20180426 legal challenges related to blockchain technology
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
1. Sirius Legal
De impact van de GDPR op vzw’s en verenigingen
Socialware, Brussel, 20 juni 2017
2. We leven in een digitale samenleving…
Basis van alles wat online gebeurd is data
Big data
Collect all you can now – figure out what to do with it later
Profiling
Maximale tracking
Location based
Trigger based
Internet of things
Data zijn in veel gevallen betaalmiddel geworden voor “gratis diensten”
(cfr. Voorstel RL 2015/0287)
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
3. Vertaald in legal speak
Meten, analyseren, remarketen, profilen, … vereist data
Data verzamelen = General Data Protection Regulation…
Uitgebreide aanpassingen aan hoe data verzameld en verwerkt mag
worden vanaf mei 2018
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
4. General Data Protection Regulation
In werking op 25 mei 2018
Géén overgangsperiode
Privacycommissie zal (zeer hoge) boetes kunnen opleggen
Elke organisatie die data in handen heeft moet zich in regel stellen
+ zal van zijn partners, sponsors, donors, leveranciers, leden, … verwachten dat zij in regel
zijn
Organisaties kunnen best GDPR compliance zien als asset ipv als risico of last…
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
5. (Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Wie wordt hierdoor geviseerd?
IEDEREEN die persoonsgegevens bijhoudt of verwerkt
Persoonsgegeven = elk stuk informatie dat toelaat om rechtstreeks of
onrechtstreeks een persoon te identificeren
Naam, adres e-mail
IP adres
Hobby’s, aankoopgedrag, voorkeuren, geslacht, seksuele voorkeur, medische
gegevens, religie, lidmaatschap van vakbonden, politieke voorkeur, …
Ongeacht of voor winstdoeleinden of niet
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
6. (Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Wie wordt hierdoor geviseerd?
IEDEREEN die persoonsgegevens bijhoudt of verwerkt
Ook non-profit organisaties
Goede doelen
(sport-)verenigingen
Ziekenhuizen, rusthuizen, …
Overheden
Oudercomités
Scholen en scholengroepen
…
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
7. General Data Protection Regulation
Inhoud
Processen en procedures (DPO, DPIA, Logboek verwerkingsactiviteiten
Werking overheid, internationale samenwerking, boetes en sancties, …
Algemene principes
Informatieverstrekking, opbouw database, opt-in, bescherming minderjarigen, …
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
8. Basisprincipes uit de GDPR
Accountability
Transaprancy
Data Protection by design
Data protection by default
Purpose limitation
Data minimisation
Accuracy
Limited retention time
Data security
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
9. Vertaald in legal speak
Accountability Big data
Transparancy Collect now – use later
Data Protection by design Alles meten is alles weten
Data protection by default “spontaan” data bijhouden
Purpose limitation ongevraagd data bijhouden
Data minimization Ongevraagd data delen met derden
Accuracy …
Limited retention time
Data security Vereist fundamentele shift in visie op “data”
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
10. (Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Basis van alle marketing is data
Remarketing
Iedereen is individualiseerbaar en bereikbaar
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
11. Tools / software / derde partijen
Werken met onderaannemers die data verwerken
Werken met tools of software die data verwerken
Werken met online services die data verwerken
Verplichting om enkel te werken met “veilige” partijen (garanties vragen)
Verplichting om geschreven contracten te hebben
Lijst van verplichte clausules in zulke contracten
= Noodzaak tot audit of mapping van contracten, licenties, gebruiksvoorwaarden, …
Mailchimp, Criteo, Eventbrite, (Google) Analytics, interne messaging zoals bvb Slack, …
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
12. Over opt-ins en toestemmingen
Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”)
Voorafgaande opt-in blijft de basisregel (+ vanaf nu bewijs vereist!)
“Verwerking is noodzakelijk om contract uit te voeren”
“Gerechtvaardigde redenen”
DM “may be considered” een rechtvaardige reden, maar “Personal data should be
processed only if the purpose of the processing could not reasonably be fulfilled by other
means”
Dus niet zomaar automatisch OK
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
13. Over opt-ins en toestemmingen
“Voorwaarden voor toestemming”
Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet zo)
Verzoek om toestemming moet in begrijpelijke, duidelijke en eenvoudige taal gevraagd
en onderscheiden van andere gevraagde akkoorden
Betrokkene kan toestemming op elk ogenblik intrekken (geen terugwerkende kracht)
Toestemming moet vrij gegeven zijn: géén toestemming verplichten voor verwerking die
niet noodzakelijk is voor leveren van dienst/uitvoeren van overeenkomst
Klassiek voorbeeld: verplichte opt-in om korting te krijgen of om aan wedstrijd deel te
nemen
(is in aantal lidstaten nu al verboden)
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
14. Over opt-ins en toestemmingen
Voorafgaande opt-in blijft de basisregel, tenzij “gerechtvaardigde reden”
Remarketing – automatisch bijhouden van locatiegegevens – doorgeven van ledengegevens
aan derden – Bijhouden van gegevens van donors voor latere marketing - …
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
15. (Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Analytics – e-mail tagging
Alles is kwantificeerbaar
Meestal zonder opt-in
Verwerking van persoonsgegevens (IP-adres)? Gerechtvaardigd belang?
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
16. (Online) marketing vandaag…
Heatmapping
Alles is meetbaar
Meestal zonder opt-in
Verwerking van persoonsgegevens (IP-adres)? Gerechtvaardigd belang?
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
17. (Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Basis van alle marketing is data
Remarketing
Iedereen is individualiseerbaar en bereikbaar
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
18. Minderjarigen
Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar)
Altijd expliciete toestemming van ouders vereist!
“redelijke inspanningen” om leeftijd te checken en toestemming te bekomen
eID?, Facebook login?, credit card data?, live chat, …?
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
19. Profiling en elektronische beslissingname
Profilering: “elke vorm van geautomatiseerde verwerking van persoonsgegevens
waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van
een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn
beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren,
interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of
te voorspellen;”
Véél ruimer dan oude definitie. Vroeger enkel als volledig geautomatiseerd en
als er gevolgen voor de persoon aan verbonden waren.
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
20. Profiling en elektronische beslissingname
Recht
Niet onderworpen te worden aan profiling
En/of aan automatische beslissingen
Die juridische gevolgen of andere significante gevolgen hebben
Die enkel gebaseerd zijn op automated processing of data
Voorbeelden
Prestaties op het werk, kredietwaardigheid en betrouwbaarheid
Geldt ook voor DM “beslissingen” (bvb send offer of niet)
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
21. Databanken huren of kopen
Verplichting om betrokken te verwittigen als zijn gegevens verzameld of doorgegeven
zijn zonder zijn voorafgaande toestemming
Binnen 30 dagen of bij eerste contact
= Data bekomen van data brokers, partner organisaties, online verzameld…
Verplichting vervalt als
Betrokkene al op de hoogte is of informatieplicht disproportionele inspanning vereist
(= open door voor creativiteit…)
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
22. General Data Protection Regulation
Ook rest van GDPR heeft impact op VZW’s en verenigingen
Logboek verwerkingsactiviteiten
Meldplicht datalekken
Technische en organisatorische maatregelen
Data Protection Officer
Data Protection Impact Assessment
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
23. Be prepared…
Belangrijkste artikels (cfr. profiling = high risk processing)
Boetes tot 20 mio euro
Boetes tot 4% van wereldwijde omzet
Hervorming van Privacycommissie zal leiden tot effectieve controles
Level playing field in EU zal leiden tot (strenge) controles op niveau van
buurlanden
+ schadevergoeding voor betrokkenen
GDPR is niet alleen risico, maar opportuniteit (compliancy als trust/sales
argument)
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
24. De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
25. De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
26. De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
27. De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
28. Cookies…?
ePrivacy Verordening
Zou er ook in 2018 aan moeten komen
Einde van de cookiefrustraties in zicht?
Praktische bezwaren
Nog even afwachten…
De impact van de GDPR op VZW’s en verenigingen
Socialware, Brussel, 20 juni 2017
29. Today’s message: Don’t be this guy, be prepared…
Alle moderne online handel en marketing zijn afhankelijk van persoonsgegevens
“Alles” is persoonsgegeven
EC: “data has become a currency” (cfr. ontwerp richtlijn 2015/0287)
Boetes tot 4% omzet of 20 mio euro
Klanten-, leden-, donorenverlies
Imagoschade
Schadevergoedingen
The clock is ticking…
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
30. Media & advertisement law
Copyright - trademarks - datebase - software - knowhow
Travel & consumer protection
Tax & tax planning
IT, Internet & e-commerce
Privacy & cookies
Gambling & gaming
Sirius Legal
Media & advertisement law
IP law
Internet & e-commerce
Privacy & cookies
Gambling law
Travel & consumer protection
Commercial contracts
Corporate / taks / labour / real estate
bart@siriuslegal.be
www.siriuslegal.be – www.start2gdpr.be
@BartVdBrande
Linkedin.com/in/bartvdb