gdpr audit 4 stappenplan - contrast seminars · rekening houdend met de aard, de omvang, de context...

GDPR Audit4 Stappenplan

1. Sensibilisering & data mapping

2. Gap analyse

3. Implementatie

4. Opvolging

1

1/ Awareness creëren

2

2/ Data mapping

3/ KMO’s & accountability

Sensibilisering & data mappingFase 1

SENSIBILISERING & DATA MAPPING

AWARENESS CREËREN

Uit de business praktijk: hoe beginnen ?

C L S SE MINAR IE 15/02/2018

“ DATA PR OTE C TION: HE T IS N O G NIE T TE L AAT ”

K E Y F A C T S

− Vandemoortele food business operator (frozen bread, pastry , patisserie & margarines, culinary oils, fats, sauces, mayo)

− 5200 employees (EU)

− Presence in 12 EU countries (production & sales)

− HQ Gent (Belgium)

− Mainly B2B customer base (wholesalers, industrial operators, retailers, distributors, etc.)

− No direct sale , no e-commerce to (end)consumer

− limited direct marketing to (end) consumer

DRAFT INTERNAL & CONFIDENTIAL

G D P R : H E T I S N O G N I E T T E L A A T

3 P I J L E R S :

− INFORMEREN

− OVERTUIGEN

− AWARNESS CREËREN

DRAFT INTERNAL & CONFIDENTIAL

( 1 ) I N F O R M E R E N - W A K E - U P C A L L

WIE? TOP DOWN –CENTRAAL & LOCAAL?

− Directiecomité

− Raad van Bestuur / Audit Comité

− Management comités (centraal & lokaal)

− Verschillende departementen en teams in binnen- en buitenland (met focus op HR, IT , PRODUCTION SITES, SALES , PROCUREMENT , MARKETING, F&A (accounting), etc.)

HOE?

- CEO letter + memo + presentatie GDPR

- Presentaties

- Bevraging – interviews

- Intranet

DRAFT INTERNAL & CONFIDENTIAL

( 1 ) I N F O R M E R E N - W A K E - U P C A L L

WAT :

− Nieuwe verplichtingen GDPR vanaf 25 mei 2018

− het “waarom” van nieuwe wetgeving (t.o.v. bestaande wetgeving): wat is er veranderd t.o.v. 1995

− Toepassingsgebied (ook voor B2B omgeving)

− Nieuwe begrippen (persoonsgegevens, controller, processor, privacy by design & by default, etc.)

− Nieuwe sancties

− Concrete voorbeelden

− Duidelijk en realistisch actieplan ( stappenplan) aangepast aan de business ( “NO one size fits all”)

− Organisatorische maatregelen

− Na implementatie , updaten en handhaven

DRAFT INTERNAL & CONFIDENTIAL

( 1 ) I N F O R M E R E N – W A K E - U P C A L L

WIE BETREKKEN?

− PROJECT LEADER (duo legal & interne audit ,met IT achtergrond)

− INTERN GDPR PROJET TEAM (vaste kern HQ : legal, HR, IT, F&A, procurement, sales, marketing, interne audit, transport) (maandelijkse follow-up meetings) (ad hoc: lokale collega’s in functie van besproken problematieken)

− BPO’s (business process owners): schakel tussen business & IT

DRAFT INTERNAL & CONFIDENTIAL

( 2 ) O V E R T U I G E N – M O T I V E R E N – B U Y - I N ( O O K V O O R B 2 B )

V E E L M E E R D A N “ L E G A L C O M P L I A N C E ”

− Juridische argumenten (compliance, accountability , sancties) tellen uiteraard , maar niet altijd voldoende om mensen in beweging te krijgen (“change mind set”)

− Beseffen dat alle acties die gevraagd worden bijkomend werk betekenen (“on top of”)

− Motivatoren : zoeken naar commerciële/business voordelen =

− Direct marketing (consumenten)

− Creëren van “trust” t.a.v. consumenten , klanten en leveranciers

− Voorwaarde voor de ontwikkeling van de digitale economie

− Reputatie bedrijf “GDPR compliant”

− Antwoorden op GDPR – “data protection maturity ” vragenlijsten van klanten

− Duurzaam ondernemen – bedrijfswaarden (“trust & respect”)

− Concurrentie, enz.

DRAFT INTERNAL & CONFIDENTIAL

( 2 ) O V E R T U I G E N – M O T I V E R E N – B U Y - I N ( O O K V O O R B 2 B )

K E E P I T S I M P L E A N D F O C U S S E D O N B U S I N E S S P R I O R I T I E S

Om te overtuigen is het belangrijk dat de boodschap goed begrepen wordt:

− Moeilijke begrippen voor niet-juristen (persoonsgegevens, verwerkingsverantwoordelijke, verwerker,

verwerkingsactiviteiten, accountability, gegevensbescherming door ontwerp en door standaard instellingen, gegevensbeschermingseffectbeoordeling (DPIA), DPO, etc.

− B2B omgeving voelt zich niet rechtstreeks betrokken

− “persoonsgegevens” wordt gerelateerd aan (eind)consumenten, geslacht, religie, herkomst, politieke strekking, enz. , en niet aan naam, e-mail adres, gsm nummers, enz.

− Grens tussen professioneel en privé vervaagt (gegevens in gsm, outlook, etc.)

− Begrippen moeten goed uitgelegd worden aan de hand van concrete voorbeelden

− Pragmatisch: praktijkgericht < werk omgeving

DRAFT INTERNAL & CONFIDENTIAL

( 3 ) A W A R E N E S S C R E Ë R E N – S E N S I B I L I S E R E N – C H A N G E M I N D S E T

− Elk moment aangrijpen om GDPR als topic op het agenda te plaatsen

− GDPR doen “leven”

− Praktische voorbeelden aanhalen

− Vragen stellen : • Betreffen het persoonsgegevens? • Voor welk doel worden de persoonsgegevens verwerkt?• Op basis van welke rechtmatige grondslag?• Nieuwe software: is deze GDPR compliant ?• Is de verwerking opgenomen in register?

− Re-fresh

DRAFT INTERNAL & CONFIDENTIAL

T H A N K Y O U

Q U E S T I O N S

Carine Hintjens

Group Legal & Regulatory Affairs Manager

Moutstraat 64

B – 9000 Gent

Carine.hintjens@vandemoortele.com

+ 32 476 48 23 18

DRAFT INTERNAL & CONFIDENTIAL

1/ Awareness creëren

13

2/ Data mapping

3/ KMO’s & accountability

Sensibilisering & data mappingFase 1

14

Data Protection: het is nog niet te laat

Nele Van Kerrebroeck

15 februari 2018

15

Impact op ondernemingen

“Wat moet ik nu concreet doen als onderneming?”

> Nazicht

documentatie

> Omgaan met de

gap analyse

> Rapportering

> Actieplan

> Aanstellen

functionaris

> Implementatie en

uitrollen van (nieuwe/vernieuwde)

procedures en

policies

> Compliance

opleiding

> Voortgezet toezicht

op naleving

Voorbereiding Analyse Implementatie

> Opzetten project

> Management

betrekken

> Documentatie

verzamelen

> In kaart brengen

van gegevens-

verwerking

16

I. Data Mapping

Overzicht

“verwerkings-

activiteiten”

Verwerking van alle informatie betreffende een

geïdentificeerde of identificeerbare natuurlijke persoon

Ondernemingen /

werkgevers staan er vaak

niet bij stil hoeveel

verwerkingsprocédés er van

toepassing zijn

(i) Geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens en

(ii) de niet-geautomatiseerde verwerking die in een bestand zijn opgenomen of die zijn bestemd om

daarin te worden opgenomen

Voorbeelden

• Database sollicitanten,

werknemers, uitzendkrachten,

consultants, …

• Loon- en

personeelsadministratie

• E-monitoring, track&trace,

camerabewaking

• Aanwezigheidsregistratie

• Fotoboek intranet / internet

17

I. Data Mapping

1. Oplijsten van verschillende data flows

2. Concreet: vragenlijst / interviews

a) Beschrijving verwerkingsactiviteit (! training)

b) Details verwerkingsactiviteit (voorbeeld – performance app):

doel / betrokkenen / persoonsgegevens / verzamelen van de gegevens / grond

voor gegevensverwerking (wettigheid) / bewaring / locatie van bewaring /

toegangsrechten / gegevensoverdracht buiten de EU (in de groep) / bewaartermijn /

aangifte bij Gegevensbeschermingsautoriteit / informatie aan werknemers? /

beveiligingsmaatregelen / incidenten of geschillen in het verleden

3. Antwoord op vragen heeft impact op hetgeen noodzakelijk is voor de naleving van de GDPR (zie deel implementatie & opvolging)

1/ Awareness creëren

18

2/ Data mapping

3/ KMO’s & accountability

Sensibilisering & data mappingFase 1

KMOs

Geen uitzondering voor KMO’s!

Accountability & proportionaliteitArt. 5.2 & 24

20

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van

lid 1 en kan deze aantonen ("verantwoordingsplicht").

Art. 5.2 GDPR

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van

lid 1 en kan deze aantonen ("verantwoordingsplicht").

Art. 5.2 GDPR

21

Accountability

• Passend beleid

• Technische en organisatorische maatregelen

Art. 24 GDPR

22

Rekening houdend met de aard, de omvang, de context en het doel van de

verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende

risico's voor de rechten en vrijheden van natuurlijke personen …

Art. 24.1 GDPR

Proportionaliteit

Risk based approach:

• Multinational vs. bakker / bank vs. B2B speler

• KMO’s: cf. ov. 13 bij de GDPR ACCOUNTABILITY D.M.V. REGISTER

Registervan verwerkingsactiviteiten

Om de naleving van deze verordening aan te kunnen tonen, dient de

verwerkingsverantwoordelijke of de verwerker een register bij te houden van

verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben

plaatsgevonden.

Ov. 82 GDPR

23

24

Uitzondering voor KMO’s tenzij…

Niet incidenteel Waarschijnlijk risicoGevoelige gegevens

Geen uitzondering voor KMO’s

volgens de Belgische Privacy Commissie

[naam en adres controller]

[naam en contactgeg. verantwoordelijke voor het register]

[bu

sin

es

pro

ce

ss

/ o

wn

er

en

IT

syste

em

]

[do

ele

ind

en

]

[ca

t. g

eg

eve

ns]

[naam en contactgeg. DPO]

[ca

t. b

etr

okke

nen

]

[join

t contr

olle

r]

[on

tva

ng

ers

]

[naam en contactgegevens vertegenwoordiger]

[do

org

ifte

3e

lan

de

n, in

cl.

wa

arb

org

en

]

[te

rmijn

en

]

[be

ve

ilig

ing

s-

ma

atr

eg

ele

n]

25

Register v/d verwerkingsactiviteitenArt. 30

Model (.xls) van de Privacycommissie: https://www.privacycommission.be/nl/model-

voor-een-register-van-de-verwerkingsactiviteiten

Verzamelen

Gro

nd

sla

g

Info

rma

tie

?

Pro

ce

du

re

rech

ten

?Opslag

Lo

ca

tie

se

rve

r

Se

rve

r p

rovid

er

Verwerker

Na

am

en

co

nta

ctg

eg

.

Lo

ca

tie

se

rve

r

Su

bp

roce

sso

rs

DPIA

Ve

reis

t?

Uitg

evo

erd

?

26

Register v/d verwerkingsactiviteiten

• Schriftelijk (bijv. in elektronische vorm)

• Ter beschikking houden van de autoriteit

• Praktisch:

− Vaak al een basis om van te vertrekken (bijv. o.b.v. huidig IT systeem)

− Voor iedereen “leesbaar” (geen code taal)

− Up to date houden

27

Register v/d verwerkingsactiviteiten

1/ Basics

28

2/ Prioriteiten & workstreams

3/ Vendor management & doorgifte

Gap analyse & implementatieFase 2 en 3

4/ Data subjects

5/ Data lekken

Van data mapping naar actiepunten & prioriteiten

FASE 2 – GAP ANALYSE

De basicsArt. 5

Enkele (louter theoretische?) principes:

• Rechtmatigheid

• Doelbinding

30

→ met concrete praktische implicaties

31

GrondslagArt. 6

• Overeenkomst met de betrokkene

• Wettelijke verplichting v/d verantwoordelijke

• Toestemming v/d betrokkene

• Gerechtvaardigd belang v/d verantwoordelijke

→ website, overeenkomst, IT oplossingen, …

→ (schriftelijke) afweging

→ opnemen in uw privacy verklaringen! Intern beleid hierop afstemmen!

• Doel bepaalt:

− Welke gegevens mogen bijgehouden worden?

− Hoelang mogen die gegevens bijgehouden worden?

→ opnemen in intern beleid / actiepunt: verwijderen van gegevens / updaten

• Doel = de ruggengraat van het register van verwerkingsactiviteiten

32

DoelWelke gegevens? Bewaartermijn?

(Gap) analyse

Concrete to do’s

Prioriteiten Implementatie

33

! Neem ook de basis verplichtingen mee in uw analyse !

Ook deze verplichtingen hebben praktische gevolgen…

… voor uw privacy verklaringen, intern beleid, het vragen van

toestemming, het bijhouden van data, het opstellen van uw register.

Pas wanneer u alle to do’s hebt geïdentificeerd, kan u

prioriteiten bepalen en aan de implementatie beginnen.

1/ Basics

34

2/ Prioriteiten & workstreams

3/ Vendor management & doorgifte

Gap analyse & implementatieFase 2 en 3

4/ Data subjects

5/ Data lekken

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Gap analyse en implementatie

Prioriteiten stellen en workstreams vastleggen

Julie Bossaert, CMS

35

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Workstreams?

36

Getting

ready for

the GDPR

Conduct regular

verifications and audits to

make sure data processing

activities comply with

internal policies and

standards and with laws &

regulations

Verify Data

Processing

Activities

Implement policies

and procedures for

handling personal

data breaches

Data

Breach

Handling

Procedure

Ensure that there are

individuals responsible for

data privacy, accountable

management, and

management reporting

procedures

Governance

Structure

Maintain an inventory

of data processing

activities (location,

purposes, transfers/flows,

nature of data, security

measures, persons

handling the data, etc.)

Data

processing

map

Implement

external and/or

internal polic(y)(ies)

explaining why & how

you handle personal

data + how data

subjects can exercise

privacy rights

Privacy

Polic(y)(ies)Ensure that privacy is

built in in operations and

IT systems (CCTV,

biometrics, geo-location,

credit scoring, employee

monitoring, big data, e-

recruitment, etc.)

Privacy by

design

Develop, document

and deliver appropriate

privacy training for staff

to ensure ongoing

awareness of and

compliance with policies,

laws & regulations

Provide

training & raise

awareness

Pro-actively

manage IS risk (IS

policy, incident handling

procedures, vulnerability

testing, encryption, IS

standards (eg. ISAE 3402,

SOC 2, PCI DSS ISO/IEC

27017), etc.)

Information

Security

Pro-actively manage

DP in relationships with

suppliers (DP/IS due

diligence as part of

procurement process,

template clauses in

contracts, data breach

reporting, supplier

audits, etc.)

DP in

supplier

relationships

Systematically

use easy-to-

understand privacy

notices vis-à-vis

data subjects.

If needed, use

consent forms

Use

privacy

notices &

consent

forms

Procedures for

Complaints and

InquiriesImplement procedures

for handling

complaints and

inquiries regarding

personal data you hold

about data subjects

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium37

2018 2018

Today

Feb Mar Apr May

Phase I: data mapping15/2/2018

Phase III: implementation22/3/2018

Become GDPR accountable25/5/2018

Phase II: gap analysis

15/3/2018

Project timeline

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium38

Project timeline

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Define workstreams and priorities

39

- Focus on real risks (e.g. vendors, online presence, security measures,

international data transfers, etc.)

- Data processing inventory: keep it simple & manageable

- Involve IT from the outset and strike the right tone:

- Assessing and improving IT security takes a lot of time

- IT people speak a (very) different language

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Define workstreams and priorities

40

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Define workstreams and priorities

41

1/ Basics

42

2/ Prioriteiten & workstreams

3/ Vendor management & doorgifte

Gap analyse & implementatieFase 2 en 3

4/ Data subjects

5/ Data lekken

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Gap analyse en implementatie (workstreams)

Vendor management en doorgifte

Julie Bossaert, CMS

43

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

Vendor management

44

- Action points?

- Vendor identification and qualification: Data controllers? Data processors?

Joint data controllers?

- Vendor prioritization (based on vendor qualification/annual spent/number of

PO’s, etc.)

- Review and update existing vendor contracts: do we want to enter into one-

to-one negotiations? Do we need a template data processing agreement?

- Develop tools/checklist for the business to assess privacy risk and vet

vendors

"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium

International data transfers

45

- Action points?

- Identify internal and external data transfers outside the EU

- Collect and review existing agreements with other group entities/third

parties on transfer of personal data outside the EU

- Develop framework for intra-group sharing of personal data – consider

adopting an intercompany agreement

- Develop framework for sharing personal data with third parties outside the

EU

1/ Basics

46

2/ Prioriteiten & workstreams

3/ Vendor management & doorgifte

Gap analyse & implementatieFase 2 en 3

4/ Data subjects

5/ Data lekken

Rechten van data subjects

• Meer controle voor data subjects

• Awareness

• B2C

• Bron voor klachten / beroep

48

Prioriteit

Overzicht

49

Transparantie Inzage Rectificatie Bezwaar

Wissing Beperking Overdracht Geautomatiseerde

besluitvorming

Overzicht

50

Transparantie Inzage Rectificatie Bezwaar

Wissing Beperking Overdracht Geautomatiseerde

besluitvorming

• Updaten / opstellen privacyverklaringen

→ cfr. lijst GDPR

51

TransparantiePraktisch

52

• Updaten / opstellen privacyverklaringen

→ cfr. lijst GDPR

→ Beknopt (“gelaagde” structuur)

→ Actieve en eenvoudige taal (~ doelpubliek)

→ Gemakkelijk toegankelijk

53

TransparantiePraktisch

• Bepalen meest praktische manier van informeren

→ Klanten: contract, leaflets, link website/”about” sectie sociale media

→ Personeel: contract, intranet

→ Zakenrelaties: link in e-mail signature

→ Data via derden: e-mail of brief < 1 maand na ontvangst

• Overweeg een algemene “GDPR” mailing

54

TransparantiePraktisch

Overzicht

55

Transparantie Inzage Rectificatie Bezwaar

Wissing Beperking Overdracht Geautomatiseerde

besluitvorming

• Voorzie procedures voor gevolg aan verzoeken

→ Centrale verantwoordelijke

→ Specifiek e-mailadres / contactcenter

→ Ontvangstbevestiging

→ Complex / kennelijk ongegrond / buitensporig?

→ Gevolg binnen 1-3 maanden

• Verduidelijk procedures in privacyverklaring

56

RechtenPraktisch

• Overweeg een online platform of “personal preference” pagina

→ Eenvoud + controle data subjects

→ Automatisering eenvoudige verzoeken (één knop)

inzage / rectificatie / bezwaar direct marketing / intrekken toestemming

→ Processen voor drastischere verzoeken (contactcenter/e-mail)

bezwaar, wissing, beperking, overdracht, geautomatiseerde besluitvorming

57

RechtenPraktisch

1/ Basics

58

2/ Prioriteiten & workstreams

3/ Vendor management & doorgifte

Gap analyse & implementatieFase 2 en 3

4/ Data subjects

5/ Data lekken

59

Wat te doen bij datalekken

60

Prioriteit

• Elk geval van niet-geautoriseerde toegang of verlies

→ Hacking van datasystemen

→ Gestolen IT (laptop, gsm)

→ Verloren files (USB, hardcopy)

→ Verkeerd uitgestuurde e-mails

→ …

61

DatalekkenBegrip

• Vermijden d.m.v. gepaste beveiligingsmaatregelen

• Melden indien nodig

• Documenteren

62

Datalekken3 verplichtingen

Datalek resulteert niet automatisch in een boete!

• Risk-based approach

• Samenwerking IT !

• Hulpbronnen

→ Referentiemaatregelen Privacycommissie

→ Certicifering (ISO/IEC 27000 serie)

63

BeveiligingPraktisch

• Updaten / opstellen procedure

→ Detectie

→ Centrale contactpersoon

→ Risico analyse: niet waarschijnlijk – waarschijnlijk – hoog

→ Inperken gevolgen

→ Melding bij autoriteit(en) (< 72u)

→ Communicatie aan data subjects (e-mail/SMS)

64

MeldingsplichtPraktisch

• Aanleg register

→ Alle datalekken

→ Datum, beschrijving, risico-analyse, maatregelen

65

DocumentatieplichtPraktisch

Uw prioriteiten naar 25/5/2018

66

67

OpvolgingFase 4

68

TO DO’s

Informatie aan sollicitanten / nieuwe

werknemers / huidige werknemers /

overeenkomsten / register opmaken / policies

Online cursussen – compliance training

(tip: camera opname van trainingen)

Overleg met IT-departement /

één platform met HR data /

wie heeft toegang?

IV. Implementatie & Opvolging

Voorbereiding (template)

documenten –

continu proces

Training personeel

Beveiligingsmaatregelen

ontwikkelen

69

IV. Implementatie & Opvolging

Moet aan het hoogste management

level rapporteren

Er kan één functionaris zijn (of een

team) voor de hele groep

Kan niet ontslagen worden voor

uitoefening van zijn functies

Ervaring

Leidinggevende rol

Werknemer of zelfstandige

“Hoe kan deze functionaris zijn taak

vervullen?”Verplicht?

Verwerking uitgevoerd door

overheidsinstantie

Bedrijven met als

hoofdactiviteit

verwerken van

persoonsgegevens of

gevoelige gegevens

Functionaris voor gegevensbescherming aanstellen? (indien nodig of gewenst)

7070

Vragen

Nele Van KerrebroeckManaging Associate, EmploymentTel: +32 2 501 90 66Email: nele.van_kerrebroeck@linklaters.com

© Linklaters, 2018

Key take-aways

71