Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
Juridishce aspecten van privacy, spam, cookies, e-commerce,online wedstrijden, bescherming van intellectuele eigendom, vergelijkende reclame, gebruik van adwords, etc...
Wedstrijden en social media. Gastles Odisee Hogeschool 17/11/2020Bart Van Den Brande
De juridische aandachtspunten bij social media wedstrijden: kansspelen, loterijen, tombola's, consumentenbescherming, wedstrijdreglementen, gegevensbescherming, cookies, internationale aspecten
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Wedstrijden en social media. Gastles Odisee Hogeschool 17/11/2020Bart Van Den Brande
De juridische aandachtspunten bij social media wedstrijden: kansspelen, loterijen, tombola's, consumentenbescherming, wedstrijdreglementen, gegevensbescherming, cookies, internationale aspecten
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Zorginstellingen delen in dit document hun dilemma's op het vlak van privacy. Deze worden besproken. Daarnaast wordt stil gestaan bij een aantal actuele onderwerpen en worden aanbevelingen gedaan om in control te blijven.
Presentation of the GDPR round table sessions of November 24, 2017. Topic are GDPR and how data virtualization can help. Whitepaper available via rudy@isaac.nl.
Slides for the final event of the Start2AIM project of Odisee and Vlaio: short overview of the legal challenges for the use of AI in marketing (automation)
20220211 Data export after the Google Analytics decision Bart Van Den Brande
The recent Austrian and French DPA decisions on the use of Google Analytics in light of GDPR compliance, raise a lot of legal questions surrounding data transfers. We try to answer them in a clear and pragmatic way in this webinar
webinar for Fundraisers alliance Belgium as part of the 2 year GDPR online conference: GDPR, direct marketing and cookie compliance in fundraising based o nthe learning of 2 years of GDPR
Overzicht van de juridische impact van de Coronacrisis op uw personeelsbeleid, contracten, e-commerce, online marketing, maar ook op uw Raad van Bestuur en Algemene Vergadering
The somewhat awkward marriage between digital marketing and data protection (...Bart Van Den Brande
Data protection and digital marketing seem hard to reconcile: cookie regulations, GDPR, ePrivacy, .... Seem to restrict marketing activities, but what if marketeers could learn to use data protection laws to gain consumer's trust and thus build a long term customer relationship...?
20190319 gdpr en consumentenbescherming in de autocarsectorBart Van Den Brande
What the travel industry should know about GDPR, Consumer protection, Geoblocking, PSD II, Marketing and Advertizing law (sweepstakes and Facebook contests), cookies and the platform economy before starting a webshop. Training given in collaboration with Thomas More Hogeschool and The Belgian Association of Bus and Coach professionals
3. Schrems I:
EHJ, 6 okt. 2015, C-
362/14
Privacy Shield
US EU Safe Harbour
Max Schrems, Oostenrijker, Privacy
activist, niet aan zijn proefstuk toe
Schrems II,
EHJ, 16 juli 2020, C-
311/18
Mad Max
Schrems?
10. Data Export
onder GDPR
Veilige
landen
Privacy Shield
Overeenkomst/verdrag tussen USA en EU
Gelijkwaardig niveau van bescherming
garanderen
Lijst op www.privacyshield.gov
Privacy Policy moet linken naar Privacy Shield
Klachtenprocedure moet in place zijn
Data minimalisatie moet gegarandeerd zijn
Data delen met derden enkel obv overeenkomst
waarin derde zich ook verbindt tot Privacy Shield
Transparantie
Amerikaanse ombudsman
11. Data Export
onder GDPR
Veilige
landen
Privacy Shield
Amazon
AirBnB
Facebook
Google
Microsoft
Twitter
LinkedIn
Hubspot
Mailchimp
Sharpspring
Zendesk
Ingram
Tenneco
IBM
Dropbox
Salesforce
Adobe
Iron Mountain
HP
Compaq
ABB
En vele anderen...
12. Data Export
onder GDPR
Passende
garanties
Binding Corporate Rules
Standard Contract Clauses
Bindende garanties zonder
goedkeuring
(Afwijkende contractbepalingen)
(Admin regelingen tussen overheden)
15. Schrems II
EHJ, 16 juli 2020
C-311/18
Foreign Intelligence
Surveillance Act
CLOUD Act e.a.
Geen (negatieve)
uitspraak over SCC of
BCR
Nooit “adequaat”
beschermingsniveau in VS
Nuance voor Europese vestigingen: art. 48
GDPR laat geen inzage obv CLOUD Act toe
en US moeders kunnen EU dochters de
facto moeilijk dwingen
Onmiddellijk
nietig
Wél: SSC of BCR an
sich volstaan niet.
Altijd individuele risk
analysis nodig!
18. Dit is een ernstig
issue...
ELK bedrijf
gebruikt
Microsoft,
Google, Apple,
FB, LinkedIn, ... ELKE data export naar
de VS of in het
algemeen buiten de
EU is potentieel een
probleem
(ook onder SCC en
BCR)
Al 110
klachten door
NOYB
oa Roularta
BPost
Aansprakelijkhei
d bij datalekken
Boetes
Brand Image
Klachten van
concurrenten
20. 01 02 03 04
VTC
(Vlaamse toezichthouder)
“Veel” data exporteren
naar eenzelfde niet EU
cloud provider zonder
garanties inzake
gepaste bescherming is
in strijd met AVG
Matrix
Franse Conseil d’Etat
“Health Data Hub” gehost
door MS
Als risico aangemerkt
Project niet geschorst
vanwege urgentie onder
COVID
Wel bijkomende garanties
geëist door RvS (oa belofte
van regering om Europees
alternatief te zoeken!)
Duitse autoriteit
Enige die duidelijke
guidelines geeft (via
deelstaat Baden
Württemberg)
Cfr infra...
GBA
Geen echte reactie
Enkel melding
bestaan arrest
23. Duitse DPA
(Baden-
Württemberg)
toont de weg
EDPB volgt
Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance
with the EU level of protection of per
Eis aanvullende
garanties of stop
samenwerking
Maak een vendor
assessment /
risicoanalyse en
beoordeel of SCC / BCR
volstaan
(dat laatste zal zelden
het geval zijn…)
Maak een inventaris
van alle data export
(dataregister!!)
+
Beoordeel noodzaak
Zoek een
gepaste
(nieuwe)
rechtsgrond
+
contract
24. Vendor
Assessment?
Maak een vendor
assessment /
risicoanalyse en
beoordeel of SCC / BCR
volstaan
EHJ vereist het bestaan van gepaste concrete garanties in het land van
ontvangst
Verantwoordingsplicht en proportionaliteit
Afwegen gevoeligheid gegevens vs. situatie in land van ontvangst
Bvb: m.i. kan Google Analytics account perfect conform zijn als
1/ maximale anonimisatie
2/ voldoende garanties vanwege Google en
3/ geen gevoelige context
26. Duitse DPA
(Baden-
Württemberg)
toont de weg
Eis aanvullende
garanties of stop
samenwerking
Encryptie / anonimisering
Let op: encryptie is niet altijd
garantie (cfr. Azure TDE = 2
sleutels, waarvan eentje bij
Azure…. )
Meldplicht voor alle
inzageverzoeken door
derde/overheid
Meldingsplicht aan betrokkene
bij export naar onveilig land
Plicht om juridische stappen te
nemen tegen inzageverzoek
door overheid of derden
...Toekennen van meer rechten aan
de betrokkene in eventuele
geschillen met importeur
27. EDPB volgt met
(erg complexe)
concrete use
cases…
Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance
with the EU level of protection of per
Eis aanvullende
garanties of stop
samenwerking
Reeks concrete voorbeelden
waar wél voldoende technische
maatregelen zouden bestaan
Encryptie (vanuit de EU!)
Pseudonimiseren
“State of the art”
Betrouwbare public keys
End to end encryptie...
Reeks concrete voorbeelden
waar géén voldoende
technische maatregelen
zouden bestaan
Voorbeelden contractuele
garanties (cfr. Baden
Württemberg
Verplichte actie bij
ontvanger
Transparantie (cfr. Baden
Württemberg
28. Toezichthouder op de Europese Instellingen
Beperkte draagwijdte, maar wel erg
indicatief voor hoe de EU aankijkt tegen
GDPR
EDPS
KT: In kaart brengen + nieuwe data export naar
VS vermijden
MT: case by case impact assessments om te
beoordelen of transfer kan verdergaan
LT: Data transfers stopzetten als geen garantie
ConcreetActies voorzien
Eigen guidelines
Eigen document met
“strategy” voor alle EU
instellingen in het kader
van eventuele data export
Op korte termijn
Op middellange termijn
Op lange termijn
EDPS
Strategy for Union institutions, offices,
bodies and agencies to comply with the
“Schrems II” Ruling
33. Brexit vanaf 2021
UK = derde land
Geen adequaatheid
BCR vervallen
Vat krijgen op je
onderaannemers
SCC’s zijn verouderd
Nieuwe versie in Q2 ‘21
= alle SCC’s vervangen
Gebrek aan interne kennis (GDPR
compliance, dataregister, vendor list, …)
Cookies...
Waar kan het fout
lopen?
35. Hou je data in de
EU
Vermijd de VS (en
andere gevoelige
locaties als
Rusland, China,
etc…) bij nieuwe
transfers
Vermijd Privacy
Shield
Wees voorzichtig
met SCC’s
Verdeel je data
over
verschillende
cloud provider
01
Breng in
kaart
02 03 04 05
Hou controle over je
verwerkers en hun
sub-verwerkers
(geen carte blanche
in DPA’s)
38. EHJ “Planet 49” arrest van 1 oktober 2019 is zéér
duidelijk...
38
Cookie consent volgt zelfde regels als GDPR consent
ALTIJD voorafgaande, vrije, geïnformeerde opt-in voorafgaand
aan het plaatsen van elk type cookie en per type cookie
Géén prechecked opt-ins
Géén “continue to accept”
Géén impliciete consent
Géén algemene consent - “manage my choices” per categorie
Consent is vereist voor alle cookies
(ook als geen persoonsgegevens verzameld worden)
Recap over
Cookies...
39. Recap over
Cookies... Websites checked Non-compliance
EU Working Party 29 478
+/- 80%
(no global %
communicated)
Autoriteit Persoonsgegevens
(On Dutch websites only, including
local government websites)
175
90% of webshops
50% of all websites
Grava 113 98%
Université Côte d’Azur
(on TCF compliant CMP only, which
was only 6,2% of sweeped
websites)
560 54%
39
Recente cookie sweeps tonen schrijnend gebrek aan compliance
40. Recap over
Cookies...
40
Recente research op 560 websites die iab Europe TCF framework
gebruiken (en dus verondersteld zijn GDPR en cookie compliant te
zijn) toont aan dat 54% van alle onderzochte websites overtredingen
bevat…
Slechts 6,2% had een TCF compliant CMP (Cookie Management
Platform, voor België meestal Quantcast, Cookiebot en OneTrust)
40
Consent
stored
before
choice
No way to
opt out
Pre-checked
choices
Non-respect of
choice12%
6,8%
46,5%
7,7%
42. Full cookie audit
www.cookie-scan.be
Large websites Small websites
Full cookie audit Limited cookie audit
Legal + technical
implementation
Only legal + available to
discuss with IT
Grava + Sirius Legal Sirius Legal
2.250 euro 800 euro