Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Presentatie toerisme oost vlaanderen gdpr dd 23052018

698 views

Published on

GDPR privacy wetgeving gegevensbescherming voor logies - Spreker Tom De Koster

Published in: Travel
  • Login to see the comments

  • Be the first to like this

Presentatie toerisme oost vlaanderen gdpr dd 23052018

  1. 1. 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 2 Toerisme Oost-Vlaanderen IS UW LOGIES KLAAR VOOR DE NIEUWE DATAREGELGEVING? GDPR Tips & Tricks voor uitbaters Logies
  2. 2. Structuur I. Kader & Toepassingsgebied II. Sleutelbegrippen III. Basisprincipes IV. Rechtmatige verwerking V. Rechten van de betrokkene VI. Verplichtingen als uitbater van logies VII. Beveiliging & Datalek VII. Tips & Tricks voor jouw logies 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 3
  3. 3. Kader & Toepassingsgebied • Wat?  Verordening (EU) 2016|679  Opvolger van de Databeschermingsrichtlijn 95/46/EC  Een uniforme Europese regeling • Wanneer?  Van toepassing vanaf 25 mei 2018 •Doel ?  Bewust maken  Informeren van de betrokkenen  Bescherming & beveiliging van (gevoelige) data 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 4
  4. 4. Kader & Toepassingsgebied • Belangrijkste wijzigingen?  Aansprakelijkheid & boetes  tot € 20 miljoen of 4% van jaarlijkse wereldwijde groepsomzet  duur, ernst, schaal, aard, recidivisme,…  Gewijzigde aanpak: verantwoordelijkheid – inspectie  Verhoogde transparantie & informatieplicht (vb. in privacy policies)  rechten van de betrokkene  Register van verwerkingsactiviteiten  Gegevensbeschermingseffectbeoordeling  Functionaris voor gegevensbescherming  Melding van een datalek  Privacy by design (“ontwerp”) / privacy by default (“standaardinstellingen”)  Recht op overdraagbaarheid  Recht op vergetelheid 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 5
  5. 5. Sleutelbegrippen  Persoonsgegevens…  van een betrokkene in de EU…  verwerkt …  door een verwerkingsverantwoordelijke/verwerker 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 6
  6. 6. Sleutelbegrippen Persoonsgegevens?  Alle informatie  over een natuurlijk persoon  geïdentificeerd of identificeerbaar (direct of indirect)  Vb: naam, e-mail, rijksregisternummer, social media account,… Gevoelige gegevens? Vb. Gegevens over afkomst, religie, gezondheid,… Verwerking in principe niet toegestaan Uitzonderingen (vb. toestemming) Toepassing: allergenen, halal,… 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 7
  7. 7. Sleutelbegrippen Van wie en door wie?  Betrokkene (natuurlijk persoon) die zich in de EU bevindt  Door alle “ondernemingen” gesitueerd in de EU  niet c2c, wel b2c, b2b, overheidsdiensten, vzw’s, sportclubs,…  Door alle “ondernemingen” buiten de EU die  Diensten/goederen aanbieden aan betrokkene in de EU  Monitoren van betrokkene in de EU 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 8
  8. 8. Sleutelbegrippen Wat? =Verwerking  Bewerking of een geheel van bewerkingen  Al dan niet uitgevoerd via geautomatiseerde procedés  Met betrekking tot persoonsgegevens of een geheel van persoonsgegevens  Uitgezonderd voor privé- en gezinsdoeleinden (vb. gastenlijst huwelijk) Voorbeelden: • Verzamelen • Vastleggen • Ordenen Ruim begrip • Bewaren • Raadplegen • Gebruiken • Verspreiden 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 9
  9. 9. Sleutelbegrippen Verwerkingsverantwoordelijke Verwerker  Natuurlijk persoon of rechtspersoon  die alleen of samen met anderen  het doel en de middelen van de verwerking vaststelt De uitbater van logies  Natuurlijk persoon of rechtspersoon  die de gegevens verwerkt  voor rekening van de verwerkingsverantwoordelijke Voorbeelden: sociaal secretariaat, clouddiensten, websitebeheerder, marketingbedrijf, boekhouder, bewakingsfirma, externe cateraar restaurant,… 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 10
  10. 10. Basisprincipes Algemene wettelijke principes  Rechtmatige en behoorlijke verwerking  Verzameld voor welbepaalde, uitdrukkelijke en gerechtvaardigde doeleinden  Dienende en beperkte verwerking (wat nodig is)  Juist en geactualiseerd (zo nodig)  Beperkte bewaarperiode  Passende beveiliging Altijd in het licht van de doeleinden 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 11
  11. 11. Basisprincipes Specifieke praktische principes  Verwerker is verantwoordelijk voor de verwerking en moet de naleving van de GDPR kunnen aantonen Belang van privacy policies en verwerkingsactiviteitenregister  Methode van risicobenadering 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 12 Inschatting van het risico Hoog risico = Geg.effect- beoordeling Verzachting onmogelijk = Advies GBA
  12. 12. Basisprincipes Specifieke praktische principes Privacy by design  = Gegevensbescherming door ontwerp  Vóór verwerking van persoonsgegevens  Beoordeling: is gegevensbescherming verzekerd?  Passende technische en organisatorische maatregelen Privacy by default  = Gegevensbescherming door standaardinstellingen  Hoogst mogelijke bescherming = standaardinstelling  Verwerking beperkt tot wat noodzakelijk is  Toegankelijkheid beperkt tot welbepaald aantal personen  … 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 13
  13. 13. Rechtmatige verwerking Op welke rechtsgronden kan de verwerking plaatsgrijpen?  Toestemming  per type van verwerking & te allen tijde in te trekken  Striktere voorwaarden: vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinning (NB: opt-in/opt-out)  Mailings i.v.m. in het verleden verzamelde gegevens  Uitvoering van een overeenkomst  Wettelijke verplichting (registratieplicht reizigers)  Vitale belangen  Algemeen belang of openbaar gezag  Gerechtvaardigde belangen (residuele grond - evenredigheid) Relevant voor uitbaters logies 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 14
  14. 14. 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 15 General Data Protection Regulation (GDPR) You are a contact in Laura Devine Solicitors and/or Attorneys database because you have either provided your contact information to us or we have collected it from elsewhere. As part of our GDPR compliance programme we are contacting everyone in our database. We would like to continue sending you emails with immigration updates and invitations which we think may be of relevance, however due to changes in EU data protection regulations we need you to confirm that you would like to receive these from us. Please click on the button below to confirm your details and preferences Update your profile Your personal data will be stored and used in accordance with our digital privacy policy from which you can unsubscribe at any time by contacting us by email, telephone or in writing.
  15. 15. Rechten van de betrokkene Welke rechten kan de betrokkene laten gelden t.o.v. de verwerkingsverantwoordelijke?  Recht op informatie (NB: al dan niet verkregen van betrokkene)  Uitzondering: indien de betrokkene reeds over deze informatie beschikt  Quid online bemiddelingsplatform (Airbnb?)  Recht van inzage  Recht op rectificatie  Recht op gegevenswissing (recht op vergetelheid) (NIEUW)  Uitzondering: wettelijke verwerkingsplicht (bewaartermijn fiches 7 jaar)  Recht van bezwaar en beperking van de verwerking  direct marketing: uitdrukkelijk informeren van dit recht bij eerste contact!  Recht op overdraagbaarheid (NIEUW): als toestemming en geautomatiseerde verwerking – 1 maand – gratis  Recht van bezwaar op geautomatiseerde individuele besluitvorming (vb. Profilering) Transparantie! 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 16
  16. 16. Rechten van de betrokkene Welke rechten kan de betrokkene laten gelden t.o.v. de verwerkingsverantwoordelijke? 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 17
  17. 17. Verplichtingen als uitbater van logies De uitbater als verwerkingsverantwoordelijke/verwerker - Algemene verplichtingen Faciliteren van de uitoefening van de rechten van de betrokkene Tijdig antwoorden op de verzoeken van de betrokkene (1 maand) Invoeren/nakijken van beleidsverklaringen omtrent gegevensbescherming Invoeren/nakijken van contracten met verwerkers Invoeren/nakijken van technische & organisatorische maatregelen  Vb. Op het vlak van beveiliging (i.f.v. het risico) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 18
  18. 18. Verplichtingen als uitbater van logies De uitbater als verwerkingsverantwoordelijke/verwerker - Bijzondere verplichtingen  Verwerkingsactiviteitenregister?  Verwerkingsverantwoordelijke & verwerker  Uitzondering: logiesverstrekker met minder dan 250 personeelsleden  JA: vaag + aan te raden om naleving van GDPR aan te tonen 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 19 Tenzij de verwerking Waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen; of Niet incidenteel is; of Gevoelige data betreft.
  19. 19. Verplichtingen als uitbater van logies De uitbater als verwerkingsverantwoordelijke/verwerker - Bijzondere verplichtingen Aanstelling van een functionaris voor gegevensbescherming?  Verwerkingsverantwoordelijke & verwerker  Informerende, toezichthoudende en adviserende rol  NEE 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 20 Wanneer de kernactiviteiten bestaan uit Regelmatige en stelselmatige observatie op grote schaal (vb. profilering) Grootschalige verwerking van gevoelige gegevens
  20. 20. Verplichtingen als uitbater van logies De uitbater als verwerkingsverantwoordelijke/verwerker - Bijzondere verplichtingen  Gegevensbeschermingseffectbeoordeling?  Verwerkingsverantwoordelijke  Vóór de verwerking  NEE 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 21 Verplicht onder de volgende voorwaarden Gelet op de aard, omvang, context en doeleinden van de verwerking; en Hoog risico voor de rechten en vrijheden van betrokkenen; In het bijzonder mits gebruik van nieuwe technologieën
  21. 21. Beveiliging & Datalek Welke verplichtingen moet de verwerkingsverantwoordelijke in acht nemen?  Beveiligingsverplichting van de persoonsgegevens  Datalek = inbreuk op beveiligingsverplichting  Passende technische & organisatorische maatregelen in het licht van het risico (vb. antivirus/hacking, camera’s, brandbeveiliging, toegangscode, wachtwoordbeleid,…)  Melding aan de toezichthoudende overheid (“Gegevensbeschermingsautoriteit”) binnen 72 uur tenzij het risico onwaarschijnlijk is  Onmiddellijke melding aan de betrokkene in geval van een “waarschijnlijk hoog risico” (vb. Kredietkaartgegevens - niet bij versleuteling)  Register van datalekken/beveiligingsinbreuken en passende conclusies 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 22
  22. 22. Tips & Tricks voor jouw logies Hoe zorg ik ervoor dat mijn logies in regel is met de GDPR?  12-stappenplan van de Privacycommissie 1. Bewustmaking: informer sleutelfiguren en beleidsmakers 2. Dataregister: welke data heb ik, vanwaar, wat doe ik ermee en met wie heb ik deze gedeeld 3. Communicatie: evaluatie van bestaande privacyverklaringen en aanpassingen 4. Controleer de rechten van de betrokkene: bestaande procedures (wissing, informering etc.) 5. Controleer verzoeken tot toegang: evalueer en actualiseer de procedure 6. Bepaal de wettelijke grondslag voor de verwerking per type data/verwerking 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 23
  23. 23. Tips & Tricks voor jouw logies Hoe zorg ik ervoor dat mijn logies in regel is met de GDPR?  12-stappenplan van de Privacycommissie 7. Toestemming: hoe verkrijg en registreer ik de toestemming (actief - NB: minderjarigen: ouders) 8. Documenteer datalekken: procedures voor detectie, melding en onderzoek 9. Implementeer privacy by design, privacy by default en effectbeoordeling 10. Controleer plicht tot aanstelling van functionaris voor gegevensbescherming: zoja, bepaal het kader 11. Controleer het territoriale toepassingsgebied: zoja, organiseer internationale gegevensoverdrachten 12. Controleer bestaande contracten: evalueer en pas aan 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 24
  24. 24. Tips & Tricks voor jouw logies Hoe zorg ik er concreet voor dat mijn logies in regel is met de GDPR? Reflecteer en registreer – o.m.:  Welke persoonsgegevens verwerk ik? Wie is verwerker?  Is deze verwerking noodzakelijk in het licht van mijn activiteiten? Wat zijn de doeleinden?  Beperk ik deze verwerking tot wat noodzakelijk is in het licht van het doel van de verwerking?  Wat is/zijn de wettelijke rechtmatigheidsgrond(en) van de verwerking?  Hoe garandeer ik de integriteit van deze data?  Hoe garandeer ik de rechten van de betrokkene?  Is de bewaartermijn van de data passend? 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 25
  25. 25. Tips & Tricks voor jouw logies Welke documenten heb ik concreet nodig?  Ga over tot actie:  Actualiseer/maak privacy policies op  Actualiseer/maak contracten op met medewerkers  Actualiseer/maak contracten op met verwerkers  Actualiseer/maak contracten op met derde partijen die toegang hebben tot persoonsgegevens (niet-verwerkers)  Voer een verwerkingsactiviteitenregister in en hou dit actueel  Benoem een functionaris voor gegevensbescherming/voer een effectbeoordeling uit (indien nodig/gewenst)  Verzeker de integriteit van de verwerkte data 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 26
  26. 26. Tips & Tricks voor jouw logies Welke documenten heb ik concreet nodig?  Ga over tot actie: 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 27 Overzicht Privacy policies (+ verwerkingsactiviteitenregister) Werknemers/medewerkers Sollicitanten Gasten Beveiligingsbeleid Leverancierscontracten – verwerkers sociaal secretariaat, verzekeraar, back-upleverancier, marketingkantoor, boekhouder, bewakingsfirma,… Leverancierscontracten – niet- verwerkers Schoonmaakbedrijf, onderhoudsbedrijf printers,… Vertrouwelijkheidsovereenkomst Werknemers/medewerkers
  27. 27. Tips & Tricks voor jouw logies Welke documenten zal elke uitbater minstens nodig hebben?  Privacy policy gasten  Verwerkingsactiviteitenregister  Verwerkersovereenkomst  Infofiche gasten/infomail/integratie privacy policy in boekingssysteem (afhankelijk van hoe boeking gebeurt) (cfr. slides 29-31)  opt-in mail voor in het verleden verzamelde persoonsgegevens (cfr. slide 15) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 28
  28. 28. Tips & Tricks voor jouw logies  Voorbeeld uit de advocatuur (“toestemming”) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 29
  29. 29. Tips & Tricks voor jouw logies  Voorbeeld uit de advocatuur (“toestemming”) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 30
  30. 30. Tips & Tricks voor jouw logies  Voorbeeld uit de advocatuur (“toestemming”) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 31
  31. 31. Tips & Tricks voor jouw logies Ter inspiratie… Verwerkingsactiviteitenregister  Mogelijke verwerkingen van persoonsgegevens als uitbater logies  Toegang, opvraging, gebruik en mededeling van persoonsgegevens in het kader van het koninklijk besluit betreffende de registratie en de controle van reizigers  Toegang, opvraging en gebruik van persoonsgegevens in het kader van reserveringen en organisatie uitbating logies  Opslag van facturatiegegevens in IT-toepassing boekhoudbeheer (evt. cloud)  Bewaren van contactgegevens van gasten m.o.o. verzenden nieuwsbrieven, uitnodigingen workshops/seminaries, verjaardags- en kerstkaartjes, in kennis stellen van promoties, getrouwheidskaart,… (uitdrukkelijke toestemming + opt-out)  Bewaren van beeld- en fotomateriaal ter beveiliging van de parking/ingang logies  … 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 32
  32. 32. Tips & Tricks voor jouw logies Ter inspiratie… Privacy Policies  Mogelijke clausules in privacy policies  Beschrijving van verwerkte persoonsgegevens  Beschrijven van de doeleinden en rechtsgeldigheid van de verwerking  Mogelijke ontvangers van de persoonsgegevens  Opslag en bewaarperiode  Gebruik van geautomatiseerde individuele besluitvorming of profilering (waar toepasselijk)  Register + functionaris voor gegevensbescherming (waar toepasselijk)  Rechten van de betrokkene en verplichtingen van de verwerkingsverantwoordelijke  Veiligheid, integriteit en overdracht van persoonsgegevens  Contactpersoon 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 33
  33. 33. Tips & Tricks voor jouw logies Ter inspiratie… Toegepast op privacy policy gasten  Beschrijving van verwerkte persoonsgegevens  vb. naam, geboorteplaats, nationaliteit, nummer ID- kaart,…  Beschrijven van de doeleinden en rechtsgeldigheid van de verwerking  vb. Registratie gastenfiche – wettelijke verplichting  Mogelijke ontvangers van de persoonsgegevens  vb. Politiediensten  Bewaarperiode  vb. Tot 7 jaar na beëindiging verblijf 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 34
  34. 34. Tips & Tricks voor jouw logies Ter inspiratie… Privacy Policies  Mogelijke clausules in privacy policies - beveiligingsbeleid  Identificatie van de verwerkingsverantwoordelijke en doeleinden  Evaluatie en inschatting van risico’s  Identificatie van de dragers van persoonsgegevens  Informeren van het personeel  Fysieke beveiliging (toegang & omgeving) vb. camera’s, badges, branddeur, specifieke maatregelen in serverzaal, beveiliging cloudsysteem, netwerkbeveiliging,…  Lijst met gemachtigde personen and toegangsregistratie  Toezicht & onderhoud  Procedure in geval van datalekken 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 35
  35. 35. Tips & Tricks voor jouw logies Ter inspiratie… Verwerkersovereenkomst  Mogelijke clausules in leveranciersovereenkomst - verwerker  Modaliteiten van de verwerking (identificatie van persoonsgegevens, van betrokkenen, rechtmatigheid, verwerkingsdoeleinden,…)  Verwerking gebeurt conform GDPR en louter op instructie van de verwerkingsverantwoordelijke  Geheimhoudingsplicht + registratieplicht van verwerkingsactiviteiten (register)  Toegang tot de persoonsgegevens + toestemming voor sub-verwerking  Bijstand aan de verwerkingsverantwoordelijke bij GDPR-verplichtingen, zoals de rechten van de betrokkene  Reproductie, overdracht en vernietiging van de persoonsgegevens bij beëindiging overeenkomst  Aansprakelijkheid verwerker  Beveiligingsmaatregelen + meldingsplicht bij datalek 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 36
  36. 36. Tips & Tricks voor jouw logies Ter inspiratie… Vertrouwelijkheidsovereenkomst – niet- verwerker  Mogelijke clausules in vertrouwelijkheidsovereenkomst – niet-verwerker  Doorgaans volstaat een voldoende uitgebreide confidentialiteitsverplichting (met strikte beperkingen van de kennisname van persoonsgegevens) 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 37
  37. 37. Avenue Louise 221 — B-1050 Brussels tel. +32 2 644 05 11 — fax +32 2 646 38 47 www.vow.be Tom De Koster tom.de.koster@vow.be

×