Download - Webinar 20180118 GDPR: Kader en praktijk voor de kmo

GDPR.

Jan-Willem Lust

Rolf Vermeulen

Een praktische benadering

Een nieuwe Europese verordeningdie de Privacy in de Europeselidstaten regelt.

De Algemene Verordening

Gegevensbescherming (of: GDPR) is een

verordening waarmee de Europese

Commissie de veiligheid van data wil

bevorderen. Het gaat hierbij vooral om het

beschermen van persoonlijke informatie van

Europese inwoners, maar ook om het

reguleren van de export van persoonlijke

data buiten de Europese Unie. De Europese

Commissie wil hiermee de controle over

persoonlijke data teruggeven aan het

individu.

Wat is GDPR?

ToepassingsgebiedDe GDPR is van toepassing:

op de verwerking (1) van

persoonsgegevens (2) van

EU-burgers (3).

- Alle bedrijven: groot en klein

- Verenigingen, VZW, …

- Ook voor niet EU-bedrijven

- Verwerkingsverantwoordelijke vs

verwerker

Elke daad met persoonsgegevens

(bewaren, ordenen, inkijken,…)

is een verwerkingsdaad.

Verwerkingsverantwoordelijke

bepaalt doeleinden en middelen

van de verwerking

Verwerker doet een verwerking

in opdracht van de

verwerkingsverantwoordelijke

Verwerking

- Toestemming

- Uitvoering van een overeenkomst

- Naleven van een wettelijke verplichting

- Noodzakelijk om de vitale belangen van de betrokkene te beschermen

- Noodzakelijk voor de vervulling van een taak van algemeen belang

- Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijkeof een derde (belangenafweging doen).

Rechtsgronden

Uitvoering van een overeenkomst :

Pakketje versturen, invordering van de schulden, bestelling voor de klant bij een leverancier plaatsen, HR (uitbetaling lonen)

Naleven van een wettelijke verplichting:

Garantieverplichting, facturatie, documenten aanvragen nieuwe wagen, HR (gezinssituatie)

Noodzakelijk om de vitale belangen van de betrokkene te beschermen

Ongeval op de openbare weg , op de werkvloer

Rechtsgronden: vb

Noodzakelijk voor de vervulling van een taakvan algemeen belang

Ramp, epidemie,...

Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijke of een derde(belangenafweging doen).

Fraude voorkoming (bvb controle op het creditcardnummer), inning van openstaande schulden via een incassobureau, HR (switch naar een ander pay-roll systeem)

Rechtsgronden: vb

Toestemming is de belangrijkste rechtsgrond

uit de GDPR, maar ook de meest volatiele.

- Kan steeds ingetrokken worden

- Steeds door ‘actieve handeling’

- Vrijelijk, geïnformeerd, specifiek en

ondubbelzinnig

- Vb: Minderjarigen, nieuwe doelstelling,

gevoelige gegevens, handel in

persoonsgegevens, gebruik van een foto op

intranet/extranet

Toestemming

De GDPR maakt direct marketing niet

onmogelijk! (overweging 47 GDPR)

- Toestemming is niet noodzakelijk

(andere rechtsgronden), behalve

in geval van gevoelige data

- gerechtvaardigd belang

- transparantie!

Toestemming in direct marketing

Gerechtvaardigd belang KAN

Afweging (balancing test) :

- Goed evenwicht tussen het belang van het bedrijf en de betrokkene ?

- Check of de betrokkene vooraf goed geïnformeerd zijn

- Verwachting van de betrokkene

- Noodzakelijk om persoonsgegevens te verwerken om het doel van de onderneming te

bereiken?

Opt-out voorzien

Voordelen op business /Technologisch/ Juridisch vlak


Voorbeeld vragen

•Welke relatie bestaat er tussen de klant en het

bedrijf? Actief? Duur?

• Is er een andere manier/basisgrond om de gegevens te verwerken?

- Welke inspanning zou dit vragen? - Is deze te rechtvaardigen? - Vraagt dit niet te veel inspanning ?

•Verwacht de betrokkene dat zijn gegevensworden verwerkt?

•Welke informatie krijgt de betrokkene op het ogenblik van de verzameling van de gegevens?

• Is er informatie verstrekt over de verwerking?

•….


Je kan niet retro-actief om toestemming

vragen.

- reactiveringscampagne

- ePrivacy Directive en Regulation

- pragmatische benadering

Toestemming in direct marketing Wat met historische data?

- ePrivacy Directive en Regulation voorziet SOFT

OPT IN

- Enkel voor electronische communicatie

- B2C

- Bestaande klanten

- Gelijkaardige producten/diensten

- Persoonsgegevens verzameld door

bedrijf zelf

- Betrokkene vooraf geïnformeerd


- B2B

- professioneel email-adres

- producten nodig in B2B context

- Duidelijke identificatie van het bedrijf

- Valabel contactadres

- OPT OUT


- OPT-OUT register aanleggen

- Doelstelling

- Bescherming van de bedrijfsreputatie

- Voldoen aan de wetgeving

- Werkwijze

- In combinatie met Right to be Forgotten

Toestemming in direct marketing Hoe omgaan met OPT OUT?

De rechten van de betrokkene zijn relatief en niet absoluut.

Een betrokkene kan bijvoorbeeld zijn toestemming intrekken,

bezwaar maken, vragen om verwijderd of vergeten te worden,… ,

maar je bent niet verplicht om dat recht uit te oefenen als je dit kan

verantwoorden.

Bijvoorbeeld door wettelijke verplichting, technische

onmogelijkheid,… HR (evaluatie, ontslag, inzage)

Rechten van betrokkene

De verantwoordingsplicht houdt in dat

ondernemingen zelf moeten nagaan of hun

verwerking van persoonsgegevens in lijn is met de

GDPR en ze moeten dit ook op ieder ogenblik

kunnen aantonen.

Accountability

Het is een belangrijke wijziging ten aanzien van de

bestaande privacyrichtlijn.

Hoewel het concept ‘verantwoordingsplicht’ niet

uitdrukkelijk werd opgenomen in de GDPR worden

wel een aantal verplichtingen opgenomen in de

GDPR die onder het concept kunnen vallen.

Bijvoorbeeld:

Accountability1.Onderneming moet passende

technische en organisatorische

maatregelen nemen om te

waarborgen dat de verwerking

GDPR-compliant is,

2.Elke verwerkingsverantwoordelijke

houdt een register van

verwerkingsactiviteiten bij (die onder

zijn verantwoordelijkheid vallen).

AccountabilityAccountability kan vertrekpunt zijn van de

verandering binnen de onderneming.

1.Leg een dataregister aan

2.Documenteer je processen, huidige

situatie, acties, enzovoort

3.Maak analyses (DPIA, GAP)

4.Train je mensen

5.Voer je processen uit en blijf analyseren


Een dataregister is in principe niet altijd

verplicht, maar in de realiteit wel.

Belang: accountability en toezicht

Info over verrichte verwerkingen =/= overzicht

persoonsgegevens

RegisterHet dataregister

Dataregister: voorbeeld Verwerkingsactiviteit Klantenbeheer

Doeleinde van de verwerking Financiële adminitratie – Informeren klanten -

Beheer van klanteninformatie met een CRM

Categoriën persoonsgegevens Identificatiegegevens, Hobby’s, Interesses

Wettelijke basis verwerking Identificatiegegevens Contractueel

Hobby’s Gerechtvaardigd belang

Interesse Gerechtvaaardigd belang

Gegevensverzameling via profiling NEE

Gevoelige gegevens (art 9 en 10)

Categoriën van betrokkene klanten – Contactpersonen bij de klant

Ontvangers Verwerkers CRM = Salesforce

Andere Medewerkers, bedrijfsrevisor

Technische en Organistorische DPO aangesteld

Informatiesessies aan de medewerkers

NDA ondertekend door de medewerkers

Verwerkersovereenkomst opgesteld en getekend

Rechten van de betrokkene Hoe is hij geïnformeerd? Hoe kan hij zijn rechten uitoefenen

Bewaartermijnen Klanten = tot 3 jaar na laatste aankoop

Opmerkingen

Inventariseer al je processen waar je

persoonsgegevens verwerkt

Inventariseer alle partijen waarmee je

persoonsgegevens deelt

Inventariseer gebruikte hard- en software

Inventariseer alle data-flows

As isBeschrijf de ‘as-is’ situatie

Een datalek betekent dat er een inbreuk is op de

beveiliging die per ongeluk of op onrechtmatige

wijze leidt tot de vernietiging, het verlies, de

wijziging of de ongeoorloofde verstrekking van of de

ongeoorloofde toegang tot persoonsgegevens.

Indien een inbreuk in verband met

persoonsgegevens heeft plaatsgevonden, meldt de

verwerkingsverantwoordelijke deze zonder

onredelijke vertraging en, indien mogelijk, uiterlijk

72 uur nadat hij er kennis van heeft genomen, aan

de Privacycommissie, tenzij het niet waarschijnlijk is

dat de inbreuk in verband met persoonsgegevens

een risico inhoudt voor de rechten en vrijheden van

natuurlijke personen. Indien de melding aan de

toezichthoudende autoriteit niet binnen 72 uur

plaatsvindt, gaat zij vergezeld van een motivering

voor de vertraging. De verwerker (IT-

dienstleverancier) informeert de

verwerkingsverantwoordelijke (klant)zonder

onredelijke vertraging zodra hij kennis heeft

genomen van een inbreuk in verband met

persoonsgegevens.

Melding datalek

Melding datalek: meer dan alleen ‘hacking’

- Definitie datalek is heel breed

- Ook niet beschikbaarheid!

- Menselijk falen is een belangrijke factor

- Adequate remediëring

- Nood aan preventief zowel reactief plan

Melding datalek: voorbeelden data-lekken

• Menselijk falen : mail naar verkeerde

bestemmeling, verlies draagbare PC

• Procedure : recht van inzage maar aan

de verkeerde persoon

• Kwaad opzet : ontslagen medewerker

die data vernietigd

• Niet beschikbaar : stroompanne

De DPO vormt één van de meest

ingrijpende veranderingen

die de verordening met

zich meebrengt.

Of toch op zijn minst voor sommigen.

U bent namelijk enkel verplicht

om een DPO aan te duiden

indien u op 1 van volgende vragen

‘ja’ moet antwoorden:

Data Protection Officer

Data Protection OfficerU bent enkel verplicht om een DPO aan

te duiden indien u op 1 van volgende

vragen ‘ja’ moet antwoorden:

Ben je een overheidsinstantie of

een overheidsorgaan?

OVERHEID

BIJZONDER

OBSERVATIE

HOOFDACTIVITEIT

Verwerk je een bijzondere

categorie van persoonsgegevens?

Doe je aan regelmatige

observatie op grote schaal?

Doe je 2 of 3 als hoofdactiviteit?

1

2

3

4

De rol van Data Protection Officier of DPO mag u toekennen aan een bestaande

werknemer. Diens andere verantwoordelijkheden moeten echter compatibel zijn

met de verplichtingen die bij de rol van DPO komen kijken. Hij of zij mag geen

tegenstrijdige belangen dienen.

Binnen een bedrijvengroep of concern mag één DPO aangeduid worden, zolang deze

voor iedere vestiging gemakkelijk bereikbaar is.

Bovendien mag de DPO als werknemer worden aangenomen door de

verwerkingsverantwoordelijke, maar ook zijn taken vervullen binnen een

dienstverleningsovereenkomst.

De rol van een Data Protection Officer

Uw organisatie en werknemers die persoonsgegevens beheren, van informatie en

advies voorzien omtrent de verplichtingen die bij de GDPR komen kijken;

De correcte naleving van de General Data Protection Regulation monitoren door middel

van de Europese of lokale beschermingsvoorzieningen en de privacy policy van uw

organisatie. Dit slaat ook op het trainen van betrokken werknemers en het uitvoeren

van gerelateerde audits;

Uw organisatie adviseren omtrent de verplichte risicoanalyse en de resultaten ervan; •

Samenwerken met de regionale autoriteit en als contactpersoon optreden voor uw

organisatie;

Antwoord bieden op alle vragen die te maken hebben met gegevensverwerking en de

rechten van de betrokkenen wiens data verwerkt worden. Dit kunnen uw

medewerkers, klanten en dergelijken zijn.

Verplichte taken van de Data Protection Officer

De GDPR zal de Privacycommissie in België de

bevoegdheid geven om een administratieve

geldboete op te leggen. De maximumboete (bijv

voor het niet rechtmatig verkrijgen van toestemming

of niet voldoen aan de regels omtrent data-

uitwisseling met niet EU-landen) is 20 miljoen euro

of 4% van de wereldwijde omzet. Hoewel het gaat

om maximale bedragen bepaalt de GDPR wel dat de

Privacycommissie ervoor moet zorgen dat de

geldboete afschrikkend moet zijn. Een inbreuk

‘afkopen’ zal dus niet zomaar gaan. Belangrijk dus om

bewust te zijn van alle persoons-gegevens die

verwerkt worden!

De sanctiesIedereen heeft het erover: de enorme GDPR-sancties

Er is nog even de tijd.

Vandaag

Deadline!

25Mei2018

GDPR.

Jan-Willem Lust

Rolf Vermeulen

Een praktische benadering