gdpr awareness session

De Algemene Verordening Gegevensbescherming (NL: AVG - EN: GDPR)

Faysal Boukayoua

Veiligheidsconsulent Vlaanderen Connect

Overzicht

InleidingHistorisch overzichtData Protection PrinciplesRechten van de BetrokkeneVerwerkingsregisterAanstelling van een Data Protection OfficerInternationale datatransfersLeveranciersrelatiesMeldingsplicht voor datalekken

Inleiding

Doel van deze sessie

Niet: Maar:

Waarom privacy?

Als menselijke en maatschappelijke behoefteAls fundamenteel rechtAls manier om andere rechten en vrijheden te vrijwaren, bv.:

Vrijheid van denkenVrijheid van verenigingConsumentenbescherming

Als voorwaarde voor een democratische rechtstaat

Een historisch overzicht

Regelgeving Herkomst Bindend? Publicatie Van kracht vanaf

Universele Verklaring van de Rechten van de Mens

Verenigde Naties Nee 1948

Europees Verdrag voor de Rechten van de Mens

Raad van Europa Ja, voor de 47 leden van de Raad van Europa

1950 1953

Verdrag Van Rome EEG Ja, voor ondertekenaars 1957 1958

Aanbeveling 509 Raad van Europa Nee 1968

OESO-richtlijnen OESO Nee 1980

Conventie 108 Raad van Europa Voor ondertekenaars 1981 1985

Richtlijn 95/46/EC, basis voor Belgische Privacywet

Europese Unie Ja, door EU-lidstaten om te zetten in nationale wetgeving

1995 Omzettingtegen Okt. 1998

AVG (GDPR) Europese Unie Ja, rechtstreeks van kracht

2016 2018

Waarom zou het ons kunnen schelen?

• Financiële schade• Politieke en reputatieschade• Juridische aansprakelijkheid• Verstoring van de dienstverlening• Menselijke schade

Case study: #nmbsgate

Bron: Datapanik

Menselijke fout

#nmbsgate: wat liep er mis?

Verplichte melding van gegevenslekken (AVG art. 33)Technische en organisatorische beschermingsmaatregelen in

verhouding met het risico (art. 32)Rechtmatige verwerking van gegevens (art. 6)Inschatting van risico verbonden aan persoonsgegevens (art. 35)BewustmakingRollen, verantwoordelijkheden en processen

Wat kan er gebeuren er na zo’n datalek?Korte termijnGrootschalige politieke en reputatieschade

Grondige audit van Privacycommissie

ArbeidsintensiefVerlammend voor de organisatie

Middellange termijnEis tot structurele maatregelen

Grote budgetimpact

Stopzetting van de verwerkingVerstoring van de dienstverlening

Boetes tot 20 miljoen euro of 4% van wereldwijde omzet

Individuele vervolging van de bestuurders

Wat zegt de AVG?

De AVGNL: Algemene Verordening GegevensbeschermingEN: General Data Protection Regulation (GDPR)

Van kracht vanaf 25 mei 2018 Wereldwijd geldig voor data van EU-inwoners

Aanpassing van Richtlijn 95/46/EC aan het veranderde technologielandschap

One stop shop-mechanisme voor klachten bij toezichthouders

Data Protection en Privacyin verhouding tot het “risico”

Aangifteplicht wordt documentatieplicht

Meer macht voor toezichthouders, bv.

onverwachte audits en zwaardere sancties

Harmonisatie: 1 wetgeving voor alle 28 EU-lidstaten

Stakeholders

Betrokkene: natuurlijke persoon waar de gegevens betrekking op hebben

Verantwoordelijke voor de verwerking: organisatie die beslist wat er met de gegevens gebeurt

Verwerker:een organisatie die in opdracht van de verantwoordelijke gegevens verwerktMeestal dienstverleners (bv. HB Plus en Cronos)

Toezichthouders: bv. Privacycommissie en VTCEuropean Data Protection Board: EU-orgaan van toezichthouders

voor samenwerking en advies

Wat zijn persoonsgegevens?

Alles wat direct of indirect herleid kan worden naar een natuurlijk persoon.1. Identifiers: bv. database-IDs, IP-adressen, GPS-coördinaten2. Contactgegevens3. Identiteitsinformatie4. Afgeleide gegevens: bv. consumptiegedrag, social media-profiel5. Gevoelige persoonsgegevens (art. 9): alles wat te maken heeft

met etniciteit, politieke, levensbeschouwelijke of religieuze opvattingen, vakbondslidmaatschap, genetische gegevens en biometrie voor unieke identificatie, medische gegevens, seksuele voorkeur

Gegevens kunnen ook gevoelig zijn omwille van de context

Verwerking van persoonsgegevens: hoe?

Data Protection Principles

Rechtmatige, behoorlijke en transparante verwerking

Doelbinding

Minimale gegevensverwerking

Juistheid

Opslagbeperking

Integriteit en vertrouwelijkheid

Verantwoordingsplicht

Data ProtectionPrinciples

Transparant: informatieverschaffing aan de betrokkeneBehoorlijk (“fairness”): volgens wat de betrokkene redelijkerwijs

zou verwachtenRechtmatig: het doel van de verwerking moet een rechtsgrond

hebben. Bv.



Doelbinding


Juistheid

Opslagbeperking



Doel Rechtsgrond

Dossierbehandeling van een aanvraag voor studietoelage

Wettelijke verplichting

Aanwerving van een werknemer Overeenkomst nakomen of voorbereiden

Welke rechtsgronden voorziet de AVG?

Wettelijke verplichting

Taak van algemeen belang

Overeenkomst nakomen of voorbereiden

Toestemming van de betrokkene

Gerechtvaardigde belangen vanverwerkingsverantwoordelijke



Doelbinding


Juistheid

Opslagbeperking



Belangrijkst voor de kerntaken van een overheid

Enkel voor niet-kerntaken

Mag niet gebruikt worden door overheden


Data ProtectionPrinciplesDoelbinding (finaliteit)

Elke verdere verwerking moet:

Ofwel: compatibel zijn met oorspronkelijk doel

Ofwel: een rechtsgrond hebben voor het nieuwe doel

Volgende aspecten zijn niet onverenigbaar met oorspronkelijke doeleinden (art. 5, 6, 89):

archivering in het algemeen belang

historische, wetenschappelijke en statistische doeleinden

“Het bestaan van passende waarborgen, waaronder eventueel encryptie of pseudonimisering” als criterium voor verenigbaarheid met oorspronkelijk doel (art. 6)



Doelbinding


Juistheid

Opslagbeperking



Bron afbeelding: Hoepman et al., 2009



Doelbinding


Juistheid

Opslagbeperking




Data minimisation (proportionaliteit)

Deel van Data Protection by Design and by Default

Data ProtectionPrinciplesData Protection by Design and by Default (art. 25)

Creation

Collection or retrieval from other sources

Transformation

Analysis andreporting

Consultation

Storage

Transmission

Publication

Destruction

Design Realisation Operation



Doelbinding


Juistheid

Opslagbeperking



Encryption



Doelbinding


Juistheid

Opslagbeperking



Data ProtectionPrinciplesData Protection Impact Assessment

Evaluatie van worst-case gevolgen van de verwerking en opslag van de data voor de rechten en vrijheden van de betrokkene

Best practice. Maar verplicht bij:Evaluatie, scoring en bindende automatische beslissingenSystematisch toezichtBijzondere categorieën persoonsgegevensVerwerking op grote schaalSamenvoegen van datasetsKwetsbare natuurlijke personenGebruik van nieuwe, innovatieve technologieënData transfers buiten de EU-grenzen

Consultatie toezichthouder bij hoog residueel risico

Data ProtectionPrinciplesJuistheid

Bekommernis: risico’s voor betrokkenen wegens verwerking van onjuiste gegevens

[…] persoonsgegevens die […] onjuist zijn, onverwijld te wissen of te rectificeren” (art. 5)recht op rectificatie (art. 16)recht van betrokkene op beperking van de verwerking tot juistheid van gegevens geverifieerd is (art. 18)

Structurele aanpak: data governance en informatiebeheer, bv.:Hoe wordt de data aangeleverd?Wat is de minimale “Level of Assurance”?Hoe vaak wordt ze geüpdatet? Volgens welke processen?Wie is eigenaar/zorgdrager?



Doelbinding


Juistheid

Opslagbeperking



Data ProtectionPrinciplesOpslagbeperking (art. 5 en art 30)

Informatie niet langer bijhouden dan noodzakelijkGegevenswissing is niet de enige bestemming

Informatiebeheersplan (IBP) verplicht voor elke VO-entiteit tegen eind 2018

Vernietiging enkel toegelaten mits IBP of mits toestemming van de selectiecommissie



Doelbinding


Juistheid

Opslagbeperking



Statische faseDynamische fase

Hoe lang nodig?

Wettelijke/administratieve Bewaartermijn

Bewaren (archivering) of vernietigen?

Bestemming

Deels uit slides van Thibault Cayron (OVAM)

Data ProtectionPrinciplesIntegriteit en vertrouwelijkheid (art. 32)

technische en organisatorische maatregelen afgestemd op het risico

vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (“resilience”) van systemen en diensten

vermogen om bij een incident tijdig de beschikbaarheid van en de toegang tot gegevens te herstellen

Procedure om de doeltreffendheid van technische en organisatorische maatregelen te testen

Keuze van het veiligheidsniveau op basis van verwerkingsrisico’s



Doelbinding


Juistheid

Opslagbeperking




Verantwoordingsplicht of accountabilityaanleggen van documentatie en

bewijsmateriaal om naleving van vorige 6 Data Protection Principles aan te tonen (art. 5)

Aangifteplicht (Richtlijn 95/46/EC) wordt documentatieplicht (AVG).

Aan wie?BetrokkenenToezichthoudersManagement

Geen documentatie = non-compliant



Doelbinding


Juistheid

Opslagbeperking



Rechten van de betrokkene


Informatieverstrekking

Recht op inzage

Recht op rectificatie

Recht op gegevenswissing

Recht op overdraagbaarheid van gegevens

Geautomatiseerde individuele besluitvorming en profiling

Recht op beperking van de verwerking

Recht van bezwaar

Rechten vande betrokkene

Opmerking“Redelijke” stappen om de rechten van de betrokkene

te vrijwaren. Niet ten allen koste.Antwoord in zelfde formaat als initieel verzoekGratis, tenzij bij herhaaldelijk of excessief verzoek.Behalve informatieverstrekking vervallen de

verplichtingen ten aanzien van de betrokkene indien:persoonsgegevens geen identificatie meer toelatenbetrokkene onvoldoende zijn/haar identiteit kan bewijzen



Recht op inzage






Recht van bezwaar


Te verstrekken informatie aan de betrokkene (art. 12, 13, 14)Contactgegevens van verwerkingsverantwoordelijkeDoel en rechtsgrond van de verwerkingOntvangers van de gegevens i.h.k.v. de verwerkingNaar welke landen de gegevens getransfereerd worden en

met welke waarborgen?Duur en motivering van bewaartermijn (zie IBP)Een oplijsting van de rechten van de betrokkeneHet recht om klacht in te dienen bij de toezichthouderBij geautomatiseerde besluitvorming: zinvolle informatie

over de gebruikte logica



Recht op inzage






Recht van bezwaar


Te verstrekken informatie aan de betrokkene (vervolg)Indien toestemming als rechtsgrond: het recht om ze in te

trekken

Verlenen van toestemming

Tijd

Intrekken van toestemming

Verlenen van toestemming

Te verstrekken indien gegevens verkregen via betrokkene

Te verstrekken indien gegevens verkregen via derde partij

• Is de vergaring een contractuele of wettelijke verplichting?

• Waarom is de vergaring nodig?• Wat zijn de gevolgen indien de

betrokkene de gegevens niet voorziet?

• Welke categorieënpersoonsgegevens?

• Derde partij waar de gegevens verkregen werden

• Gaat het om publiek toegankelijke bronnen?



Recht op inzage






Recht van bezwaar


Recht op inzage en rectificatie (art. 15 en 16)Toegang tot de exacte gegevensDoel en rechtsgrond(Categorieën van) ontvangers i.h.k.v. de verwerkingDuur en motivering van bewaartermijn (zie IBP)Oplijsting van de rechten van de betrokkene, inclusief rectificatieHet recht om klacht in te dienen bij de toezichthouderDe bron van wie de informatie verkregen werd: betrokkene of

gegevens van derde partijBij geautomatiseerde besluitvorming: zinvolle informatie over de

gebruikte logicaInternationale datatransfers en waarborgen



Recht op inzage






Recht van bezwaar


“Right to be forgotten“ (art. 17)

Wissing van gegevens indien geen rechtsgrond meer voor verwerking of bewaring

Indien persoonsgegevens publiek gemaakt, redelijke inspanning om andere verantwoordelijken op de hoogte te stellen van wens van betrokkene

Niet van toepassing indien gegevens nodig voor:Vrijheid van informatie en van vrije meningsuitingNakomen van een wettelijke verplichting (cf. bewaartermijn IBP)Arbeidsgeneeskunde en volksgezondheidArchivering in het algemeen belangHistorische, wetenschappelijke en statistische doeleindenGerechtelijke verplichtingen van de verantwoordelijke



Recht op inzage






Recht van bezwaar


Recht op overdraagbaarheid van gegevens (art. 20)Gegevens die:

Ofwel verwerkt worden met toestemmingOfwel verwerkt worden voor voorbereiding of nakomen van een overeenkomst

Aan wie?Aan betrokkeneAan derde partij op verzoek van betrokkene (bv. dienstverlener)

Hoe? “structured, machine-readable data”

☺ Geen impact op kernactiviteiten overheid, wellicht wel op HR



Recht op inzage






Recht van bezwaar


Geautomatiseerde indiv. Besluitvorming en profiling (art. 21)Achtergrond: toegenomen belang van artificiële intelligentie en

machine learningWat? Het recht om niet onderworpen aan een beslissing die:

Volledig automatisch gebeurtBindende gevolgen heeft voor de betrokkene

Verantwoordelijke moet minstens mogelijkheid voorzien voor:menselijke tussenkomstRecht van betrokkene om standpunt kenbaar te makenRecht van betrokkene om beslissing aan te vechten



Recht op inzage






Recht van bezwaar

Rechten van debetrokkene

Recht van bezwaar en recht op beperking van verwerking (art. 18, 21)Tijdelijk

Indien juistheid van de gegevens betwist wordtIndien informatie nodig is voor gerechtelijke stappen

PermanentAls alternatief voor wissing, op aangeven van de betrokkeneBij direct marketing absoluut rechtBij taak van algemeen belang: af te wegen

Niet van toepassingBij wettelijke verplichtingArchivering en onderzoek in het algemeen belang



Recht op inzage






Recht van bezwaar

Verwerkingsregister

Register voor alle verwerkingen met persoonsgegevens (art. 30). Bevat de nodige info om:

In rechten van de betrokkene te voorzienVerantwoording te kunnen afleggen tegenover de toezichthouder

Retroactief voor alle verwerkingen met persoonsgegevens

Aanstelling van een Data Protection Officer (art. 39)

Waneer is een DPO verplicht?Voor overheden en openbare instellingenIndien grootschalige verwerking van persoonsgegevens nodig is voor kerntaken

Kennis: juridisch, IT, security en businessOnafhankelijk, rapporteert aan leidend ambtenaarTypische taken:

Contactpersoon tussen organisatie en toezichthouderBewustmaking over Data Protection en PrivacyAdvies bij implementatieControle op naleving

Internationale datatransfers(art. 44-50)

Wanneer? Routinematige transfers naar:Leveranciers (outsourcing)Ontvangers in de context van verwerking

Hoe?Transfer binnen de Europese Economische RuimteAdequaatheidsbeslissingPassende waarborgen

StandaardcontractbepalingenGoedgekeurde ad hoc contractbepalingenBindende BedrijfsvoorschriftenCertificatie/gedragscodeOvereenkomsten tussen overheden

Andere: o.m. expliciete toestemming van de betrokkene

• EU-lidstaten kunnen bijkomende eisen stellen

• Cfr. uitspraken VTC en Duitse toezichthouders

• Onzekerheid over Privacy Shield

http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Leveranciersrelaties(art 27-31, 44-50 + WP29-richtlijnen)

Waarborg voor datatransferRollen en verantwoordelijkhedenVertrouwelijkheid

OvereenkomstScreening en geheimhouding bij werknemers van verwerker

Beperkingen op onderaannemingTechnische en organisatorische maatregelen securityVerantwoordelijke bijstaan om AVG-verplichtingen na te

leven, bv. aanlevering documentatie en melding datalekken

Exitstrategie en gegevenswissing

Meldingsplicht voor datalekken

Wat?Categorieën van data en betrokkenenMogelijke gevolgen voor betrokkenenMaatregelen om gevolgen in te dijkenContactgegevens verantwoordelijke

Aan wie? Wanneer? Termijn

Toezichthouder Bij “risico” voor rechten en vrijheden van betrokkenen

Binnen de 72 uur na vernemen van lek (uitstel mogelijk mits verantwoording)

Toezichthouder én betrokkenen

Bij “hoog risico” voor rechten en vrijheden van betrokkenen

gdpr awareness session

Data & Analytics