Voka Big Refresh - Maandag 4 februari 2019

GDPR voorbij de heisa – waar moet ik als

ondernemer nu echt rekening mee houden?

Gepresenteerd door: Justine Simal

Legal Counsel – DPO

justine.simal@ifori.be

Blog: www.gdprexpert.be

3

I. Let me refresh your memory: wat is GDPR?

Waarom was de invoering noodzakelijk?

Wanneer is GDPR van toepassing?

II. Wat zijn persoonsgegevens?

III. Wat is het belang van (de bescherming van)

persoonsgegevens?

IV. Principes van gegevensbescherming

V. Rechtmatigheid verwerking

VI. Verplichtingen van de organisatie

VII.Wat kan en moet ik zelf doen?

VIII. Aanpak

IX. Uitdagingen bij audit en implementatie

Inhoud

I. Let me refresh your memory:

Wat is GDPR? Waarom was de invoering noodzakelijk?

Wanneer is GDPR van toepassing?

5© 2018 IFORI – All rights reserved

Fundamentele rechten

Recht op gegevensbescherming, vervat in het Handvest van de grondrechten van

de Europese Unie, artikel 8, lid 1

"Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens."

Recht op Privacy, vervat in de Universele Verklaring v/d Rechten v/d Mens, art. 12

"Niemand zal het voorwerp zijn van willekeurige inmengingen in zijn privaat

leven, zijn familie, zijn woning, of zijn briefwisseling, noch van een aanslag op zijn eer en zijn faam. Eenieder heeft recht op de

bescherming van de wet tegen dergelijke inmengingen of aanslagen."

6© 2018 IFORI – All rights reserved

Waarom GDPR?

Bescherming privacy en persoonsgegevens ≠ nieuw

→ Richtlijn 95/46/EG uit 1995 is tot stand gekomen om nationale wetgevingen te harmoniseren en vrij verkeer van persoonsgegevens binnen de EU te waarborgen.

7© 2018 IFORI – All rights reserved

8© 2018 IFORI – All rights reserved

Maar:

– nog steeds verschillen tussen landen wat betreft implementatie en

toepassing;

– samenwerking beperkt tussen nationale autoriteiten voor

gegevensbescherming;

– technologie en maatschappij zijn aanzienlijk veranderd in de

afgelopen +20 jaar;

– de rechten van de betrokkenen moesten worden versterkt.

Daarom: GDPR

9© 2018 IFORI – All rights reserved

Enkele cijfers

Sinds 25 mei 2018:

- Meer dan 95 000 klachten van Europese

burgers

- Recordboete van 50 miljoen euro voor

Google wegens onvoldoende informeren

van betrokkenen

- 317 meldingen van datalekken bij de

Belgische Gegevensbeschermings-

autoriteit (GBA) (in heel 2017: 13)

- 3599 informatievragen gericht aan GBA

(in heel 2017: 2145)

10© 2018 IFORI – All rights reserved

In Nederland werden er in

2018 maar liefst 20 881

datalekken gemeld

11© 2018 IFORI – All rights reserved

12© 2018 IFORI – All rights reserved

13© 2018 IFORI – All rights reserved

1. Het volledig of gedeeltelijk verwerken van persoonsgegevens langs

geautomatiseerde weg;

2. Het handmatig verwerken van persoonsgegevens als deze deel uitmaken van

een opslagsysteem of als het de bedoeling is dat deze gegevens deel gaan

uitmaken van een opslagsysteem.

• Uitzondering: zuiver persoonlijke of huishoudelijke activiteit.

Wanneer is de GDPR van toepassing op de verwerking van persoonsgegevens?

14© 2018 IFORI – All rights reserved

Begrippenkader: Actoren in de GDPR

Persoonsgegevens

Bv.: naam,

geboortedatum, adres,

rijksregisternummer, …

Verwerkingsverant-

woordelijke of ‘controller’

Bepaalt het doel en de

middelen van verwerking

Bv. Orthodontist

Om medische zorg te verlenen,

door gebruik van digitale

dossiers

Betrokkene Verwerker of

‘processor’

Afzonderlijke

rechtspersoon

verwerkt ten

behoeve van de

controller

Bv. Cloud-

opslagprovider van

dossiers

II. Wat zijn persoonsgegevens?

16© 2018 IFORI – All rights reserved

Persoonsgegevens zijn overal!

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.”

Bijvoorbeeld:

• Direct: rijksregisternummer, gsm-nummer, …

• Indirect: familienaam, geboortedatum, …

Persoonsgegevens

17© 2018 IFORI – All rights reserved

Gevoelige persoonsgegevens

Striktere regels voor bijzondere categorieën van persoonsgegevens:

Algemeen verbod op verwerking

‒ Ras of etnische origine

‒ Politieke opvattingen

‒ Religieuze of levensbeschouwelijke overtuiging

‒ Lidmaatschap vakbond

‒ Genetische en biometrische gegevens (uitsluitend voor

identificatiedoeleinden)

‒ Gezondheidsgegevens

‒ Seksueel gedrag of seksuele gerichtheid

18

Persoonsgegeven!

Directe unieke identificator

Rijksregisternummer

19

Persoonsgegevens!

Indirecte indentificator

Geolocatiegegevens

20

Geen persoonsgegeven!

Hebben geen betrekking op een

natuurlijk persoon

Financiële gegevens

organisatie

21

Persoonsgegeven!

Identificatie aan de hand van

kenmerken van de persoon

Werkcompetenties

medewerkers

22

Hangt ervan af!

In principe betrekking op een

voorwerp (huis)

Maar zegt ook iets over het

vermogen van een natuurlijk

persoon

Waarde huis

23

Hangt ervan af!

Aanwezigheden

Uitspraken

Notulen vergadering

24

Persoonsgegeven!

Opnames en afbeeldingen van

personen laten identificatie toe

(ook al gebeurt identificatie niet

steeds in de praktijk)

Video-opnames

25

Geen persoonsgegevens!

Anonieme gegevens laten geen

identificatie meer toe

Let wel! Anonimiseren is niet

eenvoudig!

Anonieme

Gegegevens

26

Bijzonder persoonsgegeven!

Erkenning handicap

27

Persoonsgegeven!

Alle mogelijke informatie

Het zegt bv. iets over de gemoedstoestand

van het kind.

Kindertekening

28

(Bijzonder) persoonsgegeven!

Alle informatie (ook foto’s)

Indirect identificeerbaar (voornaam +

bepaalde breuk/aandoening =

familie/vrienden kunnen dit weten)

Inclusief voornaam in medisch

tijdschrift

X-ray

Zijn mijn persoonsgegevens belangrijk?

III. Belang persoonsgegevens?

30

Hoeveel verdien jij?

Wie was jouw laatste bedpartner?

Waarover ging je laatste

doktersbezoek?

TED Talk Glenn Greenwald: Why

privacy matters

Ik heb niks te

verbergen! Dus wat

maakt het uit?

31

Persoonsgegevens zijn de core

business van vele bedrijven en

organisaties

Betrokkenen verwachten respect voor

hun privacy én hebben er recht op

Zware boetes voor de organisatie &

reputatieschade

Belang voor

organisatie?

Wat moet ik in het achterhoofd houden bij gegevensverwerking?

IV. Principes verwerking

33© 2018 IFORI – All rights reserved

Belangrijkste doelstelling

Het waarborgen van het recht van een persoon om zijn eigen beslissingen

te nemen wat betreft informatie die op hem betrekking heeft.

Beginselen van verwerking:

‒ Rechtmatigheid, behoorlijkheid

‒ Transparantie

‒ Doelbinding

‒ Minimale gegevensverwerking

‒ Juistheid

‒ Opslagbeperking

‒ Integriteit en vertrouwelijkheid

+ Verantwoordingsplicht

Verwerking van persoonsgegevens is pas rechtmatig indien je over een grondslag beschikt!

V. Rechtmatigheid verwerking

35© 2018 IFORI – All rights reserved

II. Rechtmatigheid

Er is een grond vereist om de gegevens te verwerken:

‒ Toestemming

‒ Noodzakelijk voor een contract

‒ Wettelijke verplichting

‒ Legitiem belang

36

– Vrijwillig gegeven, specifiek, geïnformeerd en

ondubbelzinnig

– Moet middels een verklaring of duidelijke

affirmatieve actie worden gegeven (opt-out is dus

NIET mogelijk)

– Bewijs van toestemming moet door de controller

kunnen worden voorgelegd

– Intrekbaar

– Afzonderlijk verkregen

– Kinderen: bij het aanbieden van diensten van de

informatiemaatschappij is verwerking alleen

wettelijk als het kind ten minste 16 jaar oud is

Jonger = toestemming nodig van de persoon die de

ouderlijke verantwoordelijkheid draagt

Toestemming

37

Noodzakelijk voor

een contract

38

Wettelijke

verplichting

39

― Nagestreefd door de

organisatie

― Evenwicht:

belangen/grondrechten en

vrijheden van betrokkene

Gerechtvaardigd

belang

VI. Verplichtingen organisatie

41

Uw contactgegevens

Voor elke verwerkingsactiviteit:

• doeleinden;

• categorieën van gegevenssubjecten en

persoonsgegevens;

• categorieën van ontvangers;

• overdrachten naar een ander land +

voorzorgsmaatregelen;

• bewaartermijn;

• beschrijving van

beveiligingsmaatregelen.

Artikel 30 AVG

VerwerkingsregisterWHO

Processing Activity Purposes Categories of Subjects Categories of PD SpecificSourc

eLegal Ground Retention Storage Measures Receivers

Outsid

e EEAMeasures

Identificatiegegevens

naam, voornaam,

leeftijd, docmilie

en verblijf

Uitvoering AO Onbeperkt Papier/AD

MB-

tool/Mailb

ox

Informatieveiligheids

beleid

AMNB N/A N/A

Opleiding en vorming

CV's, opleidingen,

certificering

(clarck),

vakbekwaamheid

Uitvoering AO Onbeperkt Papier/AD

MB-

tool/Volta

(federatie

Informatieveiligheids

beleid

ADMB N/A N/A

Interims/Vakantiejobber Identificatiegegevens

naam, contract,

adres,

rijksregisternumm

er,

Uitvoering AO Onbeperkt Mailbox/

contract

papier

Informatieveiligheids

beleid

Interimkantoor N/A N/A

Opleiding en

vorming/Beroep en

betrekking

CV Uitvoering AO Onbeperkt Mailbox Informatieveiligheids

beleid

N/A N/A N/A

Identificatiegegevensemail/naam Uitvoering AO Onbeperkt mailbox Informatieveiligheids

beleid

N/A N/A N/A

Maaltijdcheques Huidig personeel identificatiegegevensnaam,

rijksregisternumm

er

Uitvoering AO Onbeperkt Edenred Informatieveiligheids

beleid

Edenred N/A N/A

Werkplanning Huidig personeel Organisatie van het werkVerlof Uitvoering AO Onbeperkt ADMB Informatieveiligheids

beleid

N/A N/A N/A

Leveranciersadministratie Leveranciersbeheer Contacten bij leveranciers Identificatiegegevensnaam, email,

telefoon, adres

Uitvoering CT Onbeperkt CRM Informatieveiligheids

beleid

Cloud CRM N/A N/A

B2C: webshop identificatiegegevenszie webshop Uitvoering CT Onbeperkt CRM Informatieveiligheids

beleid

N/A N/A N/A

Werknemers identificatiegegevenszie webshop Uitvoering CT Onbeperkt Excel +

CRM

Informatieveiligheids

beleid

Microsoft

(Onedrive)

VS Model

Clauses

Invoicing identificatiesgegevensuser-id Uitvoering CT Onbeperkt EVA

Online

Informatieveiligheids

beleid

Boekhouder/Ev

a Online

N/A N/A

Boekhouding identificatiegevensnaam, email,

adres

Uitvoering CT Onbeperkt EVA

Online

Informatieveiligheids

beleid

Boekhouder/Ev

a Online

N/A N/A

Email marketing Klanten Identificatiegegevensemailadres Toestemming Onbeperkt CRM Informatieveiligheids

beleid

Mailchimp N/A N/A

Telemarketing contactgegevens identificatiegegevenstelefoonnummer Legitiem

Belang

Onbeperkt CRM Informatieveiligheids

beleid

Yello/Trendstop N/A N/A

Bezoekersadministratie BezoekersElektronische

identificatiegegevens

IP-adres Legitiem

Belang

Onbeperkt Cloud CRM Informatieveiligheids

beleid

Cloud CRM,

Google

Analytics

VS Model

Clauses/P

rivacy

Contactformulier Bezoekers contactgegevens

Naam, email,

vraag

Toestemming Onbeperkt Cloud CRM Informatieveiligheids

beleid

Cloud CRM N/A N/A

Camerabewaking Bewaking Bezokers Afbeeldingen

Video Toestemming

(sticker)

31 dagen On

premisse

server

Informatieveiligheids

beleid

N/A N/A N/A

HR

Marketing

Klantenbeheer

Website

Records of processing activities Company XYZTRANSFER

Boekhouding

WHERE

Klantenadministratie

WHY WHAT

Beheer van personeel

(Selectie/verwerving)Sollicitanten

Personeeladministratie

Huidig personeel/Oud

personeel/Leercontract

Klanten

42

WHO

Processing Activity Purposes Categories of Subjects Categories of PD SpecificSourc

eLegal Ground Retention Storage Measures Receivers

Outsid

e EEAMeasures

Identificatiegegevens

naam, voornaam,

leeftijd, docmilie

en verblijf

Uitvoering AO Onbeperkt Papier/AD

MB-

tool/Mailb

ox

Informatieveiligheids

beleid

AMNB N/A N/A

Opleiding en vorming

CV's, opleidingen,

certificering

(clarck),

vakbekwaamheid

Uitvoering AO Onbeperkt Papier/AD

MB-

tool/Volta

(federatie

Informatieveiligheids

beleid

ADMB N/A N/A

Interims/Vakantiejobber Identificatiegegevens

naam, contract,

adres,

rijksregisternumm

er,

Uitvoering AO Onbeperkt Mailbox/

contract

papier

Informatieveiligheids

beleid

Interimkantoor N/A N/A

Opleiding en

vorming/Beroep en

betrekking

CV Uitvoering AO Onbeperkt Mailbox Informatieveiligheids

beleid

N/A N/A N/A

Identificatiegegevensemail/naam Uitvoering AO Onbeperkt mailbox Informatieveiligheids

beleid

N/A N/A N/A

Maaltijdcheques Huidig personeel identificatiegegevensnaam,

rijksregisternumm

er

Uitvoering AO Onbeperkt Edenred Informatieveiligheids

beleid

Edenred N/A N/A

Werkplanning Huidig personeel Organisatie van het werkVerlof Uitvoering AO Onbeperkt ADMB Informatieveiligheids

beleid

N/A N/A N/A

Leveranciersadministratie Leveranciersbeheer Contacten bij leveranciers Identificatiegegevensnaam, email,

telefoon, adres

Uitvoering CT Onbeperkt CRM Informatieveiligheids

beleid

Cloud CRM N/A N/A

B2C: webshop identificatiegegevenszie webshop Uitvoering CT Onbeperkt CRM Informatieveiligheids

beleid

N/A N/A N/A

Werknemers identificatiegegevenszie webshop Uitvoering CT Onbeperkt Excel +

CRM

Informatieveiligheids

beleid

Microsoft

(Onedrive)

VS Model

Clauses

Invoicing identificatiesgegevensuser-id Uitvoering CT Onbeperkt EVA

Online

Informatieveiligheids

beleid

Boekhouder/Ev

a Online

N/A N/A

Boekhouding identificatiegevensnaam, email,

adres

Uitvoering CT Onbeperkt EVA

Online

Informatieveiligheids

beleid

Boekhouder/Ev

a Online

N/A N/A

Email marketing Klanten Identificatiegegevensemailadres Toestemming Onbeperkt CRM Informatieveiligheids

beleid

Mailchimp N/A N/A

Telemarketing contactgegevens identificatiegegevenstelefoonnummer Legitiem

Belang

Onbeperkt CRM Informatieveiligheids

beleid

Yello/Trendstop N/A N/A

Bezoekersadministratie BezoekersElektronische

identificatiegegevens

IP-adres Legitiem

Belang

Onbeperkt Cloud CRM Informatieveiligheids

beleid

Cloud CRM,

Google

Analytics

VS Model

Clauses/P

rivacy

Contactformulier Bezoekers contactgegevens

Naam, email,

vraag

Toestemming Onbeperkt Cloud CRM Informatieveiligheids

beleid

Cloud CRM N/A N/A

Camerabewaking Bewaking Bezokers Afbeeldingen

Video Toestemming

(sticker)

31 dagen On

premisse

server

Informatieveiligheids

beleid

N/A N/A N/A

HR

Marketing

Klantenbeheer

Website

Records of processing activities Company XYZTRANSFER

Boekhouding

WHERE

Klantenadministratie

WHY WHAT

Beheer van personeel

(Selectie/verwerving)Sollicitanten

Personeeladministratie

Huidig personeel/Oud

personeel/Leercontract

Klanten

43

a) Rechten betrokkenen

b) Informatieveiligheid

c) Gegevenslekken

VII. Wat kan en moet ik zelf doen?

45© 2018 IFORI – All rights reserved

a) Rechten van de betrokkenen

Transparantie

Inzage

Rectificatie

Gegevenswissing (recht om vergeten te worden)

Beperking

Overdraagbaarheid

Bezwaar

Niet onderworpen te worden aan automatische besluitvorming (profiling)

46

Meld dit zo snel mogelijk aan de

DPO/informatieveiligheidsconsulent

Geef niet zelf uitvoering aan de vraag

Verwijs naar privacyverklaring en/of

DPO/Informatieveiligheidsconsulent

a) Vraag uitoefening rechten?

47© 2018 IFORI – All rights reserved

Maandag 28

januari 2019

48

Informatiebeveiliging is de taak van

iedereen!

b) Hoe veilig werken met

(persoons)gegevens?

49© 2018 IFORI – All rights reserved

b) Veilig omgaan met (persoons)gegevens

• Bewust zijn dreigingen

• Phishing

• Slechte wachtwoordbeveiliging

• Patchen / bijwerken toestel

• Mobiele apparaten

• Te veel delen op sociale media

• Gegevens onbewaakt laten

• Ruimtelijke privacy

50

Dreigingen

Malware via websites

Verouderde software

Mobiele toestellen

Cybercrime, (D)DoS, phishing

Digitale spionage

Werknemers

Buitenlandse wetgeving

Verlies van data, BYOD

Stroomstoring

Verlies van kennis

Apps van derden

Identiteitsdiefstal

Hackers/Crackers/Scriptkiddies

51© 2018 IFORI – All rights reserved

C) Gegevenslekken

Een inbreuk op de beveiliging die per ongeluk of op een onrechtmatige

wijze leidt tot:

• Vernietiging

• Verlies

• Wijziging

• Ongeoorloofde verstrekking of toegang

van persoonsgegevens

52

Belang: Verplichte melding

bij de gegevensbeschermingsautoriteit

– Binnen 72 uur

– Specifieke informatie

– Documentatie

Aan de betrokkene

– Hoog risico voor rechten en

vrijheden

– Heldere en duidelijke taal

– Uitzonderingen

53

Meldt dit onmiddellijk aan de

DPO/Informatieveiligheidsconsulent

Probeer het niet te verbergen

Probeer indien mogelijk al het lek te

doen ophouden

c) Wat doen bij een lek?

54

- Structureel: audit, gap-analyse

en stappenplan. Weet waar je

staat.

- Geen oplapwerk: met als

uitgangspunt “we hebben een

privacyverklaring nodig voor op

de website” val je door de mand.

- Werk met een multidisciplinair

team van jurist(en) en IT’er(s).

- GDPR belangt elk aspect van

de bedrijfsvoering aan: duid

een verantwoordelijke aan

binnen elk team voor GDPR

gerelateerde zaken.

VIII. Aanpak

55

- Informatie en documentatie

vergaren en structureren

- Samenwerkingsmodel

conflictmodel

- Het is niet louter een kost maar

een opportuniteit

- Geen zoveelste regelneverij

maar een filosofie

IX. Uitdagingen bij audit

en implementatie

56

IFORI Referenties

Victor Braeckmanlaan 107

9040 Gent, Belgium

Tel: +32 9 230 36 62

Fax: +32 9 231 63 71

E-mail: info@ifori.be

IFORI BVBA

RPR: 472.073.759 (Gent)

BTW: BE 472.073.759

IBAN: BE14 0689 0654 8283

BIC: GKCCBEBB

Bedankt!

Nog vragen?

WWW.IFORI.BE

WWW.GDPREXPERT.BE

Presentatie online beschikbaar: www.gdprexpert.be/blog