Businessday okt 2016 - Cranium: GDPR

E u r o s y s B u s i n e s s D a y :P r i v a c y e n d e G D P R

www.cranium.be

P r i v a c y

Waar komt het recht op privacy vandaan?

• Europese, historische context

• Universele Verklaring van de Rechten van de

Mens uit 1948

• Europees Verdrag van de Rechten van de Mens

1950

• Evolueerde tot Verdrag 108 over omgaan

persoonsgegevens - Raad van Europa 1981

• Schengen – 1990

C R A N I U M A P P L I E D P R I V A C Y

Om dat recht op privacy te borgen is er veel wet- en regelgeving met betrekking tot de verwerking

van persoonsgegevens. Een greep uit het aanbod:

• Wet Rijksregister - 1983

• Wet Kruispuntbank Sociale Zekerheid – 1990

• Privacywet - 1992

• EU Richtlijn 95/46 - 1995

• BVR veiligheidsconsulent

• CAO 81

• Camera- en dronewetgeving

• …

P r i v a c y w e t g e v i n g

F B I v s A p p l e

“FBI asked us for something we simply do not have,

and something we consider too dangerous to create”

• Door een fout van de FBI was de phone gelocked

• FBI eistte backdoor tot iOS 9 en niet slechts de

iPhone

• Apple weigert, citeert privacy issues

• FBI betaalt +- 1 miljoen om de iPhone te laten

unlocken

• Informatie op de telefoon blijkt niets toe te voegen

• Andere toestellen waar wel informatie op stond


De toepassing van die wetgeving is niet evident:

• De algemene kennis over geldende wetgeving verwerking van persoonsgegevens is beperkt

• Het is daarom ook te makkelijk om er tegen te zondigen, al dan niet bewust

• Als particulier je rechten uitoefenen, vereist uitgebreide kennis

• Handhaving is nagenoeg niet bestaande

Voorbeelden:

P r i v a c y w e t g e v i n g i n d e p r a k t i j k


Eindresultaat van 1,5 jaar brieven

schrijven, bellen, opvolgen,

uitzoeken:


T i j d v o o r n i e u w e w e t g e v i n g !


Privacywetgeving heeft impact op iedere organisatie. Iedere organisatie heeft immers wel

persoonsgegevens, (HR gegevens iemand?), en is zodoende verwerkingsverantwoordelijke.

Waarom mag je die als organisatie verwerken:

• Wettelijke verplichtingen (b.v. Dimona aangifte)

• Contractuele verplichtingen met medewerkers

• Met toestemming van medewerkers

• Gerechtvaardigd belang van organisatie

P e r s o o n s g e g e v e n s z i t t e n o v e r a l


Persoonsgegevens: alle informatie over een gei dentificeerde of direct dan wel indirect te identificeren natuurlijke

persoon, b.v. door een identificator zoals een naam, een identificatienummer, locatiegegevens, een online

identificator, …

Verwerken: een bewerking met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde

procedes, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,

raadplegen, gebruiken

Controller: verwerkingsverantwoordelijke, bepaalt het doel en de middelen van de verwerking

Processor: verwerker, derde partij die in opdracht van de controller persoonsgegevens verwerkt

P r i v a c y w e t : e s s e n t i e l e d e f i n i t i e s

P r i v a c y P r i n c i p e s

Fundamentale principes voor verwerking

• Rechtmatigheid, behoorlijkheid, transparantie

• Doelbinding

• Minimale gegevensverwerking

• Juistheid

• Opslagbeperking

• Integriteit & vertrouwelijkheid

• Verantwoordingsplicht


Rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens worden verwerkt op een wijze die ten aanzien

van de betrokkene rechtmatig, behoorlijk en transparant is

Doelbinding: persoonsgegeven worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde

doeleinden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt

Data minimalisatie: persoonsgegevens die verzameld worden van de betrokkene zijn proportioneel en relevant

voor het omschreven doeleinde

Juistheid: persoonsgegevens moeten juist en actueel zijn, alle redelijke maatregelen worden genomen om te

zorgen dat onjuiste gegevens onverwijld worden gewist of gerectificeerd

P r i v a c y w e t g e v i n g : F u n d a m e n t e l e P r i n c i p e s

99%

?


Opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doeleinde

waarvoor ze zijn verzameld.

Integriteit & confidentialiteit: gepaste technische en organisatorische maatreegelen die er voor zorgen dat

persoonsgegvens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, vernietiging, verlies of

beschadiging.

Verantwoordingsplicht: de verwerkingsverantwoordelijke en de verwerker zijn verantwoordelijk voor het naleven

van de fundamentele principes van de verwerking van persoonsgegevens, en kunnen dit aantonen.

P r i v a c y w e t g e v i n g : F u n d a m e n t e l e P r i n c i p e s

T o e p a s s i n g n i e t e e n v o u d i g

Ook grote, bekende organisaties worstelen met de

juiste toepassing!

Voorbeeld: verzekeraars zondigen tegen fundamentele

basisprincipes:

• Rechtmatigheid, transparantie

• Doelbinding

• Minimale gegevensverwerking

• Vertrouwelijkheid medische gegevens

Maar ongetwijfeld stond ergens: “we respecteren de

privacywet van 1992, ….”

V o o r d e l e n ?

“What has the GDPR ever done for us?”

• Ethisch ondernemen

• Aandacht voor veiligheid en vast

aanspreekpunt in de DPO

• Differentiator van concurrenten

• Aandacht voor privacy: DAT is de klant

centraal

• Data kwaliteit

C R A N I U M A P P L I E D P R I V A C Y C O N F I D E N T I A L

G D P R V e r p l i c h t i n g e n

Controller en Verwerker

• Algemene verplichtingen

zoals beveiliging

• Privacy by design & default

• Data security

• DPIA en voorafgaande

raadpleging

• DPO / Veiligheidsconsulent

• Gedragscodes

Rechten van Betrokkene

• Toestemming

• Transparantie

• Informatie en toegang tot

gegevens

• Rectificatie, beperking en

verwijdering

• Verzetten tegen

verwerking en

geautomatiseerde profiling

Verwerkingsprincipes

• Rechtmatigheid,

behoorlijkheid, transparantie

• Doelbinding

• Minimale

gegevensverwerking

• Juistheid

• Opslagbeperking

• Integriteit &

vertrouwelijkheid

• Verantwoordingsplicht

1 3 S t a p p e n N a a r C o m p l i a n c e

1. Bewustmaking

2. Dataregister

3. Communicatie

4. Rechten van de betrokkene

5. Verzoek tot toegang

6. Wettelijke grondslag voor het verwerken van

persoonsgegevens

7. Toestemming

https://www.privacycommission.be

https://privacycommission.be/

1 3 S t a p p e n N a a r C o m p l i a n c e

8. Kinderen

9. Datalekken

10. Privacy by design & privacy by default

11. Data Protection Officer

12. Internationaal

13. Verwerkers & andere contracten

https://www.privacycommission.be

https://privacycommission.be/


Begin aan je eigen privacy programma, op eigen tempo, en met management buy-in

Maak een plan met realistische doelstellingen (1,5 jaar is sneller voorbij dan je denkt)

% van mensen die aangeven organisaties te ontwijken die niet goed omgaan met privacy (TRUSTe 2016)

Maak er een Unique Selling Point van!

Begin met inventariseren van alle (persoons)gegevens in alle afdelingen

Laat die inventaris evolueren: doeleinde, toestemming, proportionaliteit, bewaartermijn, etc.

Herbekijk de wijze waarop je toestemming verkrijgt: hoe wordt die gegeven en hoe is dit vastgelegd?

Zie het niet enkel als compliance voorwaarde, maar een service naar de klanten

Evalueer en, waar nodig, audit verwerkers en andere dienstverleners

Contractuele voorwaarden, audits, certificaten, GDPR compliance

F i n a l T h o u g h t s

89%

Bedankt!

Vragen over privacy, GDPR of informatieveiligheid?

Bart van Buitenen, Business Unit Director Cranium

[email protected]

Businessday okt 2016 - Cranium: GDPR

Law

Transcript of Businessday okt 2016 - Cranium: GDPR