general data protection regulation - mini project plan
TRANSCRIPT
GDPR
General Data Protection Regulation
Wat is GDPR
• De General Data Protection Regulation, kortweg de GDPR, is een
nieuwe, nog strengere gegevensbeschermingswet. De GDPR is de
Engelse benaming voor de Algemene verordening
gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt.
Waarom GDPR
• Ten eerste wil de EU natuurlijke personen meer controle geven over de
manier waarop organisaties met persoonsgegevens omgaan.
• Ten tweede wil de EU organisaties een eenvoudigere en duidelijkere
juridische omgeving bieden om te functioneren
Waar gaat GDPR in essentie om
• Waar het in essentie om gaat, is dat u als organisatie (mensen, processen en systemen) zorgvuldig, rechtmatig en op een structurele manier omgaat met persoonlijke gegevens.
• Welke gegevens worden opgeslagen
• Is er volledig inzicht in de opslag ervan?
• Waar worden deze (digitaal) bewaard?
• Weet u wie de rechten heeft om deze gegevens te benaderen?
• Hoe lang worden gegevens bewaard?
• Waar worden de gegevens voor gebruikt?
• Heeft de verstrekker goedkeuring gegeven voor het gebruik van deze gegevens?
GDPR stappenplan
• 1. Bewustmaking.
• Stel niet uit tot het laatste moment, en gebruik de huidige overgangsperiode om je medewerkers te informeren over de aankomende veranderingen. Het zijn de sleutelfiguren in jouw organisatie die de GDPR moeten begrijpen, om in te schatten waar actie mogelijk vereist is.
• 2. Documenteer jouw data
• Breng zorgvuldig in kaart welke persoonsgegevens je verzamelt, en waar je de gegevens bewaart. Let op, dit geldt ook voor gegevens die je in het verleden hebt verzameld! Jij moet immers kunnen aantonen dat jouw organisatie volgens de principes van databescherming handelt.
• 3. Communiceer
• De GDPR vereist dat je een privacyverklaring aanbiedt in begrijpbare en duidelijke taal. Zo zal je bijvoorbeeld de wettelijke grondslag voor gegevensverwerking moeten meedelen, gedurende welke termijn je gegevens bijhoudt, en of je gegevens uitwisselt. Bovendien moet je duidelijk stellen dat de gebruiker steeds een klacht kan indienen bij de Privacycommissie, wanneer persoonlijke gegevens niet correct verwerkt zouden worden.
GDPR stappenplan
• 4. Rechten betrokkene
• Zorg ervoor dat jouw gebruikers zeker het volgende kunnen:
• Verzamelde gegevens inkijken.
• Verbeteringen maken, of gegevens verwijderen
• Direct marketing weigeren
• Automatische profilering en besluitvorming weigeren
• Gegevens overdragen
• 5. Sneller toegang tot gegevens
• De GDPR stelt dat je gratis zal moeten reageren op elk verzoek tot toegang binnen de 30 dagen (i.p.v. de huidige 45 dagen). Je dient ook te informeren over de bewaartermijn van de gegevens, en het mogelijk te maken om gegevens te corrigeren. Krijg je veel verzoeken? Dan zou een online toegangssysteem wel eens kostenbesparend kunnen zijn voor jouw bedrijf.
GDPR stappenplan
• 6. Leg de wettelijke grondslag vast.
• Breng in kaart welke gegevensverwerkingen jij uitvoert, bepaal er telkens de wettelijke grondslag voor, en documenteer dit in jouw privacyverklaring. Dit wordt immers belangrijker met de GDPR, aangezien het invloed kan hebben op de rechten van de betrokkene. Een voorbeeld: een gebruiker heeft een sterker recht om zijn/haar gegevens te laten verwijderen, als zijn/haar toestemming aan de grondslag lag van de verwerking.
• 7. Toestemming.
• De toestemming van de gebruiker moet telkens een gevolg zijn van een expliciete actie, waarbij hij/zij vrij, specifiek, geïnformeerd en ondubbelzinnig akkoord geeft. Een vooraf aangevinkt vakje in een online formulier is dus niet voldoende. Zorg ook voor een controlespoor zodat je de toestemming van een gebruiker altijd kan aantonen.
GDPR stappenplan
• 8. Kinderen.
• Een ouder of voogd zal steeds toestemming moeten geven voor de gegevensverwerking van kinderen (onder de 16 jaar). Dat kan natuurlijk ook gevolgen hebben voor jouw organisatie. Je kan er dan allicht ook best voor zorgen dat jouw (online) systemen klaar zijn om de leeftijd van gebruikers te achterhalen, en correct te handelen bij kinderen. Onthoud ook zeker dat de toestemming controleerbaar moet zijn, en dat je je privacyverklaring best opmaakt in —voor kinderen— begrijpbare taal.
• 9. Datalekken.
• Zijn er persoonsgegevens gelekt? Dan heb jij een meldingsplicht. Toch tenminste als de mogelijkheid bestaat dat de gebruiker enige vorm van schade kan leiden. In sommige gevallen zal je zelf de betrokkene rechtstreeks moeten verwittigen, bijv. wanneer het lekaanleiding kan geven tot financieel verlies bij de gebruiker. Voorzie procedures om datalekken op te sporen, te rapporteren en te onderzoeken
• 10. Privacy By Design. Privacy Impact Assessment (PIA).
• Het is een "good practice" om gegevensbescherming van bij de start in te bouwen, en zo dus "gegevensbescherming door ontwerp" te bekomen. Als onderdeel daarvan voer je best een zogenaamde effectenbeoordeling uit (PIA). Geeft de PIA aan dat de gegevensverwerking een hoog risico inhoudt, dan is het noodzakelijk het advies van de Privacycommissie in te winnen.
GDPR stappenplan
• 11. Een functionaris voor gegevensbescherming
• Voor sommige organisaties is het nodig een functionaris aan te stellen, hetzij iemand van de organisatie, hetzij een externe adviseur. Deze draagt de verantwoordelijkheid voor het naleven van de nieuwe regels. Beoordeel of jouw organisatie deze plicht heeft, en evalueer of je aanpak voldoet aan de vereisten van de GDPR.
• 12. Internationaal
• Is jouw organisatie internationaal actief ? Dan dien je te bepalen onder welke toezichthoudende autoriteit je valt. Het is dan ook aanbevolen om in kaart te brengen waar jouw organisatie de belangrijkste verwerking doet van persoonsgegevens. Dit om jouw "hoofdvestiging" te bepalen, en dus ook de bevoegde autoriteit.
• 13. Bestaande contracten
• De GDPR bevat ook bepalingen voor onderaannemingen. Beoordeel je bestaande contracten, en stuur deze bij waar nodig. Let daarbij ook op de veiligheidsmaatsregelen die worden getroffen door je verwerkers en onderaannemers.
Stappenplan uitgewerkt – 1 . Bewustmaking
• Stel niet uit tot het laatste moment, en gebruik de huidige overgangsperiode om je medewerkers te informeren over de aankomende veranderingen. Het zijn de sleutelfiguren in jouw organisatie die de GDPR moeten begrijpen, om in te schatten waar actie mogelijk vereist is.
• Let op! Iedere medewerker met klantcontact heeft krijgt te maken met deze wetgeving. Zij kunnen de vraag krijgen welke data wordt vastgelegd, of hoe kan ik mijn vastgelegde data inzien. Op dit soort vragen moeten zij antwoord kunnen geven. Ieder medewerker moet dus geïnformeerd worden en kennis nemen van nieuwe processen om data op te vragen en te delen met de klant
• Er verandert in eerste instantie dus niets aan wat je vastlegt (behalve as je nu allerlei onnodige informatie vastlegt) maar wel dat hetgeen je vastlegt eenvoudig reproduceerbaar en aanpasbaar is
Stappenplan uitgewerkt – 2. Documenteer jouw
data
De GDPR geldt niet alleen voor gegevens die je opslaat zodra de wetgeving is ingegaan, maar voor alle data. Zelfs historische engearchiveerde data valt eronder. Daarom is het belangrijk een zo gedetailleerd mogelijke inventarisatie te maken van de gegevens die je verwerkt en opslaat. Bepaal hoe privacygevoelig deze data is, doe een gedegen risicoanalyse en tref per datacategorie passende beveiligingsmaatregelen om aan de nieuwe wetgeving te voldoen. Bedenk ook vooraf wat je doet mocht er onverhoopt een keer iets foutgaan. Je moet namelijk kunnen aantonen dat je er alles aan hebt gedaan om de gevolgen van een incident te beperken.
Van alle voorhanden data moet je kunnen aantonen dat:
• Er een juridische grondslag is voor het verwerken van de gegevens.
• De data integer zijn (compleet, accuraat, up-to-date).
• Er niet meer persoonsgegevens worden verzameld dan strikt noodzakelijk.
• De gegevens worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn vastgelegd (doelbinding).
• De gegevens niet langer worden bewaard dan noodzakelijk.
• De gegevens afdoende worden beveiligd.
• De gegevens alleen worden overgebracht naar landen die voldoende privacybescherming bieden.
Stappenplan uitgewerkt – 2. Documenteer jouw
data
Hoe pak ik dit projectmatig aan:
Stap 1: datamapping: Breng in beeld welke persoonsgegevens worden vastgelegd, waar vastgelegd, hoe gebruikt, met welk doel,
wanneer vastgelegd, tot wanneer mogen ze bewaard blijven
Stap 2: Richt data governance in: Richt ‘een systeem van afspraken en procedures over hoe de kwaliteit van data in een organisatie
wordt gewaarborgd’. Dus geef antwoord op vragen: wie mag data vastleggen, wie bepaald welke data wordt vastgelegd, wie mag data
wijzigen, wie controleert of de vastgelegde data voldoet aan de opgestelde richtlijnen, waar kunnen klanten terecht met vragen/klachten,
wie behandelt deze vragen/klachten, wie is de verantwoordelijke voor gegevensbescherming etc.
Stap 3: Pas data masking toe waar je data hebt vastgelegd die je wilt bewaren voor het gebruik van Big Data. Dit kan je doen middels
anonimiseren of pseudonimiseren
• Het proces van anonimiseren van persoonsgegevens is onomkeerbaar, volgens de wet betreft het dan geen persoonsgegevens meer en gelden
de genoemde restricties niet langer.
• Bij pseudonimiseren ligt dat wat genuanceerder, omdat hierbij wel sprake is van omkeerbaarheid (vb. encryptie, distributed data).
Stappenplan uitgewerkt – 3. Communiceer
De GDPR vereist dat je een privacyverklaring aanbiedt in begrijpbare en duidelijke taal. Zo zal je bijvoorbeeld de wettelijke
grondslag voor gegevensverwerking moeten meedelen, gedurende welke termijn je gegevens bijhoudt, en of je gegevens uitwisselt.
Bovendien moet je duidelijk stellen dat de gebruiker steeds een klacht kan indienen bij de Privacycommissie, wanneer persoonlijke
gegevens niet correct verwerkt zouden worden.
Bekijk op al je distributiekanalen wanneer je data vastlegt en wat voor data dit is. Stel voor elk distributiekanaal een privacyverklaring op
en stel regels op wanneer deze privacyverklaring wordt aangeboden, hoe deze wordt aangeboden en of de klant ervoor moet tekenen dat
hij kennis heeft genomen van de privacyverklaring. Zo kunt u bijvoorbeeld bij een call center beginnen met een vaste tekst dat dit
gesprek wordt opgenomen voor de reproduceerbaarheid en dat de gegevens een maand bewaard blijven. Online kunt u werken met een
invulformulier waarbij u aangeeft dat de gevraagde gegevens worden vastgelegd, waarvoor en voor hoe lang. Ook moet je in de
privacyverklaring aangeven waar de klant terecht kan voor klachten. Het is verstandig binnen je organisatie hier 1 loket voor in te
richten.
Stappenplan uitgewerkt – 4. Rechten
Betrokkene en 5. sneller toegang tot gegevens
De betrokkene moet zijn gegevens kunnen inkijken, verbeteringen kunnen maken, gegevens kunnen verwijderen, direct marketing
weigeren, automatische profilering en besluitvorming weigeren en gegevens kunnen overdragen. De GDPR stelt een termijn van 30
dagen voor verzoek tot toegang.
Grote bedrijven zullen dit meestal oplossen door voor de klant een portaal te maken waar hij zijn klantgegevens kan opvragen, inzien,
bepaalde wijzigingen kan doorvoeren, vinkjes kan aan- of uitzetten op vragen over marketing en profilering en waar de betrokkene een
uitdraai van zijn gegevens kan maken als PDF die hij kan overdragen naar een andere partij.
Voor kleine bedrijven is dit veel lastiger. Automatiseren zal voor deze bedrijven vaak een te dure oplossing zijn. Deze zullen dus een
loket moeten inrichten waar een medewerker deze handelingen handmatig voor de betrokkene verricht en de betrokkene via
bijvoorbeeld mail informeert over de gemaakte wijzigingen, maar hier ook weer om een bevestiging vraagt.
Stappenplan uitgewerkt – 6. Leg de wettelijke
grondslag vast en 7. Toestemming en 8.
Kinderen
• Breng in kaart welke gegevensverwerkingen jij uitvoert, bepaal er telkens de wettelijke grondslag voor, en documenteer dit in jouw
privacyverklaring. De toestemming van de gebruiker moet telkens een gevolg zijn van een expliciete actie.
• Bekijk alle processen van diensten en/of producten die jij aanbied.
• Bepaal per proces welke gegevens je opvraagt, of hier een wettelijke grondslag voor is.
• Stel vast hoe je de vastlegging en de bewaartermijn aan de betrokkene communiceert (privacyverklaring)
• Stel vast hoe je de betrokkene expliciet laat tekenen dat hij ermee akkoord is dat deze gegevens van de betrokkene worden
vastgelegd voor termijn x.
• Voor kinderen <16 jaar zal een ouder/voogd toestemming moeten geven voor het vastleggen van gegevens. Bekijk dus in je
processen of de leeftijd van de betrokkene in beeld komt en op welk moment. Bepaal een vervolgproces als blijkt dat de betrokkene
< 16 jaar is. Zorg ervoor dat dit vervolgproces, de toestemming van ouder of voogd reproduceerbaar is.
Stappenplan uitgewerkt – 9. Datalekken
• Bij Datalekken heb je een meldingsplicht.
• Bepaal binnen je organisatie welke afdeling of welke persoon hiermee belast is
• Stel procedures op voor het achterhalen van datalekken: welke controles, hoe vaak, op welke systemen, door wie
• Stel procedures op voor de rapportage van datalekken: Wie rapporteert aan wie, wat zijn de tijdslijnen, wie stelt de risico’s van het
datalek vast, wie bepaalt of er wel of geen schade voor betrokkene kan ontstaan, op basis van welke richtlijnen gebeurt dit.
• Stel procedures op voor het afhandelen van een datalek: Wie is belast met het dichtzetten van het lek zodat er niet meer schade kan
ontstaan, wie is belast met het vaststellen van het risico voor de betrokkene, wie bepaald de vervolgacties, hoe worden betrokkenen
eventueel geïnformeerd en door wie indien dit persoonlijk dient te gebeuren. Wat voor termijnen gelden hierbij
Stappenplan uitgewerkt – 10. Privacy Impact
assesment
• De Privacy Impact Assesment is bedoeld om vast te stellen wat het risico is van de gegevensverwerking die je doet.
• De mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen
• De risico’s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren
Bepaal wie de PIA gaat uitvoeren en hoe dit moet gebeuren
Verzamel en bestudeer relevante informatie over het project
Vul de PIA vragenlijst in
Beoordeel de impact en bedenk waar nodig aanvullende maatregelen
Stel een verslag van de PIA op
Laat eventueel een onafhankelijke toets op je PIA uitvoeren
Voor meer informatie over de PIA en de PIA vragenlijst
Stappenplan uitgewerkt – 11. Een functionaris
voor gegevensbescherming
• Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.
• Een FG is verplicht
• wanneer de verwerking door een overheidsinstantie of overheidsorgaan wordt verricht6 ;
• wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
• wanneer de kerntaken van de verwerkingsverantwoordelijke of de verwerker bestaan uit verwerking op grote schaal van speciale categorieën van gegevens* of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
• Voor de meeste reguliere commerciële organisaties is een FG dus niet verplicht
• Bij twijfel dient u goed vast te leggen waarom u als organisatie denkt geen FG nodig te hebben
*Uit hoofde van artikel 9 zijn dit onder andere persoonsgegevens waaruit iemands raciale of etnische achtergrond, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of een lidmaatschap van een vakbond blijken, en
de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over het seksleven of de seksuele geaardheid van een natuurlijke persoon
Stappenplan uitgewerkt – 12.
Toezichthoudende autoriteit
• Is jouw organisatie internationaal actief
• Waar vind de belangrijkste verwerking van persoonsgegevens plaats
• Wat is dan jouw hoofdvestiging
• Onder welke autoriteit val je dan
• Welke aanvullende regels stelt deze autoriteit (er kunnen per land aanvullende regels gelden)
Stappenplan uitgewerkt – 13.
Onderaannemingen
• Veel organisaties maken gebruik van onderaannemingen
• Ook deze bedrijven dienen te voldoen aan de GDPR
• Bedenk goed, daar waar deze bedrijven voor jou persoonsgegevens verwerken, dat jouw bedrijf verantwoordelijk is voor naleving
van de GDPR
• Voorbeelden van bedrijven waar je mee te maken zou kunnen krijgen:
• Marketingburau’s die voor jou een nieuwsbrief of mailing verzorgen
• Hostbedrijf die een backup van jou datagegevens beheert