SlideShare a Scribd company logo

FDseminar IT Risk - Dirk De Bot - DPS4U

FDMagazine
FDMagazine

FDseminar IT Risk - 10 oktober 2017

Business
1 of 42
Download to read offline
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 De GDPR bekeken vanuit risico en financieel oogpunt Presentatie Dirk De Bot FD Seminar IT Risk Niel – 10 oktober 2017
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Voorstelling Dirk De Bot • Licentiaat (KUL 1988) en doctor rechten (VUB 2015) • Ervaring als advocaat en bedrijfsjurist • Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking en -bescherming • Expert bij de CBPL tot augustus 2015 (opvolging AVG) • Extern lid Sectoraal Comité Federale Overheid • Zaakvoerder/consultant DPS4U bvba • www.dps4u.be - overzicht diensten en publicaties
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Schema 1. Vooraf - terminologie 2. Toepassingsgebied - enkele verduidelijkingen 3. Risico 4. Financiële gevolgen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET - privacy WEL - data protection of gegevensbescherming • Niet elke verwerking van persoonsgegevens is een (potentiële) inmenging in het privéleven of de persoonlijke levenssfeer • Gelijkstelling van beide is risicovol voor de bescherming van de burgers
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET – persoonlijke gegevens WEL – persoonsgegevens • De regelgeving is van toepassing zodra er persoonsgegevens worden verwerkt • De gegevens moet niet persoonlijk zijn, maar wel aan een persoon kunnen worden gekoppeld
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET – Privacywet of Privacycommissie WEL – Wet verwerking persoonsgegevens en Commissie voor de bescherming van de persoonlijke levenssfeer • Toekomst - Gegevensbeschermingsautoriteit = de Toezichthoudende autoriteit voor de verwerking van persoonsgegevens;
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied GDPR/AVG is van toepassing zodra persoonsgegevens worden verwerkt Persoonsgegeven = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/2 Wanneer is een persoon identificeerbaar? • Als hij direct of indirect kan worden geïdentificeerd, met name aan de hand van – Een identificator • Zoals naam, identificatienummer, locatiegegevens – Of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische , economische, culturele of sociale identiteit
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/3 Om te bepalen of iemand identificeerbaar is • Rekening houden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/4 Wanneer valt van middelen redelijkerwijs te verwachten dat ze worden ingezet om te identificeren? • Rekening houden met alle objectieve factoren, – Zoals kosten van identificatie – Tijd nodig voor identificatie – Rekening houden met beschikbare technologie – En met technologische ontwikkelingen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/5 Conclusies • Zeer ruime interpretatie van persoonsgegeven – Zowel elk gegeven komt in aanmerking om een persoonsgegeven te zijn • Ook zeer ruime interpretatie van verwerking
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/6 Verduidelijkingen/1 • Gegevens over natuurlijke personen in professionele hoedanigheid zoals vrije beroepers, eenmanszaken Eventueel ook gegevens over EBVBA (met naam van vennoot) = persoonsgegevens ! – Wellicht een ander risico
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/7 Verduidelijkingen/2 • Band met privéleven is niet relevant • Enige criterium = vraag of gegeven betrekking heeft op/in verband kan worden gebracht met natuurlijke persoon – Ook professionele gegevens, zoals zaakvoerder BVBA of financieel directeur onderneming X = persoonsgegevens – Toepassing op B2B
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/8 Verduidelijkingen/3 • Ook gegevens over objecten kunnen persoonsgegevens zijn – Telefoon – titularis of eigenaar van telefoon – Nummerplaat – titularis van voertuig waar nummerplaat op hangt – Vast IP-nummer – titularis nummer
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico A. Inleiding – band met risk based approach B. 4 soorten van risico C. De onbekende – de risico’s voor de rechten en vrijheden van de betrokkene
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico - inleiding AVG kent “op risico’s gebaseerde benadering” • In plaats van ongedifferentieerde verplichtingen zoals aangifte – Leiden tot administratieve en financiële lasten – Zonder bijdrage tot betere bescherming • Bewuste keuze voor doeltreffende procedures en mechanismen die gericht zijn op de verwerkingen met waarschijnlijk grote risico’s
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – inleiding/2 • “Risk based approach” - hangt samen met verantwoordingsplicht • Slechte vertaling van “accountability” • Dekt een dubbele lading – Verantwoordelijkheid nemen = maatregelen die zorgen voor naleving – Verantwoording geven = aantonen dat maatregelen zorgen voor naleving (doeltreffendheid)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/1 Onderscheid tussen 4 soorten risico’s • Risicoanalyse door Europese wetgever • A posterior risicoanalyse bij gegevenslekken • Preventieve risicoanalyse m.b.t. beveiliging • Preventieve risicoanalyse als onderdeel van op risico’s gebaseerde benadering
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/2 1. Risicoanalyse door Europese wetgever Sommige verwerkingen worden beschouwd als een hoog risico – Verwerking van bijzondere categorieën van gegevens – Systematische en uitgebreide beoordeling van persoonlijke aspecten – Systematische en grootschalige monitoring van van openbaar toegankelijke ruimten
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/3 2. A posteriori risicoanalyse bij lekken Analyse van risico’s verbonden met gegevenslek • Is altijd a posteriori (nadat het risico of lek zich heeft voorgedaan) • Is niet noodzakelijk verbonden met het risico dat inherent is aan de verwerking – Een verwerking met een laag risico kan leiden tot een lek met ernstige gevolgen (hoog risico)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/4 3. Preventieve risicoanalyse inzake beveiliging • Is gekend – al vervat in Wet 8/12/1992 • Betreft de risico’s voor verantwoordelijke – Laat toe om rekening te houden met de waarschijnlijkheid en ernst van de risico’s – Vraagt in eerste instantie om een afweging van belangen die gekend zijn en onder controle
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/5 4. Preventieve risicoanalyse algemeen • Onderdeel op risico’s gebaseerde benadering • Een specifiek risico • Betreft altijd de fundamentele rechten en vrijheden van de betrokkenen • Vraagt om een afweging van belangen die niet (volledig) onder controle zijn
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico - uitdaging • Hoe bepalen wat de risico’s zijn voor de rechten en vrijheden van betrokkenen? • De grote uitdaging • Teveel gegevens – risico voor verantwoordelijke (onrechtmatige verwerking en dus mogelijke boete) – Risico voor betrokkene? – als teveel aan gegevens voor andere doeleinden wordt verwerkt
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financiële gevolgen A. De klassieker – de administratieve geldboetes B. Andere mogelijke sancties C. De uitvoeringskosten
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – geldboetes/1 Administratieve geldboetes • Op te leggen door toezichthoudende autoriteit • Afspraak nodig met parket – wanneer administratief en wanneer strafrechtelijk – via protocol (zie GAS-wet) • Procedures voorzien voor rechten verdediging
4. Financieel - geldboetes/2 Bij besluit over opleggen geldboete én over hoogte geldboete naar behoren rekening houden met aantal criteria of elementen (zie artikel 83, lid 2 AVG) • Aard, ernst, duur van inbreuk – In functie van aard, omvang of doel verwerking – In functie van aantal getroffen betrokkenen – In functie van omvang geleden schade • Opzettelijke of nalatige aard inbreuk
4. Financieel - geldboetes/3 • Maatregelen om schade te beperken • Mate van verantwoordelijkheid gezien technische en organisatorische maatregelen • Eerdere relevante inbreuken • Mate van samenwerking met toezichthoudende autoriteit om inbreuk te verhelpen en mogelijk negatieve gevolgen te beperken • Categorieën van persoonsgegevens waarop inbreuk betrekking heeft • Wijze van kennisname van inbreuk • Met name of (en in hoeverre) zelf gemeld
4. Financieel – geldboetes/4 • Naleving corrigerende maatregelen artikel 58, lid 2 • Aansluiten bij gedragscode of certificeringsmechanismen • Elke andere verzwarende of verzachtende factor – Gemaakte financiële winsten – Vermeden verliezen – die (al dan niet rechtstreeks) uit inbreuk voortvloeien
4. Financieel – geldboetes/5 Geldboetes categorie 1 • Tot 10.000.000 EUR of 2 % totale wereldwijde omzet in voorgaande boekjaar • Voor inbreuken • op verplichtingen overeenkomstig artikel 8, 11, 25 tot en met 39, 42 en 43 = onder meer alle verplichtingen voor verantwoordelijke in Hoofdstuk IV • Verplichtingen certificeringsorgaan
4. Financieel – geldboetes/6 Geldboetes categorie 2 • Tot 20.000.000 of 4 % totale wereldwijde omzet in voorgaand boekjaar • Voor inbreuken op • Basisbeginselen (artikel 5, 6, 7 en 9) • Rechten van betrokkenen (artikel 12 tot en met 22) • Doorgiften (artikel 44 tot en met 49) • Verplichtingen uit hoofde van lidstatelijk recht in verband met Hoofdstuk IX • = lidstatelijke regels voor specifieke situaties • Niet-naleving van bevel of tijdelijke of definitieve beperking of opschorting gegevensstroom overeenkomstig artikel 58, lid 2 • Niet-verlening van toegang in strijd met artikel 58, lid 1
4. Financieel – geldboetes/7 Geldboetes categorie 3 • Tot 20.000.000 of 4 % totale wereldwijze omzet in voorgaand boekjaar • Voor niet-naleving van een bevel toezichthoudende autoriteit als bedoeld in artikel 58, lid 2
4. Financieel – geldboetes/8 Wat bij samenloop? • ALS – opzettelijk of uit nalatigheid – Met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten • Inbreuk op meerdere bepalingen • Mag totale geldboete niet hoger zijn dan die voor zwaarste inbreuk
4. Financieel – geldboetes/9 Administratieve (geld)boetes = administratieve geldboetes met punitief karakter • DUS toepassing beginselen strafsancties – Niet duidelijk of ze de toets doorstaan – Probleem van legaliteit – omschrijving van strafbaarstelling (verwijtbaarheid) • Belang van geldboetes van categorie 3!
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – andere sancties Administratieve geldboete slechts één mogelijke maatregel zie Artikel 58, lid 2, onder i) AVG • “naargelang de omstandigheden van elke zaak, • naast of in plaats van de corrigerende maatregelen • een administratieve geldboete opleggen op grond van artikel 83” Andere administratieve sancties zijn mogelijk • kunnen belangrijke financiële impact hebben
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – andere sancties/2 Corrigerende maatregelen, zoals (artikel 58, lid 2 AVG) • bevel om inbreuk op beveiliging mee te delen aan betrokkene • Bevel om op nadere bepaalde manier en binnen nader bepaalde termijn verwerkingen in overeenstemming te brengen met AVG • opleggen tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod • Opschorten gegevensstroom naar derde land
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel - aandachtspunt AVG voert hoofdelijke aansprakelijkheid in • Maakt het mogelijk dat verantwoordelijke gehele bedrag van schadevergoeding moet betalen en aandeel verwerker op verwerker moet verhalen • En omgekeerd! – verwerker moet volledige schade vergoeden en nadien recupereren
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel - uitvoeringskosten Uitvoeringkosten = element waarmee rekening kan en mag gehouden worden bij toepassing AVG Wordt uitdrukkelijk voorzien in AVG Afhankelijk van risico en globale context • Zijn anders voor KMO die “gewone” producten verkoopt dan voor groot ziekenhuis
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – uitvoeringskosten/2 • Ook altijd rekening houden met technologische ontwikkelingen • Combinatie – State of the art oplossing is niet altijd nodig – Wel de oplossing die technisch én financieel haalbaar is voor gemiddelde onderneming in zelfde omstandigheden
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – uitvoeringskosten/3 Uitvoeringskosten zijn een criterium in • Artikel 17 – bij toepassing recht op overdraagbaarheid • Artikel 25 – bij toepassing gegevensbescherming door ontwerp • Artikel 30 – bij bepalen van passende technische en organisatorische maatregelen inzake beveiliging
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Conclusie • AVG kent heel wat goede bedoelingen • Maar schiet soms zijn doel voorbij • Teveel nadruk op grotere online spelers • Te weinig aandacht voor impact op rest, in het bijzonder KMO’s
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Conclusie/2 • Belangrijke financiële gevolgen, maar mogen niet overroepen worden – Boetes zullen wellicht niet snel worden opgelegd • Naleving AVG is kwestie van gezond verstand • Niet mogelijk alles naar de letter toe te passen • Belang van goodwill – aanpakken van grootste problemen of issues
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Vragen?

Recommended

Beleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stadBeleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stad
Tommy Vandepitte
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
Koenraad FLAMANT
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
AKD
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
Ann Wuyts
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
Harry Heijligers, PMP ★ NLP ★
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 

Recommended

Beleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stadBeleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stad
Tommy Vandepitte
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
Koenraad FLAMANT
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
AKD
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
Ann Wuyts
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
Harry Heijligers, PMP ★ NLP ★
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
Gemeente Zwijndrecht
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Aangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens CbplAangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens Cbpl
corve
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
Redactie ZiPconomy
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
Anja Dekhuijzen
 
Sirius legal
Sirius legalSirius legal
Sirius legal
WebshopVakbeurs
 
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
GDPR
GDPRGDPR
GDPR
Out Of Use
 
Gdpr
GdprGdpr
Gdpr
Out Of Use
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijstLeidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
haghighat_maryam
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
B.A.
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
Robbert Hoendervanger ✓
 
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
SURF Events
 
Privacy
PrivacyPrivacy
Privacy
Wilma van de Meerakker
 
Nieuwe regelgeving voor vastgoedfondsen: een quick scan
Nieuwe regelgeving voor vastgoedfondsen: een quick scanNieuwe regelgeving voor vastgoedfondsen: een quick scan
Nieuwe regelgeving voor vastgoedfondsen: een quick scan
DLA Piper Nederland N.V.
 
GDPR VOOR ADVOCATEN - seminaries
GDPR VOOR ADVOCATEN - seminariesGDPR VOOR ADVOCATEN - seminaries
GDPR VOOR ADVOCATEN - seminaries
Koenraad FLAMANT
 
10 uur karin rasschaert - hr-policies noodzaak of bijzaak
10 uur karin rasschaert - hr-policies noodzaak of bijzaak10 uur karin rasschaert - hr-policies noodzaak of bijzaak
10 uur karin rasschaert - hr-policies noodzaak of bijzaak
Muriel Walter
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 
FDevent Robotics & Finance
FDevent Robotics & FinanceFDevent Robotics & Finance
FDevent Robotics & Finance
FDMagazine
 
Agfa case - CCH Tagetik as efficient CPM platform at Agfa
Agfa case - CCH Tagetik as efficient CPM platform at AgfaAgfa case - CCH Tagetik as efficient CPM platform at Agfa
Agfa case - CCH Tagetik as efficient CPM platform at Agfa
FDMagazine
 

More Related Content

Similar to FDseminar IT Risk - Dirk De Bot - DPS4U

Aangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens CbplAangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens Cbpl
corve
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
Anja Dekhuijzen
 
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijstLeidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
haghighat_maryam
 
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
SURF Events
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 

Similar to FDseminar IT Risk - Dirk De Bot - DPS4U (20)

Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Aangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens CbplAangifte Verwerkingen Persoonsgegevens Cbpl
Aangifte Verwerkingen Persoonsgegevens Cbpl
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
Sirius legal
Sirius legalSirius legal
Sirius legal
 
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
 
GDPR
GDPRGDPR
GDPR
 
Gdpr
GdprGdpr
Gdpr
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijstLeidraad cobra zeeland bijlage 3 bcm vragenlijst
Leidraad cobra zeeland bijlage 3 bcm vragenlijst
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onder...
 
Privacy
PrivacyPrivacy
Privacy
 
Nieuwe regelgeving voor vastgoedfondsen: een quick scan
Nieuwe regelgeving voor vastgoedfondsen: een quick scanNieuwe regelgeving voor vastgoedfondsen: een quick scan
Nieuwe regelgeving voor vastgoedfondsen: een quick scan
 
GDPR VOOR ADVOCATEN - seminaries
GDPR VOOR ADVOCATEN - seminariesGDPR VOOR ADVOCATEN - seminaries
GDPR VOOR ADVOCATEN - seminaries
 
10 uur karin rasschaert - hr-policies noodzaak of bijzaak
10 uur karin rasschaert - hr-policies noodzaak of bijzaak10 uur karin rasschaert - hr-policies noodzaak of bijzaak
10 uur karin rasschaert - hr-policies noodzaak of bijzaak
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
 

More from FDMagazine

More from FDMagazine (20)

FDevent Robotics & Finance
FDevent Robotics & FinanceFDevent Robotics & Finance
FDevent Robotics & Finance
 
Agfa case - CCH Tagetik as efficient CPM platform at Agfa
Agfa case - CCH Tagetik as efficient CPM platform at AgfaAgfa case - CCH Tagetik as efficient CPM platform at Agfa
Agfa case - CCH Tagetik as efficient CPM platform at Agfa
 
Casper Van Leeuwen - Why cash flow should be a focal point
Casper Van Leeuwen - Why cash flow should be a focal pointCasper Van Leeuwen - Why cash flow should be a focal point
Casper Van Leeuwen - Why cash flow should be a focal point
 
Dag1 02 geert_letens_cfo_conferenz
Dag1 02 geert_letens_cfo_conferenzDag1 02 geert_letens_cfo_conferenz
Dag1 02 geert_letens_cfo_conferenz
 
Dag1 01 veronique_goossens_cfo_conferenz
Dag1 01 veronique_goossens_cfo_conferenzDag1 01 veronique_goossens_cfo_conferenz
Dag1 01 veronique_goossens_cfo_conferenz
 
Dag2 04 peter_de_keyzer_cfo_conferenz
Dag2 04 peter_de_keyzer_cfo_conferenzDag2 04 peter_de_keyzer_cfo_conferenz
Dag2 04 peter_de_keyzer_cfo_conferenz
 
Dag2 03 elke_jeurissen_cfo_conferenz
Dag2 03 elke_jeurissen_cfo_conferenzDag2 03 elke_jeurissen_cfo_conferenz
Dag2 03 elke_jeurissen_cfo_conferenz
 
Dag2 01 pedro_matthynssens_cfo_conferenz
Dag2 01 pedro_matthynssens_cfo_conferenzDag2 01 pedro_matthynssens_cfo_conferenz
Dag2 01 pedro_matthynssens_cfo_conferenz
 
Dag2 02 kristof_stouthuysen_cfo_conferenz
Dag2 02 kristof_stouthuysen_cfo_conferenzDag2 02 kristof_stouthuysen_cfo_conferenz
Dag2 02 kristof_stouthuysen_cfo_conferenz
 
02 simon logghe_ml6
02 simon logghe_ml602 simon logghe_ml6
02 simon logghe_ml6
 
01 robert debeukelaer_groups
01 robert debeukelaer_groups01 robert debeukelaer_groups
01 robert debeukelaer_groups
 
Jan Casteels - Duracell
Jan Casteels - DuracellJan Casteels - Duracell
Jan Casteels - Duracell
 
Christoph De Jaeger - C&A
Christoph De Jaeger - C&AChristoph De Jaeger - C&A
Christoph De Jaeger - C&A
 
Bram Desmet - Vlerick & Solventure
Bram Desmet - Vlerick & SolventureBram Desmet - Vlerick & Solventure
Bram Desmet - Vlerick & Solventure
 
Edward Schiettecatte (TRAINM) #cfoconferenz)
Edward Schiettecatte (TRAINM) #cfoconferenz)Edward Schiettecatte (TRAINM) #cfoconferenz)
Edward Schiettecatte (TRAINM) #cfoconferenz)
 
Jürgen Ingels (B-Hive) #cfoconferenz
Jürgen Ingels (B-Hive) #cfoconferenzJürgen Ingels (B-Hive) #cfoconferenz
Jürgen Ingels (B-Hive) #cfoconferenz
 
Giulia Van Waeyenberge (Sofina) #cfoconferenz
Giulia Van Waeyenberge (Sofina) #cfoconferenzGiulia Van Waeyenberge (Sofina) #cfoconferenz
Giulia Van Waeyenberge (Sofina) #cfoconferenz
 
Geert Gielens (Belfius) #cfoconferenz
Geert Gielens (Belfius) #cfoconferenzGeert Gielens (Belfius) #cfoconferenz
Geert Gielens (Belfius) #cfoconferenz
 
David Ducheyne (Otolith) #cfoconferenz
David Ducheyne (Otolith) #cfoconferenzDavid Ducheyne (Otolith) #cfoconferenz
David Ducheyne (Otolith) #cfoconferenz
 
Bruno Lowagie (iText) #cfoconferenz
Bruno Lowagie (iText) #cfoconferenzBruno Lowagie (iText) #cfoconferenz
Bruno Lowagie (iText) #cfoconferenz
 

FDseminar IT Risk - Dirk De Bot - DPS4U

  • 1. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 De GDPR bekeken vanuit risico en financieel oogpunt Presentatie Dirk De Bot FD Seminar IT Risk Niel – 10 oktober 2017
  • 2. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Voorstelling Dirk De Bot • Licentiaat (KUL 1988) en doctor rechten (VUB 2015) • Ervaring als advocaat en bedrijfsjurist • Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking en -bescherming • Expert bij de CBPL tot augustus 2015 (opvolging AVG) • Extern lid Sectoraal Comité Federale Overheid • Zaakvoerder/consultant DPS4U bvba • www.dps4u.be - overzicht diensten en publicaties
  • 3. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Schema 1. Vooraf - terminologie 2. Toepassingsgebied - enkele verduidelijkingen 3. Risico 4. Financiële gevolgen
  • 4. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET - privacy WEL - data protection of gegevensbescherming • Niet elke verwerking van persoonsgegevens is een (potentiële) inmenging in het privéleven of de persoonlijke levenssfeer • Gelijkstelling van beide is risicovol voor de bescherming van de burgers
  • 5. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET – persoonlijke gegevens WEL – persoonsgegevens • De regelgeving is van toepassing zodra er persoonsgegevens worden verwerkt • De gegevens moet niet persoonlijk zijn, maar wel aan een persoon kunnen worden gekoppeld
  • 6. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 1. Vooraf - terminologie NIET – Privacywet of Privacycommissie WEL – Wet verwerking persoonsgegevens en Commissie voor de bescherming van de persoonlijke levenssfeer • Toekomst - Gegevensbeschermingsautoriteit = de Toezichthoudende autoriteit voor de verwerking van persoonsgegevens;
  • 7. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied GDPR/AVG is van toepassing zodra persoonsgegevens worden verwerkt Persoonsgegeven = alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
  • 8. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/2 Wanneer is een persoon identificeerbaar? • Als hij direct of indirect kan worden geïdentificeerd, met name aan de hand van – Een identificator • Zoals naam, identificatienummer, locatiegegevens – Of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische , economische, culturele of sociale identiteit
  • 9. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/3 Om te bepalen of iemand identificeerbaar is • Rekening houden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren
  • 10. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/4 Wanneer valt van middelen redelijkerwijs te verwachten dat ze worden ingezet om te identificeren? • Rekening houden met alle objectieve factoren, – Zoals kosten van identificatie – Tijd nodig voor identificatie – Rekening houden met beschikbare technologie – En met technologische ontwikkelingen
  • 11. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/5 Conclusies • Zeer ruime interpretatie van persoonsgegeven – Zowel elk gegeven komt in aanmerking om een persoonsgegeven te zijn • Ook zeer ruime interpretatie van verwerking
  • 12. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/6 Verduidelijkingen/1 • Gegevens over natuurlijke personen in professionele hoedanigheid zoals vrije beroepers, eenmanszaken Eventueel ook gegevens over EBVBA (met naam van vennoot) = persoonsgegevens ! – Wellicht een ander risico
  • 13. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/7 Verduidelijkingen/2 • Band met privéleven is niet relevant • Enige criterium = vraag of gegeven betrekking heeft op/in verband kan worden gebracht met natuurlijke persoon – Ook professionele gegevens, zoals zaakvoerder BVBA of financieel directeur onderneming X = persoonsgegevens – Toepassing op B2B
  • 14. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 2. Toepassingsgebied/8 Verduidelijkingen/3 • Ook gegevens over objecten kunnen persoonsgegevens zijn – Telefoon – titularis of eigenaar van telefoon – Nummerplaat – titularis van voertuig waar nummerplaat op hangt – Vast IP-nummer – titularis nummer
  • 15. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico A. Inleiding – band met risk based approach B. 4 soorten van risico C. De onbekende – de risico’s voor de rechten en vrijheden van de betrokkene
  • 16. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico - inleiding AVG kent “op risico’s gebaseerde benadering” • In plaats van ongedifferentieerde verplichtingen zoals aangifte – Leiden tot administratieve en financiële lasten – Zonder bijdrage tot betere bescherming • Bewuste keuze voor doeltreffende procedures en mechanismen die gericht zijn op de verwerkingen met waarschijnlijk grote risico’s
  • 17. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – inleiding/2 • “Risk based approach” - hangt samen met verantwoordingsplicht • Slechte vertaling van “accountability” • Dekt een dubbele lading – Verantwoordelijkheid nemen = maatregelen die zorgen voor naleving – Verantwoording geven = aantonen dat maatregelen zorgen voor naleving (doeltreffendheid)
  • 18. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/1 Onderscheid tussen 4 soorten risico’s • Risicoanalyse door Europese wetgever • A posterior risicoanalyse bij gegevenslekken • Preventieve risicoanalyse m.b.t. beveiliging • Preventieve risicoanalyse als onderdeel van op risico’s gebaseerde benadering
  • 19. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/2 1. Risicoanalyse door Europese wetgever Sommige verwerkingen worden beschouwd als een hoog risico – Verwerking van bijzondere categorieën van gegevens – Systematische en uitgebreide beoordeling van persoonlijke aspecten – Systematische en grootschalige monitoring van van openbaar toegankelijke ruimten
  • 20. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/3 2. A posteriori risicoanalyse bij lekken Analyse van risico’s verbonden met gegevenslek • Is altijd a posteriori (nadat het risico of lek zich heeft voorgedaan) • Is niet noodzakelijk verbonden met het risico dat inherent is aan de verwerking – Een verwerking met een laag risico kan leiden tot een lek met ernstige gevolgen (hoog risico)
  • 21. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/4 3. Preventieve risicoanalyse inzake beveiliging • Is gekend – al vervat in Wet 8/12/1992 • Betreft de risico’s voor verantwoordelijke – Laat toe om rekening te houden met de waarschijnlijkheid en ernst van de risico’s – Vraagt in eerste instantie om een afweging van belangen die gekend zijn en onder controle
  • 22. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico – soorten/5 4. Preventieve risicoanalyse algemeen • Onderdeel op risico’s gebaseerde benadering • Een specifiek risico • Betreft altijd de fundamentele rechten en vrijheden van de betrokkenen • Vraagt om een afweging van belangen die niet (volledig) onder controle zijn
  • 23. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 3. Risico - uitdaging • Hoe bepalen wat de risico’s zijn voor de rechten en vrijheden van betrokkenen? • De grote uitdaging • Teveel gegevens – risico voor verantwoordelijke (onrechtmatige verwerking en dus mogelijke boete) – Risico voor betrokkene? – als teveel aan gegevens voor andere doeleinden wordt verwerkt
  • 24. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financiële gevolgen A. De klassieker – de administratieve geldboetes B. Andere mogelijke sancties C. De uitvoeringskosten
  • 25. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – geldboetes/1 Administratieve geldboetes • Op te leggen door toezichthoudende autoriteit • Afspraak nodig met parket – wanneer administratief en wanneer strafrechtelijk – via protocol (zie GAS-wet) • Procedures voorzien voor rechten verdediging
  • 26. 4. Financieel - geldboetes/2 Bij besluit over opleggen geldboete én over hoogte geldboete naar behoren rekening houden met aantal criteria of elementen (zie artikel 83, lid 2 AVG) • Aard, ernst, duur van inbreuk – In functie van aard, omvang of doel verwerking – In functie van aantal getroffen betrokkenen – In functie van omvang geleden schade • Opzettelijke of nalatige aard inbreuk
  • 27. 4. Financieel - geldboetes/3 • Maatregelen om schade te beperken • Mate van verantwoordelijkheid gezien technische en organisatorische maatregelen • Eerdere relevante inbreuken • Mate van samenwerking met toezichthoudende autoriteit om inbreuk te verhelpen en mogelijk negatieve gevolgen te beperken • Categorieën van persoonsgegevens waarop inbreuk betrekking heeft • Wijze van kennisname van inbreuk • Met name of (en in hoeverre) zelf gemeld
  • 28. 4. Financieel – geldboetes/4 • Naleving corrigerende maatregelen artikel 58, lid 2 • Aansluiten bij gedragscode of certificeringsmechanismen • Elke andere verzwarende of verzachtende factor – Gemaakte financiële winsten – Vermeden verliezen – die (al dan niet rechtstreeks) uit inbreuk voortvloeien
  • 29. 4. Financieel – geldboetes/5 Geldboetes categorie 1 • Tot 10.000.000 EUR of 2 % totale wereldwijde omzet in voorgaande boekjaar • Voor inbreuken • op verplichtingen overeenkomstig artikel 8, 11, 25 tot en met 39, 42 en 43 = onder meer alle verplichtingen voor verantwoordelijke in Hoofdstuk IV • Verplichtingen certificeringsorgaan
  • 30. 4. Financieel – geldboetes/6 Geldboetes categorie 2 • Tot 20.000.000 of 4 % totale wereldwijde omzet in voorgaand boekjaar • Voor inbreuken op • Basisbeginselen (artikel 5, 6, 7 en 9) • Rechten van betrokkenen (artikel 12 tot en met 22) • Doorgiften (artikel 44 tot en met 49) • Verplichtingen uit hoofde van lidstatelijk recht in verband met Hoofdstuk IX • = lidstatelijke regels voor specifieke situaties • Niet-naleving van bevel of tijdelijke of definitieve beperking of opschorting gegevensstroom overeenkomstig artikel 58, lid 2 • Niet-verlening van toegang in strijd met artikel 58, lid 1
  • 31. 4. Financieel – geldboetes/7 Geldboetes categorie 3 • Tot 20.000.000 of 4 % totale wereldwijze omzet in voorgaand boekjaar • Voor niet-naleving van een bevel toezichthoudende autoriteit als bedoeld in artikel 58, lid 2
  • 32. 4. Financieel – geldboetes/8 Wat bij samenloop? • ALS – opzettelijk of uit nalatigheid – Met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten • Inbreuk op meerdere bepalingen • Mag totale geldboete niet hoger zijn dan die voor zwaarste inbreuk
  • 33. 4. Financieel – geldboetes/9 Administratieve (geld)boetes = administratieve geldboetes met punitief karakter • DUS toepassing beginselen strafsancties – Niet duidelijk of ze de toets doorstaan – Probleem van legaliteit – omschrijving van strafbaarstelling (verwijtbaarheid) • Belang van geldboetes van categorie 3!
  • 34. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – andere sancties Administratieve geldboete slechts één mogelijke maatregel zie Artikel 58, lid 2, onder i) AVG • “naargelang de omstandigheden van elke zaak, • naast of in plaats van de corrigerende maatregelen • een administratieve geldboete opleggen op grond van artikel 83” Andere administratieve sancties zijn mogelijk • kunnen belangrijke financiële impact hebben
  • 35. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – andere sancties/2 Corrigerende maatregelen, zoals (artikel 58, lid 2 AVG) • bevel om inbreuk op beveiliging mee te delen aan betrokkene • Bevel om op nadere bepaalde manier en binnen nader bepaalde termijn verwerkingen in overeenstemming te brengen met AVG • opleggen tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod • Opschorten gegevensstroom naar derde land
  • 36. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel - aandachtspunt AVG voert hoofdelijke aansprakelijkheid in • Maakt het mogelijk dat verantwoordelijke gehele bedrag van schadevergoeding moet betalen en aandeel verwerker op verwerker moet verhalen • En omgekeerd! – verwerker moet volledige schade vergoeden en nadien recupereren
  • 37. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel - uitvoeringskosten Uitvoeringkosten = element waarmee rekening kan en mag gehouden worden bij toepassing AVG Wordt uitdrukkelijk voorzien in AVG Afhankelijk van risico en globale context • Zijn anders voor KMO die “gewone” producten verkoopt dan voor groot ziekenhuis
  • 38. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – uitvoeringskosten/2 • Ook altijd rekening houden met technologische ontwikkelingen • Combinatie – State of the art oplossing is niet altijd nodig – Wel de oplossing die technisch én financieel haalbaar is voor gemiddelde onderneming in zelfde omstandigheden
  • 39. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 4. Financieel – uitvoeringskosten/3 Uitvoeringskosten zijn een criterium in • Artikel 17 – bij toepassing recht op overdraagbaarheid • Artikel 25 – bij toepassing gegevensbescherming door ontwerp • Artikel 30 – bij bepalen van passende technische en organisatorische maatregelen inzake beveiliging
  • 40. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Conclusie • AVG kent heel wat goede bedoelingen • Maar schiet soms zijn doel voorbij • Teveel nadruk op grotere online spelers • Te weinig aandacht voor impact op rest, in het bijzonder KMO’s
  • 41. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Conclusie/2 • Belangrijke financiële gevolgen, maar mogen niet overroepen worden – Boetes zullen wellicht niet snel worden opgelegd • Naleving AVG is kwestie van gezond verstand • Niet mogelijk alles naar de letter toe te passen • Belang van goodwill – aanpakken van grootste problemen of issues
  • 42. TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941 Vragen?