1. Infografia ciclo DPO · Title: 1. Infografia ciclo DPO Created Date: 10/17/2018 7:13:58 PM
bij de verzekeringsmakelaar - kempischeverzekeringskring.be · – DPO (meestal niet, ... - Omgaan...
Transcript of bij de verzekeringsmakelaar - kempischeverzekeringskring.be · – DPO (meestal niet, ... - Omgaan...
Omgeving
Fysiek
Mens
Toestel
Toepassing
Database
Drager
Informatieveiligheid
Risico-inschatting
Risico-beslissing
Controles
Incidenten-
beheer
Change• In het regulatoir kader
• In processen
• In mensen (JLT)
• In technologie
Netw
erk
Data
derden
• 1ste lijn
• 2de lijn
• 3de llijn
• Impact
• Probabiliteit
• Vermijd
• Matig
• Deel
• Aanvaard
Control
Data Subject
Processing personal data
Data Controller
Data Controller
Data processor
Data processor
Finality Legitimacy
Transparency Organisation
proportional
end-to-end
Gegevensbescherming
GDPR – wat is er nieuw?
Control
Data Subject
Processing personal data
Data Controller
Data Controller
Data processor
Data processor
Finality Legitimacy
Transparency Organisation
proportional
end-to-end
GDPR – wat is nieuw?• Processor is nu ook geaddresseerd
• Organisatie• ”Accountability” (omkering van het bewijsrisico), concreet
• Verwerkingsregister (en risicoregister)
• Privacy / data protection impact assessment (“PIA”/”DPIA”)
• Privacy by Design en Privacy by Default
• Data Protection Officer
• Erkenning van “kader”-mechanismen: certificatie, gedragscodes, binding corporate rules,…
• Incidentenbeheer en datalekken
• Rechten van individuen zijn aangevuld en nader uitgewerkt
• Handhaving• Administratieve boetes algemeen en uniform
• Collectieve actie van individuen algemeen en uniform
Makelaar
Verzekeringsnemer
Verzekerde
Begunstigde
Verzekeraar
Herverzekeraar
“To be or not to be”A
cce
pta
tie
Cla
im
Persoonsverzekering Schadeverzekering
Makelaar
• Assuralia ?
– Geen akkoord (standaardovereenkomst,
sectorgedragscode,…)
– Segmentering de oplossing?
• Intussen?
– Verschillende oplossingen voor verschillende
verzekeraars
• Fidea : verwachtingen en instructies
Makelaar als verwerker
• Artikel 28 AVG (cf. art. 16 privacywet)
• Wanneer?
– Op systemen van verzekeraar +
– Processen opgelegd door verzekeraar +
– Mandaat van de verzekeraar
Makelaar als verwerker
• “volgen”, maar toch ook eigen verplichtingen– Waarschuwing (“sanity check”)
– DPO (meestal niet, wel te checken + documenteren)
– Verwerkingsregister (<250 personeel, maar…)
– Onderverwerkers (keuze, toestemming, overeenkomst-ketting, aansprakelijkheid)
– Overeenkomst• Beschrijving verwerking
• Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want wet)
• Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten van data subjecten
• Bijstand bij informatiebeveiliging, datalekken, DPIA
• Einde (vernietigen en/of teruggeven)
• Bewijs (incl. audit)
Makelaar als
verwerkingsverantwoordelijke
• Artikel 24 AVG
• Wanneer?– Personeel
– Prospecten
– Cliënteel• Cliëntenidentificatie (AML)
• Cliëntenbeheer
• Adviesrol
• Marktbevraging
• Claimsbegeleiding
– Leveranciers, aandeelhouders, …
Gezamenlijke verantwoordelijkheid
• Artikel 26 GDPR
• Wanneer?
– Gezamenlijke marketingactie
– Witwaspreventie (derdezaakaanbrenger)?
– Risk carrier constructie?
Verantwoordelijkheden
Binnen de organisatie
• Beleid
• DPO nodig? – Zoja, aanmelden
• mogelijk bij grotere makelaars
– Zonee, argumenteren• waarschijnlijk meestal het
geval
• sowieso best een “kenner” in het team
• Personeel– Contract, cao, instructies,
– Communicatie, training, bewustmaking
– Technische “fail-safes”
ART. 24
ART. 37-39
ART. 32
Verantwoordelijkheden
Binnen de organisatie
• Beleid
• DPO nodig? – Zoja, aanmelden
• mogelijk bij grotere makelaars
– Zonee, argumenteren• waarschijnlijk meestal het
geval
• sowieso best een “kenner” in het team
• Personeel– Contract, cao, instructies,
– Communicatie, training, bewustmaking
– Technische “fail-safes”
Derden
• Andere verantwoordelijken
– Samen, maar apart
– Gezamenlijk
• afspraken
• Verwerkers
– Overeenkomst (zie hoger)
• IT dienstverleners
– custom made
– IaaS/PaaS/SaaS (vb. O365,
Teamleader,…)
– website
• Bodyshoppers,
interimarissen,… (art. 29?)
ART. 26
ART. 28
Documenteren
Register (incl. DPIA)
• Verwerkingsregister– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de belangrijkste databases en applicaties
• DPIA– “waarschijnlijk hoog risico”
– normaal niet, maar indien van toepassing:
• rijksregisternummer,
• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),
• gerechtelijke gegevens (rechtsbijstand, fraude,…)
ART. 30
ART. 35
Data register
• CBPL
– https://www.gegevensbeschermingsautoriteit.be/register-van-de-verwerkingsactiviteiten-0#overlay-context=nl/model-voor-een-register-van-de-verwerkingsactiviteiten
– https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten
• CNIL
– https://www.cnil.fr/fr/les-outils-de-la-conformite
Documenteren
Register (incl. DPIA)
• Verwerkingsregister– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de belangrijkste databases en applicaties
• DPIA– “waarschijnlijk hoog risico”
– normaal niet, maar indien van toepassing:
• rijksregisternummer,
• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),
• gerechtelijke gegevens (rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
ART. 32
Documenteren
Register (incl. DPIA)
• Verwerkingsregister– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de belangrijkste databases en applicaties
• DPIA– “waarschijnlijk hoog risico”
– normaal niet, maar indien van toepassing:
• rijksregisternummer,
• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),
• gerechtelijke gegevens (rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
• Privacy by design
– Processen
– Privacy by default
– Transparantie
– Toestemming
ART. 25
ART. 12-14
ART. 6-8
Transparant
• Eigen privacyverklaring– Algemeen (o.a. op website?)
• Suggestie: clusters van informatie– algemene sectie
– persoon: prospect, verzekeringsnemer, verzekerde, begunstigde, corporate klant, contactpersonen, ultieme begunstigden (UBO)
– gegeven: gezondheidsgegevens, gerechtelijke gegevens, …
– Op de verschillende (eigen) documenten
• Rekening houden met privacyverklaring van verzekeraars (en eventueel doorlinken)– Algemeen (op hun website)
– Staat dat goed op de verschillende documenten ?
MarketingGeschreven beleid voor gegevensbescherming in marketing
- Prospecten v. Klanten
- Klanten v. reps, UBOs, …
- Transparantie
- Verzamelen van data
- Kwaliteit van data
- Up-to-date data
- Gebruik van data: segmentatie,
profilering
- Omgaan met een opt-out
- Delen van data: intra-company, intra-
groep, partners, …
Elektronische post = opt-inUitzondering (nog altijd, verhouding niet
duidelijk):
- Professionele klanten ALS
• professioneel aanbod
• op een niet-persoonlijk adres
• Individuele bestaande klanten
• die hun gegevens doorgaven
• ALS het aanbod
• is door contractpartij
• betrekking heeft op gelijkaardige
producten van de contractpartij
Art. VII.13 WER
Altijd moet de boodschap een opt-out
bevatten.
CRM / Beheerstoepassing
• Doelgebonden– Is wat je weg (kan) schrijven relevant en noodzakelijk?
– “vrije velden”: toonbaar, respectvol, objectief, …
• Beveiliging– Wie is de superuser? Kan daar een belangenconflict
ontstaan?
– Kan je de toegangen modulair regelen?
– Is er een log van het gebruik? Controle op log (vanuit bijzonder profiel)?
• Rechten data subjecten– Kan je exporteren (met een bijzonder profiel)?
– Kan je opt-in registreren (met bewijs)? Kan je opt-out registeren en verzekeren dat die gerespecteerd wordt?
– Kan je (permanent) deleten?
Documenteren
Register (incl. DPIA)
• Verwerkingsregister– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de belangrijkste databases en applicaties
• DPIA– “waarschijnlijk hoog risico”
– normaal niet, maar indien van toepassing:
• rijksregisternummer,
• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),
• gerechtelijke gegevens (rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
• Privacy by design
– Processen
– Privacy by default
– Transparantie
– Toestemming
• Rechten van data subjecten
– Procedureel
– technischART. 15-23
Samenwerken met GBA
Voorafgaande afstemming
• Uitkomst van de DPIA
– onwaarschijnlijk
Gegevenslekken
• Beleid
• Detecteren
• Analyseren
– Geen risico: eruit leren
– Melden verzekeraar?
– Risico
• Melden (GBA – asap)
– Hoog risico
• Communiceren (DS)
ART. 36 ART. 33-34
De weg ernaartoe
Project
• Change management
• HR bekijken• Rollen en functies, o.a.
o DPO nodig?
o Information asset owners ?
• HR processen review
• Communicatie & Training
• Processen bekijken• Verwerkingsregister
• In iteraties voor “legacy”
• Toestemming van data subjects ?
• Incidentenbeheer
• Projectbeheer• PIA, PbD,
• Documentatie => register
• Klachtenbeheer (update van de rechten)
• Outsourcing partners
• Toegangsbeheer
• IT bekijken• Archictectuur
• Beveiliging: zit dat goed?• Need to have
• Nice to have
Business as UsualIn delen / iteraties
De weg ernaartoe
Project
• Change management
• HR bekijken• Rollen en functies, o.a.
o DPO nodig?
o Information asset owners ?
• HR processen review
• Communicatie & Training
• Processen bekijken• Verwerkingsregister
• In iteraties voor “legacy”
• Toestemming van data subjects ?
• Incidentenbeheer
• Projectbeheer• PIA, PbD,
• Documentatie => register
• Klachtenbeheer (update van de rechten)
• Outsourcing partners
• Toegangsbeheer
• IT bekijken• Archictectuur
• Beveiliging: zit dat goed?• Need to have
• Nice to have
Business as Usual
• Tone at the top !• “Money where your mouth is”
• Beslissingen mbtgegevensbescherming
• Sponsor
• HR• Communicatie & Training
• Bewustmaking (= “top of mind”)
• Processen• Regelmatig herbekijken en
actualiseren
• IT • Beveiliging is een moving target –
upgrade, patch, uitdienststelling
• Nieuwe – PbD + contract
• Monitoren & Rapporteren• Testen
• Eerstelijnscontroles (KPI, SL, etc.)
• Rapportering
• Consolidatie dashboard naar bestuur
In delen / iteraties
Bronnen
Wet
• http://data.europa.eu/eli/reg/2016/679/oj
• Apps
– Baker & McKenzie's Global Privacy App
– DLA Piper: Explore GDPR
– DPOrganizer
– EDPS: GDPR app
– Fieldfisher: GDPR, the Complete Guide
“Toegepast”
• www.gegevensbeschermingsautoriteit.be
• www.assuralia.be
• EU
– https://ec.europa.eu/info/law/law-topic/data-protection_en
– http://ec.europa.eu/newsroom/article29/news-overview.cfm
Verantwoordelijkheden
Binnen de organisatie
• Beleid
• DPO nodig? – Zoja, aanmelden
• mogelijk bij grotere makelaars
– Zonee, argumenteren• waarschijnlijk meestal het
geval
• sowieso best een “kenner” in het team
• Personeel– Contract, cao, instructies,
– Communicatie, training, bewustmaking
– Technische “fail-safes”
Derden
• Andere verantwoordelijken
– Samen, maar apart
– Gezamenlijk
• afspraken
• Verwerkers
– Overeenkomst (zie hoger)
• IT dienstverleners
– custom made
– IaaS/PaaS/SaaS (vb. O365,
Teamleader,…)
– website
• Bodyshoppers,
interimarissen,… (art. 29?)
ART. 24
ART. 26
ART. 28
ART. 37-39
ART. 32
Documenteren
Register (incl. DPIA)
• Verwerkingsregister– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de belangrijkste databases en applicaties
• DPIA– “waarschijnlijk hoog risico”
– normaal niet, maar indien van toepassing:
• rijksregisternummer,
• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),
• gerechtelijke gegevens (rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
• Privacy by design
– Processen
– Privacy by default
– Transparantie
– Toestemming
• Rechten van data subjecten
– Procedureel
– technisch
ART. 30
ART. 35
ART. 32
ART. 25
ART. 12-14
ART. 6-8
ART. 15-23