Natuurlijk kan je nooit genoeg over privacy weten, maar als ik - momenteel - 9 dingen moet uitkiezen:
1. Aangifteplicht
2. Vrijstelling klantencommunicatie
3. Verantwoordelijkheden verantwoordelijke van de verwerking
4. Wat een digitale handtekening is
5. Een icon set voor de gestandaardiseerde privacy mededeling?
6. Je werkgever mag niet (zomaar) in je mail snuffelen
7. Bewaartermijnen hou je best zo kort mogelijk
8. Beveilig ook alle persoonlijke 'devices'
9. Verplichting tot informeren & sensibiliseren personeel
2. 1. Aangifteplicht
Vóór dat men een gedeeltelijk of volledig
geautomatiseerde verwerking verricht, moet
deze verwerking bij de Privacycommissie
worden aangeven.
Iedereen kan deze aangifte online raadplegen.
Online aangifte
is €25.
Ook het verzamelen van persoonsgegevens is een verwerking. De aangifte moet dus
gebeuren alvorens je persoonsgegevens registreert.
!
“Voordat wordt overgegaan tot één of meer volledig of gedeeltelijk geautomatiseerde verwerkingen van gegevens die voor de verwezenlijking van een doeleinde of van
verscheidene samenhangende doeleinden bestemd zijn, doet de verantwoordelijke voor de verwerking of, in voorkomend geval, diens vertegenwoordiger, daarvan aangifte bij
de Commissie voor de bescherming van de persoonlijke levenssfeer.” (Privacywet 1992, Art. 17. § 1.)
3. 2. Vrijstelling: Klantencommunicatie
Bepaalde verwerkingen voor administratie ed. zijn vrijgesteld van aangifteplicht. Voor
communicatiedoeleinden geldt dat enkel gegevens verwerkt mogen worden die
noodzakelijk zijn om met de persoon in contact te treden, dat deze slechts voor dit
doeleinde verwerkt mogen worden, dat deze niet mogen worden meegedeeld aan derden,
en dat de data niet langer dan nodig mag worden bewaard.
Deze vrijstelling betekent echter niet dat de andere wettelijke bepalingen niet moeten
worden nageleefd.
De vrijstelling slaat op de aangifte van de verwerking. Voor het versturen van
electronische communicatie blijft “opt-in” de beste keuze.
!
!
“Met uitzondering van de §§ 4 en 8, zijn de bepalingen van artikel 17 van de wet niet van toepassing op verwerkingen van identificatiegegevens noodzakelijk voor communicatie
die alleen worden verricht om met de betrokken persoon in contact te treden wanneer die gegevens niet aan derden worden meegedeeld en niet langer worden bewaard dan
nodig voor het doel van de verwerking.” Art. 57 (KB uitvoering Privacywet, 2001)
4. 3. Verantwoordelijke voor de verwerking
Verantwoordelijke voor de verwerking? Dan ben je ook verantwoordelijk dat contractors en
leveranciers de nodige technische en organisatorische maatregelen nemen om de
gegevens te beveiligen. Dit houdt onder andere in, dat je er op toe ziet dat je:
* Een verwerker kiest die beveiligingswaarborgen biedt
* Deze waarborgen vastlegt in contractuele bepalingen
* De aansprakelijkheid van de verwerker vaststelt in de overeenkomst
Persoonsgegevens mogen slechts worden doorgegeven voor verwerking naar een
land buiten de EU, indien dat land een passend beschermingsniveau waarborgt en de
Belgische privacywet wordt nageleefd, of als de betrokkene daarvoor zijn
! ondubbelzinnige toestemming heeft gegeven.
5. 4. Digitale Handtekening
In tegenstelling tot een ‘pen-op-papier’ handtekening, is een digitale handtekening uniek
gebaseerd op het volledige document dat getekend wordt.
Dit zorgt ervoor dat zowel de authenticiteit (wie is de afzender)
en integriteit (inhoud) van het document onweerlegbaar zijn.
De verzender kan niet
ontkennen dat
hij/zij een bepaald
bericht verzonden heeft.
6. 5. Standaard basis privacy mededeling
Niet wat men normaal bedoelt met ‘privacy by design’, maar de nieuwe Europese privacy
wetgeving voorziet een gestandaardiseerde icon set en UI richtlijnen om ‘essentiele’
privacy informatie weer te geven.
No personal data are collected
beyond the minimum necessary for
each specific purpose of the
processing
No personal data are retained
beyond the minimum necessary for
each specific purpose of the
processing
No personal data are processed for
purposes other than the purposes
for which they were collected
No personal data are disseminated
to non-public third parties for
purposes other than the purposes
for which they were collected
No personal data are sold
No personal data are retained in
unencrypted form
”Standardised information policies” (Data Protection Regulation). Voor een kritische review, zie A brief evaluation of icons suggested for use in standardised information policies
door John Sören Pettersson (Working paper, April 2014)
7. 6. Je werkgever mag niet (zomaar) in uw
e-mail snuffelen
Infobrochure ‘Cybersurveillance’ van de Commissie voor de bescherming van de persoonlijke levenssfeer. Meer informatie over oa toegang tot e-mails van afwezige of ontslagen
werknemers op www.privacycommission.be.
8. 7. Bewaartermijn: zo kort mogelijk
Hou persoonlijke of gevoelige data niet langer bij dan noodzakelijk is voor de
verwerking, of dan is bepaald bij wet.
Data dat je niet hebt
kan noch gestolen worden,
noch verloren gaan.
Als je gegevensdragers (harde schijven, laptops, .. maar
ook smartphones en zelfs kopieerders en printers)
weg doet, zorg er dan voor dat deze of volledig
! vernietigd worden, of absoluut geen data meer bevatten.
9. 8. Beveilig je laptop, smartphone, ..
Niet enkel ‘digitale inbraken’ zorgen voor dataverlies. Als een
laptop of USB stick die persoonlijke data of login informatie
bevat, wordt gestolen of vergeten, is er eveneens sprake van een
data lek. Dus..
Encrypteer de data op je laptop, externe
gegevensdragers, .. en eventuele zelfs smartphone.
Indien mogelijk, voorzie de mogelijkheid tot het wissen
van de gegevens van op afstand (remote-wipe).
Stel schermbeveiliging (laptop én smartphone) zo in
dat ze automatisch activeert na korte tijd, en een code
nodig is om ze te unlocken.
*
*
*
10. 9. Informeer & sensibiliseer
Voorlichting van personeel is een
belangrijke factor in je privacy en
informatiebeveiligings beleid. Je
moet, zorgen dat personeel dat met
‘personal data’ werkt op de hoogte is
van de wetgeving rond privacy.
Ook op vlak van informatiebeveiliging
geef je best regelmatig tekst en uitleg
bij de online communicatie en
operationele richtlijnen.
PASSWOORD = TROUWDAG
PASSWOORD = HUISDIER
PASSWOORD = EX−LIEF CHECLKLIST
Probeer iets te
kiezen dat niet op
Facebook staat!
deur gang
alar m op?
sleutel terug
OPLEIDINGEN
Nieuwe classf A52 11/10
Training fileshare system 24/01
“De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet: .. 3° alle personen die onder zijn gezag handelen, kennisgeven van de
bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van
persoonsgegevens gelden;” Art. 16. § 2. (Privacywet, 1992)
11. Wat zijn jou must-know tips
(deze zijn meer dan welkom op ann.wuyts@arguslabs.com)
INSPIRED BY A FASCINATING COURSE AT THE DP-INSTITUDE.EU
Ann Wuyts (@vintfalken) for