Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
Artikel dat in Privacy & Informatie heeft gestaan over het gebruik van persoonsgegevens tijdens systeemontwikkelingen. Het voorkomen dat persoonsgegevens herleidbaar zijn door het maskeren van persoonsgegevens.
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Artikel in AccountancyNieuws 2012-07 van 5 april 2012 over de invloed van alle nieuwe soorten computers, smartphones, tablets, enz. op het IT-beleid van organisaties.
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
Artikel dat in Privacy & Informatie heeft gestaan over het gebruik van persoonsgegevens tijdens systeemontwikkelingen. Het voorkomen dat persoonsgegevens herleidbaar zijn door het maskeren van persoonsgegevens.
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Artikel in AccountancyNieuws 2012-07 van 5 april 2012 over de invloed van alle nieuwe soorten computers, smartphones, tablets, enz. op het IT-beleid van organisaties.
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
Mark Vermeer - Congres 'Data gedreven Beleidsontwikkeling'ScienceWorks
De presentatie van Mark Vermeer, tijdens de parallelle sessie 'Nieuwe perspectieven voor data gedreven beleid' van het congres 'Data gedreven Beleidsontwikkeling' in Den Haag op 28 november 2017.
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Presentation of the GDPR round table sessions of November 24, 2017. Topic are GDPR and how data virtualization can help. Whitepaper available via rudy@isaac.nl.
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.
Slides for the final event of the Start2AIM project of Odisee and Vlaio: short overview of the legal challenges for the use of AI in marketing (automation)
Mark Vermeer - Congres 'Data gedreven Beleidsontwikkeling'ScienceWorks
De presentatie van Mark Vermeer, tijdens de parallelle sessie 'Nieuwe perspectieven voor data gedreven beleid' van het congres 'Data gedreven Beleidsontwikkeling' in Den Haag op 28 november 2017.
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Presentation of the GDPR round table sessions of November 24, 2017. Topic are GDPR and how data virtualization can help. Whitepaper available via rudy@isaac.nl.
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.
Slides for the final event of the Start2AIM project of Odisee and Vlaio: short overview of the legal challenges for the use of AI in marketing (automation)
20220211 Data export after the Google Analytics decision Bart Van Den Brande
The recent Austrian and French DPA decisions on the use of Google Analytics in light of GDPR compliance, raise a lot of legal questions surrounding data transfers. We try to answer them in a clear and pragmatic way in this webinar
Wedstrijden en social media. Gastles Odisee Hogeschool 17/11/2020Bart Van Den Brande
De juridische aandachtspunten bij social media wedstrijden: kansspelen, loterijen, tombola's, consumentenbescherming, wedstrijdreglementen, gegevensbescherming, cookies, internationale aspecten
webinar for Fundraisers alliance Belgium as part of the 2 year GDPR online conference: GDPR, direct marketing and cookie compliance in fundraising based o nthe learning of 2 years of GDPR
Overzicht van de juridische impact van de Coronacrisis op uw personeelsbeleid, contracten, e-commerce, online marketing, maar ook op uw Raad van Bestuur en Algemene Vergadering
The somewhat awkward marriage between digital marketing and data protection (...Bart Van Den Brande
Data protection and digital marketing seem hard to reconcile: cookie regulations, GDPR, ePrivacy, .... Seem to restrict marketing activities, but what if marketeers could learn to use data protection laws to gain consumer's trust and thus build a long term customer relationship...?
5. Data
Protection
Impact
Assessment
Artikel 35 GDPR
Wanneer een soort verwerking, in het bijzonder een verwerking
waarbij nieuwe technologieën worden gebruikt, gelet op de
aard, de omvang, de context en de doeleinden daarvan
waarschijnlijk een hoog risico inhoudt voor de rechten en
vrijheden van natuurlijke personen voert de
verwerkingsverantwoordelijke vóór de verwerking een
beoordeling uit van het effect van de beoogde
verwerkingsactiviteiten op de bescherming van persoonsgegevens.
In mensentaal...
Bij elke nieuwe app, nieuwe software, linken van databases,
profiling, “zwakke” gebruikers, … is een voorafgaande
gedocumenteerde impact assessment verplicht.
7. Waarom?
Basis van GDPR
=
Respect voor de
rechten van de
betrokkene
Technologie evolueert
razendsnel
én houdt risico’s is...
“Technische en organisatorische
maatregelen”
“Gepast niveau van bescherming”
“Data protection by design”
“Data protection by default”
Hoeksteen van GDPR
Documentatieplicht
Accountability
Basisbeginselen
Data minimalisatie
Beperkte
bewaartermijnen
Doelgebondenheid
Transparantie
8. Wat?
DPIA’s moeten uitgeschreven worden
Documentatieplicht
Accountability
Geschreven document
Verantwoorden van beslissingen
Begrip “restrisico” of “residueel risico””
Voorleggen aan GBA?
VerantwoordingBeschrijving
Risicoanalyse
Evalueer de risico’s voor
de betrokkene
Impact op diens privacy
en (technische) veiligheid
Wie?
Wat?
Waarom?
Hoe?
…?
9. App bouwers, webbouwers, software developers1
(Online) marketeers2
Start-ups3
HR departementen, ziekenhuizen, verzekeraars, banken,
scholen, woonzorgcentra, sociale sector, overheden en
iedereen die met “gevoelige gegevens” of “zwakkere
groepen” in aanraking komt
4
Potentieel élk bedrijf of organisatie (nieuwe software, AI,
IoT, digitalisering, automatisering, data exchange, …)
5
Voor wie?
In principe een taak voor de verantwoordelijke voor de verwerking.
Aandachtspunt: bepalen van hoedanigheid van verantwoordelijke
Opgelet met tussenkomst van andere verantwoordelijken en onderlinge
verhoudingen (gecombineerde DPIA, verschillende DPIA’s…?
12. Waar kan
het fout
lopen?
Controle door GBA: louter feit dat er geen DPIA is
10.000.000 of 2% wereldwijde jaaromzet
Gebrek aan TOM, data protection by design & default
Idem
Gebrek aan respect voor rechten van de betrokkene
20.000.000 of 4% wereldwijde omzet
Risico op datalekken, gevoeligheid voor hacking
Boetes + aansprakelijkheid
Imagoschade voor je merk bij datalekken of boetes
1
2
3
4
5
13. Waar kan
het fout
lopen?
Onvoldoende interne kennis en competenties voor uitvoering
DPIA’s binnen teams
“Te weinig” of “te late” DPIA’s (geen DPIA reflex binnen teams)
“Te vroeg” of “te veel” DPIA’s (overreach uit onzekerheid)
DPIA’s als administratieve noodzaak afgehandeld (onvoldoende
prioriteit)
Wel DPIA uitgevoerd, maar geen opvolgende lessen uit
getrokken en geen aanpassingen doorgevoerd (tijdsgebrek,
geen inzicht, geen sense of urgency)
1
2
3
4
5
19. White list
Black list
DPIA in principe
nooit verplicht
Wet
Salarisadministratie
Boekhouding
...
DPIA in principe altijd verplicht
Biometrische gegevens
Data uit derde bron voor credit
scoring van consumenten
...
27. Pre DPIA?
Business / Project plan
Dataregister
Tools & software
Input
Criteria 9 criteria
White list / Black list
Voorgaande DPIA’s
Hoe?
Geschreven en gemotiveerd,
kort verslag met besluit
Wat?
Documentatie van keuze om wel of
geen DPIA te voeren
Stakeholders Business / PM
Mgmt
DPO / CIO / CISO
31. DPIA?
Business / Project plan
Dataregister
Tools & software
DPA’s
Input
Criteria
Basisbeginselen van GDPR
DP by Design & by Default
“Gepast niveau van bescherming”
Voorgaande DPIA’s
Hoe?
Geschreven en gemotiveerd
Gedetailleerd en zo lang als nodig
Wat?
Gedetailleerde documentatie van
voorgenomen verwerking, mét
risicoanalyse én gepaste
maatregelen
Stakeholders Business / PM
Mgmt
DPO / CIO / CISO
33. Beschrijving
Wat houdt de verwerking in?
Wat is het doel?
Omvang?
Context?
Betrokken partijen (intern en extern)
...
DPIA
34. Beschrijving
Dataverwerking
Welke data wordt verwerkt?
Wat is de oorsprong van de data?
Wat is de rechtsgrond?
Welke garanties zijn er voor de rechten van de betrokkene?
...
DPIA
37. Technische
veiligheid
Beschrijving
Dataverwerking
Opgelet met cloudservices en “publieke” spelers als Google en Apple
Verwerking metadata door deze partijen kan risicovol zijn
(cfr contact tracing apps en bedenking diverse DPA’s)
Hergebruik data door deze partijen kan risicovol zijn
Gebrek aan transparantie naar verantwoordelijke, naar betrokkene
en naar overheid
DPIA
39. Technische
veiligheid
Beschrijving
Dataverwerking
Opgelet met IP adressen
EHJ arrest C-582/14 Breyer, 19 oktober 2016
IP adres kan persoonsgegevens zijn ALS verantwoordelijke (binnen
wettelijke grenzen) IP adressen kan identificeren
serverlaag / applicatielaag gescheiden houden (ook binnen teams)
...
DPIA
44. 01 02 03 04
Contractueel
DPA’s
Data Sharing
Agreements
Data Export
Agreements
Technisch
Encryptie
Anonimiseren
Pseudonimiseren
network security
...
Organisatorisch
Andere partners
(Cfr probleem data export
Amazon en Azure)
Toegangsbeheer
...
Data
Dataminimalisatie
Bewaartermijnen
beperken
Rechtsgronden
bijsturen
45. Bij “leidende autoriteit” als
internationaal
Vragenlijst ivm kenmerken van
verwerking
Doorlooptijd = 8 weken (+ 6
weken)
Dialoogproces
Uitkomst = bindend schriftelijk
advies
GBA zelf dringt erop aan dit niet
te vermijden!
https://www.gegevensbeschermingsa
utoriteit.be/publications/formulier-
voor-voorafgaande-raadpleging-over-
een-verwerking-met-hoog-
“Voorafgaand
e raadpleging”