Post on 20-Jan-2017
E u r o s y s B u s i n e s s D a y :P r i v a c y e n d e G D P R
www.cranium.be
P r i v a c y
Waar komt het recht op privacy vandaan?
• Europese, historische context
• Universele Verklaring van de Rechten van de
Mens uit 1948
• Europees Verdrag van de Rechten van de Mens
1950
• Evolueerde tot Verdrag 108 over omgaan
persoonsgegevens - Raad van Europa 1981
• Schengen – 1990
C R A N I U M A P P L I E D P R I V A C Y
Om dat recht op privacy te borgen is er veel wet- en regelgeving met betrekking tot de verwerking
van persoonsgegevens. Een greep uit het aanbod:
• Wet Rijksregister - 1983
• Wet Kruispuntbank Sociale Zekerheid – 1990
• Privacywet - 1992
• EU Richtlijn 95/46 - 1995
• BVR veiligheidsconsulent
• CAO 81
• Camera- en dronewetgeving
• …
P r i v a c y w e t g e v i n g
F B I v s A p p l e
“FBI asked us for something we simply do not have,
and something we consider too dangerous to create”
• Door een fout van de FBI was de phone gelocked
• FBI eistte backdoor tot iOS 9 en niet slechts de
iPhone
• Apple weigert, citeert privacy issues
• FBI betaalt +- 1 miljoen om de iPhone te laten
unlocken
• Informatie op de telefoon blijkt niets toe te voegen
• Andere toestellen waar wel informatie op stond
C R A N I U M A P P L I E D P R I V A C Y
De toepassing van die wetgeving is niet evident:
• De algemene kennis over geldende wetgeving verwerking van persoonsgegevens is beperkt
• Het is daarom ook te makkelijk om er tegen te zondigen, al dan niet bewust
• Als particulier je rechten uitoefenen, vereist uitgebreide kennis
• Handhaving is nagenoeg niet bestaande
Voorbeelden:
P r i v a c y w e t g e v i n g i n d e p r a k t i j k
C R A N I U M A P P L I E D P R I V A C Y
Eindresultaat van 1,5 jaar brieven
schrijven, bellen, opvolgen,
uitzoeken:
C R A N I U M A P P L I E D P R I V A C Y
C R A N I U M A P P L I E D P R I V A C Y
C R A N I U M A P P L I E D P R I V A C Y
C R A N I U M A P P L I E D P R I V A C Y
T i j d v o o r n i e u w e w e t g e v i n g !
C R A N I U M A P P L I E D P R I V A C Y
Privacywetgeving heeft impact op iedere organisatie. Iedere organisatie heeft immers wel
persoonsgegevens, (HR gegevens iemand?), en is zodoende verwerkingsverantwoordelijke.
Waarom mag je die als organisatie verwerken:
• Wettelijke verplichtingen (b.v. Dimona aangifte)
• Contractuele verplichtingen met medewerkers
• Met toestemming van medewerkers
• Gerechtvaardigd belang van organisatie
P e r s o o n s g e g e v e n s z i t t e n o v e r a l
C R A N I U M A P P L I E D P R I V A C Y
Persoonsgegevens: alle informatie over een gei dentificeerde of direct dan wel indirect te identificeren natuurlijke
persoon, b.v. door een identificator zoals een naam, een identificatienummer, locatiegegevens, een online
identificator, …
Verwerken: een bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde
procedes, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken
Controller: verwerkingsverantwoordelijke, bepaalt het doel en de middelen van de verwerking
Processor: verwerker, derde partij die in opdracht van de controller persoonsgegevens verwerkt
P r i v a c y w e t : e s s e n t i e l e d e f i n i t i e s
P r i v a c y P r i n c i p e s
Fundamentale principes voor verwerking
• Rechtmatigheid, behoorlijkheid, transparantie
• Doelbinding
• Minimale gegevensverwerking
• Juistheid
• Opslagbeperking
• Integriteit & vertrouwelijkheid
• Verantwoordingsplicht
C R A N I U M A P P L I E D P R I V A C Y
Rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens worden verwerkt op een wijze die ten aanzien
van de betrokkene rechtmatig, behoorlijk en transparant is
Doelbinding: persoonsgegeven worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt
Data minimalisatie: persoonsgegevens die verzameld worden van de betrokkene zijn proportioneel en relevant
voor het omschreven doeleinde
Juistheid: persoonsgegevens moeten juist en actueel zijn, alle redelijke maatregelen worden genomen om te
zorgen dat onjuiste gegevens onverwijld worden gewist of gerectificeerd
P r i v a c y w e t g e v i n g : F u n d a m e n t e l e P r i n c i p e s
99%
?
C R A N I U M A P P L I E D P R I V A C Y
Opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doeleinde
waarvoor ze zijn verzameld.
Integriteit & confidentialiteit: gepaste technische en organisatorische maatreegelen die er voor zorgen dat
persoonsgegvens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, vernietiging, verlies of
beschadiging.
Verantwoordingsplicht: de verwerkingsverantwoordelijke en de verwerker zijn verantwoordelijk voor het naleven
van de fundamentele principes van de verwerking van persoonsgegevens, en kunnen dit aantonen.
P r i v a c y w e t g e v i n g : F u n d a m e n t e l e P r i n c i p e s
T o e p a s s i n g n i e t e e n v o u d i g
Ook grote, bekende organisaties worstelen met de
juiste toepassing!
Voorbeeld: verzekeraars zondigen tegen fundamentele
basisprincipes:
• Rechtmatigheid, transparantie
• Doelbinding
• Minimale gegevensverwerking
• Vertrouwelijkheid medische gegevens
Maar ongetwijfeld stond ergens: “we respecteren de
privacywet van 1992, ….”
V o o r d e l e n ?
“What has the GDPR ever done for us?”
• Ethisch ondernemen
• Aandacht voor veiligheid en vast
aanspreekpunt in de DPO
• Differentiator van concurrenten
• Aandacht voor privacy: DAT is de klant
centraal
• Data kwaliteit
C R A N I U M A P P L I E D P R I V A C Y C O N F I D E N T I A L
G D P R V e r p l i c h t i n g e n
Controller en Verwerker
• Algemene verplichtingen
zoals beveiliging
• Privacy by design & default
• Data security
• DPIA en voorafgaande
raadpleging
• DPO / Veiligheidsconsulent
• Gedragscodes
Rechten van Betrokkene
• Toestemming
• Transparantie
• Informatie en toegang tot
gegevens
• Rectificatie, beperking en
verwijdering
• Verzetten tegen
verwerking en
geautomatiseerde profiling
Verwerkingsprincipes
• Rechtmatigheid,
behoorlijkheid, transparantie
• Doelbinding
• Minimale
gegevensverwerking
• Juistheid
• Opslagbeperking
• Integriteit &
vertrouwelijkheid
• Verantwoordingsplicht
1 3 S t a p p e n N a a r C o m p l i a n c e
1. Bewustmaking
2. Dataregister
3. Communicatie
4. Rechten van de betrokkene
5. Verzoek tot toegang
6. Wettelijke grondslag voor het verwerken van
persoonsgegevens
7. Toestemming
https://www.privacycommission.be
1 3 S t a p p e n N a a r C o m p l i a n c e
8. Kinderen
9. Datalekken
10. Privacy by design & privacy by default
11. Data Protection Officer
12. Internationaal
13. Verwerkers & andere contracten
https://www.privacycommission.be
C R A N I U M A P P L I E D P R I V A C Y
Begin aan je eigen privacy programma, op eigen tempo, en met management buy-in
Maak een plan met realistische doelstellingen (1,5 jaar is sneller voorbij dan je denkt)
% van mensen die aangeven organisaties te ontwijken die niet goed omgaan met privacy (TRUSTe 2016)
Maak er een Unique Selling Point van!
Begin met inventariseren van alle (persoons)gegevens in alle afdelingen
Laat die inventaris evolueren: doeleinde, toestemming, proportionaliteit, bewaartermijn, etc.
Herbekijk de wijze waarop je toestemming verkrijgt: hoe wordt die gegeven en hoe is dit vastgelegd?
Zie het niet enkel als compliance voorwaarde, maar een service naar de klanten
Evalueer en, waar nodig, audit verwerkers en andere dienstverleners
Contractuele voorwaarden, audits, certificaten, GDPR compliance
F i n a l T h o u g h t s
89%
Bedankt!
Vragen over privacy, GDPR of informatieveiligheid?
Bart van Buitenen, Business Unit Director Cranium
bart@cranium.be