huishoudelijke reglementen naar uw privacyverklaring Zie bijlage ‘Stap 11-2-Paragrafen huishoudelijke reglementen’
52
GDPR - General Data Protection Regulation GDPR in de praktijk
53
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 12 : Wettelijke grondslag Leg vast in uw privacyverklaring en register van verwerkingsactiviteiten
54
GDPR - General Data Protection Regulation GDPR in de praktijk
55
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 13 : TOESTEMMING Voor uitgebreide info zie syllabus dag 1 Verzoeken om toestemming Zie bijlage ’Stap 13-1-Standaardformulier-Toestemming – Persoonsgegevens’ Zie bijlage ‘Stap 13-2-Standaardformulier-Toestemming-Gericht beeldmateriaal’ Zie bijlage ‘Stap 13-3-Info-Toestemming-Gericht beeldmateriaal’
56
GDPR - General Data Protection Regulation GDPR in de praktijk
57
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 14: PRIVAYCY BY DESIGN & DATA PROTECTION IMPACT ASSESSMENT (DPIA) Privacy by design Het idee is om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Het houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy Bijvoorbeeld: bij de ontwikkeling van een intranet voor personeel of de uitwerking van een sjabloon om intakes af te nemen moet je van bij de aanvang van zo’n acties gegevensbeschermende maatregelen nemen (basis hiervoor: eisen voor informatieveiligheid en beginselen van gegevensverwerking) Bij hoog risicovolle gegevensverwerkingen, voor een DPIA uit Data Protection Impact Assessment - Ned. Vertaling: gegevensbeschermingseffectbeoordeling Zie bijlage ‘Stap 14-1-Data-Protection-Impact-Assessment’ Zie bijlage ‘IVC-Tools’, tabblad ‘PIA-Vragenlijst’
58
GDPR - General Data Protection Regulation GDPR in de praktijk
59
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 15 : Kinderen Het verwerken van persoonsgegevens van kinderen houdt gezien de kwetsbaarheid van kinderen extra risico's in. Om die reden eist de AVG/GDPR dat uw voorziening strengere beveiligingsmaatregelen neemt Uw voorziening moet diegene van wie persoonsgegevens verwerkt worden, informeren. Dit dient te gebeuren in een duidelijke en eenvoudige taal. Verder moet de informatie in gemakkelijke, toegankelijke vorm worden aangeboden en beknopt, transparant en begrijpelijk zijn. Wanneer uw voorziening zich tot een kind richt, dan moet extra rekening gehouden worden met de bovenstaande kwaliteitseisen. Deze eisen moeten bijzondere aandacht krijgen wanneer uw voorziening communicatie voert in het kader van het uitvoeren van een verzoek (rechten van betrokkene) van een kind
60
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 15 : Kinderen Toestemming beeldmateriaal kinderen Zie stap 13 Toestemming Gegevensbescherming en kinderopvang Zie bijlage ‘Stap 15-1-Webinar_avg_en_de_kinderopvang_2018’ Gegevensbescherming en jongeren Zie Privacy op school Zie
61
GDPR - General Data Protection Regulation GDPR in de praktijk
62
GDPR - General Data Protection Regulation GDPR in de praktijk
Stap 16 : Internationaal Doorgifte naar buiten de EU is alleen toegestaan, wanneer naar het oordeel van de Europese Commissie in het derde land, in het gebied of in één of meerdere nader bepaalde sectoren in het derde land of bij de internationale organisatie in kwestie een passend beschermingsniveau is gewaarborgd
63
Aan alle deelnemers van de opleiding DPO Brussel
/09/2018 Van harte dank voor jullie enthousiasme, constructieve inbreng, volgehouden inspanningen. Veel succes verder met de implementatie van de GDPR
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.