8/09/2017 Jean-Pierre Bernaerts Partner DPOffice 1 · 2019-10-29 · 8/09/2017 Jean-Pierre...

© DjeePeeBee bvba

18/09/2017 Jean-Pierre Bernaerts – Partner DPOffice

© DjeePeeBee bvba

Agenda

• Inleiding

• De Privacy Policy

• De rechten van de betrokkenen• Praktische aanpak

• Voorbeeld van een mogelijke vraag vanwege een betrokkene

8/09/2017 Jean-Pierre Bernaerts – Partner DPOffice 2

© DjeePeeBee bvba

Wie zijn wij ?


Kristel DiscartPartner DPOfficeMaster in Law – KUL 1988Certified DPO (Solvay BS)[email protected]

Jean-Pierre BernaertsPartner DPOfficeData Protection & Privacy [email protected]

https://www.dpoffice.be

© DjeePeeBee bvba

De Privacy Policy

• Basis principes

• Checklist & Aanpak

• Een voorbeeld van hoe het niet meer kan

• Een voorbeeld van hoe het kan


© DjeePeeBee bvba

De Basis Principes

• De privacy Policy moet• Beknopt maar duidelijk & toegangkelijk zijn• Eerlijk• Transparant• Wettelijk

• Wanneer de policy wordt gebruikt voor meer dan alleen de verplichtingen van de GDPR, dan moet dit duidelijk onderscheiden zijn.

• Indien kinderen een doelgroep zijn, dient de privacy policy daarenboven in een door kinderen begrijpbare taal te zijn geschreven. (aparte policy ?)

• Beschikbaar en gealigneerd in de verschillende talen waarin business wordt gedaan


© DjeePeeBee bvba

Checklist & Aanpak (1)

• Wat zijn o.m. de voordelen van een goede Privacy Policy ?• Voldoet aan een wettelijke verplichting• Bezoekers van de website zijn automatisch onderworpen aan de regels die zijn uiteengezet. Regels die je binnen de

grenzen van de wet zelf hebt bepaald.• Duidelijkheid en transparantie creëert vertrouwen• Je kan bij de verzameling van gegevens de informatie beperken door een link te voorzien naar de privacy policy.• Wanneer er iets wijzigt, hoef je dat maar op één plaats te doen.

• Beslissing van wat moet worden opgenomen op basis van• Welke persoonlijke informatie wordt verwerkt• Welke verwerkingen worden uitgevoerd of zijn gepland te worden uitgevoerd

• Basis informatie• De identiteit en de contactdetails van de controller• Indien van toepassing de contactgegevens van de DPO


© DjeePeeBee bvba


• Informatie die verplicht moet worden meegedeeld voor elke verzameling van persoonlijke gegevens• De persoonlijke gegevens die verwerkt worden en het type van gegevens (inclusief sensitieve gegevens)• Het doel van de verwerking• De wettelijke basis voor de verwerking• De ontvangers of de categoriën van ontvangers van de persoonlijke gegevens• Indien er een transfer is naar derde landen buiten EU/EEA of gelijkgestelden• Bijkomend

• De retentieperiode• De rechten van de betrokkene met inbegrip van het recht om de toestemming te kunnen intrekken en het kunnen

neerleggen van een klacht bij de DPA• Wanneer de persoonlijke data voor een bijkomend doel kunnen worden ingezet, dan moet dit ook bekend gemaakt

worden

• Ingeval de gegevens gebruikt worden voor geautomatiseerde beslissingen inclusief profiling• Duidelijke vermelding dat dit het geval is• Duidelijk inzicht verschaffen in de logica en de mogelijk gevolgen van de geautomatiseerde beslissingen


© DjeePeeBee bvba


• Ingeval er noodzaak is aan toestemming• Breng dit duidelijk en zichtbaar• Vraag een duidelijke positieve opt-in• Zorg voor volledige, zonder onnodige, informatie zodat de betrokkenen een geïnformeerder keuze kunnen maken• Vermeld elk doel, elke verwerking die je met deze gegevens doet of denkt te doen. Vergeet hierbij niet de basisprincipes.• En voorzie voor direct marketing steeds een aparte tick-box. Probeer dit niet binnen een andere context mee te nemen.

• Wees nog vollediger indien• Er sensitieve gegevens worden verzameld/verwerkt• Het niet verstrekken van deze persoonlijke gegevens een significante impact kan hebben op de betrokkene• De persoonlijke gegevens met derden worden gedeeld op een wijze die de betrokkene niet zou verwachten.

• Optionele maar aan te raden te verstrekken informatie• De consequentie van het niet verstrekken van de persoonlijke gegevens• Welke zijn de organisatorische en technische middelen die gebruikt worden om de persoonlijke gegevens te beschermen

(grote lijnen)• Voor wat zullen de persoonlijke gegevens niet worden gebruikt


© DjeePeeBee bvba


• Visueel & beheer• Structuur

• Gebruik indien mogelijk een layered privacy policy• Werk met een inhoudstafel bovenaan met linken naar de desbetreffende hoofdstukken

• Maak het de lezer makkelijk, de policy aantrekkelijk en beheersbaar• Basis teksten die (haast) nooit wijzigen • Links naar andere pagina’s of visuals die regelmatiger wijzigen of via meerdere kanalen toegangkelijk zijn

• Probeer te werken met meer dan alleen geschreven tekst• Icoontjes en symbolen• Dashboards en/of andere visuele overzichten

• Een structurele aanpak is noodzakelijk en dient in lijn te zijn met het GDPR implementatie project.

• Opmaken/gebruik van de inventaris• Beslissing van wat moet worden opgenomen op basis van

• Welke persoonlijke informatie wordt verwerkt• Welke verwerkingen worden uitgevoerd of zijn gepland te worden uitgevoerd


© DjeePeeBee bvba

Een (klein) voorbeeld van hoe het niet meer kan


(1)

Essen-tieel ?

Motiva-tie ?

Artikel 14 !Veel meer

info nodig !

Toestemming nodig

Geen beschrijving van de wettelijke basisGeen opt-ins van de betrokkeneGeen retentieperiodesGeen referenties naar de geldende wetgevingGeen informatie over profilering of algemene geautomatiseerde beslissingnamesGeen duidelijke omschrijving van wat ‘derden’ zijn

Toestemming nodig

mogelijke tegenspraak

met (1)

Onvoldoende informatie

Wat zijn

derden

© DjeePeeBee bvba

Voorbeelden van hoe het wel kan


© DjeePeeBee bvba

Agenda

• Het nagaan van de bestaande situatie

• Hoe komen we tot de gewenste situatie ?

• Een voorbeeld van een mogelijke vraag van een betrokkene om van zijn rechten gebruik te maken


© DjeePeeBee bvba

De Aanpak (1)

• Structurele aanpak is nodig met een verantwoordelijke/coordinator• Verschillende afdelingen : HR, IT (Dev/Infra), Operaties, Finance, Sales, Marketing, Legal

• Vanuit alle afdelingen moeten medewerkers tijd vrijmaken om dit sub-project tot een goed einde te brengen

• Eén medewerker dient de coördinatie op zich te nemen en dient binnen het totale GDPR project zijn/haar plaats te krijgen.

• Het resultaat van de oefening en de daarmee verbonden adviezen dienen aan het management te worden voorgelegd zodat door hen een gemotiveerde beslissing kan worden genomen.

• Positionering• De analyze van de rechten van de betrokkenen staat niet op zichzelf maar is een onderdeel van de

GDPR implementatie• Bespreek de reeds uitgevoerde of aan de gang zijnde activiteiten. Doe geen twee keer hetzelfde

werk.


© DjeePeeBee bvba

De Aanpak (2)

• Een mogelijke, gestructureerde aanpak• UITGANGSPUNTEN

• Waarom doen we dit en wat willen we bereiken• Willen we zoveel mogelijk automatiseren ?• Welke prioriteiten leggen we ? Alle rechten of bepaalde rechten eerst ?

• INVENTARIS• Inventaris van de bestaande documenten, policies, contracten, procedures,…• Hergebruik/definiëer de persoonlijke gegevens die gebruikt (zullen) worden• In kaart brengen van de bestaande processen voor geautomatiseerde invulling

• PRINCIPES VERWERKING PERSOONLIJKE DATA & WETTELIJKE GRONDEN• Assess de resultaten van de eerste stap aan de hand van de principes en de wettelijke gronden

• GAP-ANALYSE• Verwerk de verschillen tussen de bestaande en gewenste situatie• Definiëer een budget, een timing en adviseer (indien nodig) prioriteiten• Presenteer de GAP-Analyze aan het management en geef hen alle informatie om te kunnen beslissen


© DjeePeeBee bvba

De Aanpak (3)

• DE UITVOERING• Manueel, geautomatiseerd of beide

• Zware dobber voor de IT-afdeling • Kan een zware impact hebben op hun bestaande planning (en budget)

• Aligneren en uitvoeren van de GAP-Analyse resultaten en de gedefinieerde prioriteiten

• Betrek de DPO (indien van toepassing) of de Data Protection verantwoordelijke bij de uitvoering.

• Niet alle rechten zullen volledig uitgevoerd kunnen worden• Mitigerende (tijdelijke ?) maatregelen moeten worden gedefinieerd en uitgevoerd• Bv. Legacy computersystemen kunnen het ‘recht om vergeten te worden’ niet steeds

waar maken


© DjeePeeBee bvba

Voorbeeld van afstemming binnen het totale project

• De retentieperiode & gegevens minimalisatie• De complexiteit van het uitvoeren van het

• ‘recht op informatie’• ‘recht vergeten te worden’

kan o.m. gereduceerd worden • door het process van gegevensminimalisatie zeer grondig uit te voeren : hoe minder

gegevens, hoe minder er moeten opgeleverd of verwijderd worden• door de retentieperiodes van gegevens zoals bv. e-mail af te stemmen op de backup

strategie. (bv. Backups worden maximaal 1 jaar bijgehouden)


© DjeePeeBee bvba

Niet te vergeten

• Het recht op informatie zonder dat de betrokkene daar hoeft naar te vragen

• Privacy Policy• Nieuwsbrieven• Herinnering aan de rechten van de betrokkene

• De Data Breach Procedure• Binnen de rechten van de betrokkene ?• Geen zuivere IT procedure ! Gaat over de totale bedrijfsorganisatie.• Minstens informatie opvragen aan de Project Manager GDPR• Er is een verplichting om in bepaalde gevallen de betrokkenen in te lichten


© DjeePeeBee bvba


Voorbeeldbrief die van een ex-werknemer zou kunnen komen…Geachte directeur,

Mijn naam is Jan Janssens en tot einde mei 2018 was ik bij jullie aan de slag als administratief medewerker. Tot voor kort had ik ik me nooit zorgen gemaakt over de manier waarop er met mijn persoonlijke gegevens werd omgegaan. Echter met de informatie en awareness initiatieven die er vanuit verschillende hoeken op ons afkomen, ben ik toch geïnteresseerd geraakt op welke manier jullie met mijn persoonlijke gegevens omgaan.

Op de volgende bladzijde kan u mijn vraag in meer detail vinden.

Ik bijlage kan u de nodige documenten vinden die mijn identiteit bewijzen. Indien u toch meer informatie wenst, kan dit zonder meer via mijn e-mail adres [email protected]

Zoals ook in artikel 12 van de GDPR gespecifieerd, had ik graag binnen de maand antwoord gehad op mijn vragen. Indien dit niet het geval zou zijn, zal ik genoodzaakt zijn om klacht in te dienen bij de Belgische DPA (de vroegere Privacy Commissie).

Met vriendelijke groet,

Jan Janssens

• Gelieve te bevestigen of mijn persoonlijke gegevens al dan niet worden verwerkt. Indien dit zo is, gelieve me dan van de categorieën van persoonlijke gegevens die u van mij in bezit hebt in uw bestanden (papier en digitaal) en databases te willen informeren.

• Meer bepaald : welke gegevens, documenten, media files (niet exhaustief) hebt u van mij in uw applicaties, al dan niet in databases, inclusief e-mail, documenten binnen uw netwerk en file-servers, eventuele audio of andere media opgeslagen.

• Voor elke verwerking, in de breedste zin, dus ook opslag, had ik graag geweten op welke gronden, voor elk van de gegevens en verwerkingen, u zich heeft gebaseerd. Wanneer toestemming als grond wordt aangegeven, dan had ik graag het bewijs gezien dat ik, volgens de op dat ogenblik van kracht zijnde wetgeving, toestemming heb gegeven.

• Gelieve me een volledige lijst te bezorgen van alle derden met wie u mijn gegevens hebt gedeeld. Dit dient een volledige lijst te zijn onafhankelijk van het doel, dat wel dient vermeld te worden voor elke derde en verwerking. Indien u niet met meer met zekerheid kan identificeren welke deze derde partijen exact zijn, gelieve me dan een lijst te bezorgen van alle partijen die mogelijk mijn persoonlijke data kunnen hebben ontvangen.

• Kan u me verder ook informeren over de verschillende beveiligingsmaatregelen die u hebt genomen om ervoor te zorgen dat mijn persoonlijke gegevens niet door onbevoegden kunnen worden gelezen of kunnen worden misbruikt in het algemeen.

8/09/2017 Jean-Pierre Bernaerts Partner DPOffice 1 · 2019-10-29 · 8/09/2017 Jean-Pierre...

Documents

Transcript of 8/09/2017 Jean-Pierre Bernaerts Partner DPOffice 1 · 2019-10-29 · 8/09/2017 Jean-Pierre...