Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Sirius Legal
De impact van GDPR op uw bedrijf
Infotopics, Antwerpen, 7 november 2017
Media & advertisement law
Copyright - trademarks -
datebases - software - knowhow
Travel & consumer protection
Tax & tax p...
Voormiddag (9uur-12u15uur)
Korte inleiding 9u00
De toepassing en reikwijdte van de GDPR 9u15
wat zegt de wet vandaag?
wat ...
Namiddag (13uur – 17uur)
Vervolg:
Wat zegt de GDPR nu eigenlijk? 13u30 tot 14u00
Cookies, spam en telemarketing 14u00
ePri...
Inleiding
door Bart Van den Brande
General Data Protection Regulation
We leven in een digitale samenleving…
Basis van alles wat online gebeurd is data
Big data
Collect all you can now – figure...
General Data Protection Regulation
In werking op 25 mei 2018
Géén overgangsperiode
Overheid zal (zeer hoge) boetes kunnen ...
General Data Protection Regulation
Concrete aanleidingen
Location / Server based principe is niet meer realistisch in Clou...
De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgege...
Aanleiding tot GDPR/AVGB (zie o.m. toelichting en overwegingen bij GDPR)
Privacywet / Richtlijn is niet meer aangepast aan...
Concrete aanleidingen
Location based / Server based principe is niet meer realistisch in Cloud omgeving en
global economy
...
DG Justice in handen van Viviane Reding vanaf 2010
25 januari 2012 GDPR/AVGB aangekondigd
Eerste ontwerptekst EP op 21 okt...
Privacy
Voor alle diensten aangeboden in EU (ook gratis)
Personal data = ook online identifiers, “pseudonymous data”
Expli...
De toepassing en reikwijdte van de GDPR
door Andries Hofkens
General Data Protection Regulation
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Afbakening toepassingsgebied
Wat is privac...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Recht op privacy – een mensenrecht
Artikel...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Persoonsgegevens”
Richtlijn 95/46/EG & Be...
General Data Protection Regulation
Toepassing van wetgeving gegevensbescherming
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Persoonsgegevens”
“informatie” over
“natu...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Persoonsgegevens”
Vallen er dus buiten:
-...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Persoonsgegevens”
“Bijzondere categorieën...
Bijzondere categorieën van gegeven
Ras, etnie, religie, seksuele voorkeur, politieke voorkeur, lidmaatschap vakbond,
medis...
Bijzondere categorieën van gegeven
Strafrechtelijke gegevens
Alleen onder toezicht van de overheid
Of als de (nationale) w...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Persoonsgegevens”
Enkele voorbeelden:
- R...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verwerking”
Richtlijn 95/46/EG & Belgisch...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verwerking”
Definitie = zeer ruim
“verzam...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verwerking”
Toepassing privacywetgeving:
...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verwerking”
Uitgesloten van toepassing pr...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verantwoordelijke” of “Verwerker”
“Verant...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
“Verantwoordelijke” of “Verwerker”
“Verwer...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriaal toepassingsgebied
Europees pr...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriaal toepassingsgebied
Toepassing ...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriale toepassing: doorgifte naar bu...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriale toepassing: doorgifte naar bu...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriale toepassing: doorgifte naar bu...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriale toepassing: doorgifte naar bu...
Toepassing van wetgeving gegevensbescherming
General Data Protection Regulation
Territoriale toepassing: handhaving
Geen u...
Wat staat er nu concreet in de GDPR?
(deel 1)
door Bart Van den Brande
General Data Protection Regulation
Basisprincipes uit de GDPR
Accountability
Transparancy
Data Protection by design
Data protection by default
Purpose limita...
(Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw mar...
Accountability (= HET basisconcept van de GDPR)
De facto betekent dit audit van uw onderneming (paraplu…)
In geval van dat...
Data Protection by Design
Voor elke nieuwe app, elke nieuwe tool, elke nieuwe software, elk nieuw proces, …
Voorafgaand aa...
Purpose limitation – limited retention time – data minimisation
Vereist globale denkoefening op ganse database (+documente...
Informatieplichten en toestemming
Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”)
Voorafgaande opt-i...
(Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw mar...
(Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw mar...
Opt-in of uitvoering contract of “gerechtvaardigd belang”
Vereist globale denkoefening op ganse database (+ documenteren!)...
Privacy
“Voorwaarden voor toestemming”
Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet ...
Onvoorwaardelijke opt-in
Vereist controle en denkoefening op alle bestaande opt-ins en op alle forms
Vragen we opt-in?
Is ...
Informatieplichten en toestemming
Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar)
Altijd expliciete toes...
Privacy
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden
ID en contactgegevens verantwoor...
Privacy
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen
worden
“Binnen een redelijke termijn ma...
Informatieplichten en toestemming
Verplichting vervalt als
Betrokkene al op de hoogte is
of
Informatieplicht disproportion...
Gegevens verkregen van een derde bron
Vereist controle en denkoefening op alle aanwezige data
Is data zelf verzameld?
Is d...
Privacy
Verzet tegen profiling
Profilering: “elke vorm van geautomatiseerde verwerking van
persoonsgegevens waarbij aan de...
Privacy
Verzet tegen profiling
Profiling is overal…
Trigger based marketing = profiling
Location based marketing kan profi...
Privacy
Verzet tegen profiling
“Vanwege met zijn specifieke situatie verband houdende redenen”
Bezwaar maken tegen verwerk...
Recht om zich te verzetten tegen elektronische beslissingname
Recht
Niet onderworpen te worden aan automatische beslissing...
Privacy
Recht op verwijdering (“right to be forgotten”)
“Zonder onredelijke vertraging” verwijdering bekomen als:
Persoons...
Privacy
“Pseudonieme data” - “anonieme data” – “encryptie” – “tokenisatie”
Als data niet gekoppeld is aan identiteit, heef...
Privacy
Recht op overdraagbaarheid van gegevens
Betrokkene heeft recht om door hem verstrekte gegevens op te vragen bij
ve...
Profiling en elektronische beslissingname
Vereist controle en denkoefening op alle aanwezige data
Profielopbouw?
Op basis ...
Wat staat er nu concreet in de GDPR?
(deel 2)
door Bart Van den Brande
General Data Protection Regulation
Data security maatregels
“Processor shall implement appropriate technical and organizational measures,
to ensure an approp...
Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Paswoordbeleid
Bring your own device belei...
Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Self assessment tools
Of intern team
Of ex...
Data Protection Impact Assessment
Als mogelijks grote impact op privacyrechten
Verplichting om voorafgaande impact assessm...
PIA vs DPIA
Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI)
Privacy Impact Assessment
= “GAP a...
PIA vs DPIA
Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI)
Data Protection Impact Assessment
...
Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI)
Data Protection Impact Assessment
Als mogelijk...
“Risico” (Aanbeveling PrivCom CA-AR-2016-004):
Als verwerking kan leiden tot discriminatie, identiteitsdiefstal of –fraude...
Wanneer zeker wel volgens PrivCom?
Biometrische of genetische gegevens
Wanneer data verzameld is bij derden en gebruikt wo...
Wanneer zeker niet volgens PrivCom?
Verwerking uitsluitend m.o.o. interne loonadministratie (als enkel gedeeld met betrokk...
Minimale vereisten voor DPIA voor PrivCom
Systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleind...
Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Self assessment tools
Of intern team
Of ex...
Self assessment audit
Methodiek
1. Documenteer het gebruik van persoonsgegevens
2. Identificeer risico’s
3. Identificeer r...
Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Self assessment tools
Of intern team
Of ex...
Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Self assessment tools
Of intern team
Of ex...
Werken met onderaannemers die data verwerken
Verplichting om enkel te werken met “veilige” onderaannemers (garanties vrage...
In het kader van globale privacy-audit tegen mei 2018
Noodzaak tot audit of mapping van ALLE
Contracten met derden, consul...
In het kader van globale privacy-audit tegen mei 2018
Mailchimp, Wetransfer, Criteo, Eventbrite, (Google) Analytics, Slack...
Register van verwerkingsactiviteiten
Verplichting om een “logboek van verwerkingsactiviteiten” bij te houden
Daarin ID ver...
Register van verwerkingsacticviteiten
Aan te maken voor mei 2018
Zo stipt en zo precies mogelijk bij te houden
Accountabil...
Register van verwerkingsactiviteiten
Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
W...
General Data Protection Regulation
Interne business processen
Logboek van verwerkingsactiviteiten
Verplichting om een “Reg...
Register van verwerkingsactiviteiten
Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
W...
Register van verwerkingsactiviteiten
Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
W...
Register van verwerkingsactiviteiten
Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
W...
Register van verwerkingsactiviteiten
Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
W...
Verplichting om Privacycommissie te verwittigen van elke data breach
Asap of ten laatste binnen 72 uur
Aard van de breach,...
Data breach notification
Onderzoek potentiële data breach risico’s
Elimineer data breach risico’s
Train personeel (awarene...
Privacy
Data Protection Officer
Als kernactiviteit bestaat uit verwerken van persoonsgegevens
Of data monitoring op grote ...
Data Protection Officer
Neem een Data Protection Officer onder de arm!
Privacy
Work load om compliancy te bereiken
Privacy
“Baseline” nulmeting en jaarlijks actieplan
Privacy
“Baseline” nulmeting en jaarlijks actieplan
Marketing, cookies & spam
door Bart Van den Brande
Wet van 8 december 1992 (WVP), nu art. 110 e.v. WER
Ontvangen van e-mails of andere directe berichten met reclame
Explicie...
Privacy
Nog even de headlines over spam
Privacy
Nog even de headlines over spam
Spamregels gelden voor alle elektronische communicatie
+ voor fax!
Dus ook voor di...
Privacy
Nog even de headlines over spam
No go:
- Verplichte opt-in om aan wedstrijd deel te nemen/voordeel te krijgen/te r...
Cookies
Wat background
Wat zijn cookies?
“A cookie is a small amount of data generated by a website and saved on your comp...
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
Cookies
Wat background
Wat zijn cookies?
first party cookies vs. third-party cookies
door website door Google Analytics or ad brokers
functional ...
The legal small print (art. 129 Telecomwet)
“De opslag van informatie of het verkrijgen van toegang tot informatie die ree...
The legal small print
Altijd opt-in
Behalve voor zuiver functionele cookies:
Absoluut nodig om technische redenen
Absoluut...
The legal small print
Belgische wet bevat geen detail over:
Hoe waarschuwing gegeven moet worden
Hoe opt-in bekomen moet w...
The legal small print
Maar
EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)
“Workin...
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Opt-in moet
Vrij zijn (i.e. mogelijkheid bestaan om web...
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Dus praktisch
Informatie over gebruik van cookies, type...
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
User-input cookie
(bvb: mandje) als
sessie
Authentifica...
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Pop-up?
Splash screen?
Waarschuwing in banner of footer...
Wat betekent dit voor u?
Wat betekent dit voor u?
Wat betekent dit voor u?
Wat betekent dit voor u?
Oh, ook nog:
Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een b...
Wat betekent dit voor u?
Impact van cookiewet
Niet erg efficiënt
Storend voor surfer
Verlies aan traffic en/of data voor w...
Wat betekent dit voor u?
En als ik de wet niet naleef?
Wat betekent dit voor u?
Internationale context
Zoveel wetgevingen als er lidstaten zijn…
Probleem: als je je specifiek ri...
Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Basis voor pan-Europes...
Wat betekent dit voor u?
Internationale context
Working Party 29 advies van oktober 2013:
Opt-in voor cookies los van ande...
Wat betekent dit voor u?
Internationale context
Cookie wetgeving wordt dit jaar herzien op Europees niveau
In kader van e-...
Nog een verordening over privacy?
Aanvulling op GDPR met aantal materies die daar niet behandeld zijn, maar wel “privacy” ...
Cookies?
Gezond verstand lijkt te zullen zegevieren
Expliciete toestemming van eindgebruiker voor plaatsen cookies wordt/b...
Direct marketing?
Weinig wijzigingen tav op heden in België geldende regels
Opt-in blijft principe
Uitzondering voor besta...
Direct marketing?
Versterking van de rechten van de consument
Consument krijgt recht om inkomende gesprekken van anonieme ...
Vertrouwelijkheid?
Formeel bevestigen van “briefgeheim” voor elektronische communicatie
Letterlijk verbod op telefoontap, ...
Timing & boetes
Bedoeling is inwerkingtreding samen met GDPR
Maar dit is slechts eerste ontwerp
Timing wordt moeilijk
Boet...
Do-not-call-me
Art. VI.111 e.v. WER - In werking sinds 11/07/2015
Omgekeerd principe van anti-spam:
Bellen is in se toeges...
Do-not-call-me
Vzw DNCM beheert lijst (onder toezicht en beheer van BDMA)
Akkoord met 9 grootste operatoren
Database is to...
Do-not-call-me
“telefonische oproep voor DM doeleinden”?
Definitie “reclame” in WER is zeer breed. Elke communicatie die r...
Do-not-call-me
Opname op lijst moet binnen 5 dagen na verzoek
Initieel was termijn nog korter voorzien
Cfr.:
Privacywet ge...
Do-not-call-me
Opname op lijst DNCM
≠ verbod verdere verwerking persoonsgegevens
≠ verbod om sms te zenden
≠ verbod op e-m...
Do-not-call-me
Opname op lijst DNCM
Mogelijk moet door operator geboden worden
Gratis
Intrekbaar
Bewijslast ligt bij opera...
Do-not-call-me
Alle info op:
https://www.bel-me-niet-meer.be/
Do-not-call-me
Sancties
Inbreuk = inbreuk op WER
Boetes tot 250.000 euro…
Do-not-call-me
Problemen met Do Not Call Me
Technisch moeilijk voor KMO – plicht om licentie op lijst te nemen
Licenties z...
Robinsonlijst
“Ik wil geen papieren DM meer ontvangen
Geen wettelijke basis
Sectorinitiatief van BDMA en in se enkel binde...
Robinsonlijst
Door in te schrijven in de Robinson Mail-lijst ontvangt men geen DM op naam meer over producten of
diensten ...
De Data Protection Officer: rol, taken, positie
door Freekje De Vidts
General Data Protection Regulation
Wanneer DPO aanduiden?
Data Protection Officer
• Door de verwerker en de verantwoordelijke voor de verwerking
• In 3 situa...
Wanneer DPO aanduiden?
Data Protection Officer
Advies WP29:
• “hoofdzakelijk belast” ?
Vb. Ziekenhuis, beveiligingsfirma,…...
Wanneer DPO aanduiden?
Data Protection Officer
Vrijwillige aanstelling DPO is uiteraard steeds mogelijk
MAAR: Opletten met...
Wat zijn de taken van de DPO?
Data Protection Officer
• Informeren en adviseren (WG/WN)
“tijdig betrekken”
• Toezien op de...
Wat is NIET de taak van de DPO?
Data Protection Officer
Het zélf uitvoeren van een DPIA, enkel advies verlenen over of er ...
Wat is de positie van de DPO in uw organisatie?
Data Protection Officer
Personeelslid OF via dienstverleningsovereenkomst ...
Wat is de positie van de DPO in uw organisatie?
Data Protection Officer
• Kan andere taken en verplichtingen vervullen (gé...
Wat is de positie van de DPO in uw organisatie?
Data Protection Officer
Aandachtspunten bij keuze voor “DPO as a service”:...
Wat is de positie van de DPO in uw organisatie?
Data Protection Officer
Concreet voorbeeld: de aankoop van nieuwe CRM-soft...
Wie kan DPO zijn en welke kwaliteiten?
Data Protection Officer
• GDPR is zeer beknopt
• WP29 verduidelijkt:
Level of exper...
Wie kan DPO zijn en welke kwaliteiten?
Data Protection Officer
 Welke achtergrond?
IT?
Legal?
Management?
Privacy op de werkvloer
door Freekje De Vidts
General Data Protection Regulation
GDPR-bepalingen in het kader van de arbeidsverhouding: zeer beknopt (art. 88)
 Nationale wetgever moet dit nog regelen (!...
Privacyrecht vs. arbeidsrecht
Privacy op de werkvloer
MAAR: Werknemer verliest zijn recht op privacy niet op de werkvloer
...
Overlopen HR-processen
Privacy op de werkvloer
Recruitment en
selectie
Payroll
administratie
HR-administratie Evaluatie
Ei...
Recruitment en selectie
Privacy op de werkvloer
• Welke data?
C.V., motivatiebrief, attest goed gedrag & zeden, diploma’s ...
Privacy op de werkvloer
• Welke data?
Naam, adres, telefoon, e-mailadres, gezinssamenstelling, loon, bonussen, prikklok
ge...
Privacy op de werkvloer
• Welke data?
Contactpersoon in nood, gegevens omtrent allergiëen, maaltijd-voorkeuren, aankoop
be...
Privacy op de werkvloer
• Welke data?
Evaluatieformulieren, nota van verantwoordelijke/manager, interne
beoordelingsdocume...
Privacy op de werkvloer
• Welke data?
Alle voorgaande data
• Aandachtspunten
• Opslaan/bijhouden
• Toegang (van belang bij...
Privacy op de werkvloer
Specifieke cases - Camerabewaking
Geregeld door CAO nr.68 voor private sector <-> Camerawet
Bevest...
Privacy op de werkvloer
Specifieke cases - Camerabewaking
Informatieverplichting t.a.v. werknemers (doel, bewaring van de ...
Privacy op de werkvloer
Specifieke cases – Geo lokalisatie
Lokalisatie van dienstvoertuigen van werknemers => verwerking v...
Privacy op de werkvloer
Specifieke cases –
Monitoring Internet en e-mail
Werkgever heeft recht op controle
<-> Werknemer h...
Privacy op de werkvloer
Specifieke cases – Monitoring Internet en e-mail
Finaliteit:
• het voorkomen van ongeoorloofde of ...
Privacy op de werkvloer
Specifieke cases – Monitoring Internet en e-mail
• Proportionaliteit:
Geen inmenging in persoonlij...
Privacy op de werkvloer
Specifieke cases – Monitoring Internet en e-mail
• Transparantie
Ondernemingsraad, Comité Preventi...
Rechtsbescherming en toezicht
door Freekje De Vidts
General Data Protection Regulation
General Data Protection Regulation
Rechtsbescherming en toezicht
Commissie voor bescherming Persoonlijk Levenssfeer (feder...
General Data Protection Regulation
Rechtsbescherming en toezicht
Hervorming CBPL naar Gegevensbeschermingsautoriteit mét t...
General Data Protection Regulation
Rechtsbescherming en toezicht
Bron: Presscenter.org
General Data Protection Regulation
Rechtsbescherming en toezicht
Zéér ruime bevoegdheden GBA: NIEUW
- Seponeren,
- Overmak...
General Data Protection Regulation
Rechtsbescherming en toezicht
Ook: Administratieve geldboete opleggen NIEUW
Rekening ho...
General Data Protection Regulation
Rechtsbescherming en toezicht
Hoogte van de administratieve boete:
Variërend van 10mio ...
General Data Protection Regulation
Rechtsbescherming en toezicht
Hoogte van de boete:
… tot 20mio EUR of 4% van de totale ...
General Data Protection Regulation
Rechtsbescherming en toezicht
Onverminderd toegang tot burgerlijke rechter bij inbreuke...
Uw vragen, cases & debat
Wat wij doen…
15 & 30 november
15 & 29 januari
15 & 28 februari
15 & 30 maart
Dubbele workshops kleine groepen (max 20 dee...
Media & advertisement law
Copyright - trademarks -
datebases - software - knowhow
Travel & consumer protection
Tax & tax p...
Upcoming SlideShare
Loading in …5
×

Infotopics GDPR seminarie by Sirius Legal

787 views

Published on

Slides van ons full day GDPR seminarie bij Infotopics op 10/11/17

Published in: Law
  • Be the first to comment

Infotopics GDPR seminarie by Sirius Legal

  1. 1. Sirius Legal De impact van GDPR op uw bedrijf Infotopics, Antwerpen, 7 november 2017
  2. 2. Media & advertisement law Copyright - trademarks - datebases - software - knowhow Travel & consumer protection Tax & tax planning IT, Internet & e-commerce Privacy & cookies Gambling & gaming www.siriuslegal.be bart@siriuslegal.be @BartVdBrande LinkedIn.com/in/bartvdb
  3. 3. Voormiddag (9uur-12u15uur) Korte inleiding 9u00 De toepassing en reikwijdte van de GDPR 9u15 wat zegt de wet vandaag? wat brengt de toekomst? wat zijn “persoonsgegevens”, “verwerking”, “verantwoordelijke”, “verwerker, …” Wat zegt de GDPR nu eigenlijk? 11u00 – 12u15 Algemene principes Verwerkingsgronden Register van verwerkingsactiviteiten DPO PIA (gap analyse) vs. DPIA Compliance traject naar mei 2018 General Data Protection Regulation
  4. 4. Namiddag (13uur – 17uur) Vervolg: Wat zegt de GDPR nu eigenlijk? 13u30 tot 14u00 Cookies, spam en telemarketing 14u00 ePrivacy verordening cookies rol van online marketing Data Protection Officer 14u45 Privacy op de werkvloer 15u15 Rechtsbescherming en toezicht 16u00 Vragen – discussie – debat 16u30 General Data Protection Regulation
  5. 5. Inleiding door Bart Van den Brande General Data Protection Regulation
  6. 6. We leven in een digitale samenleving… Basis van alles wat online gebeurd is data Big data Collect all you can now – figure out what to do with it later Profiling Maximale tracking Location based Trigger based Internet of things Data zijn in veel gevallen betaalmiddel geworden voor “gratis diensten” (cfr. Voorstel RL 2015/0287)
  7. 7. General Data Protection Regulation In werking op 25 mei 2018 Géén overgangsperiode Overheid zal (zeer hoge) boetes kunnen opleggen Risico op uitsluiting dekking verzekering, ASH tav derden, consumentenorganisaties, imagoschade Elke organisatie die data in handen heeft moet zich in regel stellen + zal van zijn partners, sponsors, donors, leveranciers, leden, … verwachten dat zij in regel zijn Organisaties kunnen best GDPR compliance zien als asset ipv als risico
  8. 8. General Data Protection Regulation Concrete aanleidingen Location / Server based principe is niet meer realistisch in Cloud omgeving en global economy 28 lidstaten, 28 regelgevingen, 28 “DPA”, 28 boetesystemen, 28 interpretaties Belemmert eengemaakte markt Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen, beperkte mankracht, te weinig goede profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, … Forum shopping (alle grote ISP zitten in Ierland…) Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)
  9. 9. De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens Op basis van Richtlijn 95/46/EG - Boek XII WER Andere tijden… Geen online marketing Geen “profiling” Geen “cookies” Geen “tracking” Geen “location based markeing” Geen “trigger based marketing” Geen e-commerce Geen social media Minder dan 1% van de EU-bevolking gebruikte internet in 1995… Privacy De basics van het privacyrecht
  10. 10. Aanleiding tot GDPR/AVGB (zie o.m. toelichting en overwegingen bij GDPR) Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve ontwikkelingen Facebook en Twitter bestonden niet in 1995 Internet of Things Big data & profiling op grote schaal Trigger based, location based, … Veelheid aan devices, opkomst van apps Cloud toepassingen Drones Privacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287 van eind mei 2016) Privacy Privacyverordening vanaf 1 mei 2018
  11. 11. Concrete aanleidingen Location based / Server based principe is niet meer realistisch in Cloud omgeving en global economy 28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28 interpretaties Belemmert eengemaakte markt Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig goede profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, … Forum shopping (alle grote internet service providers zitten in Ierland…) Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…) Privacy Privacyverordening vanaf 1 mei 2018
  12. 12. DG Justice in handen van Viviane Reding vanaf 2010 25 januari 2012 GDPR/AVGB aangekondigd Eerste ontwerptekst EP op 21 oktober 2013 Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland) Zware lobby (cfr. “affaire Michel”) Impact van civil rights (via LIBE committee) groot Afgezwakt in laatste instantie door DM sector Akkoord in Europese Raad op 15 juni 2015 Vanaf dan tot eind 2015 3X overleg tussen EP, EC en Raad Uiteindelijk akkoord in december 2015 Goedgekeurd in april 2015 Inwerkingtreding 1 mei 2018 Privacy Privacyverordening vanaf 1 mei 2018
  13. 13. Privacy Voor alle diensten aangeboden in EU (ook gratis) Personal data = ook online identifiers, “pseudonymous data” Expliciete opt-in of “gerechtvaardigde redenen voor verwerking” Informatieplicht (icons) Recht om profiling te weigeren Right to be forgotten Data breach plichten “Data protection by design” “Data protection officer” Instemming van ouders voor minderjarigen Sancties: tot 4% van jaarlijkse omzet of 20 mio euro Privacy Privacyverordening vanaf 1 mei 2018
  14. 14. De toepassing en reikwijdte van de GDPR door Andries Hofkens General Data Protection Regulation
  15. 15. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Afbakening toepassingsgebied Wat is privacy? Wat is een persoonsgegeven? Wat is verwerking? Wie is verantwoordelijk? Welke wetgeving is van toepassing? Belang voor toepassing van de wetgeving!
  16. 16. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Recht op privacy – een mensenrecht Artikel 22 Grondwet Artikel 8 EVRM Artikel 7 & 8 HGEU Artikel 12 UVRM “recht op privéleven en “recht op privéleven, gezinsleven, “recht op privéleven, familie- en “recht op bescherming tegen gezinsleven” woning en briefwisseling” gezinsleven, woning, willekeurige inmenging in communicatie en gegevens” persoonlijke aangelegenheden, gezin, tehuis, briefwisseling, eer of goede naam”
  17. 17. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Persoonsgegevens” Richtlijn 95/46/EG & Belgische Wet Verwerking Persoonsgegevens: “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” Verordening 2016/679 EU (GDPR): “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”
  18. 18. General Data Protection Regulation Toepassing van wetgeving gegevensbescherming
  19. 19. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Persoonsgegevens” “informatie” over “natuurlijke personen” die dus: géén rechtspersonen en géén overledenen wél: e.b.v.b.a., bestuurders, aandeelhouders, … “geïdentificeerd” of minstens “identificeerbaar zijn” dus: geen anonieme data wél: pseudonieme data die redelijkerwijze kunnen leiden tot identificatie
  20. 20. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Persoonsgegevens” Vallen er dus buiten: - Anonieme gegevens - Statistische tellingen - Gegevens over rechtspersonen of overheid - “Open data” (misschien wel anderszins beschermd) Opgelet! Identificatie mogelijk door analytische profilering => anonieme data ook persoonsgegevens
  21. 21. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Persoonsgegevens” “Bijzondere categorieën” van persoonsgegevens met speciale bescherming wegens hun gevoelige aard! - Ras en etnie - Politieke, religieuze of levensbeschouwelijke overtuiging en syndicaal lidmaatschap - Genetica NIEUW, biometrie NIEUW en gezondheid - Seksuele geaardheid en gedrag Géén: geslacht of financiële gegevens
  22. 22. Bijzondere categorieën van gegeven Ras, etnie, religie, seksuele voorkeur, politieke voorkeur, lidmaatschap vakbond, medische en biometrische gegevens Verbod op verwerking tenzij … Toestemming Door vzw die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is Extra veiligheidsmaatregelen vereist Rechten en plichten verbonden aan uw database
  23. 23. Bijzondere categorieën van gegeven Strafrechtelijke gegevens Alleen onder toezicht van de overheid Of als de (nationale) wet het expliciet toestaat Rechten en plichten verbonden aan uw database
  24. 24. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Persoonsgegevens” Enkele voorbeelden: - Rijksregisternummer? - Professioneel emailadres? - Statisch of dynamisch IP adres? MAC adres? - “Like” op Facebook? - Trafiek op websites? - B2B-gegevens? - Ongeborenen?
  25. 25. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verwerking” Richtlijn 95/46/EG & Belgische Wet Verwerking Persoonsgegevens: “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés” Verordening 2016/679 EU (GDPR): “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”
  26. 26. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verwerking” Definitie = zeer ruim “verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens” NIEUW profilering gedefinieerd
  27. 27. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verwerking” Toepassing privacywetgeving: - geheel of gedeeltelijk geautomatiseerde verwerking - verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen “Bestand” impliceert “structuur” in het geheel van gegevens, maar technologieneutraal!
  28. 28. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verwerking” Uitgesloten van toepassing privacywetgeving: - losse dossiers, verzameling van dossiers en omslagen ervan, die niet volgens een zekere structuur in bestand worden opgenomen/opgeslagen (o.m. oud papier) - persoonlijke en/of huishoudelijke doeleinden (familiealbums, persoonlijke boekhouding, adressenboekje, stamboomonderzoek,…) - journalistieke, wetenschappelijke, historische en statistische doeleinden - voorts ook: nationale veiligheid, strafonderzoek en -vervolging
  29. 29. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verantwoordelijke” of “Verwerker” “Verantwoordelijke” bepaalt het DOEL en de MIDDELEN van de verwerking Opgelet! Meerderen bepalen doel en middelen => gezamenlijk verantwoordelijken! => onderling regeling treffen omtrent taken en verantwoordelijkheden => betrokkenen kunnen zich richten naar wie ze willen (hoofdelijke aansprakelijkheid?)
  30. 30. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation “Verantwoordelijke” of “Verwerker” “Verwerker” voert louter één of meer verwerking uit voor de “Verantwoordelijke” => schriftelijke instructies => garanties betreffende veiligheidsmaatregelen => bezwaarmogelijkheid van verantwoordelijke bij onderaanneming => schriftelijke overeenkomst Bijv.: - werknemer voor werkgever - communicatiebureau voor merkhouder - hostingprovider voor websiteeigenaar - boekhouder voor boekhoudplichtige
  31. 31. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriaal toepassingsgebied Europees privacyrecht (GDPR) van toepassing op verwerking van persoonsgegevens: OFWEL verantwoordelijke / verwerker met “vestiging” binnen EU “vestiging” = ruim begrip (filiaal, dochter, branche, ook postbus?) OFWEL betrokkenen binnen EU NIEUW (OFWEL met toepassing van internationaal publiekrecht (bijv. ambassades of zeeschepen))
  32. 32. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriaal toepassingsgebied Toepassing “betrokkenen in EU” NIEUW: - bij aanbieden / leveren van goederen en diensten op EU grondgebied Opgelet! Ook: gratis aanbieden van producten en diensten! Ook: bij voornemen tot leveren van producten en diensten! - bij monitoring van betrokkenen op EU grondgebied Opgelet! Ook: volgen van gedrag online, dus ook tracking, OBA, e.d.m.
  33. 33. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriale toepassing: doorgifte naar buitenland “Doorgifte”: iedere overdracht van persoonsgegevens van verantwoordelijke aan andere verantwoordelijken, verwerkers, overheden, of zelfs derden Bijv: - data brokers - opslag in cloud - outsourcing loonberekening, IT, callcenter,… - overname van ondernemingen - bepaalde softwarelicenties, websites en apps
  34. 34. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriale toepassing: doorgifte naar buitenland Standaard regel: doorgifte van data is toegestaan indien die doorgifte - noodzakelijk is voor het te bereiken doel, - verenigbaar is met de oorspronkelijke verwerking, en - ter kennis is gebracht aan de betrokkene. Doorgifte binnen België: geen bijkomende vereisten Doorgifte binnen de EU: geen bijkomende vereisten
  35. 35. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriale toepassing: doorgifte naar buitenland Doorgifte buiten de EU: passend beschermingsniveau = bezorgdheid - ofwel binnen de EEZ: Noorwegen, IJsland en Liechtenstein - ofwel adequatheidsbeslissing: Zwitserland, Canada, Andorra, Argentinië, Guernesey, het eiland Man, de Faeröereilanden, Jersey, Israël, Nieuw-Zeeland en Uruguay - ofwel specifieke verdragen: bijv. “Privacy Shield” met Verenigde Staten - ofwel “EU model clauses” (zie modellen) - ofwel eigen voorstel (moet via KB bekrachtigd worden) - ofwel bindende ondernemingsregels (vnl. voor concerns – ook via KB) - ofwel uitzonderingen
  36. 36. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriale toepassing: doorgifte naar buitenland Toepasselijke wetgeving bij doorgifte? => steeds kijken naar de verantwoordelijke en/of betrokkene! => parallelle toepassing buitenlandse wetgeving mogelijk
  37. 37. Toepassing van wetgeving gegevensbescherming General Data Protection Regulation Territoriale toepassing: handhaving Geen uniform bevoegde EU autoriteit! => bevoegdheid toebedeeld aan nationale “DPAs” Grensoverschrijdende verwerking => aanduiding “leidende DPA” van hoofdzetel MAAR: iedere DPA is bevoegd om kennis te nemen van klachten van betrokkenen
  38. 38. Wat staat er nu concreet in de GDPR? (deel 1) door Bart Van den Brande General Data Protection Regulation
  39. 39. Basisprincipes uit de GDPR Accountability Transparancy Data Protection by design Data protection by default Purpose limitation Data minimisation Accuracy Limited retention time Data security
  40. 40. (Online) marketing vandaag… Basis van alle marketing is data Heatmapping Alles is meetbaar De impact van de GDPR op uw marketing en prospectie Business meets IT, Blue Point Antwerpen, 1 juni 2017 Basis van alle marketing is data Remarketing Iedereen is individualiseerbaar en bereikbaar
  41. 41. Accountability (= HET basisconcept van de GDPR) De facto betekent dit audit van uw onderneming (paraplu…) In geval van data incident moet uw onderneming in staat zijn gedocumenteerd aan te tonen dat onnodige risico’s tijdig geïdentificeerd werden + aangepakt werden In kaart brengen van alle datastromen Risicoanalyse op die datastromen In kaart brengen actueel niveau van data security (virtueel en real life) Risicoanalyse op actuele situatie + actieplan Geldt voor “Verantwoordelijke” én voor “Verwerkers”
  42. 42. Data Protection by Design Voor elke nieuwe app, elke nieuwe tool, elke nieuwe software, elk nieuw proces, … Voorafgaand aan elke feitelijke development EERST “lmpact assessment” maken + documenteren (en bijhouden) Uitgangspunten Enkel die data verzamelen en verwerken die echt nodig is Enkel toegankelijk voor wie er echt toegang toe moet hebben Specifiek to be seen hoe dit past in AI en andere tech innovatie Geldt ook voor “Verwerker” die bouwt in opdracht van derden
  43. 43. Purpose limitation – limited retention time – data minimisation Vereist globale denkoefening op ganse database (+documenteren!) Welke data hebben we? Waar komt ze vandaan? Met welk doel is ze verzameld / waarvoor wordt ze gebruikt? Op welke rechtsgrond is ze verzameld? Is die data eigenlijk (nog) wel relevant voor ons? + opkuisactie en/of regulariseringsactie op database Alsnog opt-in bekomen (rechtstreeks per mail, onrechtstreeks via wedstrijd of actie, …) Andere rechtsgrond vinden Deel van database definitief wissen
  44. 44. Informatieplichten en toestemming Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”) Voorafgaande opt-in blijft de basisregel (+ vanaf nu bewijs vereist!) “Verwerking is noodzakelijk om contract uit te voeren” “Gerechtvaardigde redenen” DM “may be considered” een rechtvaardige reden, maar “Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means” Gerechtvaardigd belang = altijd subjectief en dus onzeker Vitaal belang – wettelijke plicht of toelating Rechten en plichten verbonden aan uw database
  45. 45. (Online) marketing vandaag… Basis van alle marketing is data Heatmapping Alles is meetbaar De impact van de GDPR op uw marketing en prospectie Business meets IT, Blue Point Antwerpen, 1 juni 2017 Basis van alle marketing is data Remarketing Iedereen is individualiseerbaar en bereikbaar
  46. 46. (Online) marketing vandaag… Basis van alle marketing is data Heatmapping Alles is meetbaar De impact van de GDPR op uw marketing en prospectie Business meets IT, Blue Point Antwerpen, 1 juni 2017 Relevant voor websitebezoek, mailings, … Analytics – e-mail tagging Alles is kwantificeerbaar Meestal zonder opt-in Verwerking van persoonsgegevens (IP-adres)? Gerechtvaardigd belang?
  47. 47. Opt-in of uitvoering contract of “gerechtvaardigd belang” Vereist globale denkoefening op ganse database (+ documenteren!) Welke data hebben we? Waar komt ze vandaan? Met welk doel is ze verzameld / waarvoor wordt ze gebruikt? Op welke rechtsgrond is ze verzameld? Is die data eigenlijk (nog) wel relevant voor ons? + opkuisactie en/of regulariseringsactie op database Alsnog opt-in bekomen (rechtstreeks per mail, onrechtstreeks via wedstrijd of actie, …) Andere rechtsgrond vinden Deel van database definitief wissen
  48. 48. Privacy “Voorwaarden voor toestemming” Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet zo) Verzoek om toestemming moet in begrijpelijke, duidelijke en eenvoudige taal gevraagd en onderscheiden van andere gevraagde akkoorden Betrokkene kan toestemming op elk ogenblik intrekken (geen terugwerkende kracht) Toestemming moet vrij gegeven zijn: géén toestemming verplichten voor verwerking die niet noodzakelijk is voor leveren van dienst/uitvoeren van overeenkomst Klassiek voorbeeld: verplichte opt-in om korting te krijgen of om aan wedstrijd deel te nemen (is in aantal lidstaten nu al verboden) Rechten en plichten verbonden aan uw database
  49. 49. Onvoorwaardelijke opt-in Vereist controle en denkoefening op alle bestaande opt-ins en op alle forms Vragen we opt-in? Is die opt-in vrij? Is er voldoende informatie aan de betrokkene via privacy policy? Kunnen we dat bewijzen? (aanvinkhokje gelogd?) Wordt data enkel gebruikt voor aangegeven doeleinden? Is er AFZONDERLIJKE opt-in voor elke verwerking? + opkuisactie en waar nodig opt-in forms aanpassen, privacy policy aanpassen en aanvullen, …
  50. 50. Informatieplichten en toestemming Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar) Altijd expliciete toestemming van ouders vereist! “redelijke inspanningen” om leeftijd te checken en toestemming te bekomen eID?, Facebook login?, credit card data?, live chat, …? Rechten en plichten verbonden aan uw database
  51. 51. Privacy Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden ID en contactgegevens verantwoordelijke (en vertegenwoordiger in de EU als die er is) Doeleinden verwerking en rechtsgrond Categorieën van persoonsgegevens Derde-ontvangers van gegevens Waarborgen voor doorgifte buiten de EU Duurtijd bewaring of criteria voor bepalen duurtijd Bron van de gegevens Recht voor betrokkene op inzage en verbetering of verwijdering/beperking, recht om bezwaar te maken en recht op overdraagbaarheid (“data portability”) Recht voor betrokkene om te allen tijde toestemming in te trekken (niet retroactief) Recht voor de betrokkene om klacht in te dienen Is toestemming wettelijke of contractuele plicht en wat zijn gevolgen bij weigering Het bestaan van geautomatiseerde besluitvorming (profiling) en onderliggende logica Rechten en plichten verbonden aan uw database
  52. 52. Privacy Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden “Binnen een redelijke termijn maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt” Als de persoonsgegevens gebruikt worden voor communicatie met de betrokkene: uiterlijk bij de eerste communicatie Als de persoonsgegevens doorgegeven worden aan een derde: uiterlijk op het ogenblik dat ze voor het eerst aan die derde worden verstrekt (Relevant voor data brokers, gehuurde of gekochte mailinglijsten, doorgifte aan commerciële partners, mailing op database van een partner, etc…) Rechten en plichten verbonden aan uw database
  53. 53. Informatieplichten en toestemming Verplichting vervalt als Betrokkene al op de hoogte is of Informatieplicht disproportionele inspanning vereist (= open door voor creativiteit…) Rechten en plichten verbonden aan uw database
  54. 54. Gegevens verkregen van een derde bron Vereist controle en denkoefening op alle aanwezige data Is data zelf verzameld? Is data afkomstig van derde (Bisnode, Companyweb, …)? Is data afkomstig uit publieke bron (scraping internet)? Geven wij data door aan derden? Informatie aan betrokkene aanvullen Zowel aangaande inkomende als uitgaande data Voor uitgaande data GDPR garanties vragen aan ontvanger Voor inkomende data garanties op regelmatig verzamelen van data vragen
  55. 55. Privacy Verzet tegen profiling Profilering: “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;” Véél ruimer dan oude definitie. Vroeger enkel als volledig geautomatiseerd en als er gevolgen voor de persoon aan verbonden waren. Rechten en plichten verbonden aan uw database
  56. 56. Privacy Verzet tegen profiling Profiling is overal… Trigger based marketing = profiling Location based marketing kan profiling zijn Opbouwen klantenprofiel in marketing = profiling Remarketing kan profiling zijn Credit rating / credit scoring = profiling Heel wat data verzameld door FB of Google zijn potentieel profiling Rechten en plichten verbonden aan uw database
  57. 57. Privacy Verzet tegen profiling “Vanwege met zijn specifieke situatie verband houdende redenen” Bezwaar maken tegen verwerking op grond van “gerechtvaardigde belangen”, “met inbegrip van profilering” op basis van die rechtvaardigingsgrond Verantwoordelijk moet stoppen met verwerking tenzij hij een belang aantoont dat zwaarder doorweegt dan rechten van de betrokkene (eens te meer oordeelt de verantwoordelijke in eerste instantie zelf hierover) In geval van DM, kan de betrokkene altijd bezwaar maken, ongeachte “specifieke situatie” en ongeacht belang van de verantwoordelijke Rechten en plichten verbonden aan uw database
  58. 58. Recht om zich te verzetten tegen elektronische beslissingname Recht Niet onderworpen te worden aan automatische beslissingen (of profiling) – Excepties (bvb contracten) Die juridische gevolgen of andere significante gevolgen hebben Die enkel gebaseerd zijn op automated processing of data Die bedoeld zijn om persoonlijke kenmerken te analyseren Voorbeelden Prestaties op het werk, kredietwaardigheid en betrouwbaarheid Geldt ook voor DM “beslissingen” (bvb send offer of niet) Rechten en plichten verbonden aan uw database
  59. 59. Privacy Recht op verwijdering (“right to be forgotten”) “Zonder onredelijke vertraging” verwijdering bekomen als: Persoonsgegevens niet langer nodig voor genoemde doeleinden Toestemming is ingetrokken en er is geen andere rechtsgrond Betrokkene maakt bezwaar tegen geautomatiseerde besluitvorming (art. 21) Persoonsgegevens zijn onrechtmatig bekomen Persoonsgegevens betreffen -16 jarige (of -13) en er is geen toestemming van ouders Plicht om “rekening houdende met de beschikbare technologie en de uitvoeringskosten redelijke maatregelen [nemen]” derde-verwerkingsverantwoordelijken op de hoogte te stellen dat de betrokkene heeft gevraagd om data te wissen. Bovenstaande geldt niet als verdere verwerking nodig is voor uitoefening van recht op vrije meningsuiting pers of op wettelijke basis of in algemeen belang. Rechten en plichten verbonden aan uw database
  60. 60. Privacy “Pseudonieme data” - “anonieme data” – “encryptie” – “tokenisatie” Als data niet gekoppeld is aan identiteit, heeft betrokkene geen rechten van inzage, correctie, etc… Vergemakkelijkt bvb analytics. Tot op heden in meeste lidstaten beschouwd als verwerking Van persoonsgegevens en dus toestemming of gerechtvaardigd belang vereist. Rechten en plichten verbonden aan uw database
  61. 61. Privacy Recht op overdraagbaarheid van gegevens Betrokkene heeft recht om door hem verstrekte gegevens op te vragen bij verantwoordelijke en deze overhandigd te krijgen “in een gestructureerde, gangbare en machinaal leesbare vorm” en deze gegevens dan aan een nieuwe dienstverlener over te dragen (Enkel als verwerking gebaseerd was op opt-in of “gerechtvaardigde reden”) Als dit technisch mogelijk is, mag betrokkene rechtstreekse overzending van de ene verantwoordelijke naar de andere vragen Rechten en plichten verbonden aan uw database
  62. 62. Profiling en elektronische beslissingname Vereist controle en denkoefening op alle aanwezige data Profielopbouw? Op basis van welke criteria? Met welk doel? Is een en ander te verantwoorden / écht nodig? Aanvullen privacy policy Uitleg reden profiling Opgenomen criteria Mogelijke gevolgen Rechten betrokkene
  63. 63. Wat staat er nu concreet in de GDPR? (deel 2) door Bart Van den Brande General Data Protection Regulation
  64. 64. Data security maatregels “Processor shall implement appropriate technical and organizational measures, to ensure an appropriate level of security” Pseudonymisatie waar mogelijk, confidentialiteit, security, back ups, security testing protocols, … = Noodzaak tot audit / mapping van data binnen bedrijf Privacy Technische en organisatorische beveiliging
  65. 65. Data security Startpunt = resultaat interne mapping / audit / impact assessment Paswoordbeleid Bring your own device beleid Document management policy (inclusief vernietiging documenten) Afstandswerk policy Visitors policy Systeemveiligheid Intrusietesten – firewall – antivirus Ssl – End to end encryptie Encryptie data – back ups – contractuele garanties bij bvb cloud services …
  66. 66. Data security Startpunt = resultaat interne mapping / audit / impact assessment Self assessment tools Of intern team Of externe consultant / advocaat / IT (Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self assessment tool en template documenten)
  67. 67. Data Protection Impact Assessment Als mogelijks grote impact op privacyrechten Verplichting om voorafgaande impact assessment te houden Advies van DPO veriest als er een DPO is Moet als basis dienen voor security beleid Als DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen Privacy Data Protection Impact Assessment
  68. 68. PIA vs DPIA Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI) Privacy Impact Assessment = “GAP analyse”, “nulmeting”, “audit” = onze self assessment tool Doel is om u toe te laten uw organisatie in kaart te brengen, privacyrisico’s te identificeren en de nodige actieplannen te voorzien Privacy Data Protection Impact Assessment
  69. 69. PIA vs DPIA Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI) Data Protection Impact Assessment = specifieke verplichting onder GDPR = mee ingebouwd in onze self assessment tool Doel is om privacyrisico’s specifiek verbonden aan een bepaalde verwerkingsactiviteit te identificeren en de nodige actieplannen te voorzien Privacy Data Protection Impact Assessment
  70. 70. Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI) Data Protection Impact Assessment Als mogelijks grote impact op / risico voor privacyrechten Advies van DPO vereist als er een DPO is Moet als basis dienen voor security beleid Privacycommissie ontwerp aanbeveling CO-AR-2016-004 Als DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen Privacy Data Protection Impact Assessment
  71. 71. “Risico” (Aanbeveling PrivCom CA-AR-2016-004): Als verwerking kan leiden tot discriminatie, identiteitsdiefstal of –fraude, financiële schade, reputatieschade, verlies van vertrouwelijkheid van doro het beroepsgeheim beschermde gegevens of enig ander aanzienlijk economisch of maatschappelijk nadeel” Als betrokkenen hun rechten en vrijheden niet kunnen uitvoeren of hun gegevens niet kunnen controleren Als bijzondere categorieën van gegevens (“gevoelige gegevens”) verwerkt worden Als grote hoeveelheden gegevens verwerkt worden Bij profiling Privacy Data Protection Impact Assessment
  72. 72. Wanneer zeker wel volgens PrivCom? Biometrische of genetische gegevens Wanneer data verzameld is bij derden en gebruikt wordt om dienst te weigeren of te stoppen (kredietrapporten) Verwerking m.o.o. onderzoek financiële solvabiliteit en risicoprofiel Als inbreuk op persoonsgegevens fysieke gezondheid in gedrang zou kunnen brengen (?) Verwerking van financiële of gevoelige data als die eerst voor andere reden werden verzameld Als bepaalde gegevens publiek gemaakt zullen worden Analyse of voorspellen van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag, locatie, verplaatsing Data van minderjarigen of kwetsbare personen op grote schaal verwerkt voor ander doel dan waarvoor verzameld Privacy Data Protection Impact Assessment
  73. 73. Wanneer zeker niet volgens PrivCom? Verwerking uitsluitend m.o.o. interne loonadministratie (als enkel gedeeld met betrokkene en niet langer bewaard dan nodig) Verwerking personeelsgegevens als enkel gedeeld met ontvanger, geen gezondheidsgegevens, geen gevoelige of gerechtelijke gegevens of beoordelingen van betrokkene, niet langer bewaard dan nodig voor personeelsadministratie of wettelijke plicht Verwerking boekhoudgegevens, ongeveer zelfde beperkingen Verwerking gegevens aandeelhouders en vennoten, ongeveer zelfde beperkingen Verwerking gegevens door stichting, vereniging of vzw in het kader van haar gewone activiteiten, als enkel data eigen leden of personen met wie regelmatige contacten of begunstigden van stichting, geen data verkregen van derden, niet langer bewaard dan nodig Registratie bezoekers bij toegangscontrole Onderwijsinstellingen Privacy Data Protection Impact Assessment
  74. 74. Minimale vereisten voor DPIA voor PrivCom Systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden Beoordeling van de noodzaak en de evenredigheid Beoordeling van de risico’s Beoogde maatregelen om onaanvaardbare risico’s weg te nemen Onze self assessment verwerkt –bij correct gebruik- die vereisten + breidt deze zelfde methodiek uit naar een bredere PIA / GAP analyse op de ganse organisatie Privacy Data Protection Impact Assessment
  75. 75. Data security Startpunt = resultaat interne mapping / audit / impact assessment Self assessment tools Of intern team Of externe consultant / advocaat / IT (Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self assessment tool en template documenten)
  76. 76. Self assessment audit Methodiek 1. Documenteer het gebruik van persoonsgegevens 2. Identificeer risico’s 3. Identificeer risicoscenario’s 4. Analyseer de risico’s 5. Beoordeel de waarschijnlijkheid dat een risico zich voordoet
  77. 77. Data security Startpunt = resultaat interne mapping / audit / impact assessment Self assessment tools Of intern team Of externe consultant / advocaat / IT (Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self assessment tool en template documenten)
  78. 78. Data security Startpunt = resultaat interne mapping / audit / impact assessment Self assessment tools Of intern team Of externe consultant / advocaat / IT (Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self assessment tool en template documenten)
  79. 79. Werken met onderaannemers die data verwerken Verplichting om enkel te werken met “veilige” onderaannemers (garanties vragen) Verplichting om geschreven contracten te hebben Lijst van verplichte clausules in zulke contracten = Noodzaak tot audit of mapping van onderaannemers / service contracten Privacy Toegang van derden tot data
  80. 80. In het kader van globale privacy-audit tegen mei 2018 Noodzaak tot audit of mapping van ALLE Contracten met derden, consultants, onderaannemers, … Licenties op alle software, … Gebruiksvoorwaarden voor alle tools, … “Shadow IT” Onderzoek naar Hebben we een contract met partij X of Y? Garandeert partij X of Y in dat contract GDPR compliance? Wordt er data geëxporteerd buiten de EU? Mailchimp, Wetransfer, Criteo, Eventbrite, (Google) Analytics, Slack, … Contracten met interim, werving & selectie, boekhouder, advocaat, …
  81. 81. In het kader van globale privacy-audit tegen mei 2018 Mailchimp, Wetransfer, Criteo, Eventbrite, (Google) Analytics, Slack, … Dropbox, Office365 GDPR zegt niet dat data wel of niet op bepaalde tools mogen verzonden worden Accountability = onderneming moet voor zichzelf afwegen + kunnen verantwoorden of bepaalde tool wel of niet gebruikt kan worden Hangt af van gevoeligheid van verzonden data, niveau van security bij verzender en ontvanger, niveau van security dat tool kan garanderen, potentiële impact bij verlies aan data, …
  82. 82. Register van verwerkingsactiviteiten Verplichting om een “logboek van verwerkingsactiviteiten” bij te houden Daarin ID verwerker, verwerkte data, categorieën, transfers, time limits, veiligheidsmaatregels In geschreven vorm op de zetel van de vennootschap Privacy Register van verwerkingsactiviteiten
  83. 83. Register van verwerkingsacticviteiten Aan te maken voor mei 2018 Zo stipt en zo precies mogelijk bij te houden Accountability principe Startpunt = resultaat interne mapping / audit / impact assessment Aan te vullen met elke relevante verwerkingsactiviteit + waar nodig bijkomende impact assessment Bvb bij development nieuwe app Dataverwerkingsautoriteit (privacycommissie) heeft model online Ook betalende modellen beschikbaar
  84. 84. Register van verwerkingsactiviteiten Model inbegrepen in start2gdpr toolkit Vereenvoudigd model Gebaseerd op 7 “vragen”: What? (Welke data, bron van de data, type verwerking, rechtsgrond) Why? (Reden van verwerking, wie is controller) Whose? (Wie is de betrokkene) When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang worden ze bewaard) Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze beveiligd, worden ze buiten EU doorgegeven? Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, noodzakelijkheid en proportionaliteit…)
  85. 85. General Data Protection Regulation Interne business processen Logboek van verwerkingsactiviteiten Verplichting om een “Register van verwerkingsactiviteiten” bij te houden Daarin ID verwerker, verwerkte data, categorieën, transfers, time limits, veiligheidsmaatregels In geschreven vorm op de zetel van de vennootschap
  86. 86. Register van verwerkingsactiviteiten Model inbegrepen in start2gdpr toolkit Vereenvoudigd model Gebaseerd op 7 “vragen”: What? (Welke data, bron van de data, type verwerking, rechtsgrond) Why? (Reden van verwerking, wie is controller) Whose? (Wie is de betrokkene) When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang worden ze bewaard) Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze beveiligd, worden ze buiten EU doorgegeven? Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, …
  87. 87. Register van verwerkingsactiviteiten Model inbegrepen in start2gdpr toolkit Vereenvoudigd model Gebaseerd op 7 “vragen”: What? (Welke data, bron van de data, type verwerking, rechtsgrond) Why? (Reden van verwerking, wie is controller) Whose? (Wie is de betrokkene) When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang worden ze bewaard) Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze beveiligd, worden ze buiten EU doorgegeven? Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, …
  88. 88. Register van verwerkingsactiviteiten Model inbegrepen in start2gdpr toolkit Vereenvoudigd model Gebaseerd op 7 “vragen”: What? (Welke data, bron van de data, type verwerking, rechtsgrond) Why? (Reden van verwerking, wie is controller) Whose? (Wie is de betrokkene) When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang worden ze bewaard) Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze beveiligd, worden ze buiten EU doorgegeven? Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, …
  89. 89. Register van verwerkingsactiviteiten Model inbegrepen in start2gdpr toolkit Vereenvoudigd model Gebaseerd op 7 “vragen”: What? (Welke data, bron van de data, type verwerking, rechtsgrond) Why? (Reden van verwerking, wie is controller) Whose? (Wie is de betrokkene) When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang worden ze bewaard) Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze beveiligd, worden ze buiten EU doorgegeven? Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, …
  90. 90. Verplichting om Privacycommissie te verwittigen van elke data breach Asap of ten laatste binnen 72 uur Aard van de breach, mogelijke gevolgen, genomen maatregelen, etc… (= verplichting om data breach te documenteren) = plicht om data breach procedure in place te hebben Als er mogelijke ernstige gevolgen zijn voor privacy van data subjects: plicht om hen in persoon te verwittigen! Privacy Data breach notification
  91. 91. Data breach notification Onderzoek potentiële data breach risico’s Elimineer data breach risico’s Train personeel (awareness + praktische guidelines bij data breach) Voorzie interne meldplicht + template document voor meldingen Stel data breach verantwoordelijke aan Stel data breach procedure + crisiscommunicatieplan op Controleer contracten met derde partijen (bvb hosting) Controleer verzekeringspolissen
  92. 92. Privacy Data Protection Officer Als kernactiviteit bestaat uit verwerken van persoonsgegevens Of data monitoring op grote schaal vereist Of bestaat uit data monitoring op grote schaal Voorwaarden en vereisten nog to be implemented Informeren & adviseren, monitoren van compliance, SPOC voor authoriteiten
  93. 93. Data Protection Officer Neem een Data Protection Officer onder de arm!
  94. 94. Privacy Work load om compliancy te bereiken
  95. 95. Privacy “Baseline” nulmeting en jaarlijks actieplan
  96. 96. Privacy “Baseline” nulmeting en jaarlijks actieplan
  97. 97. Marketing, cookies & spam door Bart Van den Brande
  98. 98. Wet van 8 december 1992 (WVP), nu art. 110 e.v. WER Ontvangen van e-mails of andere directe berichten met reclame Expliciete en vrije opt-in (art. 110 WER). In principe los van privacy opt-in Uitzonderingen: (i) bestaande klanten voor gelijkaardige producten , (ii) info@..., sales@... Mogelijkheid opt-out op elk ogenblik (art. 110 WER) + Privacywet Privacy Nog even de headlines over spam
  99. 99. Privacy Nog even de headlines over spam
  100. 100. Privacy Nog even de headlines over spam Spamregels gelden voor alle elektronische communicatie + voor fax! Dus ook voor direct messaging, mail- of communicatietools Quid Facebook ad “vermomd” als post? Spam?
  101. 101. Privacy Nog even de headlines over spam No go: - Verplichte opt-in om aan wedstrijd deel te nemen/voordeel te krijgen/te registreren - Phishing naar opt-in - Stilzwijgende opt-in als geen opt-out - Automatisch toevoegen aan database - Opt-out bemoeilijken of onmogelijk maken - Mailen op database van derde (tenzij mail van bij derde vertrekt) Let op met gekochte/gehuurde databases: altijd contractuele garantie eisen
  102. 102. Cookies Wat background Wat zijn cookies? “A cookie is a small amount of data generated by a website and saved on your computer by your web browser. Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia) Waarom ligt de overheid wakker van cookies? In één woord: privacy…
  103. 103. Waarom ligt de overheid wakker van cookies? In één woord: privacy… Cookies Wat background
  104. 104. Wat zijn cookies? first party cookies vs. third-party cookies door website door Google Analytics or ad brokers functional cookies vs. non-functional cookies: log-in, registratie, taal statistics, remarketing, OBA permanent cookies vs. session cookies blijven present verwijderd na surfsessie Cookies Wat background
  105. 105. The legal small print (art. 129 Telecomwet) “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat : 1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992; 2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°. Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel. De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“ Cookies Wat background
  106. 106. The legal small print Altijd opt-in Behalve voor zuiver functionele cookies: Absoluut nodig om technische redenen Absoluut nodig voor communicatie Cookies Wat background
  107. 107. The legal small print Belgische wet bevat geen detail over: Hoe waarschuwing gegeven moet worden Hoe opt-in bekomen moet worden Hoe opt-out mogelijkheid gegeven moet worden Wie is verantwoordelijk De wet is vaag, onduidelijk en laat ruimte voor interpretatie Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT Cookies Wat background
  108. 108. The legal small print Maar EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding) “Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29) Regeling in buurlanden is wel duidelijk Cookies Wat background
  109. 109. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Opt-in moet Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in) Expliciet zijn (vereist actieve daad van bezoeker) Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker) Voorafgaandelijk aan het plaatsen van cookies zijn Intrekbaar zijn
  110. 110. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Dus praktisch Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy Duidelijke warning bij eerste visit + link naar informatie in privacy policy Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd) Duidelijke info in privacy policy over opt-out of wissen van cookies
  111. 111. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: User-input cookie (bvb: mandje) als sessie Authentification cookie als sessie Safety Cookie Flash cookie als sessie !!! Social media Reclame door derden First & third party analytics Tracking cookie
  112. 112. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Pop-up? Splash screen? Waarschuwing in banner of footer? “Impliciete opt-in”? Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)
  113. 113. Wat betekent dit voor u?
  114. 114. Wat betekent dit voor u?
  115. 115. Wat betekent dit voor u?
  116. 116. Wat betekent dit voor u? Oh, ook nog: Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist… Dit betekent Aangifte bij privacycommissie Recht om data in te kijken, te verbeteren, wissen Informatieplicht in privacy policy Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden Waarschuwing en herhaling: ook IP address, browser history, enz zijn persoonsgegevens…
  117. 117. Wat betekent dit voor u? Impact van cookiewet Niet erg efficiënt Storend voor surfer Verlies aan traffic en/of data voor websites Bedrijven trachten te ontsnappen aan cookieverplichtingen Alternatieve oplossingen worden gezocht Browser fingerprinting (Kméléo en andere) Web beacons
  118. 118. Wat betekent dit voor u? En als ik de wet niet naleef?
  119. 119. Wat betekent dit voor u? Internationale context Zoveel wetgevingen als er lidstaten zijn… Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …) Consequentie lijkt dat je moet voldoen aan strengste wet
  120. 120. Wat betekent dit voor u? Internationale context Working Party 29 advies van afgelopen Oktober 2013: Basis voor pan-Europese cookie requirements Voorzichtig: dit is slechts een advies
  121. 121. Wat betekent dit voor u? Internationale context Working Party 29 advies van oktober 2013: Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing) Opt-in moet voorafgaan aan het plaatsen van cookie Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website) Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden) Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist
  122. 122. Wat betekent dit voor u? Internationale context Cookie wetgeving wordt dit jaar herzien op Europees niveau In kader van e-privacy richtlijn Kans reëel dat regels wegvallen vanwege achterhaald en overbodig
  123. 123. Nog een verordening over privacy? Aanvulling op GDPR met aantal materies die daar niet behandeld zijn, maar wel “privacy” raken Cookies Direct marketing Telemarketing Vertrouwelijkheid van e-mail communicatie Eerste ontwerp begin 2017 bekend gemaakt Gestemd in LIBE comité afgelopen oktober Nog relatief lange weg tot definitieve tekst Eerst als richtlijn aangekondigd, nu uiteindelijk verordening Weinig wijzigingen aan dit ontwerp te verwachten vooralsnog
  124. 124. Cookies? Gezond verstand lijkt te zullen zegevieren Expliciete toestemming van eindgebruiker voor plaatsen cookies wordt/blijft principe Blijft ook gelden voor alle andere technieken, zoals fingerprinting Gebruik van cookies vereist “duidelijke en specifieke reden” “Eindgebruiker” lijkt ook op B2B te slaan… Toestemming moet NIET meer via pop up banner EU beseft dat deze enkel tot frustratie leiden voor alle partijen Toestemming kan louter via browser settings van gebruiker Vereist uitbreiding mogelijkheden browser settings Privacy by default / privacy by design Ontwerp voorziet (beperkte) uitzonderingen op vereiste toestemming Als beperkte impact op privacy (sessiecookies of bvb analytics cookies)
  125. 125. Direct marketing? Weinig wijzigingen tav op heden in België geldende regels Opt-in blijft principe Uitzondering voor bestaande klanten blijft bestaan (mits voorafgaande informatie aan klant) Opt-out recht blijft verplicht en opt-out mogelijkheid onderaan mail blijft in voege Direct marketing moet steeds als dusdanig herkenbaar zijn (is al zo onder WER) Regels gelden ook voor politieke partijen en non-profitsector
  126. 126. Direct marketing? Versterking van de rechten van de consument Consument krijgt recht om inkomende gesprekken van anonieme nummers Of van bepaalde nummers te blokkeren Telemarketeers mogen geen anonieme nummers meer gebruiken en zullen vaste prefixen of nummerplannen moeten hanteren om herkenbaar te zijn Regels komen bovenop bel-me-niet-meer in België
  127. 127. Vertrouwelijkheid? Formeel bevestigen van “briefgeheim” voor elektronische communicatie Letterlijk verbod op telefoontap, afluisteren, scannen en elke vorm van interferentie op communicatie (geldt ook voor “diensten” van buiten EU zoals NSA…) Uitzondering voor politieonderzoek, natuurlijk Regels komen bovenop regeling voor bescherming briefgeheim in België
  128. 128. Timing & boetes Bedoeling is inwerkingtreding samen met GDPR Maar dit is slechts eerste ontwerp Timing wordt moeilijk Boetes gelijkaardig aan GDPR Tot 20 mio euro Of 4% van wereldwijde jaaromzet Van toepassing op iedereen die diensten aanbiedt in EU
  129. 129. Do-not-call-me Art. VI.111 e.v. WER - In werking sinds 11/07/2015 Omgekeerd principe van anti-spam: Bellen is in se toegestaan TENZIJ betrokkene verzocht heeft om op lijst te komen (opt-out vs. opt-in) Principe is eenvoudig: wie verzocht heeft om niet meer gebeld te worden, mag niet meer gebeld worden voor DM Opt-out is in se algemeen (niet per bedrijf). Individuele (her-) opt-in blijft wel mogelijk
  130. 130. Do-not-call-me Vzw DNCM beheert lijst (onder toezicht en beheer van BDMA) Akkoord met 9 grootste operatoren Database is toegankelijk tegen betaling Adverteerder MOET voorafgaand aan telefonische actie zijn database ontdubbelen met DNCM
  131. 131. Do-not-call-me “telefonische oproep voor DM doeleinden”? Definitie “reclame” in WER is zeer breed. Elke communicatie die rechtstreeks of onrechtstreeks bedrijf of product promoot. Niet inbegrepen: onafhankelijke of neutrale surveys en informatieve telefoongesprekken (bvb afspraak voor levering) DNCM geldt voor prospects EN BESTAANDE KLANTEN! DNCM geldt voor B2C EN B2B!
  132. 132. Do-not-call-me Opname op lijst moet binnen 5 dagen na verzoek Initieel was termijn nog korter voorzien Cfr.: Privacywet geeft 30 dagen tijd om database aan te passen Robinsonlijst geeft 3 maanden tijd om database aan te passen Opname op lijst blijft 2 jaar geldig… +/- 250.000 telefoonnummers op de lijst
  133. 133. Do-not-call-me Opname op lijst DNCM ≠ verbod verdere verwerking persoonsgegevens ≠ verbod om sms te zenden ≠ verbod op e-mail te zenden ≠ verbod op papieren DM
  134. 134. Do-not-call-me Opname op lijst DNCM Mogelijk moet door operator geboden worden Gratis Intrekbaar Bewijslast ligt bij operator
  135. 135. Do-not-call-me Alle info op: https://www.bel-me-niet-meer.be/
  136. 136. Do-not-call-me Sancties Inbreuk = inbreuk op WER Boetes tot 250.000 euro…
  137. 137. Do-not-call-me Problemen met Do Not Call Me Technisch moeilijk voor KMO – plicht om licentie op lijst te nemen Licenties zijn duur (1.600 euro/jaar KMO tot 7.500 big users) Zeer hoge boetes Onbekend bij bedrijven – zeer weinig licenties – onbekend 5 dagen is zéééér kort…
  138. 138. Robinsonlijst “Ik wil geen papieren DM meer ontvangen Geen wettelijke basis Sectorinitiatief van BDMA en in se enkel bindend voor haar leden Registratie door burger op: http://www.robinsonlist.be/ Opname op lijst binnen 3 maanden
  139. 139. Robinsonlijst Door in te schrijven in de Robinson Mail-lijst ontvangt men geen DM op naam meer over producten of diensten van bedrijven Maar ook geen promoties en kortingsbonnen meer van geen enkel bedrijf via de post Geldt voor ALLE bedrijven samen (net per bedrijf) Bedrijven waar men klant is mogen WEL blijven contacteren (cfr. Do Not Call Me)
  140. 140. De Data Protection Officer: rol, taken, positie door Freekje De Vidts General Data Protection Regulation
  141. 141. Wanneer DPO aanduiden? Data Protection Officer • Door de verwerker en de verantwoordelijke voor de verwerking • In 3 situaties: • Verwerking door een overheidsorgaan • “Hoofdzakelijk belast” met verwerking die “vanwege hun aard, omvang en/of doeleinden”, “regelmatige en stelstelmatige observatie op grote schaal” vereist • “Grootschalige verwerking” van gevoelige gegevens • GDPR is beperkt, maar advies WP29
  142. 142. Wanneer DPO aanduiden? Data Protection Officer Advies WP29: • “hoofdzakelijk belast” ? Vb. Ziekenhuis, beveiligingsfirma,… Niet: payroll administratie, standaard IT-support • “Regelmatige en stelselmatige observatie” ? Alle vormen van tracking en profiling incl. behavioural advertising • “ op grote schaal” of “grootschalige verwerking” ? Geen exact aantal; Rekening houden met het aantal betrokkenen, het volume van data, de duur van de verwerking, geografische reikwijdte,….
  143. 143. Wanneer DPO aanduiden? Data Protection Officer Vrijwillige aanstelling DPO is uiteraard steeds mogelijk MAAR: Opletten met functieomschrijving en titel!
  144. 144. Wat zijn de taken van de DPO? Data Protection Officer • Informeren en adviseren (WG/WN) “tijdig betrekken” • Toezien op de naleving van de Verordening en toezien op naleving beleid m.i.v. toewijzen van verantwoordelijkheden, bewustmaking bij personeel en opleiding,… “toegang tot persoonsgegevens/verwerkingsactiviteiten” • Advies verstrekken m.b.t. DPIA en audit • Samenwerken met de Privacycommissie en optreden als contactpunt
  145. 145. Wat is NIET de taak van de DPO? Data Protection Officer Het zélf uitvoeren van een DPIA, enkel advies verlenen over of er een DPIA moet uitgevoerd worden; methodologie, technische en organisatorische beveiligingsmaatregelen,… Het zélf bijhouden van het verwerkingsregister, in principe niet maar kan wel worden toegewezen
  146. 146. Wat is de positie van de DPO in uw organisatie? Data Protection Officer Personeelslid OF via dienstverleningsovereenkomst (“DPO as a service”) MAAR: steeds met rechtstreekse “toegang” tot hoogste leidinggevende CEO Manager WN WN Manager WN/DPO
  147. 147. Wat is de positie van de DPO in uw organisatie? Data Protection Officer • Kan andere taken en verplichtingen vervullen (géén belangenconflict) • Onafhankelijk • Rechtstreeks aanspreekbaar voor betrokkene • Geen sancties! Geen instructies! • Voldoende middelen en tijd voorzien • Toegang tot informatie/resources die noodzakelijk zijn
  148. 148. Wat is de positie van de DPO in uw organisatie? Data Protection Officer Aandachtspunten bij keuze voor “DPO as a service”: • Aantal uren moet verantwoord worden bij de Privacycommissie (geen richtlijnen!) • Vertrouwelijkheid/confidentialiteit • Expertise DPO i.f.v. uw organisatie/verwerkingsactiviteiten • Belang van “paraplu”/aansprakelijkheid • DPO is ook “verwerker”=> verwerkersovereenkomst!
  149. 149. Wat is de positie van de DPO in uw organisatie? Data Protection Officer Concreet voorbeeld: de aankoop van nieuwe CRM-software • De DPO moet tijdig worden geïnformeerd door het management zodat hij/zij advies kan geven • DPO moet toegang hebben tot alle informatie noodzakelijk om dit advies te geven • Er moet voldoende gewicht worden gegeven aan het advies • Advies is niet bindend maar belang van documentatieplicht (accountability!) • In geval van data breach dient de DPO betrokken te worden (+ contact Privacycommissie)
  150. 150. Wie kan DPO zijn en welke kwaliteiten? Data Protection Officer • GDPR is zeer beknopt • WP29 verduidelijkt: Level of expertise – understanding how to build, implement and manage data protection programs is essential, with the guidelines stating the more complex, or high-risk, the data processing activities are, the greater the expertise of the DPO will need to be. Professional qualities – DPOs do not have to be lawyers, but must have expertise in national and European data protection law, including an in-depth knowledge of the GDPR. From a practical perspective, DPOs must have a reasonable understanding of the organisation’s technical and organisational structure and be familiar with information technologies and data security. Ability to fulfil task – the DPO should demonstrate integrity and high professional ethics and, as a primary concern, enable compliance with the GDPR.
  151. 151. Wie kan DPO zijn en welke kwaliteiten? Data Protection Officer  Welke achtergrond? IT? Legal? Management?
  152. 152. Privacy op de werkvloer door Freekje De Vidts General Data Protection Regulation
  153. 153. GDPR-bepalingen in het kader van de arbeidsverhouding: zeer beknopt (art. 88)  Nationale wetgever moet dit nog regelen (!)  Harmonisatie van bestaande wetgeving  Opgelet indien tewerkstelling in verschillende landen van de EER Privacy op de werkvloer Privacyrecht vs. arbeidsrecht
  154. 154. Privacyrecht vs. arbeidsrecht Privacy op de werkvloer MAAR: Werknemer verliest zijn recht op privacy niet op de werkvloer  Algemene principes GDPR zijn ook van toepassing op verwerking van persoonsgegevens werknemers Niet méér gegevens verwerken dan nodig Probleem van vrije/ondubbelzinnige toestemming tot verwerking Verwerking i.k.v. arbeidsrelatie: best baseren op “Contract” (=> niet voor gevoelige gegevens!) Noodzaak aan een duidelijk arbeidsreglement en eventueel ICT-policy
  155. 155. Overlopen HR-processen Privacy op de werkvloer Recruitment en selectie Payroll administratie HR-administratie Evaluatie Einde dienstbetrekking
  156. 156. Recruitment en selectie Privacy op de werkvloer • Welke data? C.V., motivatiebrief, attest goed gedrag & zeden, diploma’s of getuigschriften,… • Aandachtspunten • Toegang mailbox • Onderzoek kandidaat/CV • (vragen naar) gevoelige gegevens (zwangerschap, ziekte, gerechtelijk verleden) • Uitnodiging gesprek / Afwijzing • Bewaartermijnen • Specifieke clausules in arbeidscontract
  157. 157. Privacy op de werkvloer • Welke data? Naam, adres, telefoon, e-mailadres, gezinssamenstelling, loon, bonussen, prikklok gegevens,… • Aandachtspunten • Payroll-systeembeheerder (compliancy? Verwerkersovereenkomst?) • Inzage in payroll-gegevens • Badging systeem
  158. 158. Privacy op de werkvloer • Welke data? Contactpersoon in nood, gegevens omtrent allergiëen, maaltijd-voorkeuren, aankoop bedrijfsrestaurant, foto’s bedrijfsuitstap, info over nieuwe werknemer in personeelsnieuws,… • Aandachtspunten • “Toestemming”, “Gerechtvaardigd belang” • Opletten met gevoelige gegevens
  159. 159. Privacy op de werkvloer • Welke data? Evaluatieformulieren, nota van verantwoordelijke/manager, interne beoordelingsdocumenten,… • Aandachtspunten • Opslaan/bijhouden evaluatieformulieren • Toegang • Bewaartermijn
  160. 160. Privacy op de werkvloer • Welke data? Alle voorgaande data • Aandachtspunten • Opslaan/bijhouden • Toegang (van belang bij ontslag van werknemer) • Bewaartermijn
  161. 161. Privacy op de werkvloer Specifieke cases - Camerabewaking Geregeld door CAO nr.68 voor private sector <-> Camerawet Bevestiging principes privacywetgeving Enkel toegelaten voor volgende doeleinden (finaliteitsprincipe): • Veiligheid en gezondheid • Bescherming van goederen van de onderneming • Controle productieproces (zowel machines als mensen) • Controle van de arbeid van de werknemer Voortdurende vs. Tijdelijke camerabewaking Proportionaliteitsprincipe
  162. 162. Privacy op de werkvloer Specifieke cases - Camerabewaking Informatieverplichting t.a.v. werknemers (doel, bewaring van de gegevens, aantal en de plaatsing, periode van functionering) en t.a.v. ondernemingsraad/Comité Preventie en bescherming/vakbondsafgevaardigde/werknemers Niet goedkeuring, enkel informatie verschaffen Aangifte Camerabewaking onder bestaande privacywetgeving <-> GDPR Waarborgen rechten betrokkenen (recht van inzage, toegang,..) Wat bij dubbel gebruik?
  163. 163. Privacy op de werkvloer Specifieke cases – Geo lokalisatie Lokalisatie van dienstvoertuigen van werknemers => verwerking van persoonsgegevens Advies Privacycommissie (nr. 12/2005): • Finaliteit • Proportionaliteit • Transparantie • Toelaatbaarheid Aangifte Privacycommissie <-> GDPR
  164. 164. Privacy op de werkvloer Specifieke cases – Monitoring Internet en e-mail Werkgever heeft recht op controle <-> Werknemer heeft recht op privacy => CAO nr. 81 Principes? • Finaliteit • Proportionaliteit • Transparantie
  165. 165. Privacy op de werkvloer Specifieke cases – Monitoring Internet en e-mail Finaliteit: • het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden; • de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken; • de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming • het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van on-linetechnologieën.
  166. 166. Privacy op de werkvloer Specifieke cases – Monitoring Internet en e-mail • Proportionaliteit: Geen inmenging in persoonlijke levenssfeer werknemer Indien toch noodzakelijk? Inmenging tot een minimum beperken
  167. 167. Privacy op de werkvloer Specifieke cases – Monitoring Internet en e-mail • Transparantie Ondernemingsraad, Comité Preventie en Bescherming, vakbondsafgevaardigde, werknemers inlichten Geen toestemming vragen, wel informeren over… … de nagestreefde doelstelling(en); het feit of persoonsgegevens al dan niet worden bewaard, de plaats en de duur van bewaring; het al dan niet permanente karakter van de controle Ook in arbeidsreglement opnemen! (individuele informatie werknemer)
  168. 168. Rechtsbescherming en toezicht door Freekje De Vidts General Data Protection Regulation
  169. 169. General Data Protection Regulation Rechtsbescherming en toezicht Commissie voor bescherming Persoonlijk Levenssfeer (federaal) • Ressorteert onder de Kamer • Adviezen/aanbevelingen/Klachtenbehandeling (als bemiddelaar) • Sectorale comités Vlaamse Toezichtscommissie • Adviezen/aanbevelingen/Klachtenbehandeling  Hervorming van toezicht door GDPR <-> harmonisatie (elke lidstaat heeft eigen DPA)
  170. 170. General Data Protection Regulation Rechtsbescherming en toezicht Hervorming CBPL naar Gegevensbeschermingsautoriteit mét tanden Bestaande uit 6 organen Middelen en personeel verleend door Kamer Bevoegdheden: • Verstrekken van informatie/advies • Begeleiding Verwerkingsverantwoordelijken en verwerkers • Controle NIEUW • Sancties opleggen (variërend va waarschuwing tot boete) NIEUW => Vgl. Mededingingautoriteit European Data Protection Board
  171. 171. General Data Protection Regulation Rechtsbescherming en toezicht Bron: Presscenter.org
  172. 172. General Data Protection Regulation Rechtsbescherming en toezicht Zéér ruime bevoegdheden GBA: NIEUW - Seponeren, - Overmaken aan parket - Waarschuwing formuleren - Bevelen dat verwerking tijdelijk wordt opgeschort - Bevelen dat verwerking in overeenstemming wordt gebracht - Bevelen dat betrokkene wordt geïnformeerd over het veiligheidsprobleem - Dwangsommen opleggen - Dossier doorsturen naar andere GBA
  173. 173. General Data Protection Regulation Rechtsbescherming en toezicht Ook: Administratieve geldboete opleggen NIEUW Rekening houden met: • Aard, ernst en duur van de inbreuk • Opzettelijk of nalatigheid? • Genomen maatregelen om de schade te beperken • Eerdere inbreuken • Mate van samenwerking? • …
  174. 174. General Data Protection Regulation Rechtsbescherming en toezicht Hoogte van de administratieve boete: Variërend van 10mio EUR of voor een onderneming tot 2% van de totale wereldwijde omzet voor volgende inbreuken: • Verwerking van persoonsgegevens -16jarige zonder toestemming van de ouders • Niet naleving principes privacy by default/by design • Beroep doen op een verwerker die niet compliant is en/of geen geschreven overeenkomst hebben • Geen register voor de verwerking bijhouden • Geen passende technische en organisatorische beveiligingsmaatregelen nemen • …..
  175. 175. General Data Protection Regulation Rechtsbescherming en toezicht Hoogte van de boete: … tot 20mio EUR of 4% van de totale wereldwijde omzet voor volgende inbreuken: • Verwerking van persoonsgegevens zonder toestemming • Niet waarborgen van de rechten van de betrokkene • Doorgifte van persoonsgegevens buiten de EER zonder passende waarborgen • Niet-naleving van een bevel van de DPA tot tijdelijke/definitieve opschorting van gegevensstromen • …
  176. 176. General Data Protection Regulation Rechtsbescherming en toezicht Onverminderd toegang tot burgerlijke rechter bij inbreuken! Indien klacht niet wordt behandeld of indien niet akkoord met beslissing van DPA Indien betrokkene of andere onderneming schade lijdt Ruime interpretatie van “schade” Aansprakelijkheid verantwoordelijke verwerking en soms ook verwerker Niet te vergeten: persoonlijke aansprakelijkheid bestuurders
  177. 177. Uw vragen, cases & debat
  178. 178. Wat wij doen… 15 & 30 november 15 & 29 januari 15 & 28 februari 15 & 30 maart Dubbele workshops kleine groepen (max 20 deelnemers) Op basis van self assessment audit template www.start2gdpr.be Eerste sessie = infosessie 795 euro excl. BTW Tweede sessie = feedback en advies workshop Kortingscode 15% “Infotopics1011” 15+ standaarddocumenten inbegrepen
  179. 179. Media & advertisement law Copyright - trademarks - datebases - software - knowhow Travel & consumer protection Tax & tax planning IT, Internet & e-commerce Privacy & cookies Gambling & gaming www.siriuslegal.be bart@siriuslegal.be @BartVdBrande LinkedIn.com/in/bartvdb

×