Webinar 20180118 GDPR: Kader en praktijk voor de kmo

download Webinar 20180118 GDPR: Kader en praktijk voor de kmo

of 34

  • date post

    21-Jan-2018
  • Category

    Business

  • view

    16
  • download

    1

Embed Size (px)

Transcript of Webinar 20180118 GDPR: Kader en praktijk voor de kmo

  • GDPR.

    Jan-Willem Lust

    Rolf Vermeulen

    Een praktische benadering

  • Een nieuwe Europese verordeningdie de Privacy in de Europeselidstaten regelt.

    De Algemene Verordening

    Gegevensbescherming (of: GDPR) is een

    verordening waarmee de Europese

    Commissie de veiligheid van data wil

    bevorderen. Het gaat hierbij vooral om het

    beschermen van persoonlijke informatie van

    Europese inwoners, maar ook om het

    reguleren van de export van persoonlijke

    data buiten de Europese Unie. De Europese

    Commissie wil hiermee de controle over

    persoonlijke data teruggeven aan het

    individu.

    Wat is GDPR?

  • ToepassingsgebiedDe GDPR is van toepassing:

    op de verwerking (1) van

    persoonsgegevens (2) van

    EU-burgers (3).

    - Alle bedrijven: groot en klein

    - Verenigingen, VZW,

    - Ook voor niet EU-bedrijven

    - Verwerkingsverantwoordelijke vs

    verwerker

  • Elke daad met persoonsgegevens

    (bewaren, ordenen, inkijken,)

    is een verwerkingsdaad.

    Verwerkingsverantwoordelijke

    bepaalt doeleinden en middelen

    van de verwerking

    Verwerker doet een verwerking

    in opdracht van de

    verwerkingsverantwoordelijke

    Verwerking

  • - Toestemming

    - Uitvoering van een overeenkomst

    - Naleven van een wettelijke verplichting

    - Noodzakelijk om de vitale belangen van de betrokkene te beschermen

    - Noodzakelijk voor de vervulling van een taak van algemeen belang

    - Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijkeof een derde (belangenafweging doen).

    Rechtsgronden

  • Uitvoering van een overeenkomst :

    Pakketje versturen, invordering van de schulden, bestelling voor de klant bij een leverancier plaatsen, HR (uitbetaling lonen)

    Naleven van een wettelijke verplichting:

    Garantieverplichting, facturatie, documenten aanvragen nieuwe wagen, HR (gezinssituatie)

    Noodzakelijk om de vitale belangen van de betrokkene te beschermen

    Ongeval op de openbare weg , op de werkvloer

    Rechtsgronden: vb

  • Noodzakelijk voor de vervulling van een taakvan algemeen belang

    Ramp, epidemie,...

    Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijke of een derde(belangenafweging doen).

    Fraude voorkoming (bvb controle op het creditcardnummer), inning van openstaande schulden via een incassobureau, HR (switch naar een ander pay-roll systeem)

    Rechtsgronden: vb

  • Toestemming is de belangrijkste rechtsgrond

    uit de GDPR, maar ook de meest volatiele.

    - Kan steeds ingetrokken worden

    - Steeds door actieve handeling

    - Vrijelijk, genformeerd, specifiek en

    ondubbelzinnig

    - Vb: Minderjarigen, nieuwe doelstelling,

    gevoelige gegevens, handel in

    persoonsgegevens, gebruik van een foto op

    intranet/extranet

    Toestemming

  • De GDPR maakt direct marketing niet

    onmogelijk! (overweging 47 GDPR)

    - Toestemming is niet noodzakelijk

    (andere rechtsgronden), behalve

    in geval van gevoelige data

    - gerechtvaardigd belang

    - transparantie!

    Toestemming in direct marketing

  • Gerechtvaardigd belang KAN

    Afweging (balancing test) :

    - Goed evenwicht tussen het belang van het bedrijf en de betrokkene ?

    - Check of de betrokkene vooraf goed genformeerd zijn

    - Verwachting van de betrokkene

    - Noodzakelijk om persoonsgegevens te verwerken om het doel van de onderneming te

    bereiken?

    Opt-out voorzien

    Voordelen op business /Technologisch/ Juridisch vlak

    Toestemming in direct marketing

  • Voorbeeld vragen

    Welke relatie bestaat er tussen de klant en het

    bedrijf? Actief? Duur?

    Is er een andere manier/basisgrond om de gegevens te verwerken?

    - Welke inspanning zou dit vragen? - Is deze te rechtvaardigen? - Vraagt dit niet te veel inspanning ?

    Verwacht de betrokkene dat zijn gegevensworden verwerkt?

    Welke informatie krijgt de betrokkene op het ogenblik van de verzameling van de gegevens?

    Is er informatie verstrekt over de verwerking?

    .

    Toestemming in direct marketing

  • Je kan niet retro-actief om toestemming

    vragen.

    - reactiveringscampagne

    - ePrivacy Directive en Regulation

    - pragmatische benadering

    Toestemming in direct marketing Wat met historische data?

  • - ePrivacy Directive en Regulation voorziet SOFT

    OPT IN

    - Enkel voor electronische communicatie

    - B2C

    - Bestaande klanten

    - Gelijkaardige producten/diensten

    - Persoonsgegevens verzameld door

    bedrijf zelf

    - Betrokkene vooraf genformeerd

    Toestemming in direct marketing Wat met historische data?

  • - B2B

    - professioneel email-adres

    - producten nodig in B2B context

    - Duidelijke identificatie van het bedrijf

    - Valabel contactadres

    - OPT OUT

    Toestemming in direct marketing Wat met historische data?

  • - OPT-OUT register aanleggen

    - Doelstelling

    - Bescherming van de bedrijfsreputatie

    - Voldoen aan de wetgeving

    - Werkwijze

    - In combinatie met Right to be Forgotten

    Toestemming in direct marketing Hoe omgaan met OPT OUT?

  • De rechten van de betrokkene zijn relatief en niet absoluut.

    Een betrokkene kan bijvoorbeeld zijn toestemming intrekken,

    bezwaar maken, vragen om verwijderd of vergeten te worden, ,

    maar je bent niet verplicht om dat recht uit te oefenen als je dit kan

    verantwoorden.

    Bijvoorbeeld door wettelijke verplichting, technische

    onmogelijkheid, HR (evaluatie, ontslag, inzage)

    Rechten van betrokkene

  • De verantwoordingsplicht houdt in dat

    ondernemingen zelf moeten nagaan of hun

    verwerking van persoonsgegevens in lijn is met de

    GDPR en ze moeten dit ook op ieder ogenblik

    kunnen aantonen.

    Accountability

  • Het is een belangrijke wijziging ten aanzien van de

    bestaande privacyrichtlijn.

    Hoewel het concept verantwoordingsplicht niet

    uitdrukkelijk werd opgenomen in de GDPR worden

    wel een aantal verplichtingen opgenomen in de

    GDPR die onder het concept kunnen vallen.

    Bijvoorbeeld:

    Accountability1.Onderneming moet passende

    technische en organisatorische

    maatregelen nemen om te

    waarborgen dat de verwerking

    GDPR-compliant is,

    2.Elke verwerkingsverantwoordelijke

    houdt een register van

    verwerkingsactiviteiten bij (die onder

    zijn verantwoordelijkheid vallen).

  • AccountabilityAccountability kan vertrekpunt zijn van de

    verandering binnen de onderneming.

    1.Leg een dataregister aan

    2.Documenteer je processen, huidige

    situatie, acties, enzovoort

    3.Maak analyses (DPIA, GAP)

    4.Train je mensen

    5.Voer je processen uit en blijf analyseren

  • Toestemming in direct marketing

    Een dataregister is in principe niet altijd

    verplicht, maar in de realiteit wel.

    Belang: accountability en toezicht

    Info over verrichte verwerkingen =/= overzicht

    persoonsgegevens

    RegisterHet dataregister

  • Dataregister: voorbeeld Verwerkingsactiviteit Klantenbeheer

    Doeleinde van de verwerking Financile adminitratie Informeren klanten -

    Beheer van klanteninformatie met een CRM

    Categorin persoonsgegevens Identificatiegegevens, Hobbys, Interesses

    Wettelijke basis verwerking Identificatiegegevens Contractueel

    Hobbys Gerechtvaardigd belang

    Interesse Gerechtvaaardigd belang

    Gegevensverzameling via profiling NEE

    Gevoelige gegevens (art 9 en 10)

    Categorin van betrokkene klanten Contactpersonen bij de klant

    Ontvangers Verwerkers CRM = Salesforce

    Andere Medewerkers, bedrijfsrevisor

    Technische en Organistorische DPO aangesteld

    Informatiesessies aan de medewerkers

    NDA ondertekend door de medewerkers

    Verwerkersovereenkomst opgesteld en getekend

    Rechten van de betrokkene Hoe is hij genformeerd? Hoe kan hij zijn rechten uitoefenen

    Bewaartermijnen Klanten = tot 3 jaar na laatste aankoop

    Opmerkingen

  • Inventariseer al je processen waar je

    persoonsgegevens verwerkt

    Inventariseer alle partijen waarmee je

    persoonsgegevens deelt

    Inventariseer gebruikte hard- en software

    Inventariseer alle data-flows

    As isBeschrijf de as-is situatie

  • Een datalek betekent dat er een inbreuk is op de

    beveiliging die per ongeluk of op onrechtmatige

    wijze leidt tot de vernietiging, het verlies, de

    wijziging of de ongeoorloofde verstrekking van of de

    ongeoorloofde toegang tot persoonsgegevens.

    Indien een inbreuk in verband met

    persoonsgegevens heeft plaatsgevonden, meldt de

    verwerkingsverantwoordelijke deze zonder

    onredelijke vertraging en, indien mogelijk, uiterlijk

    72 uur nadat hij er kennis van heeft genomen, aan

    de Privacycommissie, tenzij het niet waarschijnlijk is

    dat de inbreuk in verband met persoonsgegevens

    een risico inhoudt voor de rechten en vrijheden van

    natuurlijke personen. Indien de melding aan de

    toezichthoudende autoriteit niet binnen 72 uur

    plaatsvindt, gaat zij vergezeld van een motivering

    voor de vertraging. De verwerker (IT-

    dienstleverancier) informeert de

    verwerkingsverantwoordelijke (klant)zonder

    onredelijke vertraging zodra hij kennis heeft

    genomen van een inbreuk in verband met

    persoonsgegevens.

    Melding datalek