3. 3
Algemeen
31 mei 2018 LIBISnet Gebruikersdag
• Europese Verordening 2016/679 AVG of GDPR
• AVG of GDPR biedt een algemeen beschermend kader voor de
verwerking van persoonsgegevens
• Nadruk op bescherming persoonsgegevens, meer controle en
transparantie
• Persoonsgegevens: gegevens die gemakkelijk kunnen teruggebracht
worden tot een concrete persoon
• Mits inachtneming van aantal voorwaarden kunnen net zoals vroeger
persoonsgegevens verder verwerkt worden
4. 4
Verwerkingsverantwoordelijke vs.
Verwerker
31 mei 2018 LIBISnet Gebruikersdag
• Verwerkingsverantwoordelijke: de instantie die bepaalt welke
gegevens worden verzameld, wat de doeleinden zijn en welke
middelen hiervoor gebruikt worden => LIBISnet partners
• Verwerker: uitvoerende taak, verwerkt uitsluitend namens de
verwerkingsverantwoordelijke => LIBIS
• Dikwijls externe firma (bv. loonadminstratie, of ... LIBIS voor het bibliotheeksysteem)
• Mag gegevens niet voor andere doeleinden aanwenden
• Moet de gegevens technisch voldoende beschermen
• Intern toegang tot gegevens beperken
• Is geen eigenaar van de gegevens
• Bij uitbesteding aan derde uitdrukkelijke toestemming nodig verwerkingsverantwoordelijke
5. 5
Aspecten/taken verwerkingsverantwoordelijke
31 mei 2018 LIBISnet Gebruikersdag
• Privacy policy opstellen
• Verwerkingsregister aanleggen
• Datastromen in kaart brengen
• Wie betrokken, met wie gedeeld, op welke rechtsgrond, doeleinden, hoe beveiligd, wat bij
datalekken
• Welke verwerkingen zijn mogelijk?
• O.b.v. wettelijke grond (bv. in kader van personeelsbeheer)
• O.b.v. contractuele noodzaak (bv. toekenning sociale voordelen aan studenten)
• O.b.v. vitaal, algemeen of gerechtvaardigd belang
• O.b.v. uitdrukkelijke toestemming (voorafgaand, moet duidelijk zijn wat wordt bewaard en
waarom en toestemming moet ondubbelzinnig en specifiek worden gegeven). Zeker als
gegevens gedeeld worden met externe instanties.
• Verwerkersovereenkomst (zie verwerker)
6. 6
Aspecten/taken verwerkingsverantwoordelijke
31 mei 2018 LIBISnet Gebruikersdag
• Ervoor zorgen dat betrokkenen rechten kunnen uitvoeren
• Recht van inzage
• Recht op rectificatie
• Recht op gegevensverwijdering of vergetelheid
• Recht op beperking van de verwerking
• Recht op overdraagbaarheid
• Recht van bezwaar
• Recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking
gebaseerd besluit
• Delen van gegevens met landen buiten de EU
• “White list” waartoe Israel (Ex Libris) behoort
7. 7
Aspecten/taken verwerker
31 mei 2018 LIBISnet Gebruikersdag
• LIBIS gaat met de verwerkingsverantwoordelijken een
verwerkersovereenkomst opstellen
• Wie is verantwoordelijke en wie verwerker
• Welke persoonsgegevens
• Waarborgen dat gemachtigde personen de vertrouwelijkheid in acht nemen
• Beveiligingsmaatregelen
• Subverwerkers
• Verwerker moet bijstand verlenen aan verwerkingsverantwoordelijke als betrokken natuurlijke
personen hun rechten willen uitoefenen
• Bepaling wat er gebeurt met gegevens na afloop contract
• Waarborgen dat verwerker informatie ter beschikking stelt indien nodig
• ...
8. 8
Aspecten/taken verwerker
31 mei 2018 LIBISnet Gebruikersdag
• In de loop van de volgende maanden gaat LIBIS:
• Verder met de inventarisatie van andere processen i.v.m. verwerken van persoonsgegevens
i.s.m. het privacy team van de KU Leuven
• Mail versturen met mogelijkheid tot nakijken/uitschrijven Extranet
• Verder uitwerken en actualiseren documentatie rond een aantal interne procedures
• Opstellen van een “basis verwerkersovereenkomst”
• Contact opnemen met de LIBISnet partners hierrond
• ...
9. 9
Aspecten/taken verwerker
31 mei 2018 LIBISnet Gebruikersdag
• What You Need to Know About Addressing
GDPR Data Subject Rights in Alma
• Alma Privacy Impact Assessment