SlideShare a Scribd company logo

De GDPR in de Praktijk

Download as PPTX, PDF
B
BartLieben

Praktische kijk op de implementatie van de Algemene Verordening Gegevensbescherming (GDPR) bij KMO's, zoals gepresenteerd bij Combell in 2017 en 2018

1 of 26
De GDPR in de praktijk Bart Lieben Combell, Gent 18 januari 2018
De GDPR in een notendop: •Administratieve boetes: •10 miljoen euro / 2% van wereldwijde jaaromzet •20 miljoen euro / 4% van wereldwijde jaaromzet
Overzicht • Inleiding • Praktische tips voor een GDPR- compliance-project/traject bij uw organisatie • Conclusies en aanbevelingen
Inleiding • Algemene Verordening Gegevensverwerking • Nieuw Europees wetgevend kader met rechtstreeks effect voor de verwerking van persoonsgegevens • Vervangt de Europese Privacy-richtlijn • Nieuwe rechten voor betrokkenen en verplichtingen voor verwerkers / verwerkingsverantwoordelijken
Wat is de GDPR? • Waarom de GDPR? • Harmonisatie van nationale wetgeving onder de Privacyrichtlijn is 20 jaar oud: nood aan een “upgrade” • Niettemin: divergerende nationale wetgeving, verschillen in aanpak door nationale toezichthoudende overheden, gebrek aan coördinatie met betrekking tot belangrijke topics op internationaal vlak, … • In de praktijk: bijzonder veel onduidelijkheid • Nood aan een werkelijk duidelijke en uniforme aanpak • Maar: moeilijk en lang proces voor de ontwikkeling van het nieuwe wetgevend kader
Wat is de GDPR? • Belangrijke definities • persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) • identificeerbaar: als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
Wat is de GDPR? • Belangrijke definities • verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; • verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
Wat is de GDPR? • Belangrijke definities • verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
Wat is de GDPR? • Toepassingsgebied: verwerking van persoonsgegevens • in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt • van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met: • het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of • het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Wat is de GDPR? • Rechten van betrokkenen met betrekking tot persoonsgegevens: verduidelijkingen en specifieke nieuwigheden: • transparante informatie, communicatie en regels voor uitoefening van de rechten van de betrokkene • informatie en toegang tot persoonsgegevens • recht van inzage van de betrokkene • rectificatie en gegevenswissing
Wat is de GDPR? • Nieuw: • Recht op beperking van verwerking • Recht op overdraagbaarheid van gegevens • Recht van bezwaar en geautomatiseerde individuele besluitvorming • met inbegrip van profiling
Wat is de GDPR? • Belangrijkste impact voor verwerkingsverantwoordelijken en verwerkers: • verhoogde verplichtingen aangaande compliance • herzien en herdenken van processen waarbij gebruik wordt gemaakt van persoonsgegevens • data protection by design en by default • data protection impact assessment • register van verwerkingsactiviteiten • security en data breach • in bepaalde gevallen: aanstelling van een data protection officer
Hoe omgaan met de GDPR? • Veel ondernemingen hebben moeilijkheden bij het implementeren van een GDPR compliance-programma binnen hun organisatie • hoeveelheid en onduidelijkheid van nieuwe regels • complexiteit • hoeveelheid interne en externe actoren • gebrek aan tijd en sense of urgency • risico op zich: kar voor het paard … • Dus enkele praktische tips …
Tips voor een GDPR Compliance- Programma / Traject 1. Identificeer de “gaps” en risico’s 2. Maak een overzicht van de gegevens die worden verwerkt en hoe 3. Identificeer uw rol bij de verwerking van deze gegevens 4. Review processen en pas ze aan 5. Review policies, contracten, securitymaatregelen, … en pas ze aan 6. Documenteer de ondernomen stappen
1. Identificeer de “gaps” en de risico’s • Doel: stellen van prioriteiten voor de onderneming • Startpunt: analyse op basis van standaard – methodologie voor risico-beheer • opstellen van een risico-profiel • inschatten van de impact van een risico en de probabiliteit dat dit risico zich voordoet • en dit voor: • risico zonder reeds ondernomen acties • risico met reeds ondernomen acties • aanbevolen acties in het licht van de GDPR • inschatting van tijd, middelen, mensen, … nodig
1. Identificeer de “gaps” en de risico’s • Resultaat: • lijst met actuele risico’s • de te ondernemen acties • de prioriteiten (hoog risico, beperkte actie, beoogd resultaat) • RACI-matrix: wie doet wat, en wie moet betrokken zijn bij het ondernemen van de actie • Gevolg: u weet wat te doen, wie het moet doen, hoe het moet worden gedaan, en tegen wanneer
2. Overzicht van gegevensverwerking • Doel: inzicht krijgen hoe gegevens binnen de organisatie worden verwerkt en waar • Overzicht maken van “data assets” • Waar: ERP-systeem, website, intranet, klantenlijsten, personeelsbestand, … • Welke gegevens: persoonsgegevens, gevoelige gegevens, … • Wie is betrokken in verwerking: onderneming zelf, leveranciers (van data),, gebruikers (van data) hostingbedrijf, sociaal secretariaat, Dropbox, Microsoft 365, Salesforce.com, …
2. Overzicht van gegevensverwerking • Documenteren en visualiseren van dit overzicht • Analyseren van maatregelen op vlak van data security en data privacy genomen door de betrokken derden, en desgevallend bijkomende waarborgen vragen (of nemen) • Gevolg: startpunt van het dataverwerkingsregister
3. Identificeer rol bij gegevensverwerking • Doel: bepalen van verantwoordelijkheden naar betrokkenen en de uitoefening van hun rechten op basis van risico-analyse • In essentie komt dit erop neer dat men zich de vraag moet stellen of men verwerkingsverantwoordelijke of verwerker is (of gradaties ertussen), en wie vervolgens betrokken is bij de gegevensverwerking • Gevolg: verrijkt gegevensverwerkingsregister
4. Review processen en pas ze aan • Doel: aanpassen van processen aan de hand van de nieuwe vereisten in de GDPR • op basis van risico-analyse en gegevensverwerkingsregister • Implementatie van de rechten van betrokkenen: • persoonlijke oefening: gebruik geen templates • transparantieverplichting • beslissingen: van het behouden van manuele processen tot en met volledig automatiseren
4. Review processen en pas ze aan • Zorg ervoor dat degenen die rechtstreeks (of onrechtstreeks) betrokken zijn bij het nieuwe proces op de hoogte zijn van de wijzigingen • Opnieuw een individuele keuze (maar documenteer!): • klanten, leveranciers, contractspartijen, … • personeel: trainings • Gevolg: processen aangepast aan de hand van de nieuwe vereisten in de GDPR
5. Review policies, contracten, … en pas ze aan • Doel: documenteren van interne afspraken of afspraken met derden omtrent gegevensverwerking en uitoefening van rechten door betrokkenen (en gevolgen daarvan) • Basis: risico-analyse en processen (niet andersom) • Focus op security, rechten van betrokkenen, en specifieke nieuwigheden in GDPR: privacy by design & by default, impact assessment, data breach, …
5. Review policies, contracten, … en pas ze aan • Maak gebruik van de opportuniteit om ook andere wetgevende initiatieven te implementeren: richtlijn bedrijfsgeheimen, cybersecurity, (e-privacyverordening), … • Template-risico: • wat dienstig was voor iemand anders, is dit niet noodzakelijk voor u • 80/20-regel • Gevolg: alle betrokken partijen weten wat hun verantwoordelijkheid is, en wat gedaan
6. Documenteren • Continu proces: documenteren van alle ondernomen stappen, en impact ervan op de initiële risico-analyse • Compliance memorandum • Interne “FAQ” • Voorzie informatie, training, … voor hen die rechtstreeks geïmpacteerd zijn, zowel intern als extern • Basis voor regelmatige revisie van processen, documenten, …
Conclusies en Aanbevelingen • Verplichtingen op het vlak van “bescherming” van gegevens worden almaar stringenter en meer ingewikkeld • maar mag geen fundamentele “game changer” zijn voor uw onderneming • Belangrijk om een compliance-project met een open vizier te benaderen en te behandelen • de GDPR is geen handleiding, maar eerder een compliance checklist • Doel: simplificatie en zoeken naar oplossingen
Contactgegevens Bart Lieben Grétrystraat 54 2018 Antwerpen Belgium email: bart@bartlieben.com tel: +32 478 191990 www.bartlieben.com

Recommended

Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
Aad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
Aad Weesenaar (CS)
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)
Richard Claassens CIPPE
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijk
Jorgen Holzmann
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
Bart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
Bart Van Den Brande
 

Recommended

Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
Aad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
Aad Weesenaar (CS)
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)Benoeming van een functionaris voor gegevensbescherming (FG)
Benoeming van een functionaris voor gegevensbescherming (FG)
Richard Claassens CIPPE
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijk
Jorgen Holzmann
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
Bart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
Bart Van Den Brande
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
Bart Van Den Brande
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaars
Tommy Vandepitte
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius Legal
Bart Van Den Brande
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
Redactie ZiPconomy
 
Privacy
PrivacyPrivacy
Privacy
Holla Advocaten
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
VNG Realisatie
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Webinar GDPR en AVG
Webinar GDPR en AVGWebinar GDPR en AVG
Webinar GDPR en AVG
Eduvision Opleidingen
 
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Deborah Ongena
 
The state of SEO & GDPR
The state of SEO & GDPRThe state of SEO & GDPR
The state of SEO & GDPR
Chris Schalenborgh
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezicht
B-Mature
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
Koenraad FLAMANT
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
Andre Cardinaal
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_webHuib Tilanus
 
20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design
VNG Realisatie
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
Media Perspectives
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
VNG Realisatie
 

More Related Content

What's hot

De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
Bart Van Den Brande
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaars
Tommy Vandepitte
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius Legal
Bart Van Den Brande
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
Redactie ZiPconomy
 
Privacy
PrivacyPrivacy
Privacy
Holla Advocaten
 

What's hot (9)

De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaars
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius Legal
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
Privacy
PrivacyPrivacy
Privacy
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 

Similar to De GDPR in de Praktijk

Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
VNG Realisatie
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Webinar GDPR en AVG
Webinar GDPR en AVGWebinar GDPR en AVG
Webinar GDPR en AVG
Eduvision Opleidingen
 
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Deborah Ongena
 
The state of SEO & GDPR
The state of SEO & GDPRThe state of SEO & GDPR
The state of SEO & GDPR
Chris Schalenborgh
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezicht
B-Mature
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
Koenraad FLAMANT
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
Andre Cardinaal
 
20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design
VNG Realisatie
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
Media Perspectives
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
VNG Realisatie
 
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
Etienne Martens
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
PlatformSecurityManagement
 
20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa
Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag Zwolle
KING
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 

Similar to De GDPR in de Praktijk (20)

Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Webinar GDPR en AVG
Webinar GDPR en AVGWebinar GDPR en AVG
Webinar GDPR en AVG
 
Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018Presentatie toerisme oost vlaanderen gdpr dd 23052018
Presentatie toerisme oost vlaanderen gdpr dd 23052018
 
The state of SEO & GDPR
The state of SEO & GDPRThe state of SEO & GDPR
The state of SEO & GDPR
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezicht
 
Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_web
 
20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
 
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
ASMC 2018 Keynote 2: Hoe organiseer je privacy in de keten?
 
20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag Zwolle
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 

De GDPR in de Praktijk

  • 1. De GDPR in de praktijk Bart Lieben Combell, Gent 18 januari 2018
  • 2. De GDPR in een notendop: •Administratieve boetes: •10 miljoen euro / 2% van wereldwijde jaaromzet •20 miljoen euro / 4% van wereldwijde jaaromzet
  • 3. Overzicht • Inleiding • Praktische tips voor een GDPR- compliance-project/traject bij uw organisatie • Conclusies en aanbevelingen
  • 4. Inleiding • Algemene Verordening Gegevensverwerking • Nieuw Europees wetgevend kader met rechtstreeks effect voor de verwerking van persoonsgegevens • Vervangt de Europese Privacy-richtlijn • Nieuwe rechten voor betrokkenen en verplichtingen voor verwerkers / verwerkingsverantwoordelijken
  • 5. Wat is de GDPR? • Waarom de GDPR? • Harmonisatie van nationale wetgeving onder de Privacyrichtlijn is 20 jaar oud: nood aan een “upgrade” • Niettemin: divergerende nationale wetgeving, verschillen in aanpak door nationale toezichthoudende overheden, gebrek aan coördinatie met betrekking tot belangrijke topics op internationaal vlak, … • In de praktijk: bijzonder veel onduidelijkheid • Nood aan een werkelijk duidelijke en uniforme aanpak • Maar: moeilijk en lang proces voor de ontwikkeling van het nieuwe wetgevend kader
  • 6. Wat is de GDPR? • Belangrijke definities • persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) • identificeerbaar: als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon
  • 7. Wat is de GDPR? • Belangrijke definities • verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; • verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
  • 8. Wat is de GDPR? • Belangrijke definities • verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
  • 9. Wat is de GDPR? • Toepassingsgebied: verwerking van persoonsgegevens • in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt • van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met: • het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of • het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
  • 10. Wat is de GDPR? • Rechten van betrokkenen met betrekking tot persoonsgegevens: verduidelijkingen en specifieke nieuwigheden: • transparante informatie, communicatie en regels voor uitoefening van de rechten van de betrokkene • informatie en toegang tot persoonsgegevens • recht van inzage van de betrokkene • rectificatie en gegevenswissing
  • 11. Wat is de GDPR? • Nieuw: • Recht op beperking van verwerking • Recht op overdraagbaarheid van gegevens • Recht van bezwaar en geautomatiseerde individuele besluitvorming • met inbegrip van profiling
  • 12. Wat is de GDPR? • Belangrijkste impact voor verwerkingsverantwoordelijken en verwerkers: • verhoogde verplichtingen aangaande compliance • herzien en herdenken van processen waarbij gebruik wordt gemaakt van persoonsgegevens • data protection by design en by default • data protection impact assessment • register van verwerkingsactiviteiten • security en data breach • in bepaalde gevallen: aanstelling van een data protection officer
  • 13. Hoe omgaan met de GDPR? • Veel ondernemingen hebben moeilijkheden bij het implementeren van een GDPR compliance-programma binnen hun organisatie • hoeveelheid en onduidelijkheid van nieuwe regels • complexiteit • hoeveelheid interne en externe actoren • gebrek aan tijd en sense of urgency • risico op zich: kar voor het paard … • Dus enkele praktische tips …
  • 14. Tips voor een GDPR Compliance- Programma / Traject 1. Identificeer de “gaps” en risico’s 2. Maak een overzicht van de gegevens die worden verwerkt en hoe 3. Identificeer uw rol bij de verwerking van deze gegevens 4. Review processen en pas ze aan 5. Review policies, contracten, securitymaatregelen, … en pas ze aan 6. Documenteer de ondernomen stappen
  • 15. 1. Identificeer de “gaps” en de risico’s • Doel: stellen van prioriteiten voor de onderneming • Startpunt: analyse op basis van standaard – methodologie voor risico-beheer • opstellen van een risico-profiel • inschatten van de impact van een risico en de probabiliteit dat dit risico zich voordoet • en dit voor: • risico zonder reeds ondernomen acties • risico met reeds ondernomen acties • aanbevolen acties in het licht van de GDPR • inschatting van tijd, middelen, mensen, … nodig
  • 16. 1. Identificeer de “gaps” en de risico’s • Resultaat: • lijst met actuele risico’s • de te ondernemen acties • de prioriteiten (hoog risico, beperkte actie, beoogd resultaat) • RACI-matrix: wie doet wat, en wie moet betrokken zijn bij het ondernemen van de actie • Gevolg: u weet wat te doen, wie het moet doen, hoe het moet worden gedaan, en tegen wanneer
  • 17. 2. Overzicht van gegevensverwerking • Doel: inzicht krijgen hoe gegevens binnen de organisatie worden verwerkt en waar • Overzicht maken van “data assets” • Waar: ERP-systeem, website, intranet, klantenlijsten, personeelsbestand, … • Welke gegevens: persoonsgegevens, gevoelige gegevens, … • Wie is betrokken in verwerking: onderneming zelf, leveranciers (van data),, gebruikers (van data) hostingbedrijf, sociaal secretariaat, Dropbox, Microsoft 365, Salesforce.com, …
  • 18. 2. Overzicht van gegevensverwerking • Documenteren en visualiseren van dit overzicht • Analyseren van maatregelen op vlak van data security en data privacy genomen door de betrokken derden, en desgevallend bijkomende waarborgen vragen (of nemen) • Gevolg: startpunt van het dataverwerkingsregister
  • 19. 3. Identificeer rol bij gegevensverwerking • Doel: bepalen van verantwoordelijkheden naar betrokkenen en de uitoefening van hun rechten op basis van risico-analyse • In essentie komt dit erop neer dat men zich de vraag moet stellen of men verwerkingsverantwoordelijke of verwerker is (of gradaties ertussen), en wie vervolgens betrokken is bij de gegevensverwerking • Gevolg: verrijkt gegevensverwerkingsregister
  • 20. 4. Review processen en pas ze aan • Doel: aanpassen van processen aan de hand van de nieuwe vereisten in de GDPR • op basis van risico-analyse en gegevensverwerkingsregister • Implementatie van de rechten van betrokkenen: • persoonlijke oefening: gebruik geen templates • transparantieverplichting • beslissingen: van het behouden van manuele processen tot en met volledig automatiseren
  • 21. 4. Review processen en pas ze aan • Zorg ervoor dat degenen die rechtstreeks (of onrechtstreeks) betrokken zijn bij het nieuwe proces op de hoogte zijn van de wijzigingen • Opnieuw een individuele keuze (maar documenteer!): • klanten, leveranciers, contractspartijen, … • personeel: trainings • Gevolg: processen aangepast aan de hand van de nieuwe vereisten in de GDPR
  • 22. 5. Review policies, contracten, … en pas ze aan • Doel: documenteren van interne afspraken of afspraken met derden omtrent gegevensverwerking en uitoefening van rechten door betrokkenen (en gevolgen daarvan) • Basis: risico-analyse en processen (niet andersom) • Focus op security, rechten van betrokkenen, en specifieke nieuwigheden in GDPR: privacy by design & by default, impact assessment, data breach, …
  • 23. 5. Review policies, contracten, … en pas ze aan • Maak gebruik van de opportuniteit om ook andere wetgevende initiatieven te implementeren: richtlijn bedrijfsgeheimen, cybersecurity, (e-privacyverordening), … • Template-risico: • wat dienstig was voor iemand anders, is dit niet noodzakelijk voor u • 80/20-regel • Gevolg: alle betrokken partijen weten wat hun verantwoordelijkheid is, en wat gedaan
  • 24. 6. Documenteren • Continu proces: documenteren van alle ondernomen stappen, en impact ervan op de initiële risico-analyse • Compliance memorandum • Interne “FAQ” • Voorzie informatie, training, … voor hen die rechtstreeks geïmpacteerd zijn, zowel intern als extern • Basis voor regelmatige revisie van processen, documenten, …
  • 25. Conclusies en Aanbevelingen • Verplichtingen op het vlak van “bescherming” van gegevens worden almaar stringenter en meer ingewikkeld • maar mag geen fundamentele “game changer” zijn voor uw onderneming • Belangrijk om een compliance-project met een open vizier te benaderen en te behandelen • de GDPR is geen handleiding, maar eerder een compliance checklist • Doel: simplificatie en zoeken naar oplossingen
  • 26. Contactgegevens Bart Lieben Grétrystraat 54 2018 Antwerpen Belgium email: bart@bartlieben.com tel: +32 478 191990 www.bartlieben.com