De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
Visualisatie van Artikel 37 van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG)
Op- en aanmerkingen zijn welkom.
Weergave van de presentatie van RAADHUIS Creative Agency zoals gegeven tijdens het seminar 'AVG - Is jouw organisatie al AVG Proof?' op 11 januari 2018 bij Rensen Advocaten.
Door: Danny de Boer en Jorgen Holzmann
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
De handhaving van de AVG wet is gestart!Bent u er nog niet klaar voor, dan treft u hierbij een paar slides aan die u wellicht helpen bij uw eigen implementatie.
Visualisatie van Artikel 37 van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG)
Op- en aanmerkingen zijn welkom.
Weergave van de presentatie van RAADHUIS Creative Agency zoals gegeven tijdens het seminar 'AVG - Is jouw organisatie al AVG Proof?' op 11 januari 2018 bij Rensen Advocaten.
Door: Danny de Boer en Jorgen Holzmann
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Organisaties zijn druk bezig om te voldoen aan de aangescherpte privacywetgeving. De focus ligt daarbij vooral op persoonsgegevens in informatiesystemen.
Het risico is dat cameratoezicht over het hoofd wordt gezien. Om organisaties te helpen het cameratoezicht ook op tijd te laten voldoen aan de Algemene Verordening Gegevensbescherming (AVG of in het Engels de GDPR: General Data Protection Regulation) gaan we in de presentatie in op de volgende punten:
• Waar organisaties rekening mee moeten houden
• 10 zaken die vaak mis gaan
• 10 stappen om “in control” te komen
Hiermee kunnen organisaties zelf aan de slag om ook op het gebied van cameratoezicht te voldoen aan de wetgeving maar ze kunnen ons natuurlijk ook vragen ze daarbij te helpen.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Organisaties zijn druk bezig om te voldoen aan de aangescherpte privacywetgeving. De focus ligt daarbij vooral op persoonsgegevens in informatiesystemen.
Het risico is dat cameratoezicht over het hoofd wordt gezien. Om organisaties te helpen het cameratoezicht ook op tijd te laten voldoen aan de Algemene Verordening Gegevensbescherming (AVG of in het Engels de GDPR: General Data Protection Regulation) gaan we in de presentatie in op de volgende punten:
• Waar organisaties rekening mee moeten houden
• 10 zaken die vaak mis gaan
• 10 stappen om “in control” te komen
Hiermee kunnen organisaties zelf aan de slag om ook op het gebied van cameratoezicht te voldoen aan de wetgeving maar ze kunnen ons natuurlijk ook vragen ze daarbij te helpen.
Lecture DPO S 2018 - March 5th, 2018 of the professional association DPO-pro
The position and the responsibilities of the DPO.
Some contractual clauses to protect the DPO
Presentatie 14 april 2018 joomladagen eindhovenEtienne Martens
Auteur: mr. C.H.M. Reijmers CIPP/E
Inhoud:
1. Aandacht voor de verwerking van persoonsgegevens
2. De Algemene verordening gegevensbescherming /AVG
3. Verplichtingen ‘verwerkingsverantwoordelijke’
4. Meer eisen aan de ‘verwerker’
5. Nut en noodzaak van een verwerkersovereenkomst
6. Wat wordt er in de overeenkomst vastgelegd?
7. Een eigen register van ‘verwerkingsactiviteiten’
8. De meldplicht datalekken
Ondernemingen hebben vaak een complexe value chain met honderden partners, waaronder agentschappen en leveranciers van producten. Intensieve samenwerking met third parties is de norm geworden voor succes, maar het levert ook risico’s op. Hoe onderken je als onderneming deze risico’s en welke stappen moeten gezet worden om de onderneming weerbaar te maken tegen fysieke en digitale dreigingen?
Privacy is bij uitstek een vraagstuk dat niet autonoom door een organisatie kan worden opgelost. Het beschermen van gevoelige informatie en persoonlijke data dient in de gehele keten te worden aangepakt en geborgd. Privacy is niet alleen een kwestie van compliance. Het gaat over het nemen van verantwoordelijkheid (verantwoordingsplicht) voor het beschermen van gevoelige informatie binnen de eigen organisatie en over het maken van goede afspraken met third parties over de wijze waarop dit moet gebeuren.
Privacy roept ook talloze vragen op, met name voor de security manager, zoals:
Hoe ga je om met leveranciers van beveiligings- en camerasystemen – juridisch en organisatorisch – welke afspraken maak je over Privacy?
Waar houdt mijn verantwoordelijkheid op en waar start die van mijn leverancier?
Wat spreek je af over de wijze van handelen in het geval van een datalek of een andersoortige privacy of security breach?
Dit zijn met name ketenvraagstukken die alleen door een goede samenwerking met ketenpartners kunnen worden beslecht. Belangrijk onderdeel van de Algemene Verordening Gegevensbescherming (AVG) is de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden (accountability). De AVG maakt het noodzakelijk om na te gaan of het beleid moet worden aangepast. In hoeverre voldoet uw organisatie al aan de privacyregels? Maar wellicht is de antwoord op de volgende vraag van groter belang. Hoe worden uw privacyregels na geleefd door uw partners? Privacy is geen showstopper maar juist een instrument om uw eigen organisatie te professionaliseren en hét onderwerp om over in gesprek te gaan met third parties
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
4. Inleiding
• Algemene Verordening Gegevensverwerking
• Nieuw Europees wetgevend kader met
rechtstreeks effect voor de verwerking van
persoonsgegevens
• Vervangt de Europese Privacy-richtlijn
• Nieuwe rechten voor betrokkenen en verplichtingen
voor verwerkers / verwerkingsverantwoordelijken
5. Wat is de GDPR?
• Waarom de GDPR?
• Harmonisatie van nationale wetgeving onder de Privacyrichtlijn is 20 jaar oud:
nood aan een “upgrade”
• Niettemin: divergerende nationale wetgeving, verschillen in aanpak door
nationale toezichthoudende overheden, gebrek aan coördinatie met
betrekking tot belangrijke topics op internationaal vlak, …
• In de praktijk: bijzonder veel onduidelijkheid
• Nood aan een werkelijk duidelijke en uniforme aanpak
• Maar: moeilijk en lang proces voor de ontwikkeling van het nieuwe
wetgevend kader
6. Wat is de GDPR?
• Belangrijke definities
• persoonsgegevens: alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon („de betrokkene”)
• identificeerbaar: als identificeerbaar wordt beschouwd een
natuurlijke persoon die direct of indirect kan worden
geïdentificeerd, met name aan de hand van een identificator
zoals een naam, een identificatienummer, locatiegegevens, een
online identificator of van een of meer elementen die kenmerkend
zijn voor de fysieke, fysiologische, genetische, psychische,
economische, culturele of sociale identiteit van die natuurlijke
persoon
7. Wat is de GDPR?
• Belangrijke definities
• verwerkingsverantwoordelijke: een natuurlijke persoon of
rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan die/dat, alleen of samen met anderen, het doel van en de
middelen voor de verwerking van persoonsgegevens vaststelt;
• verwerker: een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die/dat ten
behoeve van de verwerkingsverantwoordelijke
persoonsgegevens verwerkt
8. Wat is de GDPR?
• Belangrijke definities
• verwerking: een bewerking of een geheel van bewerkingen met
betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde
procedés, zoals het verzamelen, vastleggen, ordenen,
structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter beschikking
stellen, aligneren of combineren, afschermen, wissen of
vernietigen van gegevens
9. Wat is de GDPR?
• Toepassingsgebied: verwerking van persoonsgegevens
• in het kader van de activiteiten van een vestiging van een
verwerkingsverantwoordelijke of een verwerker in de Unie,
ongeacht of de verwerking in de Unie al dan niet plaatsvindt
• van betrokkenen die zich in de Unie bevinden, door een niet in de
Unie gevestigde verwerkingsverantwoordelijke of verwerker,
wanneer de verwerking verband houdt met:
• het aanbieden van goederen of diensten aan deze betrokkenen in de Unie,
ongeacht of een betaling door de betrokkenen is vereist; of
• het monitoren van hun gedrag, voor zover dit gedrag in de Unie
plaatsvindt.
10. Wat is de GDPR?
• Rechten van betrokkenen met betrekking tot
persoonsgegevens: verduidelijkingen en specifieke
nieuwigheden:
• transparante informatie, communicatie en regels voor
uitoefening van de rechten van de betrokkene
• informatie en toegang tot persoonsgegevens
• recht van inzage van de betrokkene
• rectificatie en gegevenswissing
11. Wat is de GDPR?
• Nieuw:
• Recht op beperking van verwerking
• Recht op overdraagbaarheid van gegevens
• Recht van bezwaar en geautomatiseerde individuele
besluitvorming
• met inbegrip van profiling
12. Wat is de GDPR?
• Belangrijkste impact voor
verwerkingsverantwoordelijken en verwerkers:
• verhoogde verplichtingen aangaande compliance
• herzien en herdenken van processen waarbij gebruik wordt
gemaakt van persoonsgegevens
• data protection by design en by default
• data protection impact assessment
• register van verwerkingsactiviteiten
• security en data breach
• in bepaalde gevallen: aanstelling van een data protection
officer
13. Hoe omgaan met de GDPR?
• Veel ondernemingen hebben moeilijkheden bij het
implementeren van een GDPR compliance-programma
binnen hun organisatie
• hoeveelheid en onduidelijkheid van nieuwe regels
• complexiteit
• hoeveelheid interne en externe actoren
• gebrek aan tijd en sense of urgency
• risico op zich: kar voor het paard …
• Dus enkele praktische tips …
14. Tips voor een GDPR Compliance-
Programma / Traject
1. Identificeer de “gaps” en risico’s
2. Maak een overzicht van de gegevens die worden
verwerkt en hoe
3. Identificeer uw rol bij de verwerking van deze
gegevens
4. Review processen en pas ze aan
5. Review policies, contracten, securitymaatregelen,
… en pas ze aan
6. Documenteer de ondernomen stappen
15. 1. Identificeer de “gaps” en de risico’s
• Doel: stellen van prioriteiten voor de onderneming
• Startpunt: analyse op basis van standaard –
methodologie voor risico-beheer
• opstellen van een risico-profiel
• inschatten van de impact van een risico en de probabiliteit dat
dit risico zich voordoet
• en dit voor:
• risico zonder reeds ondernomen acties
• risico met reeds ondernomen acties
• aanbevolen acties in het licht van de GDPR
• inschatting van tijd, middelen, mensen, … nodig
16. 1. Identificeer de “gaps” en de risico’s
• Resultaat:
• lijst met actuele risico’s
• de te ondernemen acties
• de prioriteiten (hoog risico, beperkte actie, beoogd resultaat)
• RACI-matrix: wie doet wat, en wie moet betrokken zijn bij het
ondernemen van de actie
• Gevolg: u weet wat te doen, wie het moet doen, hoe het
moet worden gedaan, en tegen wanneer
17. 2. Overzicht van gegevensverwerking
• Doel: inzicht krijgen hoe gegevens binnen de
organisatie worden verwerkt en waar
• Overzicht maken van “data assets”
• Waar: ERP-systeem, website, intranet, klantenlijsten,
personeelsbestand, …
• Welke gegevens: persoonsgegevens, gevoelige gegevens, …
• Wie is betrokken in verwerking: onderneming zelf, leveranciers
(van data),, gebruikers (van data) hostingbedrijf, sociaal
secretariaat, Dropbox, Microsoft 365, Salesforce.com, …
18. 2. Overzicht van gegevensverwerking
• Documenteren en visualiseren van dit overzicht
• Analyseren van maatregelen op vlak van data security en
data privacy genomen door de betrokken derden, en
desgevallend bijkomende waarborgen vragen (of nemen)
• Gevolg: startpunt van het dataverwerkingsregister
19. 3. Identificeer rol bij gegevensverwerking
• Doel: bepalen van verantwoordelijkheden naar
betrokkenen en de uitoefening van hun rechten op basis
van risico-analyse
• In essentie komt dit erop neer dat men zich de vraag moet
stellen of men verwerkingsverantwoordelijke of
verwerker is (of gradaties ertussen), en wie vervolgens
betrokken is bij de gegevensverwerking
• Gevolg: verrijkt gegevensverwerkingsregister
20. 4. Review processen en pas ze aan
• Doel: aanpassen van processen aan de hand van de
nieuwe vereisten in de GDPR
• op basis van risico-analyse en gegevensverwerkingsregister
• Implementatie van de rechten van betrokkenen:
• persoonlijke oefening: gebruik geen templates
• transparantieverplichting
• beslissingen: van het behouden van manuele processen tot en
met volledig automatiseren
21. 4. Review processen en pas ze aan
• Zorg ervoor dat degenen die rechtstreeks (of
onrechtstreeks) betrokken zijn bij het nieuwe proces op de
hoogte zijn van de wijzigingen
• Opnieuw een individuele keuze (maar documenteer!):
• klanten, leveranciers, contractspartijen, …
• personeel: trainings
• Gevolg: processen aangepast aan de hand van de nieuwe
vereisten in de GDPR
22. 5. Review policies, contracten, … en pas
ze aan
• Doel: documenteren van interne afspraken of afspraken
met derden omtrent gegevensverwerking en uitoefening
van rechten door betrokkenen (en gevolgen daarvan)
• Basis: risico-analyse en processen (niet andersom)
• Focus op security, rechten van betrokkenen, en
specifieke nieuwigheden in GDPR: privacy by design &
by default, impact assessment, data breach, …
23. 5. Review policies, contracten, … en pas
ze aan
• Maak gebruik van de opportuniteit om ook andere
wetgevende initiatieven te implementeren: richtlijn
bedrijfsgeheimen, cybersecurity, (e-privacyverordening), …
• Template-risico:
• wat dienstig was voor iemand anders, is dit niet noodzakelijk voor
u
• 80/20-regel
• Gevolg: alle betrokken partijen weten wat hun
verantwoordelijkheid is, en wat gedaan
24. 6. Documenteren
• Continu proces: documenteren van alle ondernomen
stappen, en impact ervan op de initiële risico-analyse
• Compliance memorandum
• Interne “FAQ”
• Voorzie informatie, training, … voor hen die rechtstreeks
geïmpacteerd zijn, zowel intern als extern
• Basis voor regelmatige revisie van processen,
documenten, …
25. Conclusies en Aanbevelingen
• Verplichtingen op het vlak van “bescherming” van
gegevens worden almaar stringenter en meer
ingewikkeld
• maar mag geen fundamentele “game changer” zijn voor uw
onderneming
• Belangrijk om een compliance-project met een open
vizier te benaderen en te behandelen
• de GDPR is geen handleiding, maar eerder een
compliance checklist
• Doel: simplificatie en zoeken naar oplossingen