ALGEMENE

VERORDENING

GEGEVENS-

BESCHERMING

DATA PROTECTION IN STUKKEN

@To

mm

yV

andepitte

OUDE WIJN…

VOOR 25 MEI 2018

• Richtlijn (vereist

implementatie)

• 34 artikelen

• 6 definities

• 72 consideransen

NA 25 MEI 2018

• Verordening (werkt

direct, maar 35

uitvoeringspunten)

• 99 artikelen

• 26 definities

• 173 consideransen

OVERZICHT

Controle

Data Subject

Verwerking persoonsgegevens

Data Controller

Data processor

Finaliteit Legitimiteit

Transparantie Organisatie

proportioneel

End-to-end

Sli

de

3

NIEUWTJES – VISUEEL

Controle

Data Subject

Verwerking persoonsgegevens

Data Controller

Data processor

Finaliteit Legitimiteit

Transparantie Organisatie

proportioneel

End-to-end

Sli

de

4

BELANGRIJKSTE NIEUWTJES

• Toepassingsgebied

• Ruimere territoriale werking

• Verwerker nu ook een geadresseerde

• Legitimiteit

• Toestemming strenger uitgewerkt

• Organisatie

• ”Accountability” op zijn Engels (omkering van de bewijslast), concreet

• Verwerkingsregister (en risicoregister)

• Privacy impact beoordelingen (“PIA”)

• Privacy by Design en Privacy by Default

• Data Protection Officer

• Erkenning van “koepel”-mechanismen: certificatie, gedragsregels, BCR,…

• Incidentenbeheer en -meldingen

• Rechten van het individu uitgebreid

• Handhaving

• Administratieve boetes geüniformiseerd

• Collectieve acties van individuen mogelijk

S&G: WAT VERANDERT NIET?

• S&G zijn gevat door de wetgeving

• Doeleinden van verwerking worden grotendeels bepaald doorwettelijke opdrachten (belangrijk: wat met de rest?)

• Legitimeit van verwerking wordt grotendeels bepaald doorwettelijke opdrachten (belangrijk: wat met de rest?)

• Transparantie wordt soms geacht te liggen in de wettelijke grondof de bijzondere machtiging (belangrijk: klopt dat wel? Willen weniet verder gaan?)

• Toegewezen (interne) verantwoordelijkheden zou algeïmplementeerd moeten zijn

• Technische beveiliging zou al opgezet moeten zijn

• Degelijke contracten met derden zouden al moeten bestaan

• Rechten van de individuen zou al grotendeels afgedekt moetenzijn

S&G: IMPACT

• S&G vallen eronder

• maar er is aanzienlijke impact van nationale en regionale

wetgeving waardoor onzekerheid bestaat

• waar beschouwt men de GDPR overheersend en waar

niet?

• vermoedelijk wordt systeem van sectorale comités herzien

/ afgeschaft

• vermoedelijk wordt systeem van CBPL v VTC herzien

• niemand durft zich wagen aan analyses van de

authentieke bronnen

S&G: WAT IS BELANGRIJK?

• Data register: er wordt gekeken of uniformisering en

schaalvoordeel op niveau VVSG kan worden gehaald

(vergadering 28 april 2017)

• PIA: poging om dat voor de grote toepassingen via VVSG af

te dwingen

• Privacy by Design: zou voor meeste toepassingen op

overkoepelend niveau bekeken moeten worden - VVSG

spreekt met belangrijkste leveranciers

• Rechtsgrond (niet altijd onder controle v handhaving)

• Lokale beslissingen: goed motiveren en duidelijk formuleren

• Hogere overheid: bij geven van input, aandringen op goede

motivering en duidelijke formulering

• Werken op grond buiten de wet? (debat over taken)

S&G: WAT IS BELANGRIJK?

• Transparantie (aligneren op niveau VVSG)

• Interne beveiliging optrekken heeft kosten/baten meer zin

(strengere sancties)

• NIET alleen maar IT !

• Opleiding, bewustmaking,…

• Relatie met leveranciers

• Oplijsten

• Risicogebaseerd benaderen (bij grotere via VVSG?)

• Data lekken melden (aan CBPL, naast KSZ en/of authentieke

bron)

• Veiligheidsconsulent >< DPO (theoretisch geen continuiteit)

VERWACHT OOK

ANDERE FACTOREN

• Groter bewustzijn van burger

• Platformen die uitoefening van rechten faciliteren én

trnasparantie daarrond creëren

• Samendenken met andere regels, zoals openbaarheid van

bestuur

CONCLUSIE

• Geen revolutie, maar wel belangrijke evolutie

• Focus blijven houden op implementering

• Documentatie wordt belangrijker

• Nood aan overkoepelende inspanning, om te vermijden dat

kost wordt herhaald op elk lokaal niveau

• Onzekerheid rond kader voor overheidsinstellingen, incl.

lokale besturen, waardoor opvolging nodig is

• Wel al concrete actie mogelijk, voornamelijk voorbereid zijn

en overzicht hebben (en houden)

BRONNEN

context: http://ec.europa.eu/justice/data-

protection/reform/index_en.htm

Verordening (EU) 2016/679

tekst: http://eur-lex.europa.eu/legal-

content/NL/TXT/?uri=CELEX:32016R0679

Website Belgische Privacycommissie

https://www.privacycommission.be/nl/node/19451