1. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
De GDPR bekeken vanuit risico
en financieel oogpunt
Presentatie Dirk De Bot
FD Seminar IT Risk
Niel – 10 oktober 2017
2. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Voorstelling
Dirk De Bot
• Licentiaat (KUL 1988) en doctor rechten (VUB 2015)
• Ervaring als advocaat en bedrijfsjurist
• Sinds 1993 actief op het vlak van de juridische
aspecten van gegevensverwerking en -bescherming
• Expert bij de CBPL tot augustus 2015 (opvolging AVG)
• Extern lid Sectoraal Comité Federale Overheid
• Zaakvoerder/consultant DPS4U bvba
• www.dps4u.be - overzicht diensten en publicaties
4. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET - privacy
WEL - data protection of gegevensbescherming
• Niet elke verwerking van persoonsgegevens is
een (potentiële) inmenging in het privéleven
of de persoonlijke levenssfeer
• Gelijkstelling van beide is risicovol voor de
bescherming van de burgers
5. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET – persoonlijke gegevens
WEL – persoonsgegevens
• De regelgeving is van toepassing zodra er
persoonsgegevens worden verwerkt
• De gegevens moet niet persoonlijk zijn, maar
wel aan een persoon kunnen worden
gekoppeld
6. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Vooraf - terminologie
NIET – Privacywet of Privacycommissie
WEL – Wet verwerking persoonsgegevens
en Commissie voor de bescherming van de
persoonlijke levenssfeer
• Toekomst - Gegevensbeschermingsautoriteit
= de Toezichthoudende autoriteit voor de
verwerking van persoonsgegevens;
7. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied
GDPR/AVG is van toepassing zodra
persoonsgegevens worden verwerkt
Persoonsgegeven = alle informatie over een
geïdentificeerde of
identificeerbare natuurlijke persoon
8. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/2
Wanneer is een persoon identificeerbaar?
• Als hij direct of indirect kan worden
geïdentificeerd, met name aan de hand van
– Een identificator
• Zoals naam, identificatienummer, locatiegegevens
– Of van een of meer elementen die kenmerkend
zijn voor de fysieke, fysiologische, genetische,
psychische , economische, culturele of sociale
identiteit
9. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/3
Om te bepalen of iemand identificeerbaar is
• Rekening houden met alle middelen waarvan
redelijkerwijs valt te verwachten dat zij
worden gebruikt door de
verwerkingsverantwoordelijke of door een
andere persoon om de natuurlijke persoon
direct of indirect te identificeren
10. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/4
Wanneer valt van middelen redelijkerwijs te
verwachten dat ze worden ingezet om te
identificeren?
• Rekening houden met alle objectieve factoren,
– Zoals kosten van identificatie
– Tijd nodig voor identificatie
– Rekening houden met beschikbare technologie
– En met technologische ontwikkelingen
11. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/5
Conclusies
• Zeer ruime interpretatie van persoonsgegeven
– Zowel elk gegeven komt in aanmerking om een
persoonsgegeven te zijn
• Ook zeer ruime interpretatie van verwerking
12. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/6
Verduidelijkingen/1
• Gegevens over natuurlijke personen in
professionele hoedanigheid
zoals vrije beroepers, eenmanszaken
Eventueel ook gegevens over EBVBA (met naam
van vennoot)
= persoonsgegevens !
– Wellicht een ander risico
13. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/7
Verduidelijkingen/2
• Band met privéleven is niet relevant
• Enige criterium = vraag of gegeven betrekking
heeft op/in verband kan worden gebracht met
natuurlijke persoon
– Ook professionele gegevens, zoals zaakvoerder
BVBA of financieel directeur onderneming X =
persoonsgegevens
– Toepassing op B2B
14. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Toepassingsgebied/8
Verduidelijkingen/3
• Ook gegevens over objecten kunnen
persoonsgegevens zijn
– Telefoon – titularis of eigenaar van telefoon
– Nummerplaat – titularis van voertuig waar
nummerplaat op hangt
– Vast IP-nummer – titularis nummer
15. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico
A. Inleiding – band met risk based approach
B. 4 soorten van risico
C. De onbekende – de risico’s voor de rechten
en vrijheden van de betrokkene
16. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico - inleiding
AVG kent “op risico’s gebaseerde benadering”
• In plaats van ongedifferentieerde
verplichtingen zoals aangifte
– Leiden tot administratieve en financiële lasten
– Zonder bijdrage tot betere bescherming
• Bewuste keuze voor doeltreffende procedures
en mechanismen die gericht zijn op de
verwerkingen met waarschijnlijk grote risico’s
17. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – inleiding/2
• “Risk based approach” - hangt samen met
verantwoordingsplicht
• Slechte vertaling van “accountability”
• Dekt een dubbele lading
– Verantwoordelijkheid nemen
= maatregelen die zorgen voor naleving
– Verantwoording geven
= aantonen dat maatregelen zorgen voor naleving
(doeltreffendheid)
18. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/1
Onderscheid tussen 4 soorten risico’s
• Risicoanalyse door Europese wetgever
• A posterior risicoanalyse bij gegevenslekken
• Preventieve risicoanalyse m.b.t. beveiliging
• Preventieve risicoanalyse als onderdeel van op
risico’s gebaseerde benadering
19. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/2
1. Risicoanalyse door Europese wetgever
Sommige verwerkingen worden beschouwd als
een hoog risico
– Verwerking van bijzondere categorieën van
gegevens
– Systematische en uitgebreide beoordeling van
persoonlijke aspecten
– Systematische en grootschalige monitoring van
van openbaar toegankelijke ruimten
20. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/3
2. A posteriori risicoanalyse bij lekken
Analyse van risico’s verbonden met gegevenslek
• Is altijd a posteriori (nadat het risico of lek zich
heeft voorgedaan)
• Is niet noodzakelijk verbonden met het risico
dat inherent is aan de verwerking
– Een verwerking met een laag risico kan leiden tot
een lek met ernstige gevolgen (hoog risico)
21. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/4
3. Preventieve risicoanalyse inzake beveiliging
• Is gekend – al vervat in Wet 8/12/1992
• Betreft de risico’s voor verantwoordelijke
– Laat toe om rekening te houden met de
waarschijnlijkheid en ernst van de risico’s
– Vraagt in eerste instantie om een afweging van
belangen die gekend zijn en onder controle
22. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico – soorten/5
4. Preventieve risicoanalyse algemeen
• Onderdeel op risico’s gebaseerde benadering
• Een specifiek risico
• Betreft altijd de fundamentele rechten en
vrijheden van de betrokkenen
• Vraagt om een afweging van belangen die niet
(volledig) onder controle zijn
23. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Risico - uitdaging
• Hoe bepalen wat de risico’s zijn voor de
rechten en vrijheden van betrokkenen?
• De grote uitdaging
• Teveel gegevens
– risico voor verantwoordelijke (onrechtmatige
verwerking en dus mogelijke boete)
– Risico voor betrokkene? – als teveel aan gegevens
voor andere doeleinden wordt verwerkt
24. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financiële gevolgen
A. De klassieker – de administratieve geldboetes
B. Andere mogelijke sancties
C. De uitvoeringskosten
25. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – geldboetes/1
Administratieve geldboetes
• Op te leggen door toezichthoudende
autoriteit
• Afspraak nodig met parket
– wanneer administratief en wanneer strafrechtelijk
– via protocol (zie GAS-wet)
• Procedures voorzien voor rechten verdediging
26. 4. Financieel - geldboetes/2
Bij besluit over opleggen geldboete én over hoogte
geldboete naar behoren rekening houden met aantal
criteria of elementen (zie artikel 83, lid 2 AVG)
• Aard, ernst, duur van inbreuk
– In functie van aard, omvang of doel verwerking
– In functie van aantal getroffen betrokkenen
– In functie van omvang geleden schade
• Opzettelijke of nalatige aard inbreuk
27. 4. Financieel - geldboetes/3
• Maatregelen om schade te beperken
• Mate van verantwoordelijkheid gezien technische en
organisatorische maatregelen
• Eerdere relevante inbreuken
• Mate van samenwerking met toezichthoudende
autoriteit om inbreuk te verhelpen en mogelijk
negatieve gevolgen te beperken
• Categorieën van persoonsgegevens waarop inbreuk
betrekking heeft
• Wijze van kennisname van inbreuk
• Met name of (en in hoeverre) zelf gemeld
28. 4. Financieel – geldboetes/4
• Naleving corrigerende maatregelen artikel 58, lid 2
• Aansluiten bij gedragscode of
certificeringsmechanismen
• Elke andere verzwarende of verzachtende factor
– Gemaakte financiële winsten
– Vermeden verliezen
– die (al dan niet rechtstreeks) uit inbreuk
voortvloeien
29. 4. Financieel – geldboetes/5
Geldboetes categorie 1
• Tot 10.000.000 EUR of 2 % totale wereldwijde
omzet in voorgaande boekjaar
• Voor inbreuken
• op verplichtingen overeenkomstig artikel 8, 11, 25 tot
en met 39, 42 en 43
= onder meer alle verplichtingen voor verantwoordelijke in
Hoofdstuk IV
• Verplichtingen certificeringsorgaan
30. 4. Financieel – geldboetes/6
Geldboetes categorie 2
• Tot 20.000.000 of 4 % totale wereldwijde omzet in
voorgaand boekjaar
• Voor inbreuken op
• Basisbeginselen (artikel 5, 6, 7 en 9)
• Rechten van betrokkenen (artikel 12 tot en met 22)
• Doorgiften (artikel 44 tot en met 49)
• Verplichtingen uit hoofde van lidstatelijk recht in verband met
Hoofdstuk IX
• = lidstatelijke regels voor specifieke situaties
• Niet-naleving van bevel of tijdelijke of definitieve beperking of
opschorting gegevensstroom overeenkomstig artikel 58, lid 2
• Niet-verlening van toegang in strijd met artikel 58, lid 1
31. 4. Financieel – geldboetes/7
Geldboetes categorie 3
• Tot 20.000.000 of 4 % totale wereldwijze omzet
in voorgaand boekjaar
• Voor niet-naleving van een bevel
toezichthoudende autoriteit als bedoeld in artikel
58, lid 2
32. 4. Financieel – geldboetes/8
Wat bij samenloop?
• ALS
– opzettelijk of uit nalatigheid
– Met betrekking tot dezelfde of daarmee verband
houdende verwerkingsactiviteiten
• Inbreuk op meerdere bepalingen
• Mag totale geldboete niet hoger zijn dan die
voor zwaarste inbreuk
33. 4. Financieel – geldboetes/9
Administratieve (geld)boetes
= administratieve geldboetes met punitief
karakter
• DUS toepassing beginselen strafsancties
– Niet duidelijk of ze de toets doorstaan
– Probleem van legaliteit – omschrijving van
strafbaarstelling (verwijtbaarheid)
• Belang van geldboetes van categorie 3!
34. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – andere sancties
Administratieve geldboete slechts één mogelijke
maatregel
zie Artikel 58, lid 2, onder i) AVG
• “naargelang de omstandigheden van elke zaak,
• naast of in plaats van de corrigerende maatregelen
• een administratieve geldboete opleggen op grond van
artikel 83”
Andere administratieve sancties zijn mogelijk
• kunnen belangrijke financiële impact hebben
35. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – andere sancties/2
Corrigerende maatregelen, zoals (artikel 58, lid 2
AVG)
• bevel om inbreuk op beveiliging mee te delen
aan betrokkene
• Bevel om op nadere bepaalde manier en binnen
nader bepaalde termijn verwerkingen in
overeenstemming te brengen met AVG
• opleggen tijdelijke of definitieve beperking van
verwerking, met inbegrip van verbod
• Opschorten gegevensstroom naar derde land
36. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel - aandachtspunt
AVG voert hoofdelijke aansprakelijkheid in
• Maakt het mogelijk dat verantwoordelijke
gehele bedrag van schadevergoeding moet
betalen en aandeel verwerker op verwerker
moet verhalen
• En omgekeerd! – verwerker moet volledige
schade vergoeden en nadien recupereren
37. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel - uitvoeringskosten
Uitvoeringkosten = element waarmee rekening
kan en mag gehouden worden bij toepassing
AVG
Wordt uitdrukkelijk voorzien in AVG
Afhankelijk van risico en globale context
• Zijn anders voor KMO die “gewone” producten
verkoopt dan voor groot ziekenhuis
38. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – uitvoeringskosten/2
• Ook altijd rekening houden met
technologische ontwikkelingen
• Combinatie
– State of the art oplossing is niet altijd nodig
– Wel de oplossing die technisch én financieel
haalbaar is voor gemiddelde onderneming in
zelfde omstandigheden
39. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Financieel – uitvoeringskosten/3
Uitvoeringskosten zijn een criterium in
• Artikel 17 – bij toepassing recht op
overdraagbaarheid
• Artikel 25 – bij toepassing
gegevensbescherming door ontwerp
• Artikel 30 – bij bepalen van passende
technische en organisatorische maatregelen
inzake beveiliging
40. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusie
• AVG kent heel wat goede bedoelingen
• Maar schiet soms zijn doel voorbij
• Teveel nadruk op grotere online spelers
• Te weinig aandacht voor impact op rest, in het
bijzonder KMO’s
41. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusie/2
• Belangrijke financiële gevolgen, maar mogen
niet overroepen worden
– Boetes zullen wellicht niet snel worden opgelegd
• Naleving AVG is kwestie van gezond verstand
• Niet mogelijk alles naar de letter toe te passen
• Belang van goodwill – aanpakken van grootste
problemen of issues
42. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Vragen?