5. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
6. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
7. Data Protection
Wat zijn persoonlijke gegevens ?
• Persoonlijke informatie over gezin, woonplaats en werk
• Online gedragsinformatie
• Gegevens uit vrije tijd en hobbies
• Gedrag en interesses
• Geografische en reisgegevens
• Financiële gegevens
Wat zijn gevoelige gegevens ?
• Seksuele geaardheid
• Religieuze informatie
• Etnische afkomst
• Politieke opvattingen
• Lidmaatschappen vakbonden
• Genetische gegevens
• Biometrische gegevens
8. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
20. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
22. Maatregelen tegen :
Verlies en diefstal van gegevens
Volg beveiligingsrichtlijnen van uw werkgever / klant inzake :
• Wachtwoorden
• Installatie softwareupdates
• Gebruik externe gegevensdragers (USB)
• Gebruik cloud diensten (Dropbox, Onedrive,…)
• Vergrendelen apparatuur (Werkstation, mobiele toestellen)
• Screening uitgaande bijlagen
23. Maatregelen tegen :
Misbruik persoonlijke gegevens
Neem volgende aanbevelingen ter harte :
• Aanmelden bij gratis wifi-accesspoints
• Check uw beveiligingsinstellingen op uw computer / mobiel toestel
• Let op voor phishing mails : leg een gezonde argwaan aan de dag
• Installeer steeds de laatste updates van het besturingssysteem
• Zorg voor een goed internet security programma
• Zorg voor een goede backup
25. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
26. Een stukje geschiedenis
EU richtlijn
95-46-EC
Voorstel nieuwe
Data Privacy
Wetgeving
Akkoord wettekst
GDPR door EU
Publicatie GDPR
4/05/2016
GDPR in voege
25/05/2018
27. Privacy wetgeving
De Belgische Privacywet ter bescherming van persoonsgegevens, voluit de Wet van
8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten
opzichte van de verwerking van persoonsgegevens, is een wet die de burger moet
beschermen tegen misbruik van zijn persoonlijke gegevens.
28. Privacy wetgeving
Toepassingsgebied
Elk soort informatie over een natuurlijke persoon, zodra die geïdentificeerd
wordt of kan worden
• Persoonsgegevens zoals naam, adres, geslacht, geboortedatum en
rijksregisternummer
• Cookies
• IP-adres
29. Privacy wetgeving
Toepassingsgebied
De verwerking van persoonsgegevens in een bestand moet eerlijk, rechtmatig,
nauwkeurig, toereikend, ter zake dienend, transparant, vertrouwelijk en beveiligd
zijn.
Voor gevoelige persoonsgegevens (zoals etniciteit, politieke, religieuze of seksuele
voorkeuren, medische gegevens, gerechtelijk verleden) is de wet nog strenger:
verwerking van deze gegevens is in principe verboden, behoudens de wettelijke
uitzonderingen (art. 6, 7 en 8, wet 8/12/1992).
http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=1992120832&table_name=wet
30. Privacy wetgeving
Uitwisseling van gegevens
Binnen België wordt de uitwisseling tussen de verschillende overheden geregeld
door de overheidsinstanties zoals bv de Kruispuntbank of het eHealth platform.
Internationaal kan informatie vrij gedeeld worden binnen de Europese Commissie
of met landen die op de zogenaamde ‘witte lijst’ staan. Dit zijn landen die een
goede bescherming van de gegevens kunnen garanderen.
32. Privacy wetgeving
Safe Harbor
Proces voor bedrijven in de VS om te voldoen aan de Europese richtlijn 95/46/EG
over bescherming van persoonsgegevens.
Het Europees Hof van Justitie oordeelde op 6 oktober 2015 echter dat dit verdrag
onvoldoende garanties biedt dat de europese privacy-wetgeving gehandhaafd
wordt.
Op 12 juli 2016 heeft de Europese Commissie dan het EU-VS-privacyschild
goedgekeurd.
34. GDPR – Wat ?
De GDPR (General Data Protection Regulation) of algemene verordening
gegevensbescherming (AVG) gaat over de 'bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens‘.
Deze verordening vervangt de databeschermingsrichtlijn uit 1995.
35. GDPR
Wat wordt er verstaan onder verwerking ?
• Verzamelen van gegevens
• Opslaan van gegevens
• Aanpassen van gegevens
• Opzoeken van gegevens
• Gebruik van gegevens
• Combineren van gegevens
• Verwijderen van gegevens
36. Data Protection
Wat zijn persoonlijke gegevens ?
• Persoonlijke informatie over gezin, woonplaats en werk
• Online gedragsinformatie
• Gegevens uit vrije tijd en hobbies
• Gedrag en interesses
• Geografische en reisgegevens
• Financiële gegevens
Wat zijn gevoelige gegevens ?
• Seksuele geaardheid
• Religieuze informatie
• Etnische afkomst
• Politieke opvattingen
• Lidmaatschappen vakbonden
• Genetische gegevens
• Biometrische gegevens
37. GDPR – Hoe ?
De basisprincipes van de GDPR zijn :
• Verantwoordelijkheid bij en aansprakelijkheid van de verwerkers
• Aanstellen DPO (Data Protection Officer)
• Uitvoeren Data Protection Impact Assessments (DPIA)
• Privacy by Design
• Verstrengde beveiligingsmaatregelen voor gevoelige gegevens
• Data breach notification
• Uitdrukkelijke toestemming
• Zeer hoge boetes bij non-compliancy
38. GDPR – Hoe ?
Verantwoordelijk en aansprakelijkheid van de verwerkers
Data Controller
Control Authority Control Authority
Data ProcessorData Processor
39. GDPR – Hoe ?
Verplichting DPO (Data Protection Officer)
• Noodzakelijk indien een verwerkingsverantwoordelijke of de verwerker
hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang
en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal
van betrokkenen vereisen.
• De DPO rapporteert aan het hoogste management en is gebonden aan
beroepsgeheim. Data controllers en Data processors rapporteren aan de DPO.
• Moet zich registreren bij de European Data Protection Supervisor.
• De DPO mag nog andere taken toegewezen krijgen, maar er mogen geen
belangenconflicten optreden.
40. GDPR – Hoe ?
Uitvoeren Data Protection Impact Assessments (DPIA) indien :
• Beoordelen van mensen op basis van persoonskenmerken
• Geautomatiseerde beslissingen
• Stelselmatige en grootschalige monitoring
• Gevoelige systemen
• Grootschalige gegevensverwerkingen
• Gekoppelde databases
• Gegevens over kwetsbare personen
• Gebruik van nieuwe technologieën
• Doorgifte van persoonsgegevens buiten de EU
• Blokkering van een recht, dienst of contract
41. GDPR – Hoe ?
Het Data Protection Impact Assessments (DPIA) moet minimum volgende zaken
vermelden :
• Een systematische beschrijving van de beoogde gegevensverwerkingen en de
doeleinden hiervan.
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen.
Dat houdt in: is het verwerken van persoonsgegevens op deze manier
noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de
betrokkenen niet onevenredig in verhouding tot dit doel?
• Een beoordeling van de privacyrisico's voor de betrokkenen.
• De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en
veiligheidsmaatregelen) en (2) aan te tonen dat u aan de GDPR voldoet.
42. GDPR – Hoe ?
Privacy by Design
Privacy by design houdt in dat al wie verantwoordelijk is voor de verwerking van
persoonsgegevens voortaan verplicht is al meteen bij de ontwikkeling van zijn
producten en diensten privacybeschermende maatregelen in te bouwen.
Voorbeelden zijn
- opt-in en opt-out
- right to be forgotten
- Recht op dataoverdracht
43. GDPR – Hoe ?
Data breach notification
Data Controller
Data Processor
Identify Document Analyse Report
72h
Identify AnalyseNotify
44. GDPR – Hoe ?
Uitdrukkelijke toestemming
• Vrijwillig
• Bewijslast
• Duidelijke taal
• Right to erasure / to be forgotten
45. GDPR – Waarom ?
Vanaf 25 May 2018:
– Zeer hoge boetes
– Reputatieschade
max. 20 million OR 4% of global annual turnover
46. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
47. Welke stappen moet ik nemen
om compliant te zijn ?
De Commissie voor de bescherming van de persoonlijke levenssfeer heeft in 13
eenvoudige stappen opgesomd wat u kan doen om compliant te zijn met de GDPR
48. Welke stappen moet ik nemen
om compliant te zijn ?
De Commissie voor de bescherming van de persoonlijke levenssfeer heeft in 13
eenvoudige stappen opgesomd wat u kan doen om compliant te zijn met de GDPR
• Bewustmaking bij sleutelfiguren en beleidsmakers
• Zorg voor een dataregister
• Evalueer je bestaande privacyverklaring
• Evalueer je huidige procedures in functie van de rechten van de betrokkenen
• Voorzie een toegangsprocedure in lijn met de GDPR
• Identificeer de wettelijke grondslag voor elke gegevensverwerking
• Evolueer de wijze waarop je toestemming vraagt, verkrijgt en registreert
• Voorzie een systeem voor toestemming in verband met gegevensverwerking van kinderen
• Voorzie een procedure om datalekken op te sporen, te rapporteren en te onderzoeken
• Privacy by design en Privacy Impact Assessment (PIA)
• Duid, indien nodig, een Data Protection Officer aan
• Bepaal de leidende autoriteit in zake toezichthouden indien je internationaal actief bent
• Beoordeel je bestaande contracten en pas indien nodig aan
https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20NL%20-%20V2.pdf
49. Welke stappen moet ik nemen
om compliant te zijn ?
Enkele voorbeelden van deze documenten zijn :
• Dataregister voor data controller
• Dataregister voor data controller – details verwerking
• Data Protection Impact Assessment
50. Data Protection
1. Over welke gegevens spreken we ?
2. Waarom Data Protection ?
3. Welke maatregelen kan je nemen als individu ?
4. Wat doet de overheid ?
5. Welke stappen moet ik nemen om compliant te zijn ?
6. Hoe kan USG Professionals mij helpen ?
52. DPO – Data Protection Office
Through consultancy
• Projectsourcing DPO’s (Data Protection Officer)
• Individual roadmap towards compliancy
• Training
• Awareness
• IT Security voor juristen
• Legal GDPR voor ICT’ers
• Data Protection Officer (via partnership)
53. DPO – Data Protection Office
Online offering via nieuwe interactieve website
• Risk Analysis Tool
• Helpdesk
• ICT related questions
• Legal related questions
• Policies
• What to take into account with a marketing campaign ?
• What to take into account with a new employment ?
• Checklist Security breach
• Best practices development and data modeling
• Predefined templates
• Registration document
• Data Interchange Agreement
• Webinars
54. Contact
Guy Van der Sande
Competence Centre Manager
http://www.usgprofessionals.be
https://www.linkedin.com/in/vandersandeguy/
@BIGuy_BE