Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
Wim Van Holder
2
GDPR General Data Protection Regulation AVG Algemene Verordening Gegevensbescherming
3
Persoonsgegevens Richtlijn 95/46/EG iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit Verordening (EU) 2016/679 alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
4
Nieuwigheden in AVG Geglobaliseerde digitale wereld
Bescherming van digitale persoonsgegevens Verantwoordelijkheid en transparantie Register ipv aangifte privacycommissie Doeleinde, grondslag, bewaring Actieve toestemming Geen op voorhand aangevinkte vakjes Enkel voor het vermelde doeleinde Verantwoordelijken en verwerkers Duidelijke overeenkomsten Verwerking buiten EU
5
Register van verwerkingsactiviteiten
AVG Art. 30: de instelling is wettelijk verplicht een verwerkingsregister bij te houden: - Ter vervanging van de aangifteplicht verwerking persoonsgegevens - Met als doel: Aan te tonen dat voldaan wordt aan de AVG (compliance) Als achtergrondinformatie bij het behandelen van datalekken Inschatting te maken of een risicoanalyse van toepassing is (bv. bij de verwerking van gevoelige persoonsgegevens) To do: Omgang met nog onbekende parameter: de lidstatelijke invulling omtrent wetenschappelijk onderzoek, archivering en statistische doeleinden (AVG art. 89)
6
Register van verwerkingsactiviteiten
Het register omvat: Minimaal bij te houden informatie cf. art. 30 AVG, ingeval verwerkingsverantwoordelijk: Welke organisaties zijn betrokken bij de verwerking? Van welke personen worden welke type gegevens verwerkt? Welke zijn de doeleinden van de verwerking? Met wie worden de gegevens gedeeld? Hoe worden de gegevens beveiligd en wat is de bewaartermijn?
7
Aanpak KU Leuven - Register
1 centraal register Hierin opgenomen de verwerkingen van persoonsgegevens: (1) waarvoor de KU Leuven (en/of partners) verantwoordelijk is (verwerkingsverantwoordelijke) (2) die de KU Leuven doet voor een andere organisatie (verwerker) Opm: ook informatie over andere organisaties die verwerkingen uitvoeren voor de KU Leuven (derde verwerker) Locatie: groupware.kuleuven.be/sites/informatieveiligheidregister/ Toegang voorbehouden aan privacyteam + lokale aanspreekpunten (lezen)
8
Aanpak KU Leuven - Administratie
Register aangelegd centrale diensten en systemen geaggregeerde aanpak samen met aanspreekpunten van faculteiten en departementen aanvullen Facultaire aanvullingen - PPW piloot waar gaan lokale verwerkingen verder (doeleinde)? waar bieden lokale verwerkingen niet dezelfde garanties (technisch/organisatorisch)? Attitude & design !
9
Aanpak KU Leuven - Onderzoek
Art. 89 AVG BE: Voorontwerp van Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens Verplichte betrokkenheid DPO nog te bevestigen KU Leuven aanpak Inbedden via ethisch advies Standaardomschrijvingen (“koepelaangifte”) “Informed consent” Kader volgt nog
10
www.kuleuven.be/privacy Eerstdaags lancering nieuwe site
“wat moet u weten” Intranet gedeelte 5 vragen die u zich moet stellen (= gedragscode) ICT-normenkader voor IT-aanbieders Procedure datalekken FAQ Internet gedeelte Privacy policy Rechten van betrokkene Formulier
12
Non-issues Generieke verwerkingen
Respecteer ICT-normen en verantwoordelijkheid Wettelijke grondslagen Respecteer de doeleinden Geanonimiseerde/gecodeerde data Maar opletten met codes en met contracten (voorrang) Geëncrypteerde data Meer dan een paswoord… Redelijke effort Geen persoonsgegevens verwijderen uit veilig bewaarde backups etc.
13
Tips voor PPW (1/3) Lokaliseer en bescherm gevoelige persoonsgegevens
Psychisch, medisch, religieus, politiek, etnisch, seksuele geaardheid… Zorg voor een adequate bescherming en bewaring van codebestanden (niet noodzakelijk “the Vault”) Gebruik “voor uw gemak” het standaard ICT aanbod BitLocker (Windows)/FileVault (Mac) encryptie van de harde schijf Netwerkschijven of SharePoint met beperkte toegang Accounts voor externen, toegang via Ook voor Mac! dict/dictservicedesk/mac-osx-configuration Verbeteringen op komst: delen, encryptie, multi-factor…
14
Tips voor PPW (2/3) Consulteer onze PPW opslagwijzer
guidelines Volg de nieuwe ICT-normen voor “eigen” ICT oplossingen Volg de adviezen voor ZAP en diensthoofden voor het gebruik van cloud en persoonlijke opslagruimte cloud-storage-for-zap-and-heads-of-service
15
Tips voor PPW (3/3) Repatrieer niet-versleutelde, persoonlijk identificeerbare gegevens op Dropbox, Box, Google Drive, OneDrive Indien je de eigenaar bent en geen contract hebt met de service provider voor het naleven van de ICT-normen EU-projecten kunnen opslag op EU bodem eisen (<> Box) Gebruik onze checklist voor uit-dienst Controleer regelmatig de toegangsrechten PPGM tool voor databeheerders
16
Vragen
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.