gdpr awareness session
TRANSCRIPT
De Algemene Verordening Gegevensbescherming (NL: AVG - EN: GDPR)
Faysal Boukayoua
Veiligheidsconsulent Vlaanderen Connect
Overzicht
InleidingHistorisch overzichtData Protection PrinciplesRechten van de BetrokkeneVerwerkingsregisterAanstelling van een Data Protection OfficerInternationale datatransfersLeveranciersrelatiesMeldingsplicht voor datalekken
Inleiding
Doel van deze sessie
Niet: Maar:
Waarom privacy?
Als menselijke en maatschappelijke behoefteAls fundamenteel rechtAls manier om andere rechten en vrijheden te vrijwaren, bv.:
Vrijheid van denkenVrijheid van verenigingConsumentenbescherming
Als voorwaarde voor een democratische rechtstaat
Een historisch overzicht
Regelgeving Herkomst Bindend? Publicatie Van kracht vanaf
Universele Verklaring van de Rechten van de Mens
Verenigde Naties Nee 1948
Europees Verdrag voor de Rechten van de Mens
Raad van Europa Ja, voor de 47 leden van de Raad van Europa
1950 1953
Verdrag Van Rome EEG Ja, voor ondertekenaars 1957 1958
Aanbeveling 509 Raad van Europa Nee 1968
OESO-richtlijnen OESO Nee 1980
Conventie 108 Raad van Europa Voor ondertekenaars 1981 1985
Richtlijn 95/46/EC, basis voor Belgische Privacywet
Europese Unie Ja, door EU-lidstaten om te zetten in nationale wetgeving
1995 Omzettingtegen Okt. 1998
AVG (GDPR) Europese Unie Ja, rechtstreeks van kracht
2016 2018
Waarom zou het ons kunnen schelen?
• Financiële schade• Politieke en reputatieschade• Juridische aansprakelijkheid• Verstoring van de dienstverlening• Menselijke schade
Case study: #nmbsgate
Bron: Datapanik
Menselijke fout
#nmbsgate: wat liep er mis?
Verplichte melding van gegevenslekken (AVG art. 33)Technische en organisatorische beschermingsmaatregelen in
verhouding met het risico (art. 32)Rechtmatige verwerking van gegevens (art. 6)Inschatting van risico verbonden aan persoonsgegevens (art. 35)BewustmakingRollen, verantwoordelijkheden en processen
Wat kan er gebeuren er na zo’n datalek?Korte termijnGrootschalige politieke en reputatieschade
Grondige audit van Privacycommissie
ArbeidsintensiefVerlammend voor de organisatie
Middellange termijnEis tot structurele maatregelen
Grote budgetimpact
Stopzetting van de verwerkingVerstoring van de dienstverlening
Boetes tot 20 miljoen euro of 4% van wereldwijde omzet
Individuele vervolging van de bestuurders
Wat zegt de AVG?
De AVGNL: Algemene Verordening GegevensbeschermingEN: General Data Protection Regulation (GDPR)
Van kracht vanaf 25 mei 2018 Wereldwijd geldig voor data van EU-inwoners
Aanpassing van Richtlijn 95/46/EC aan het veranderde technologielandschap
One stop shop-mechanisme voor klachten bij toezichthouders
Data Protection en Privacyin verhouding tot het “risico”
Aangifteplicht wordt documentatieplicht
Meer macht voor toezichthouders, bv.
onverwachte audits en zwaardere sancties
Harmonisatie: 1 wetgeving voor alle 28 EU-lidstaten
Stakeholders
Betrokkene: natuurlijke persoon waar de gegevens betrekking op hebben
Verantwoordelijke voor de verwerking: organisatie die beslist wat er met de gegevens gebeurt
Verwerker:een organisatie die in opdracht van de verantwoordelijke gegevens verwerktMeestal dienstverleners (bv. HB Plus en Cronos)
Toezichthouders: bv. Privacycommissie en VTCEuropean Data Protection Board: EU-orgaan van toezichthouders
voor samenwerking en advies
Wat zijn persoonsgegevens?
Alles wat direct of indirect herleid kan worden naar een natuurlijk persoon.1. Identifiers: bv. database-IDs, IP-adressen, GPS-coördinaten2. Contactgegevens3. Identiteitsinformatie4. Afgeleide gegevens: bv. consumptiegedrag, social media-profiel5. Gevoelige persoonsgegevens (art. 9): alles wat te maken heeft
met etniciteit, politieke, levensbeschouwelijke of religieuze opvattingen, vakbondslidmaatschap, genetische gegevens en biometrie voor unieke identificatie, medische gegevens, seksuele voorkeur
Gegevens kunnen ook gevoelig zijn omwille van de context
Verwerking van persoonsgegevens: hoe?
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Data ProtectionPrinciples
Transparant: informatieverschaffing aan de betrokkeneBehoorlijk (“fairness”): volgens wat de betrokkene redelijkerwijs
zou verwachtenRechtmatig: het doel van de verwerking moet een rechtsgrond
hebben. Bv.
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Doel Rechtsgrond
Dossierbehandeling van een aanvraag voor studietoelage
Wettelijke verplichting
Aanwerving van een werknemer Overeenkomst nakomen of voorbereiden
Welke rechtsgronden voorziet de AVG?
Wettelijke verplichting
Taak van algemeen belang
Overeenkomst nakomen of voorbereiden
Toestemming van de betrokkene
Gerechtvaardigde belangen vanverwerkingsverantwoordelijke
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Belangrijkst voor de kerntaken van een overheid
Enkel voor niet-kerntaken
Mag niet gebruikt worden door overheden
Data ProtectionPrinciples
Data ProtectionPrinciplesDoelbinding (finaliteit)
Elke verdere verwerking moet:
Ofwel: compatibel zijn met oorspronkelijk doel
Ofwel: een rechtsgrond hebben voor het nieuwe doel
Volgende aspecten zijn niet onverenigbaar met oorspronkelijke doeleinden (art. 5, 6, 89):
archivering in het algemeen belang
historische, wetenschappelijke en statistische doeleinden
“Het bestaan van passende waarborgen, waaronder eventueel encryptie of pseudonimisering” als criterium voor verenigbaarheid met oorspronkelijk doel (art. 6)
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Bron afbeelding: Hoepman et al., 2009
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Data ProtectionPrinciples
Data minimisation (proportionaliteit)
Deel van Data Protection by Design and by Default
Data ProtectionPrinciplesData Protection by Design and by Default (art. 25)
Creation
Collection or retrieval from other sources
Transformation
Analysis andreporting
Consultation
Storage
Transmission
Publication
Destruction
Design Realisation Operation
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Encryption
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Data ProtectionPrinciplesData Protection Impact Assessment
Evaluatie van worst-case gevolgen van de verwerking en opslag van de data voor de rechten en vrijheden van de betrokkene
Best practice. Maar verplicht bij:Evaluatie, scoring en bindende automatische beslissingenSystematisch toezichtBijzondere categorieën persoonsgegevensVerwerking op grote schaalSamenvoegen van datasetsKwetsbare natuurlijke personenGebruik van nieuwe, innovatieve technologieënData transfers buiten de EU-grenzen
Consultatie toezichthouder bij hoog residueel risico
Data ProtectionPrinciplesJuistheid
Bekommernis: risico’s voor betrokkenen wegens verwerking van onjuiste gegevens
[…] persoonsgegevens die […] onjuist zijn, onverwijld te wissen of te rectificeren” (art. 5)recht op rectificatie (art. 16)recht van betrokkene op beperking van de verwerking tot juistheid van gegevens geverifieerd is (art. 18)
Structurele aanpak: data governance en informatiebeheer, bv.:Hoe wordt de data aangeleverd?Wat is de minimale “Level of Assurance”?Hoe vaak wordt ze geüpdatet? Volgens welke processen?Wie is eigenaar/zorgdrager?
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Data ProtectionPrinciplesOpslagbeperking (art. 5 en art 30)
Informatie niet langer bijhouden dan noodzakelijkGegevenswissing is niet de enige bestemming
Informatiebeheersplan (IBP) verplicht voor elke VO-entiteit tegen eind 2018
Vernietiging enkel toegelaten mits IBP of mits toestemming van de selectiecommissie
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Statische faseDynamische fase
Hoe lang nodig?
Wettelijke/administratieve Bewaartermijn
Bewaren (archivering) of vernietigen?
Bestemming
Deels uit slides van Thibault Cayron (OVAM)
Data ProtectionPrinciplesIntegriteit en vertrouwelijkheid (art. 32)
technische en organisatorische maatregelen afgestemd op het risico
vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (“resilience”) van systemen en diensten
vermogen om bij een incident tijdig de beschikbaarheid van en de toegang tot gegevens te herstellen
Procedure om de doeltreffendheid van technische en organisatorische maatregelen te testen
Keuze van het veiligheidsniveau op basis van verwerkingsrisico’s
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Data ProtectionPrinciples
Verantwoordingsplicht of accountabilityaanleggen van documentatie en
bewijsmateriaal om naleving van vorige 6 Data Protection Principles aan te tonen (art. 5)
Aangifteplicht (Richtlijn 95/46/EC) wordt documentatieplicht (AVG).
Aan wie?BetrokkenenToezichthoudersManagement
Geen documentatie = non-compliant
Data Protection Principles
Rechtmatige, behoorlijke en transparante verwerking
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Verantwoordingsplicht
Rechten van de betrokkene
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Opmerking“Redelijke” stappen om de rechten van de betrokkene
te vrijwaren. Niet ten allen koste.Antwoord in zelfde formaat als initieel verzoekGratis, tenzij bij herhaaldelijk of excessief verzoek.Behalve informatieverstrekking vervallen de
verplichtingen ten aanzien van de betrokkene indien:persoonsgegevens geen identificatie meer toelatenbetrokkene onvoldoende zijn/haar identiteit kan bewijzen
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Te verstrekken informatie aan de betrokkene (art. 12, 13, 14)Contactgegevens van verwerkingsverantwoordelijkeDoel en rechtsgrond van de verwerkingOntvangers van de gegevens i.h.k.v. de verwerkingNaar welke landen de gegevens getransfereerd worden en
met welke waarborgen?Duur en motivering van bewaartermijn (zie IBP)Een oplijsting van de rechten van de betrokkeneHet recht om klacht in te dienen bij de toezichthouderBij geautomatiseerde besluitvorming: zinvolle informatie
over de gebruikte logica
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Te verstrekken informatie aan de betrokkene (vervolg)Indien toestemming als rechtsgrond: het recht om ze in te
trekken
Verlenen van toestemming
Tijd
Intrekken van toestemming
Verlenen van toestemming
Te verstrekken indien gegevens verkregen via betrokkene
Te verstrekken indien gegevens verkregen via derde partij
• Is de vergaring een contractuele of wettelijke verplichting?
• Waarom is de vergaring nodig?• Wat zijn de gevolgen indien de
betrokkene de gegevens niet voorziet?
• Welke categorieënpersoonsgegevens?
• Derde partij waar de gegevens verkregen werden
• Gaat het om publiek toegankelijke bronnen?
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Recht op inzage en rectificatie (art. 15 en 16)Toegang tot de exacte gegevensDoel en rechtsgrond(Categorieën van) ontvangers i.h.k.v. de verwerkingDuur en motivering van bewaartermijn (zie IBP)Oplijsting van de rechten van de betrokkene, inclusief rectificatieHet recht om klacht in te dienen bij de toezichthouderDe bron van wie de informatie verkregen werd: betrokkene of
gegevens van derde partijBij geautomatiseerde besluitvorming: zinvolle informatie over de
gebruikte logicaInternationale datatransfers en waarborgen
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
“Right to be forgotten“ (art. 17)
Wissing van gegevens indien geen rechtsgrond meer voor verwerking of bewaring
Indien persoonsgegevens publiek gemaakt, redelijke inspanning om andere verantwoordelijken op de hoogte te stellen van wens van betrokkene
Niet van toepassing indien gegevens nodig voor:Vrijheid van informatie en van vrije meningsuitingNakomen van een wettelijke verplichting (cf. bewaartermijn IBP)Arbeidsgeneeskunde en volksgezondheidArchivering in het algemeen belangHistorische, wetenschappelijke en statistische doeleindenGerechtelijke verplichtingen van de verantwoordelijke
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Recht op overdraagbaarheid van gegevens (art. 20)Gegevens die:
Ofwel verwerkt worden met toestemmingOfwel verwerkt worden voor voorbereiding of nakomen van een overeenkomst
Aan wie?Aan betrokkeneAan derde partij op verzoek van betrokkene (bv. dienstverlener)
Hoe? “structured, machine-readable data”
☺ Geen impact op kernactiviteiten overheid, wellicht wel op HR
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten vande betrokkene
Geautomatiseerde indiv. Besluitvorming en profiling (art. 21)Achtergrond: toegenomen belang van artificiële intelligentie en
machine learningWat? Het recht om niet onderworpen aan een beslissing die:
Volledig automatisch gebeurtBindende gevolgen heeft voor de betrokkene
Verantwoordelijke moet minstens mogelijkheid voorzien voor:menselijke tussenkomstRecht van betrokkene om standpunt kenbaar te makenRecht van betrokkene om beslissing aan te vechten
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Rechten van debetrokkene
Recht van bezwaar en recht op beperking van verwerking (art. 18, 21)Tijdelijk
Indien juistheid van de gegevens betwist wordtIndien informatie nodig is voor gerechtelijke stappen
PermanentAls alternatief voor wissing, op aangeven van de betrokkeneBij direct marketing absoluut rechtBij taak van algemeen belang: af te wegen
Niet van toepassingBij wettelijke verplichtingArchivering en onderzoek in het algemeen belang
Rechten van de betrokkene
Informatieverstrekking
Recht op inzage
Recht op rectificatie
Recht op gegevenswissing
Recht op overdraagbaarheid van gegevens
Geautomatiseerde individuele besluitvorming en profiling
Recht op beperking van de verwerking
Recht van bezwaar
Verwerkingsregister
Register voor alle verwerkingen met persoonsgegevens (art. 30). Bevat de nodige info om:
In rechten van de betrokkene te voorzienVerantwoording te kunnen afleggen tegenover de toezichthouder
Retroactief voor alle verwerkingen met persoonsgegevens
Aanstelling van een Data Protection Officer (art. 39)
Waneer is een DPO verplicht?Voor overheden en openbare instellingenIndien grootschalige verwerking van persoonsgegevens nodig is voor kerntaken
Kennis: juridisch, IT, security en businessOnafhankelijk, rapporteert aan leidend ambtenaarTypische taken:
Contactpersoon tussen organisatie en toezichthouderBewustmaking over Data Protection en PrivacyAdvies bij implementatieControle op naleving
Internationale datatransfers(art. 44-50)
Wanneer? Routinematige transfers naar:Leveranciers (outsourcing)Ontvangers in de context van verwerking
Hoe?Transfer binnen de Europese Economische RuimteAdequaatheidsbeslissingPassende waarborgen
StandaardcontractbepalingenGoedgekeurde ad hoc contractbepalingenBindende BedrijfsvoorschriftenCertificatie/gedragscodeOvereenkomsten tussen overheden
Andere: o.m. expliciete toestemming van de betrokkene
• EU-lidstaten kunnen bijkomende eisen stellen
• Cfr. uitspraken VTC en Duitse toezichthouders
• Onzekerheid over Privacy Shield
Leveranciersrelaties(art 27-31, 44-50 + WP29-richtlijnen)
Waarborg voor datatransferRollen en verantwoordelijkhedenVertrouwelijkheid
OvereenkomstScreening en geheimhouding bij werknemers van verwerker
Beperkingen op onderaannemingTechnische en organisatorische maatregelen securityVerantwoordelijke bijstaan om AVG-verplichtingen na te
leven, bv. aanlevering documentatie en melding datalekken
Exitstrategie en gegevenswissing
Meldingsplicht voor datalekken
Wat?Categorieën van data en betrokkenenMogelijke gevolgen voor betrokkenenMaatregelen om gevolgen in te dijkenContactgegevens verantwoordelijke
Aan wie? Wanneer? Termijn
Toezichthouder Bij “risico” voor rechten en vrijheden van betrokkenen
Binnen de 72 uur na vernemen van lek (uitstel mogelijk mits verantwoording)
Toezichthouder én betrokkenen
Bij “hoog risico” voor rechten en vrijheden van betrokkenen