Webinar 20180118 GDPR: Kader en praktijk voor de kmo
-
Upload
flanders-district-of-creativity -
Category
Business
-
view
19 -
download
1
Transcript of Webinar 20180118 GDPR: Kader en praktijk voor de kmo
GDPR.
Jan-Willem Lust
Rolf Vermeulen
Een praktische benadering
Een nieuwe Europese verordeningdie de Privacy in de Europeselidstaten regelt.
De Algemene Verordening
Gegevensbescherming (of: GDPR) is een
verordening waarmee de Europese
Commissie de veiligheid van data wil
bevorderen. Het gaat hierbij vooral om het
beschermen van persoonlijke informatie van
Europese inwoners, maar ook om het
reguleren van de export van persoonlijke
data buiten de Europese Unie. De Europese
Commissie wil hiermee de controle over
persoonlijke data teruggeven aan het
individu.
Wat is GDPR?
ToepassingsgebiedDe GDPR is van toepassing:
op de verwerking (1) van
persoonsgegevens (2) van
EU-burgers (3).
- Alle bedrijven: groot en klein
- Verenigingen, VZW, …
- Ook voor niet EU-bedrijven
- Verwerkingsverantwoordelijke vs
verwerker
Elke daad met persoonsgegevens
(bewaren, ordenen, inkijken,…)
is een verwerkingsdaad.
Verwerkingsverantwoordelijke
bepaalt doeleinden en middelen
van de verwerking
Verwerker doet een verwerking
in opdracht van de
verwerkingsverantwoordelijke
Verwerking
- Toestemming
- Uitvoering van een overeenkomst
- Naleven van een wettelijke verplichting
- Noodzakelijk om de vitale belangen van de betrokkene te beschermen
- Noodzakelijk voor de vervulling van een taak van algemeen belang
- Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijkeof een derde (belangenafweging doen).
Rechtsgronden
Uitvoering van een overeenkomst :
Pakketje versturen, invordering van de schulden, bestelling voor de klant bij een leverancier plaatsen, HR (uitbetaling lonen)
Naleven van een wettelijke verplichting:
Garantieverplichting, facturatie, documenten aanvragen nieuwe wagen, HR (gezinssituatie)
Noodzakelijk om de vitale belangen van de betrokkene te beschermen
Ongeval op de openbare weg , op de werkvloer
Rechtsgronden: vb
Noodzakelijk voor de vervulling van een taakvan algemeen belang
Ramp, epidemie,...
Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijke of een derde(belangenafweging doen).
Fraude voorkoming (bvb controle op het creditcardnummer), inning van openstaande schulden via een incassobureau, HR (switch naar een ander pay-roll systeem)
Rechtsgronden: vb
Toestemming is de belangrijkste rechtsgrond
uit de GDPR, maar ook de meest volatiele.
- Kan steeds ingetrokken worden
- Steeds door ‘actieve handeling’
- Vrijelijk, geïnformeerd, specifiek en
ondubbelzinnig
- Vb: Minderjarigen, nieuwe doelstelling,
gevoelige gegevens, handel in
persoonsgegevens, gebruik van een foto op
intranet/extranet
Toestemming
De GDPR maakt direct marketing niet
onmogelijk! (overweging 47 GDPR)
- Toestemming is niet noodzakelijk
(andere rechtsgronden), behalve
in geval van gevoelige data
- gerechtvaardigd belang
- transparantie!
Toestemming in direct marketing
Gerechtvaardigd belang KAN
Afweging (balancing test) :
- Goed evenwicht tussen het belang van het bedrijf en de betrokkene ?
- Check of de betrokkene vooraf goed geïnformeerd zijn
- Verwachting van de betrokkene
- Noodzakelijk om persoonsgegevens te verwerken om het doel van de onderneming te
bereiken?
Opt-out voorzien
Voordelen op business /Technologisch/ Juridisch vlak
Toestemming in direct marketing
Voorbeeld vragen
•Welke relatie bestaat er tussen de klant en het
bedrijf? Actief? Duur?
• Is er een andere manier/basisgrond om de gegevens te verwerken?
- Welke inspanning zou dit vragen? - Is deze te rechtvaardigen? - Vraagt dit niet te veel inspanning ?
•Verwacht de betrokkene dat zijn gegevensworden verwerkt?
•Welke informatie krijgt de betrokkene op het ogenblik van de verzameling van de gegevens?
• Is er informatie verstrekt over de verwerking?
•….
Toestemming in direct marketing
Je kan niet retro-actief om toestemming
vragen.
- reactiveringscampagne
- ePrivacy Directive en Regulation
- pragmatische benadering
Toestemming in direct marketing Wat met historische data?
- ePrivacy Directive en Regulation voorziet SOFT
OPT IN
- Enkel voor electronische communicatie
- B2C
- Bestaande klanten
- Gelijkaardige producten/diensten
- Persoonsgegevens verzameld door
bedrijf zelf
- Betrokkene vooraf geïnformeerd
Toestemming in direct marketing Wat met historische data?
- B2B
- professioneel email-adres
- producten nodig in B2B context
- Duidelijke identificatie van het bedrijf
- Valabel contactadres
- OPT OUT
Toestemming in direct marketing Wat met historische data?
- OPT-OUT register aanleggen
- Doelstelling
- Bescherming van de bedrijfsreputatie
- Voldoen aan de wetgeving
- Werkwijze
- In combinatie met Right to be Forgotten
Toestemming in direct marketing Hoe omgaan met OPT OUT?
De rechten van de betrokkene zijn relatief en niet absoluut.
Een betrokkene kan bijvoorbeeld zijn toestemming intrekken,
bezwaar maken, vragen om verwijderd of vergeten te worden,… ,
maar je bent niet verplicht om dat recht uit te oefenen als je dit kan
verantwoorden.
Bijvoorbeeld door wettelijke verplichting, technische
onmogelijkheid,… HR (evaluatie, ontslag, inzage)
Rechten van betrokkene
De verantwoordingsplicht houdt in dat
ondernemingen zelf moeten nagaan of hun
verwerking van persoonsgegevens in lijn is met de
GDPR en ze moeten dit ook op ieder ogenblik
kunnen aantonen.
Accountability
Het is een belangrijke wijziging ten aanzien van de
bestaande privacyrichtlijn.
Hoewel het concept ‘verantwoordingsplicht’ niet
uitdrukkelijk werd opgenomen in de GDPR worden
wel een aantal verplichtingen opgenomen in de
GDPR die onder het concept kunnen vallen.
Bijvoorbeeld:
Accountability1.Onderneming moet passende
technische en organisatorische
maatregelen nemen om te
waarborgen dat de verwerking
GDPR-compliant is,
2.Elke verwerkingsverantwoordelijke
houdt een register van
verwerkingsactiviteiten bij (die onder
zijn verantwoordelijkheid vallen).
AccountabilityAccountability kan vertrekpunt zijn van de
verandering binnen de onderneming.
1.Leg een dataregister aan
2.Documenteer je processen, huidige
situatie, acties, enzovoort
3.Maak analyses (DPIA, GAP)
4.Train je mensen
5.Voer je processen uit en blijf analyseren
Toestemming in direct marketing
Een dataregister is in principe niet altijd
verplicht, maar in de realiteit wel.
Belang: accountability en toezicht
Info over verrichte verwerkingen =/= overzicht
persoonsgegevens
RegisterHet dataregister
Dataregister: voorbeeld Verwerkingsactiviteit Klantenbeheer
Doeleinde van de verwerking Financiële adminitratie – Informeren klanten -
Beheer van klanteninformatie met een CRM
Categoriën persoonsgegevens Identificatiegegevens, Hobby’s, Interesses
Wettelijke basis verwerking Identificatiegegevens Contractueel
Hobby’s Gerechtvaardigd belang
Interesse Gerechtvaaardigd belang
Gegevensverzameling via profiling NEE
Gevoelige gegevens (art 9 en 10)
Categoriën van betrokkene klanten – Contactpersonen bij de klant
Ontvangers Verwerkers CRM = Salesforce
Andere Medewerkers, bedrijfsrevisor
Technische en Organistorische DPO aangesteld
Informatiesessies aan de medewerkers
NDA ondertekend door de medewerkers
Verwerkersovereenkomst opgesteld en getekend
Rechten van de betrokkene Hoe is hij geïnformeerd? Hoe kan hij zijn rechten uitoefenen
Bewaartermijnen Klanten = tot 3 jaar na laatste aankoop
Opmerkingen
Inventariseer al je processen waar je
persoonsgegevens verwerkt
Inventariseer alle partijen waarmee je
persoonsgegevens deelt
Inventariseer gebruikte hard- en software
Inventariseer alle data-flows
As isBeschrijf de ‘as-is’ situatie
Een datalek betekent dat er een inbreuk is op de
beveiliging die per ongeluk of op onrechtmatige
wijze leidt tot de vernietiging, het verlies, de
wijziging of de ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot persoonsgegevens.
Indien een inbreuk in verband met
persoonsgegevens heeft plaatsgevonden, meldt de
verwerkingsverantwoordelijke deze zonder
onredelijke vertraging en, indien mogelijk, uiterlijk
72 uur nadat hij er kennis van heeft genomen, aan
de Privacycommissie, tenzij het niet waarschijnlijk is
dat de inbreuk in verband met persoonsgegevens
een risico inhoudt voor de rechten en vrijheden van
natuurlijke personen. Indien de melding aan de
toezichthoudende autoriteit niet binnen 72 uur
plaatsvindt, gaat zij vergezeld van een motivering
voor de vertraging. De verwerker (IT-
dienstleverancier) informeert de
verwerkingsverantwoordelijke (klant)zonder
onredelijke vertraging zodra hij kennis heeft
genomen van een inbreuk in verband met
persoonsgegevens.
Melding datalek
Melding datalek: meer dan alleen ‘hacking’
- Definitie datalek is heel breed
- Ook niet beschikbaarheid!
- Menselijk falen is een belangrijke factor
- Adequate remediëring
- Nood aan preventief zowel reactief plan
Melding datalek: voorbeelden data-lekken
• Menselijk falen : mail naar verkeerde
bestemmeling, verlies draagbare PC
• Procedure : recht van inzage maar aan
de verkeerde persoon
• Kwaad opzet : ontslagen medewerker
die data vernietigd
• Niet beschikbaar : stroompanne
De DPO vormt één van de meest
ingrijpende veranderingen
die de verordening met
zich meebrengt.
Of toch op zijn minst voor sommigen.
U bent namelijk enkel verplicht
om een DPO aan te duiden
indien u op 1 van volgende vragen
‘ja’ moet antwoorden:
Data Protection Officer
Data Protection OfficerU bent enkel verplicht om een DPO aan
te duiden indien u op 1 van volgende
vragen ‘ja’ moet antwoorden:
Ben je een overheidsinstantie of
een overheidsorgaan?
OVERHEID
BIJZONDER
OBSERVATIE
HOOFDACTIVITEIT
Verwerk je een bijzondere
categorie van persoonsgegevens?
Doe je aan regelmatige
observatie op grote schaal?
Doe je 2 of 3 als hoofdactiviteit?
1
2
3
4
De rol van Data Protection Officier of DPO mag u toekennen aan een bestaande
werknemer. Diens andere verantwoordelijkheden moeten echter compatibel zijn
met de verplichtingen die bij de rol van DPO komen kijken. Hij of zij mag geen
tegenstrijdige belangen dienen.
Binnen een bedrijvengroep of concern mag één DPO aangeduid worden, zolang deze
voor iedere vestiging gemakkelijk bereikbaar is.
Bovendien mag de DPO als werknemer worden aangenomen door de
verwerkingsverantwoordelijke, maar ook zijn taken vervullen binnen een
dienstverleningsovereenkomst.
De rol van een Data Protection Officer
Uw organisatie en werknemers die persoonsgegevens beheren, van informatie en
advies voorzien omtrent de verplichtingen die bij de GDPR komen kijken;
De correcte naleving van de General Data Protection Regulation monitoren door middel
van de Europese of lokale beschermingsvoorzieningen en de privacy policy van uw
organisatie. Dit slaat ook op het trainen van betrokken werknemers en het uitvoeren
van gerelateerde audits;
Uw organisatie adviseren omtrent de verplichte risicoanalyse en de resultaten ervan; •
Samenwerken met de regionale autoriteit en als contactpersoon optreden voor uw
organisatie;
Antwoord bieden op alle vragen die te maken hebben met gegevensverwerking en de
rechten van de betrokkenen wiens data verwerkt worden. Dit kunnen uw
medewerkers, klanten en dergelijken zijn.
Verplichte taken van de Data Protection Officer
De GDPR zal de Privacycommissie in België de
bevoegdheid geven om een administratieve
geldboete op te leggen. De maximumboete (bijv
voor het niet rechtmatig verkrijgen van toestemming
of niet voldoen aan de regels omtrent data-
uitwisseling met niet EU-landen) is 20 miljoen euro
of 4% van de wereldwijde omzet. Hoewel het gaat
om maximale bedragen bepaalt de GDPR wel dat de
Privacycommissie ervoor moet zorgen dat de
geldboete afschrikkend moet zijn. Een inbreuk
‘afkopen’ zal dus niet zomaar gaan. Belangrijk dus om
bewust te zijn van alle persoons-gegevens die
verwerkt worden!
De sanctiesIedereen heeft het erover: de enorme GDPR-sancties
Er is nog even de tijd.
Vandaag
Deadline!
25Mei2018
GDPR.
Jan-Willem Lust
Rolf Vermeulen
Een praktische benadering