Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe europese privacyregels

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels

In deze presentatie

Basisprincipes van privacyrecht en inleiding tot de GDPROverzicht van de nieuwe verplichtingen uit de GDPRTechnische implicaties van de GDPRVerloop van een implementatietraject in GDPR complianceContactgegevens Sirius Legal IT/IP/Media team


Basisprincipes van privacyrecht en inleiding tot de GDPR


De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevensOp basis van Richtlijn 95/46/EG - Boek XII WER

Andere tijden…

Geen online marketingGeen “profiling”Geen “cookies”Geen “tracking”Geen “location based marketing”Geen “trigger based marketing”Geen e-commerceGeen social mediaMinder dan 1% van de EU-bevolking gebruikte internet in 1995…

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag

“Recht op privacy” >< verwerking van gegevens

Definitie van persoonsgegevens is zeer breed

Elk gegeven dat kan toelaten om een individu te identificeren

EHJ 2015: Ook IP adres

Ook browser history is persoonsgegevens, ook aankoopgedrag, voorkeuren, …

Plaatst verhaal big data in gevoelig daglicht


Straight and simple:

Voorafgaande “Opt-in” vereist voor elke verwerking (uitzonderingen)

“Vrije en geïnformeerde” Opt-in

Overdracht van gegevens aan een 3de? = bijkomende Opt-in

Cfr. Analytics tools, apps, cookies, database enrichment door mailings en acties, …: altijd opt-in vereist


Zowat alle info die we delen op social media zijn persoonsgegevens in de zin van de privacywetgeving

Let op, ook comments en meningen die achter gelaten worden in het kader van bvb Facebook wedstrijden, reacties op bedrijfspagina’s of product pages zijn in de meeste gevallen persoonsgegevens

Bovendien: auteursrecht (in sommige gevallen)


Rechten van de betrokkene

Recht om zich te verzetten tegen de verwerking van gegevensRecht op toegang en verbeteringRecht om zich te verzetten tegen toekomstige verwerkingRecht op informatie(via de privacy policy)


Recht van verzet

Recht is niet absoluutUitzondering verwerking voor artistieke en journalistieke doeleinden (vb. Online persarchieven, niet reclame)

Actiemogelijkheden

klacht PrivacycommissieStakingsprocedure (Voorz. Rb 1ste Aanleg Brussel, 9 oktober 2012)Procedure ten gronde (Rb 1ste Aanleg Neufchâteau, 25 januari 2013)aansprakelijkheid zoekmachine? (CJUE C - 131/12 Google Spanje / AEPD & Gonzalez)


Recht op toegang en verbetering

Max Schrems v. FacebookX v. het Waals Gewest (Cass. 14 februari 2013)Model klachtbrieven op www.privacycommission.be/nl


Plichten verwerken

InformerenOpt-in bekomenDatabase beveiligenAanmelden bij privacycommissieGeen doorgifte aan derden zonder aparte opt-inGeen export database buiten EU, tenzij onder strenge voorwaardenVerwijderen, verbeteren, toegang verschaffen, …


Boetes tot 500.000 euroDe grote vissen ontsnappen tot op heden al te vaakWeinig boetes, weinig controle


In praktijk bijzonder veel inbreuken

Data collection zonder opt-in (data crawling, cookies, uitwisseling derden, big data, …)Databases niet aangemeldDoorgifte aan derden zonder toestemmingNiet verwijderen data…


Aanleiding tot GDPR/AVGB

Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve ontwikkelingenFacebook en Twitter bestonden niet in 1995Internet of ThingsBig data & profiling op grote schaalTrigger based, location based, …Veelheid aan devices, opkomst van appsCloud toepassingenDronesPrivacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287 van eind mei 2016)

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018

Concrete aanleidingen

Location based / Server based principe is niet meer realistisch in Cloud omgeving en global economy28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28 interpretatiesBelemmert eengemaakte markt

Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig technische profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …

Forum shopping (alle grote internet service providers zitten in Ierland…)

Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)


DG Justice in handen van Viviane Reding vanaf 201025 januari 2012 GDPR/AVGB aangekondigdEerste ontwerptekst EP op 21 oktober 2013Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland)Zware lobby (cfr. “affaire Michel”)Impact van civil rights (via LIBE committee) grootAfgezwakt in laatste instantie door DM sectorAkkoord in Europese Raad op 15 juni 2015Vanaf dan tot eind 2015 3X overleg tussen EP, EC en RaadUiteindelijk akkoord in december 2015Goedgekeurd in april 2015Inwerkingtreding 1 mei 2018


Privacy

Voor alle diensten aangeboden in EU (ook gratis)Personal data = ook online identifiers, “pseudonymous data”Expliciete opt-in of “gerechtvaardigde redenen voor verwerking”Informatieplicht (icons)Recht om profiling te weigerenRight to be forgottenData breach plichten“Data protection by design”“Data protection officer” Instemming van ouders voor minderjarigenSancties: tot 4% van jaarlijkse omzet of 20 mio euro


In werking op 28 mei 2018Géén overgangsperiode

Privacycommissie zal (zeer hoge) boetes kunnen opleggen

Elk bedrijf dat data in handen heeft moet zich in regel stellen+ zal van zijn leveranciers, onderaannemers te… verwachten dat zij in regel zijn

Beursgenoteerde bedrijven, banken, financiële instellingen, gereguleerde sectoren nemen voortouw

GDPR compliance is onvermijdelijk

Bedrijven kunnen best GDPR compliance zien als asset ipv als risico of last…


GDPR compliance is onvermijdelijk voor elk bedrijf dat data verwerkt

De facto verwerkt ELK bedrijf beschermde persoonsgegevens:

HR afdeling houdt personeelsgegevensProcurement houdt data over leveranciersSales en marketing houden data over klanten en prospectsAccounting houden gegevens over alle lagen van bedrijf heen

Al deze data bevat potentieel beschermde persoonsgegevens, waardoor GDPR compliance verplicht wordt

+ GDPR compliance wordt vereiste voor wie data van derden verwerkt, gebruikt of aanstuurt (reclamebureaus, softwareleveranciers, webplatformen, …)


GDPR kadert in bredere aanpak vanuit EU voor ganse digitale maatschappij

NIS richtlijn, PNR richtlijn, …

Doel van EU in digitale omgeving = “Digital Single Market” (e-commerce en online diensten

Eén eengemaakte digitale markt doorheen ganse EUZonder hinderpalen voor consumenten en verkopersOp basis van duidelijke regels die gelijk zijn voor iedereen

Betere toegang tot online goederen en diensten voor consumentenMeer consumentenvertrouwen in (cross border) online aankopenLagere kosten voor cross border verkopen (lagere transactiekosten, lagere leveringskost)Wegnemen van discriminatie op basis van nationaliteit of verblijfplaats Uniforme regels in ganse EU in belang van consument én online verkoper

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje

Digital Single Market Pakket mei 2016

Mei 2015 “Roadmap” bekendgemaakt

Timing 2015 – 2016 eerste ontwerpen van richtlijn en verordeningAfgelopen jaar liep het wetgevend traject binnen instellingen: meeste ontwerpen zitten bij EP nu Definitieve teksten…? Bedoeling EC blijft om in 2018 DSM-vernieuwingen af te ronden

Zeer intensieve lobby en follow up bij EU (Sirius Legal als lid van Emota & Fedma)


Ontwerp Richtlijn aangaande contracten voor de levering van fysieke goederenOntwerp Richtlijn aangaande contracten voor de levering van digitale dienstenOntwerp Verordening aangaande Geoblocking en discriminatie obv verblijfplaats of nationaliteitOntwerp Verordening aangaande de samenwerking tussen nationale overheden bij het afdwingen van consumentenbeschermingOntwerp Verordening aangaande cross border pakketleveringsdienstenePrivacyverordeningVerordening BTW op levering van goederen via MOSSAanpassing aan TelecomregelgevingAanpassing Richtlijn Audiovisuele MediadienstenCreatie “Europese cloud” en initiatieven rond data ownership in EUVereenvoudiging BTW-regels (eind 2016)…


Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation

Aanvulling op GDPR met aantal materies die daar niet behandeld zijn, maar wel “privacy” raken

CookiesDirect marketingTelemarketingVertrouwelijkheid van e-mail communicatie

Eerste ontwerp begin 2017 bekend gemaaktNog relatief lange weg tot definitieve tekstEerst als richtlijn aangekondigd, nu uiteindelijk verordeningWeinig wijzigingen aan dit ontwerp te verwachten vooralsnog


Cookies

Gezond verstand lijkt te zullen zegevieren

Expliciete toestemming van eindgebruiker voor plaatsen cookies wordt/blijft principeBlijft ook gelden voor alle andere technieken, zoals fingerprintingGebruik van cookies vereist “duidelijke en specifieke reden”“Eindgebruiker” lijkt ook op B2B te slaan…

Toestemming moet NIET meer via pop up bannerEU beseft dat deze enkel tot frustratie leiden voor alle partijenToestemming kan louter via browser settings van gebruikerVereist uitbreiding mogelijkheden browser settingsPrivacy by default / privacy by design

Ontwerp voorziet (beperkte) uitzonderingen op vereiste toestemmingAls beperkte impact op privacy (sessiecookies of bvb analytics cookies)


Direct marketing

Weinig wijzigingen tav op heden in België geldende regels

Opt-in blijft principeUitzondering voor bestaande klanten blijft bestaan (mits voorafgaande informatie aan klant)Opt-out recht blijft verplicht en opt-out mogelijkheid onderaan mail blijft in voege

Direct marketing moet steeds als dusdanig herkenbaar zijn (is al zo onder WER)

Regels gelden ook voor politieke partijen en non-profitsector


Telemarketing

Versterking van de rechten van de consument

Consument krijgt recht om inkomende gesprekken van anonieme nummers Of van bepaalde nummers te blokkeren

Telemarketeers mogen geen anonieme nummers meer gebruiken en zullen vaste prefixen of nummerplannen moeten hanteren om herkenbaar te zijn

Regels komen bovenop bel-me-niet-meer in België


Timing en boetes

Bedoeling is inwerkingtreding samen met GDPRMaar dit is slechts eerste ontwerpTiming wordt moeilijk

Boetes gelijkaardig aan GDPRTot 20 mio euroOf 4% van wereldwijde jaaromzet

Van toepassing op iedereen die diensten aanbiedt in EU

Be prepared…

Belangrijkste artikels (cfr. profiling = high risk processing)Boetes tot 20 mio euroBoetes tot 4% van wereldwijde omzet

Hervorming van Privacycommissie zal leiden tot effectieve controlesLevel playing field in EU zal leiden tot (strenge) controles op niveau van buurlanden

+ schadevergoeding voor betrokkenen

GDPR is niet alleen risico, maar opportuniteit (compliancy als sales argument)


Gespecialiseerd en ervaren advocatenkantoorI.s.m. bekwame IT

specialistenPrivacyConnected

VUB/iMinds

Vrijblijvende intakegesprek met eerste analyse

Offerte op maat voor uw bedrijf op basis van 4 pijlers

(Legal, HR, IT enBusiness processen)

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsGDPR compliance traject i.s.m. Sirius Legal

Overzicht van de nieuwe verplichtingen uit de GDPR


Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR

Oude wijn in nieuwe zakken !

Bijv.: “toereikend, terzake dienend en niet overmatig” > “privacy by default” & “data minimization”“beveiliging” > versleuteling en melding datalekken

Rode draad: - Geen “function creep”- Sterke focus op verantwoordingsplicht


Verdwijnt: de voorafgaande aangifteplicht bij de Privacycommissie

Blijft en/of breidt uit: - Kwaliteitszorg- Informatieverplichting- Rechten van betrokkenen- Beveiliging- Verwijdering


Nieuw: - Design & default- Doorlichting, assessment, advies en register- Meldingsplicht datalekken- Rapportering- DPO?


Kwaliteitszorg (art. 5 AVG)

- Rechtmatigheid, behoorlijkheid en transparantie- Doelbinding- Minimalisatie- Juistheid- Opslagbeperking- Integriteit en vertrouwelijkheid

--> Verantwoordingsplicht!!


Privacy by design (art. 25 AVG)

“Privacy” centraal van bij het begin!

Aandacht bij uitdenken en uitrollen van nieuwe producten of diensten:

- Privacy Enhancing Technologies- Dataminimalisatie

“Rekening houdend met…” / “passende maatregelen”


Privacy by default (art. 25 AVG)

“Privacy” is dé standaard!

Bij keuze > steeds de meest privacyvriendelijke optie

Dus: fabrieksinstellingen, vriendelijke policy, geen verstopte bedoelingen, geen “function creep”, data minimalisatie,…


Data Protection Officer (art. 37 AVG)

Enkel verplicht voor overheden, stelselmatige observatie en gevoelige gegevens

Taken: interne voorlichting, toezicht, evaluatie effecten en aanspreekpuntWie: intern of extern?

Mee betrekken van bij het begin! (effectenbeoordeling - autoriteit)


Evaluatie, effectenbeoordeling en raadpleging (art. 35-36 AVG)

Hoog risico op schending privacyrechten?> alleszins bij profiling, gevoelige gegevens en monitoring

Rapport: noodzaak, risicobeoordeling en maatregelen, advies DPO, advies autoriteit


Beveiliging (art. 32 AVG)

Interpretatie: Passende maatregelen, afhankelijk van het risico en rekening houdend met techniek, kosten, aard, omvang, context,…

Bijv.: pseudonimisering, tokenisering, encryptie, fire drills,…

Zie verder ook: meldingsplicht datalekken


Register (art. 30 AVG)

met informatie over alle datastromen in de onderneming: verantwoordelijke, doeleinden, data en betrokkenen, ontvangers, doorgifte extra EU, bewaartermijnen en beveiliging

Ook verwerker moet register aanleggen!

Schriftelijk (elektronisch), ter beschikking van autoriteitEnkel bij hoog risico, gevoelige gegevens of werknemersaantal > 250


Informatieverplichting (art. 12 ev AVG)

Beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk> Standaardiconen

> Aandacht voor het kind

Op voorhand bij verkrijging van data of eerste contactname (of doorgifte aan derden)Ook steeds gratis op vraag en binnen 1 maand (tenzij buitensporig)


Informatieverplichting (art. 12 ev AVG)

- Wie? Verantwoordelijke, vertegenwoordiger, functionaris en ontvangers (ook: bron bij doorgifte)

- Waarom? Doeleinden, belangen en rechtsgronden- Hoe lang bewaard?- Rechten van betrokkene (inzage, verbetering, - verwijdering, beperking, bezwaar en overdracht, ook: klachtrecht)- Gevolgen indien data niet wordt verwerkt- ABV en profiling


Rechten van betrokkene (art. 15 ev AVG)

- Recht op inzage- Recht op verbetering en verwijdering- Recht op overdraagbaarheid van gegevens- Kennisgevingsplicht aan ontvangers!- Recht op verzet (of bezwaar) indien gerechtvaardigd belang- Recht op menselijke tussenkomst en

revisie bij ABV en profiling

Steeds “onverwijld” en ten laatste binnen 1 maand


Meldingsplicht bij datalekken (art. 33 AVG)

“Inbreuk”: op Confidentiality, Integrity en Accessibility

Aan de autoriteit: binnen 72 uur (of motivering voor vertraging)> aard, omvang, gevolgen en getroffen maatregelen

Aan de betrokkene: in geval van hoog risico

Documentatieplicht


Verwijdering (art. 5 & 17 AVG)

Wanneer?- Indien niet meer relevant voor het doel (zie verjaringstermijnen en

andere wettelijke verplichtingen) - Op vraag van de betrokkene

Behalve: vrije meningsuiting en informatie (journalistiek),algemeen belang, gezondheidsredenen, wettelijke verplichtingen, archivering, wetenschappelijk of historisch belang en statistieken, rechtsvorderingen


Sancties (o.m. art. 82 & 83 AVG)

Zie presentatie Bart

Hervorming autoriteiten: meer controleLage drempel voor procedure: meer klachten Boetes: voor zware overtredingentot 20M euro / 4% wereldwijde jaaromzetSchadevergoeding voor betrokkenen

Verloop van een implementatietraject in GDPR compliance


Implementation of privacyWorkload - Cost - Approach

05/02/2023 49

Purpose of privacy implementationCompliancy with regulation

(Unique) Selling Proposition

Care about client’s privacyPrivacy as part of the company’s quality

05/02/2023 50

How to implement privacy – One slider

51HR

Buyers

Processes, procedures, structures, …

Juridical

PRIVACY policy

Regulation

Europe: GDPR

Specific case

Juridical support

Contract processes

Labor contract

Business/IT alignment

Work rules

Training

Awareness

Ethical code

IT policy

Data analyses

Business analyses

Enterprise architecture

Technical

Breach protection

Disaster recovery

Infrastructure

Application architecture

Substitutes

Entrants

Work packages

… … …

DPO

Workload (cost) of implementation• Depends from company tot company

05/02/2023 52

Size

Maturity Complexity

Workload per work package

Number of work packages

+ Internal workload!

Workload (cost) of implementation• Size

• Number of people• Number of departments• Number of processes• …

05/02/2023 53

• Maturity• Are processes described?• Is there a data inventory?• Is a PMO implemented?• …

• Complexity• Ownership of data defined• Relations between departments• …

13 CBPL Steps • Awareness

• Data register• Communication

• Rights of the data subjects• Access procedures

• Legal basis• Consent

• Children• Data breaches

05/02/2023 54

• Privacy by design• Data privacy officer

• International compliance• Existing contracts

Three levels of implementation

05/02/2023 55

Privacy policy

Yearly action plan

Baseline & risk analyses

Bring live procedures & structures(Steering committee, PMO, Service delivery, PIA, Incident management…),

Create awareness.

Strategic

Tactical

Operational

Privacy policy• Contents:

• Management statement• Information security elucidation (scope, principles, legislation, …)• Organization (roles & responsibilities, organizational…) • Collaboration with suppliers• Asset management• Risk management• Personnel• Information systems• Physical & logical security• Incident management• Continuity management

05/02/2023 56

Baseline & annually action plan

05/02/2023 57

Baseline:• Identification of

processes, data, systems• Identification of risks

Annually action plan

Poss

ible

impa

ct

Probability

Risk appetite &Security policy

Confidentiality

Integrity Availability

Baseline & annually action plan• Inventory

• Identification of processes & actors (e.g. BPMN Swim lane diagrams)• Identification of data & systems (e.g. Archimate diagrams)• Identification of risks (internal & external)

• Assessing the risks• Impact (financial, prestige…)• Probability• Risk appetite• C – I – A • (ISO 27001/27002)

05/02/2023 58

• Approach:• Walk through the organization• Interviews• Workshops

• Tools• Excel• MS Visio• EA

Example Archimate diagram

05/02/2023 59

Processes

Applications

Technology & data

DepartmentsClients

Business layer / Application layer / Technology & data layer

Example swimlane diagram (BPMN)

05/02/2023 60

Complexity – Size - MaturityStep 1: Implementing GDPR as a project/programmeStep 2: Keeping privacy processes alive

05/02/2023 61

DPO?Small SME

Intake 1h

13 steps in 3 3h sessions 9h Templates Guidance Q&A 8h

2,5 days(DPO 1h/week)

SME

Intake & projectapproach

Fit/gap

Privacy policy Baseline & risk analyses Yearly action plan Going live …

(DPO 2-4h/week)

LE

2-4h

1d

Intake & projectapproach

Fit/gap

Privacy policy Baseline & risk analyses Yearly action plan Going live …

(DPO 4-8h/week)

4-8h

05/02/2023 62

Q&A?

Technische implicaties van de GDPR


The implementation of a legal requirement

Peter Potemans - PrivacyConnected

The implementation of a legal requirement• This legal requirement has an impact on:

People

Processes

Impact

Technology

The implementation of a legal requirement• Or alternatively:

BusinessInformation systems

Technology

Impact on business• Processes• Information / documents• Organisation• Products / services• Channels• Customer segments• Value propositions• Business models• …

Impact on information systems• Functionalities• Applications

• Data• Databases

• …

Impact on technology• Information & communication technology & infrastructure:

• (Smart) phones• Tablets• Laptops• Desktops• Monitors• Workstations• Servers• Storage• Networking• …

Additional impact

Strategic•Mission•Vision•Strategy•Strategic objectives•Values

Tactical•Portfolio•Programmes•Projects

Operational

•Way of working

Additional impact• On Digital Transformation:

• Social

• Mobile

• Analytics

• Cloud

• Internet of Things

• …

How to determine the level of impact?• High-level:

As is •Current situationTo be •Desired

situation

Fit gap •Resources•Obstacles

Roadmap

How to determine the level of impact?• More detailed:

• Follow this 3-step process to set up your privacy governance:

Policy Processes Roles & responsibilities

How to determine the level of impact?• More detailed:

• In parallel, follow this 6-step process to do impact analysis:

Data invent

ory

Risk analys

is

Privacy impact assessment

Fit gap analys

is

Remediation planni

ng

Follow-up

Privacy governance• Follow this 3-step process to set up your privacy governance:

Policy Processes Roles & responsibilities

Step 1/3: privacy policy• There is no such thing as a standard privacy policy that works for each

and every organisation, just like there is no such thing as a standard strategy for a standard organisation that works each and every time

• Questions to ask yourself:• Do you have a privacy policy?• To what extent is it:

• Specific for your organisation?• Customised to the GDPR?• Complete, correct and clear?• Explicitly communicated as such?• Read and accepted by your stakeholders?• …

Step 2/3: privacy processes• Privacy processes are closely related to the rights of the data subject:

• Right of access by the data subject• Right to rectification • Right to erasure (‘right to be forgotten’)• Right to restriction of processing • Right to data portability • Right to object • …

• Privacy processes need to be seamlessly integrated in your other processes

Step 3/3: privacy roles & responsibilities• Data Protection Officer (DPO)

• Accountable

• Data Protection Office (DPo)• Responsible

• Department representatives• Responsible, consulted and/or informed

• Compliance• Legal• Risk management• Audit• HR• ICT• Any other department

Impact analysis• In parallel, follow this 6-step process to do impact analysis:

Data invent

ory

Risk analys

is

Privacy impact assessment

Fit gap analys

is

Remediation planni

ng

Follow-up

Step 1/6: data inventory• Where is personal data being processed?

• Business• Which processes?• …

• Information systems• Which applications?• Which databases?• …

• Technology• Which devices?• Which users?• …

Step 2/6: risk analysis• What are the biggest risks?

• Where is sensitive personal data being processed?

• Where does personal data go from your organisation to another organisation (and vice versa)?

• Where does personal data go from your country to another country (and vice versa)?

• …

Step 3/6: privacy impact assessment• For the biggest risks:

• Perform an extended version of the privacy impact assessment

• For smaller risks:• Perform a standard version of the privacy impact assessment

• If there is no risk at all, there is no need to perform any kind of privacy impact assessment, so be pragmatic about this please

Step 4/6: fit gap analysis• For each answer you receive to the questions you have asked in privacy

impact assessments, qualify the answer:• The given answer is the desired answer: this is a fit: RAG-status is green• The given answer is not the desired answer, but the situation is under control:

this is a potential gap: RAG-status is orange• The given answer is not the desired answer and the situation is not under

control: this is a gap: RAG-status is red

• Individual gaps need to be consolidated (as much as possible) into opportunities to close multiple gaps at the same time. Solutions need to be mapped (as much as possible) to opportunities, rather than to individual gaps

Step 5/6: remediation planning• Roadmap:

• Risk-based approach:• The higher the risk, the higher the priority

• Cost-benefit approach:• The lower the cost, the higher the priority• The higher the benefit, the higher the priority

• Hybrid approach

Step 6/6: follow-up• Execution:

• Requires many different skills:

• Specific skills like portfolio management, programme management, project management, high-level requirements analysis, detailed business analysis, process management, functional analysis, product development, test management, …

• General skills like requirements management, change management, communication, training, coaching, people management, …

Be prepared…

Belangrijkste artikels (cfr. profiling = high risk processing)Boetes tot 20 mio euroBoetes tot 4% van wereldwijde omzet

Hervorming van Privacycommissie zal leiden tot effectieve controlesLevel playing field in EU zal leiden tot (strenge) controles op niveau van buurlanden

+ schadevergoeding voor betrokkenen

GDPR is niet alleen risico, maar opportuniteit (compliancy als sales argument)


Gespecialiseerd en ervaren advocatenkantoorI.s.m. bekwame IT

specialistenPrivacyConnected

VUB/iMinds

Vrijblijvende intakegesprek met eerste analyse

Offerte op maat voor uw bedrijf op basis van 4 pijlers

(Legal, HR, IT enBusiness processen)

Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsGDPR compliance traject i.s.m. Sirius Legal

Zelfstandigen Work load +/- 2 dagen

Timing traject: 3 à 4 weken

KMO’s Work load

ifv omvang, maturiteit en complexiteit tussen 5 en 25 dagen

Timing traject: 1 à 4 maanden

Grote ondernemingenWork load ifv omvang, maturiteit en

complexiteittussen 15 en … dagen

Timing traject: 2 à 6 maanden


Ons IT/IP/Media team

Media & advertisement lawCopyright - trademarks - databases - software - knowhowTravel & consumer protectionIT, Internet & e-commercePrivacy & cookiesGambling & gaming

Contacteer ons vandaag [email protected]

Facebook.com/siriuslegal

Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe europese privacyregels

Law

Transcript of Sirius friday data protection en privacy is uw bedrijf klaar voor de nieuwe europese privacyregels