Welke voorbereiding voor de toepassing van de GDPR?
-
Upload
johan-vandendriessche -
Category
Law
-
view
292 -
download
2
Transcript of Welke voorbereiding voor de toepassing van de GDPR?
Welke voorbereiding voor de toepassing van de GDPR?
Johan Vandendriessche
Advocaat – Crosslaw
Gastprofessor ICT-recht – UGent
Huidige situatie in de onderneming
Conform aan de verplichtingen onder Richtlijn 95/46/EG? Ja Nieuwe verplichtingen onder de algemene verordening
Neen Actie vereist om zich in regel te stellen tegen juni 2018
Algemene verordening gegevensbescherming: Verduidelijkt en bevestigt reeds bestaande verplichtingen
Voegt bijkomende verplichtingen toe• Verantwoordelijke voor de verwerking
• Verwerker
Brussels - Kortrijk | www.crosslaw.be 2
Administratieve vereenvoudiging in de GDPR
Geüniformeerde regelgeving binnen de EU
Toepassingsgebied Vestiging binnen de EU
Geen vestiging binnen de EU
Afschaffing van de aangifteverplichting
“One Stop Shop”-mechanisme Leidende toezichthoudende autoriteit bij grensoverschrijdende verwerkingen
Mogelijkheid om één DPO aan te stellen voor vennootschapsgroepen
Brussels - Kortrijk | www.crosslaw.be 3
Praktische werkwijze
Samenstelling van een team en toewijzing van budget
Nagaan of de bestaande verwerking gedocumenteerd zijn Ja Is de documentatie richtlijnconform? Neen Audit van de bestaande verwerkingen
Register van de verwerkingsactiviteiten opstellen Verplichting voor de verantwoordelijke voor de verwerking en de verwerker:
• Naam en contactgegevens• Verwerkingsdoeleinden• Categorieën van betrokkenen en persoonsgegevens• Categorieën van ontvangers• Doorgifte van persoonsgegevens naar derde landen• Bewaartermijn• Technische en organisatorische veiligheidsmaatregelen
Vrijstelling voor KMO’s (<250 werknemers), mits uitzonderingen
Brussels - Kortrijk | www.crosslaw.be 4
Praktische werkwijze
Controleer dat de verwerkingen op een adequate grondslag zijn gebaseerd
Wordt toestemming gebruikt als grondslag? Opgelet: striktere toepassing in de GDPR
Stilzwijgen is niet langer voldoende• Noodzaak van een positieve handeling
Houd rekening met het recht om de toestemming in te trekken Maak een onderscheid tussen de grondslagen op basis van de doeleinden
• Noodzaak voor uitvoering overeenkomst/legitiem belang
• Marketing, profiling,…
Oplossing? Dashboard
Brussels - Kortrijk | www.crosslaw.be 5
Praktische werkwijze
Houd rekening met Privacy by design en by default
Maak de nodige impactanalyses voor verwerkingen met een hoog risico A priori evaluatie
Advies van de DPO is vereist, indien aangesteld
DPO nodig? Overheidsinstantie
Hoofdzakelijk profilering op grote schaal
Hoofdzakelijk verwerking op grote schaal van gevoelige persoonsgegevens of gerechtelijke persoonsgegevens
Bepalingen van nationaal recht
Brussels - Kortrijk | www.crosslaw.be 6
Praktische werkwijze
Voorbereiding voor eventuele datalekken A priori werkwijze bepalen
Meldingsprocedure uitwerken Meldingsplicht aan de toezichthouder
Zonder vertraging en in elk geval binnen de 72 uur
Indien onmogelijk: motiveringsplicht
Uitzondering: indien geen risico voor de betrokken personen
Meldingsplicht aan de betrokkenen In geval van risico voor de betrokkenen
Vrijstelling mogelijk (b.v. bij encryptie)
Verwerker heeft meldingsplicht ten aanzien van de verantwoordelijke
Brussels - Kortrijk | www.crosslaw.be 7
Wat doen om de risico’s te beperken?
Documenteer de verwerkingen van persoonsgegevens
Evalueer het geheel van bestaande overeenkomsten binnen de onderneming Wijzig de relevante bepalingen van de overeenkomst
Wijzig de standaardovereenkomsten Rechten en plichten van de verantwoordelijke voor de verwerking
Verplichtingen van de verwerker
Herbekijk de “privacy disclaimers”
Verstrek opleiding aan de relevante medewerkers
Brussels - Kortrijk | www.crosslaw.be 8
Bedankt voor uw aandacht. Vragen?
Brussels - Kortrijk | www.crosslaw.be 9