Infotopics GDPR seminarie by Sirius Legal

Sirius Legal
De impact van GDPR op uw bedrijf
Infotopics, Antwerpen, 7 november 2017

Media & advertisement law
Copyright - trademarks -
datebases - software - knowhow
Travel & consumer protection
Tax & tax planning
IT, Internet & e-commerce
Privacy & cookies
Gambling & gaming
www.siriuslegal.be
bart@siriuslegal.be
@BartVdBrande
LinkedIn.com/in/bartvdb

Voormiddag (9uur-12u15uur)
Korte inleiding 9u00
De toepassing en reikwijdte van de GDPR 9u15
wat zegt de wet vandaag?
wat brengt de toekomst?
wat zijn “persoonsgegevens”, “verwerking”, “verantwoordelijke”, “verwerker, …”
Wat zegt de GDPR nu eigenlijk? 11u00 – 12u15
Algemene principes
Verwerkingsgronden
Register van verwerkingsactiviteiten
DPO
PIA (gap analyse) vs. DPIA
Compliance traject naar mei 2018
General Data Protection Regulation

Namiddag (13uur – 17uur)
Vervolg:
Wat zegt de GDPR nu eigenlijk? 13u30 tot 14u00
Cookies, spam en telemarketing 14u00
ePrivacy verordening
cookies
rol van online marketing
Data Protection Officer 14u45
Privacy op de werkvloer 15u15
Rechtsbescherming en toezicht 16u00
Vragen – discussie – debat 16u30

Inleiding
door Bart Van den Brande

We leven in een digitale samenleving…
Basis van alles wat online gebeurd is data
Big data
Collect all you can now – figure out what to do with it later
Profiling
Maximale tracking
Location based
Trigger based
Internet of things
Data zijn in veel gevallen betaalmiddel geworden voor “gratis diensten”
(cfr. Voorstel RL 2015/0287)

In werking op 25 mei 2018
Géén overgangsperiode
Overheid zal (zeer hoge) boetes kunnen opleggen
Risico op uitsluiting dekking verzekering, ASH tav derden, consumentenorganisaties, imagoschade
Elke organisatie die data in handen heeft moet zich in regel stellen
+ zal van zijn partners, sponsors, donors, leveranciers, leden, …
verwachten dat zij in regel zijn
Organisaties kunnen best GDPR compliance zien als asset ipv als risico

Concrete aanleidingen
Location / Server based principe is niet meer realistisch in Cloud omgeving en global economy
28 lidstaten, 28 regelgevingen, 28 “DPA”, 28 boetesystemen, 28 interpretaties
Belemmert eengemaakte markt
Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen, beperkte mankracht, te
weinig goede profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …
Forum shopping (alle grote ISP zitten in Ierland…)
Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)

De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgegevens
Op basis van Richtlijn 95/46/EG - Boek XII WER
Andere tijden…
Geen online marketing
Geen “profiling”
Geen “cookies”
Geen “tracking”
Geen “location based markeing”
Geen “trigger based marketing”
Geen e-commerce
Geen social media
Minder dan 1% van de EU-bevolking gebruikte internet in 1995…
Privacy
De basics van het privacyrecht

Aanleiding tot GDPR/AVGB (zie o.m. toelichting en overwegingen bij GDPR)
Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve
ontwikkelingen
Facebook en Twitter bestonden niet in 1995
Internet of Things
Big data & profiling op grote schaal
Trigger based, location based, …
Veelheid aan devices, opkomst van apps
Cloud toepassingen
Drones
Privacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel
Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287
van eind mei 2016)
Privacy
Privacyverordening vanaf 1 mei 2018

Concrete aanleidingen
Location based / Server based principe is niet meer realistisch in Cloud omgeving en
global economy
28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28
interpretaties
Belemmert eengemaakte markt
Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes
opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig goede
profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …
Forum shopping (alle grote internet service providers zitten in Ierland…)
Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)
Privacy

DG Justice in handen van Viviane Reding vanaf 2010
25 januari 2012 GDPR/AVGB aangekondigd
Eerste ontwerptekst EP op 21 oktober 2013
Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland)
Zware lobby (cfr. “affaire Michel”)
Impact van civil rights (via LIBE committee) groot
Afgezwakt in laatste instantie door DM sector
Akkoord in Europese Raad op 15 juni 2015
Vanaf dan tot eind 2015 3X overleg tussen EP, EC en Raad
Uiteindelijk akkoord in december 2015
Goedgekeurd in april 2015
Inwerkingtreding 1 mei 2018
Privacy

Privacy
Voor alle diensten aangeboden in EU (ook gratis)
Personal data = ook online identifiers, “pseudonymous data”
Expliciete opt-in of “gerechtvaardigde redenen voor verwerking”
Informatieplicht (icons)
Recht om profiling te weigeren
Right to be forgotten
Data breach plichten
“Data protection by design”
“Data protection officer”
Instemming van ouders voor minderjarigen
Sancties: tot 4% van jaarlijkse omzet of 20 mio euro
Privacy

De toepassing en reikwijdte van de GDPR
door Andries Hofkens

Toepassing van wetgeving gegevensbescherming
Afbakening toepassingsgebied
Wat is privacy?
Wat is een persoonsgegeven?
Wat is verwerking?
Wie is verantwoordelijk?
Welke wetgeving is van toepassing?
Belang voor toepassing van de wetgeving!

Recht op privacy – een mensenrecht
Artikel 22 Grondwet Artikel 8 EVRM Artikel 7 & 8 HGEU Artikel 12 UVRM
“recht op privéleven en “recht op privéleven, gezinsleven, “recht op privéleven, familie- en “recht op bescherming tegen
gezinsleven” woning en briefwisseling” gezinsleven, woning, willekeurige inmenging in
communicatie en gegevens” persoonlijke aangelegenheden,
gezin, tehuis, briefwisseling, eer of
goede naam”

“Persoonsgegevens”
Richtlijn 95/46/EG & Belgische Wet Verwerking Persoonsgegevens:
“iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”
Verordening 2016/679 EU (GDPR):
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”

“informatie” over
“natuurlijke personen” die
dus: géén rechtspersonen en géén overledenen
wél: e.b.v.b.a., bestuurders, aandeelhouders, …
“geïdentificeerd” of minstens “identificeerbaar zijn”
dus: geen anonieme data
wél: pseudonieme data die redelijkerwijze kunnen leiden tot identificatie

Vallen er dus buiten:
- Anonieme gegevens
- Statistische tellingen
- Gegevens over rechtspersonen of overheid
- “Open data” (misschien wel anderszins beschermd)
Opgelet!
Identificatie mogelijk door analytische profilering => anonieme data ook persoonsgegevens

“Bijzondere categorieën” van persoonsgegevens met speciale bescherming wegens hun gevoelige
aard!
- Ras en etnie
- Politieke, religieuze of levensbeschouwelijke overtuiging en syndicaal lidmaatschap
- Genetica NIEUW, biometrie NIEUW en gezondheid
- Seksuele geaardheid en gedrag
Géén: geslacht of financiële gegevens

Bijzondere categorieën van gegeven
Ras, etnie, religie, seksuele voorkeur, politieke voorkeur, lidmaatschap vakbond,
medische en biometrische gegevens
Verbod op verwerking tenzij …
Toestemming
Door vzw die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied
werkzaam is
Extra veiligheidsmaatregelen vereist
Rechten en plichten verbonden aan uw database

Bijzondere categorieën van gegeven
Strafrechtelijke gegevens
Alleen onder toezicht van de overheid
Of als de (nationale) wet het expliciet toestaat

Enkele voorbeelden:
- Rijksregisternummer?
- Professioneel emailadres?
- Statisch of dynamisch IP adres? MAC adres?
- “Like” op Facebook?
- Trafiek op websites?
- B2B-gegevens?
- Ongeborenen?

“Verwerking”
Richtlijn 95/46/EG & Belgische Wet Verwerking Persoonsgegevens:
“elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan
niet uitgevoerd via geautomatiseerde procedés”
Verordening 2016/679 EU (GDPR):
“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een
geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”

“Verwerking”
Definitie = zeer ruim
“verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter
beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”
NIEUW profilering gedefinieerd

“Verwerking”
Toepassing privacywetgeving:
- geheel of gedeeltelijk geautomatiseerde verwerking
- verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om
daarin te worden opgenomen
“Bestand” impliceert “structuur” in het geheel van gegevens, maar technologieneutraal!

“Verwerking”
Uitgesloten van toepassing privacywetgeving:
- losse dossiers, verzameling van dossiers en omslagen ervan, die niet volgens een zekere
structuur in bestand worden opgenomen/opgeslagen (o.m. oud papier)
- persoonlijke en/of huishoudelijke doeleinden (familiealbums, persoonlijke boekhouding,
adressenboekje, stamboomonderzoek,…)
- journalistieke, wetenschappelijke, historische en statistische doeleinden
- voorts ook: nationale veiligheid, strafonderzoek en -vervolging

“Verantwoordelijke” of “Verwerker”
“Verantwoordelijke” bepaalt het DOEL en de MIDDELEN van de verwerking
Opgelet! Meerderen bepalen doel en middelen => gezamenlijk verantwoordelijken!
=> onderling regeling treffen omtrent taken en verantwoordelijkheden
=> betrokkenen kunnen zich richten naar wie ze willen (hoofdelijke aansprakelijkheid?)

“Verantwoordelijke” of “Verwerker”
“Verwerker” voert louter één of meer verwerking uit voor de “Verantwoordelijke”
=> schriftelijke instructies
=> garanties betreffende veiligheidsmaatregelen
=> bezwaarmogelijkheid van verantwoordelijke bij onderaanneming
=> schriftelijke overeenkomst
Bijv.: - werknemer voor werkgever
- communicatiebureau voor merkhouder
- hostingprovider voor websiteeigenaar
- boekhouder voor boekhoudplichtige

Territoriaal toepassingsgebied
Europees privacyrecht (GDPR) van toepassing op verwerking van persoonsgegevens:
OFWEL verantwoordelijke / verwerker met “vestiging” binnen EU
“vestiging” = ruim begrip (filiaal, dochter, branche, ook postbus?)
OFWEL betrokkenen binnen EU NIEUW
(OFWEL met toepassing van internationaal publiekrecht (bijv. ambassades of zeeschepen))

Territoriaal toepassingsgebied
Toepassing “betrokkenen in EU” NIEUW:
- bij aanbieden / leveren van goederen en diensten op EU grondgebied
Opgelet!
Ook: gratis aanbieden van producten en diensten!
Ook: bij voornemen tot leveren van producten en diensten!
- bij monitoring van betrokkenen op EU grondgebied
Opgelet! Ook: volgen van gedrag online, dus ook tracking, OBA, e.d.m.

Territoriale toepassing: doorgifte naar buitenland
“Doorgifte”: iedere overdracht van persoonsgegevens van verantwoordelijke aan andere
verantwoordelijken, verwerkers, overheden, of zelfs derden
Bijv: - data brokers
- opslag in cloud
- outsourcing loonberekening, IT, callcenter,…
- overname van ondernemingen
- bepaalde softwarelicenties, websites en apps

Standaard regel: doorgifte van data is toegestaan indien die doorgifte
- noodzakelijk is voor het te bereiken doel,
- verenigbaar is met de oorspronkelijke verwerking, en
- ter kennis is gebracht aan de betrokkene.
Doorgifte binnen België: geen bijkomende vereisten
Doorgifte binnen de EU: geen bijkomende vereisten

Doorgifte buiten de EU: passend beschermingsniveau = bezorgdheid
- ofwel binnen de EEZ: Noorwegen, IJsland en Liechtenstein
- ofwel adequatheidsbeslissing: Zwitserland, Canada, Andorra, Argentinië, Guernesey,
het eiland Man, de Faeröereilanden, Jersey, Israël, Nieuw-Zeeland en Uruguay
- ofwel specifieke verdragen: bijv. “Privacy Shield” met Verenigde Staten
- ofwel “EU model clauses” (zie modellen)
- ofwel eigen voorstel (moet via KB bekrachtigd worden)
- ofwel bindende ondernemingsregels (vnl. voor concerns – ook via KB)
- ofwel uitzonderingen

Toepasselijke wetgeving bij doorgifte?
=> steeds kijken naar de verantwoordelijke en/of betrokkene!
=> parallelle toepassing buitenlandse wetgeving mogelijk

Territoriale toepassing: handhaving
Geen uniform bevoegde EU autoriteit!
=> bevoegdheid toebedeeld aan nationale “DPAs”
Grensoverschrijdende verwerking => aanduiding “leidende DPA” van hoofdzetel
MAAR: iedere DPA is bevoegd om kennis te nemen van klachten van betrokkenen

Wat staat er nu concreet in de GDPR?
(deel 1)

Basisprincipes uit de GDPR
Accountability
Transparancy
Data Protection by design
Data protection by default
Purpose limitation
Data minimisation
Accuracy
Limited retention time
Data security

(Online) marketing vandaag…
Basis van alle marketing is data
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Remarketing
Iedereen is individualiseerbaar en bereikbaar

Accountability (= HET basisconcept van de GDPR)
De facto betekent dit audit van uw onderneming (paraplu…)
In geval van data incident moet uw onderneming in staat zijn gedocumenteerd aan te tonen
dat onnodige risico’s tijdig geïdentificeerd werden + aangepakt werden
In kaart brengen van alle datastromen
Risicoanalyse op die datastromen
In kaart brengen actueel niveau van data security (virtueel en real life)
Risicoanalyse op actuele situatie + actieplan
Geldt voor “Verantwoordelijke” én voor “Verwerkers”

Data Protection by Design
Voor elke nieuwe app, elke nieuwe tool, elke nieuwe software, elk nieuw proces, …
Voorafgaand aan elke feitelijke development
EERST “lmpact assessment” maken + documenteren (en bijhouden)
Uitgangspunten
Enkel die data verzamelen en verwerken die echt nodig is
Enkel toegankelijk voor wie er echt toegang toe moet hebben
Specifiek to be seen hoe dit past in AI en andere tech innovatie
Geldt ook voor “Verwerker” die bouwt in opdracht van derden

Purpose limitation – limited retention time – data minimisation
Vereist globale denkoefening op ganse database (+documenteren!)
Welke data hebben we?
Waar komt ze vandaan?
Met welk doel is ze verzameld / waarvoor wordt ze gebruikt?
Op welke rechtsgrond is ze verzameld?
Is die data eigenlijk (nog) wel relevant voor ons?
+ opkuisactie en/of regulariseringsactie op database
Alsnog opt-in bekomen (rechtstreeks per mail, onrechtstreeks via wedstrijd of actie, …)
Andere rechtsgrond vinden
Deel van database definitief wissen

Informatieplichten en toestemming
Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”)
Voorafgaande opt-in blijft de basisregel (+ vanaf nu bewijs vereist!)
“Verwerking is noodzakelijk om contract uit te voeren”
“Gerechtvaardigde redenen”
DM “may be considered” een rechtvaardige reden, maar “Personal data should be
processed only if the purpose of the processing could not reasonably be fulfilled by other
means”
Gerechtvaardigd belang = altijd subjectief en dus onzeker
Vitaal belang – wettelijke plicht of toelating

(Online) marketing vandaag…
Heatmapping
Alles is meetbaar
De impact van de GDPR op uw marketing en prospectie
Business meets IT, Blue Point Antwerpen, 1 juni 2017
Relevant voor websitebezoek, mailings, …
Analytics – e-mail tagging
Alles is kwantificeerbaar
Meestal zonder opt-in
Verwerking van persoonsgegevens (IP-adres)? Gerechtvaardigd belang?

Opt-in of uitvoering contract of “gerechtvaardigd belang”
Vereist globale denkoefening op ganse database (+ documenteren!)
Welke data hebben we?
Waar komt ze vandaan?
Met welk doel is ze verzameld / waarvoor wordt ze gebruikt?
Op welke rechtsgrond is ze verzameld?
Is die data eigenlijk (nog) wel relevant voor ons?
+ opkuisactie en/of regulariseringsactie op database
Alsnog opt-in bekomen (rechtstreeks per mail, onrechtstreeks via wedstrijd of actie, …)
Andere rechtsgrond vinden
Deel van database definitief wissen

Privacy
“Voorwaarden voor toestemming”
Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet zo)
Verzoek om toestemming moet in begrijpelijke, duidelijke en eenvoudige taal gevraagd
en onderscheiden van andere gevraagde akkoorden
Betrokkene kan toestemming op elk ogenblik intrekken (geen
terugwerkende kracht)
Toestemming moet vrij gegeven zijn: géén toestemming verplichten voor
verwerking die niet noodzakelijk is voor leveren van dienst/uitvoeren van
overeenkomst
Klassiek voorbeeld: verplichte opt-in om korting te krijgen of om aan
wedstrijd deel te nemen
(is in aantal lidstaten nu al verboden)

Onvoorwaardelijke opt-in
Vereist controle en denkoefening op alle bestaande opt-ins en op alle forms
Vragen we opt-in?
Is die opt-in vrij?
Is er voldoende informatie aan de betrokkene via privacy policy?
Kunnen we dat bewijzen? (aanvinkhokje gelogd?)
Wordt data enkel gebruikt voor aangegeven doeleinden?
Is er AFZONDERLIJKE opt-in voor elke verwerking?
+ opkuisactie en waar nodig opt-in forms aanpassen, privacy policy aanpassen en aanvullen, …

Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar)
Altijd expliciete toestemming van ouders vereist!
“redelijke inspanningen” om leeftijd te checken en toestemming te bekomen
eID?, Facebook login?, credit card data?, live chat, …?

Privacy
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden
ID en contactgegevens verantwoordelijke (en vertegenwoordiger in de EU als die er is)
Doeleinden verwerking en rechtsgrond
Categorieën van persoonsgegevens
Derde-ontvangers van gegevens
Waarborgen voor doorgifte buiten de EU
Duurtijd bewaring of criteria voor bepalen duurtijd
Bron van de gegevens
Recht voor betrokkene op inzage en verbetering of verwijdering/beperking, recht om
bezwaar te maken en recht op overdraagbaarheid (“data portability”)
Recht voor betrokkene om te allen tijde toestemming in te trekken (niet retroactief)
Recht voor de betrokkene om klacht in te dienen
Is toestemming wettelijke of contractuele plicht en wat zijn gevolgen bij weigering
Het bestaan van geautomatiseerde besluitvorming (profiling) en onderliggende logica

Privacy
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen
worden
“Binnen een redelijke termijn maar uiterlijk binnen één maand na de verkrijging van de
persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de
persoonsgegevens worden verwerkt”
Als de persoonsgegevens gebruikt worden voor communicatie met de betrokkene:
uiterlijk bij de eerste communicatie
Als de persoonsgegevens doorgegeven worden aan een derde: uiterlijk op het
ogenblik dat ze voor het eerst aan die derde worden verstrekt
(Relevant voor data brokers, gehuurde of gekochte mailinglijsten, doorgifte aan
commerciële partners, mailing op database van een partner, etc…)

Verplichting vervalt als
Betrokkene al op de hoogte is
of
Informatieplicht disproportionele inspanning vereist
(= open door voor creativiteit…)

Gegevens verkregen van een derde bron
Vereist controle en denkoefening op alle aanwezige data
Is data zelf verzameld?
Is data afkomstig van derde (Bisnode, Companyweb, …)?
Is data afkomstig uit publieke bron (scraping internet)?
Geven wij data door aan derden?
Informatie aan betrokkene aanvullen
Zowel aangaande inkomende als uitgaande data
Voor uitgaande data GDPR garanties vragen aan ontvanger
Voor inkomende data garanties op regelmatig verzamelen van data vragen

Privacy
Verzet tegen profiling
Profilering: “elke vorm van geautomatiseerde verwerking van
persoonsgegevens waarbij aan de hand van persoonsgegevens
bepaalde persoonlijke aspecten van een natuurlijke persoon
worden geëvalueerd, met name met de bedoeling zijn
beroepsprestaties, economische situatie, gezondheid,
persoonlijke voorkeuren, interesses, betrouwbaarheid,
gedrag, locatie of verplaatsingen te analyseren of te voorspellen;”
Véél ruimer dan oude definitie. Vroeger enkel als volledig
geautomatiseerd en als er gevolgen voor de persoon aan
verbonden waren.

Privacy
Profiling is overal…
Trigger based marketing = profiling
Location based marketing kan profiling zijn
Opbouwen klantenprofiel in marketing = profiling
Remarketing kan profiling zijn
Credit rating / credit scoring = profiling
Heel wat data verzameld door FB of Google zijn potentieel profiling

Privacy
“Vanwege met zijn specifieke situatie verband houdende redenen”
Bezwaar maken tegen verwerking op grond van “gerechtvaardigde belangen”, “met
inbegrip van profilering” op basis van die rechtvaardigingsgrond
Verantwoordelijk moet stoppen met verwerking tenzij hij een belang
aantoont dat zwaarder doorweegt dan rechten van de betrokkene
(eens te meer oordeelt de verantwoordelijke in eerste instantie zelf
hierover)
In geval van DM, kan de betrokkene altijd bezwaar maken,
ongeachte “specifieke situatie” en ongeacht belang van de
verantwoordelijke

Recht om zich te verzetten tegen elektronische beslissingname
Recht
Niet onderworpen te worden aan automatische beslissingen (of profiling) – Excepties
(bvb contracten)
Die juridische gevolgen of andere significante gevolgen hebben
Die enkel gebaseerd zijn op automated processing of data
Die bedoeld zijn om persoonlijke kenmerken te analyseren
Voorbeelden
Prestaties op het werk, kredietwaardigheid en betrouwbaarheid
Geldt ook voor DM “beslissingen” (bvb send offer of niet)

Privacy
Recht op verwijdering (“right to be forgotten”)
“Zonder onredelijke vertraging” verwijdering bekomen als:
Persoonsgegevens niet langer nodig voor genoemde doeleinden
Toestemming is ingetrokken en er is geen andere rechtsgrond
Betrokkene maakt bezwaar tegen geautomatiseerde besluitvorming (art. 21)
Persoonsgegevens zijn onrechtmatig bekomen
Persoonsgegevens betreffen -16 jarige (of -13) en er is geen toestemming van ouders
Plicht om “rekening houdende met de beschikbare technologie en de uitvoeringskosten
redelijke maatregelen [nemen]” derde-verwerkingsverantwoordelijken op de hoogte te
stellen dat de betrokkene heeft gevraagd om data te wissen.
Bovenstaande geldt niet als verdere verwerking nodig is voor uitoefening van recht op
vrije meningsuiting pers of op wettelijke basis of in algemeen belang.

Privacy
“Pseudonieme data” - “anonieme data” – “encryptie” – “tokenisatie”
Als data niet gekoppeld is aan identiteit, heeft betrokkene geen rechten van inzage,
correctie, etc…
Vergemakkelijkt bvb analytics. Tot op heden in meeste lidstaten beschouwd als
verwerking
Van persoonsgegevens en dus toestemming of gerechtvaardigd belang vereist.

Privacy
Recht op overdraagbaarheid van gegevens
Betrokkene heeft recht om door hem verstrekte gegevens op te vragen bij
verantwoordelijke en deze overhandigd te krijgen “in een gestructureerde, gangbare en
machinaal leesbare vorm” en deze gegevens dan aan een nieuwe dienstverlener over
te dragen
(Enkel als verwerking gebaseerd was op opt-in of “gerechtvaardigde reden”)
Als dit technisch mogelijk is, mag betrokkene rechtstreekse overzending van de ene
verantwoordelijke naar de andere vragen

Profiling en elektronische beslissingname
Vereist controle en denkoefening op alle aanwezige data
Profielopbouw?
Op basis van welke criteria?
Met welk doel?
Is een en ander te verantwoorden / écht nodig?
Aanvullen privacy policy
Uitleg reden profiling
Opgenomen criteria
Mogelijke gevolgen
Rechten betrokkene

Wat staat er nu concreet in de GDPR?
(deel 2)

Data security maatregels
“Processor shall implement appropriate technical and organizational measures,
to ensure an appropriate level of security”
Pseudonymisatie waar mogelijk, confidentialiteit, security, back ups, security
testing protocols, …
= Noodzaak tot audit / mapping van data binnen bedrijf
Privacy
Technische en organisatorische beveiliging

Data security
Startpunt = resultaat interne mapping / audit / impact assessment
Paswoordbeleid
Bring your own device beleid
Document management policy (inclusief vernietiging documenten)
Afstandswerk policy
Visitors policy
Systeemveiligheid
Intrusietesten – firewall – antivirus
Ssl – End to end encryptie
Encryptie data – back ups – contractuele garanties bij bvb cloud services
…

Data security
Self assessment tools
Of intern team
Of externe consultant / advocaat / IT
(Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self assessment tool en
template documenten)

Data Protection Impact Assessment
Als mogelijks grote impact op privacyrechten
Verplichting om voorafgaande impact assessment te houden
Advies van DPO veriest als er een DPO is
Moet als basis dienen voor security beleid
Als DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen
Privacy

PIA vs DPIA
Privacy Impact Assessment (PIA) vs. Data Protection Impact Assessment (DPI)
Privacy Impact Assessment
= “GAP analyse”, “nulmeting”, “audit”
= onze self assessment tool
Doel is om u toe te laten uw organisatie in kaart te brengen, privacyrisico’s te
identificeren en de nodige actieplannen te voorzien
Privacy

PIA vs DPIA
= specifieke verplichting onder GDPR
= mee ingebouwd in onze self assessment tool
Doel is om privacyrisico’s specifiek verbonden aan een bepaalde verwerkingsactiviteit te identificeren en de nodige actieplannen
te voorzien
Privacy

Als mogelijks grote impact op / risico voor privacyrechten
Advies van DPO vereist als er een DPO is
Moet als basis dienen voor security beleid
Privacycommissie ontwerp aanbeveling CO-AR-2016-004
Als DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen
Privacy

“Risico” (Aanbeveling PrivCom CA-AR-2016-004):
Als verwerking kan leiden tot discriminatie, identiteitsdiefstal of –fraude, financiële schade, reputatieschade, verlies van
vertrouwelijkheid van doro het beroepsgeheim beschermde gegevens of enig ander aanzienlijk economisch of maatschappelijk
nadeel”
Als betrokkenen hun rechten en vrijheden niet kunnen uitvoeren of hun gegevens niet kunnen controleren
Als bijzondere categorieën van gegevens (“gevoelige gegevens”) verwerkt
worden
Als grote hoeveelheden gegevens verwerkt worden
Bij profiling
Privacy

Wanneer zeker wel volgens PrivCom?
Biometrische of genetische gegevens
Wanneer data verzameld is bij derden en gebruikt wordt om dienst te weigeren of te stoppen (kredietrapporten)
Verwerking m.o.o. onderzoek financiële solvabiliteit en risicoprofiel
Als inbreuk op persoonsgegevens fysieke gezondheid in gedrang zou kunnen brengen (?)
Verwerking van financiële of gevoelige data als die eerst voor andere reden werden
verzameld
Als bepaalde gegevens publiek gemaakt zullen worden
Analyse of voorspellen van beroepsprestaties, economische situatie, gezondheid,
persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag, locatie,
verplaatsing
Data van minderjarigen of kwetsbare personen op grote schaal verwerkt voor
ander doel dan waarvoor verzameld
Privacy

Wanneer zeker niet volgens PrivCom?
Verwerking uitsluitend m.o.o. interne loonadministratie (als enkel gedeeld met betrokkene en niet langer bewaard dan nodig)
Verwerking personeelsgegevens als enkel gedeeld met ontvanger, geen gezondheidsgegevens, geen gevoelige of gerechtelijke
gegevens of beoordelingen van betrokkene, niet langer bewaard dan nodig voor personeelsadministratie of wettelijke plicht
Verwerking boekhoudgegevens, ongeveer zelfde beperkingen
Verwerking gegevens aandeelhouders en vennoten, ongeveer zelfde beperkingen
Verwerking gegevens door stichting, vereniging of vzw in het kader van haar
gewone activiteiten, als enkel data eigen leden of personen met wie regelmatige
contacten of begunstigden van stichting, geen data verkregen van derden, niet
langer bewaard dan nodig
Registratie bezoekers bij toegangscontrole
Onderwijsinstellingen
Privacy

Minimale vereisten voor DPIA voor PrivCom
Systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden
Beoordeling van de noodzaak en de evenredigheid
Beoordeling van de risico’s
Beoogde maatregelen om onaanvaardbare risico’s weg te nemen
Onze self assessment verwerkt –bij correct gebruik- die vereisten
+ breidt deze zelfde methodiek uit naar een bredere PIA / GAP analyse op de
ganse organisatie
Privacy

Self assessment audit
Methodiek
1. Documenteer het gebruik van persoonsgegevens
2. Identificeer risico’s
3. Identificeer risicoscenario’s
4. Analyseer de risico’s
5. Beoordeel de waarschijnlijkheid dat een risico zich voordoet

Data security
Self assessment tools
Of intern team
Of externe consultant / advocaat / IT
(Sirius Legal biedt dit najaar en voorjaar 2018 workshops aan obv self
assessment tool en template documenten)

Werken met onderaannemers die data verwerken
Verplichting om enkel te werken met “veilige” onderaannemers (garanties vragen)
Verplichting om geschreven contracten te hebben
Lijst van verplichte clausules in zulke contracten
= Noodzaak tot audit of mapping van onderaannemers / service contracten
Privacy
Toegang van derden tot data

In het kader van globale privacy-audit tegen mei 2018
Noodzaak tot audit of mapping van ALLE
Contracten met derden, consultants, onderaannemers, …
Licenties op alle software, …
Gebruiksvoorwaarden voor alle tools, …
“Shadow IT”
Onderzoek naar
Hebben we een contract met partij X of Y?
Garandeert partij X of Y in dat contract GDPR compliance?
Wordt er data geëxporteerd buiten de EU?
Mailchimp, Wetransfer, Criteo, Eventbrite, (Google) Analytics, Slack, …
Contracten met interim, werving & selectie, boekhouder, advocaat, …

In het kader van globale privacy-audit tegen mei 2018
Mailchimp, Wetransfer, Criteo, Eventbrite, (Google) Analytics, Slack, …
Dropbox, Office365
GDPR zegt niet dat data wel of niet op bepaalde tools mogen verzonden worden
Accountability = onderneming moet voor zichzelf afwegen + kunnen verantwoorden of
bepaalde tool wel of niet gebruikt kan worden
Hangt af van gevoeligheid van verzonden data, niveau van security bij verzender en
ontvanger, niveau van security dat tool kan garanderen, potentiële impact bij verlies aan data, …

Verplichting om een “logboek van verwerkingsactiviteiten” bij te houden
Daarin ID verwerker, verwerkte data, categorieën, transfers, time limits,
veiligheidsmaatregels
In geschreven vorm op de zetel van de vennootschap
Privacy

Register van verwerkingsacticviteiten
Aan te maken voor mei 2018
Zo stipt en zo precies mogelijk bij te houden
Accountability principe
Aan te vullen met elke relevante verwerkingsactiviteit
+ waar nodig bijkomende impact assessment
Bvb bij development nieuwe app
Dataverwerkingsautoriteit (privacycommissie) heeft model online
Ook betalende modellen beschikbaar

Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
What? (Welke data, bron van de data, type verwerking, rechtsgrond)
Why? (Reden van verwerking, wie is controller)
Whose? (Wie is de betrokkene)
When, how long? (Wanneer werd de data verzameld, wanneer worden ze geüpdated, hoe lang
worden ze bewaard)
Where? (Waar worden de gegevens verwerkt, aan wie worden ze doorgegeven, hoe zijn ze
beveiligd, worden ze buiten EU doorgegeven?
Extra questions? (Expliciete opt-in? Welke info verstrekt aan betrokkene, noodzakelijkheid en
proportionaliteit…)

Interne business processen
Logboek van verwerkingsactiviteiten
Verplichting om een “Register van verwerkingsactiviteiten” bij te houden
Daarin ID verwerker, verwerkte data, categorieën, transfers, time limits,
veiligheidsmaatregels
In geschreven vorm op de zetel van de vennootschap

Model inbegrepen in start2gdpr toolkit
Vereenvoudigd model
Gebaseerd op 7 “vragen”:
What? (Welke data, bron van de data, type verwerking, rechtsgrond)
Why? (Reden van verwerking, wie is controller)
Whose? (Wie is de betrokkene)
When, how long? (Wanneer werd de data verzameld, wanneer
worden ze geüpdated, hoe lang worden ze
bewaard)
Where? (Waar worden de gegevens verwerkt, aan wie worden ze
doorgegeven, hoe zijn ze beveiligd, worden ze
buiten EU doorgegeven?
Extra questions? (Expliciete opt-in? Welke info verstrekt aan
betrokkene, …

Verplichting om Privacycommissie te verwittigen van elke data breach
Asap of ten laatste binnen 72 uur
Aard van de breach, mogelijke gevolgen, genomen maatregelen, etc… (=
verplichting om data breach te documenteren)
= plicht om data breach procedure in place te hebben
Als er mogelijke ernstige gevolgen zijn voor privacy van data subjects: plicht om
hen in persoon te verwittigen!
Privacy
Data breach notification

Data breach notification
Onderzoek potentiële data breach risico’s
Elimineer data breach risico’s
Train personeel (awareness + praktische guidelines bij data breach)
Voorzie interne meldplicht + template document voor meldingen
Stel data breach verantwoordelijke aan
Stel data breach procedure + crisiscommunicatieplan op
Controleer contracten met derde partijen (bvb hosting)
Controleer verzekeringspolissen

Privacy
Data Protection Officer
Als kernactiviteit bestaat uit verwerken van persoonsgegevens
Of data monitoring op grote schaal vereist
Of bestaat uit data monitoring op grote schaal
Voorwaarden en vereisten nog to be implemented
Informeren & adviseren, monitoren van compliance, SPOC voor authoriteiten

Neem een Data Protection Officer onder de arm!

Privacy
Work load om compliancy te bereiken

Privacy
“Baseline” nulmeting en jaarlijks actieplan

Marketing, cookies & spam

Wet van 8 december 1992 (WVP), nu art. 110 e.v. WER
Ontvangen van e-mails of andere directe berichten met reclame
Expliciete en vrije opt-in (art. 110 WER). In principe los van privacy opt-in
Uitzonderingen:
(i) bestaande klanten voor gelijkaardige producten , (ii) info@..., sales@...
Mogelijkheid opt-out op elk ogenblik (art. 110 WER)
+ Privacywet
Privacy
Nog even de headlines over spam

Privacy

Privacy
Spamregels gelden voor alle elektronische communicatie
+ voor fax!
Dus ook voor direct messaging, mail- of communicatietools
Quid Facebook ad “vermomd” als post? Spam?

Privacy
No go:
- Verplichte opt-in om aan wedstrijd deel te nemen/voordeel te krijgen/te registreren
- Phishing naar opt-in
- Stilzwijgende opt-in als geen opt-out
- Automatisch toevoegen aan database
- Opt-out bemoeilijken of onmogelijk maken
- Mailen op database van derde (tenzij mail van bij derde vertrekt)
Let op met gekochte/gehuurde databases: altijd contractuele garantie eisen

Cookies
Wat background
Wat zijn cookies?
“A cookie is a small amount of data generated by a website and saved on your computer by your web
browser.
Its purpose is to remember information about you, similar to a preference file created by a software
application.” (Wikipedia)
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…

Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
Cookies
Wat background

Wat zijn cookies?
first party cookies vs. third-party cookies
door website door Google Analytics or ad brokers
functional cookies vs. non-functional cookies:
log-in, registratie, taal statistics, remarketing, OBA
permanent cookies vs. session cookies
blijven present verwijderd na surfsessie
Cookies
Wat background

The legal small print (art. 129 Telecomwet)
“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de
eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat :
1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot
bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en
precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8
december 1992;
2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de
bepalingen in 1°.
Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie
opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van
een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de
abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De
toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de
verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke
levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.
De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op
eenvoudige wijze de gegeven toestemming in te trekken.“
Cookies
Wat background

The legal small print
Altijd opt-in
Behalve voor zuiver functionele cookies:
Absoluut nodig om technische redenen
Absoluut nodig voor communicatie
Cookies
Wat background

Belgische wet bevat geen detail over:
Hoe waarschuwing gegeven moet worden
Hoe opt-in bekomen moet worden
Hoe opt-out mogelijkheid gegeven moet worden
Wie is verantwoordelijk
De wet is vaag, onduidelijk en laat ruimte voor interpretatie
Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
Cookies
Wat background

Maar
EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)
“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)
Regeling in buurlanden is wel duidelijk
Cookies
Wat background

Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Opt-in moet
Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)
Expliciet zijn (vereist actieve daad van bezoeker)
Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)
Voorafgaandelijk aan het plaatsen van cookies zijn
Intrekbaar zijn

Dus praktisch
Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy
Duidelijke warning bij eerste visit + link naar informatie in privacy policy
Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)
Duidelijke info in privacy policy over opt-out of wissen van cookies

User-input cookie
(bvb: mandje) als
sessie
Authentification
cookie als sessie
Safety Cookie
Flash cookie als
sessie
!!! Social media
Reclame door
derden
First & third
party analytics
Tracking cookie

Pop-up?
Splash screen?
Waarschuwing in banner of footer?
“Impliciete opt-in”?
Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij
is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting
this website you accept…”)

Oh, ook nog:
Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende
afzonderlijke opt-in onder de privacywet vereist…
Dit betekent
Aangifte bij privacycommissie
Recht om data in te kijken, te verbeteren, wissen
Informatieplicht in privacy policy
Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden
Waarschuwing en herhaling: ook IP address, browser history, enz zijn persoonsgegevens…

Impact van cookiewet
Niet erg efficiënt
Storend voor surfer
Verlies aan traffic en/of data voor websites
Bedrijven trachten te ontsnappen aan cookieverplichtingen
Alternatieve oplossingen worden gezocht
Browser fingerprinting (Kméléo en andere)
Web beacons

En als ik de wet niet naleef?

Internationale context
Zoveel wetgevingen als er lidstaten zijn…
Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing
is (e.g. lokale website, lokale taal, lokale content, …)
Consequentie lijkt dat je moet voldoen aan strengste wet

Working Party 29 advies van afgelopen Oktober 2013:
Basis voor pan-Europese cookie requirements
Voorzichtig: dit is slechts een advies

Working Party 29 advies van oktober 2013:
Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)
Opt-in moet voorafgaan aan het plaatsen van cookie
Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)
Opt-in moet vrij zijn en is idealerwijze “gelaagd”
Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”?
Lijkt onmogelijk geworden)
Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden,
is een afzonderlijke voorafgaande opt-in vereist

Cookie wetgeving wordt dit jaar herzien op Europees niveau
In kader van e-privacy richtlijn
Kans reëel dat regels wegvallen vanwege achterhaald en overbodig

Nog een verordening over privacy?
Aanvulling op GDPR met aantal materies die daar niet behandeld zijn, maar wel “privacy” raken
Cookies
Direct marketing
Telemarketing
Vertrouwelijkheid van e-mail communicatie
Eerste ontwerp begin 2017 bekend gemaakt
Gestemd in LIBE comité afgelopen oktober
Nog relatief lange weg tot definitieve tekst
Eerst als richtlijn aangekondigd, nu uiteindelijk verordening
Weinig wijzigingen aan dit ontwerp te verwachten vooralsnog

Cookies?
Gezond verstand lijkt te zullen zegevieren
Expliciete toestemming van eindgebruiker voor plaatsen cookies wordt/blijft principe
Blijft ook gelden voor alle andere technieken, zoals fingerprinting
Gebruik van cookies vereist “duidelijke en specifieke reden”
“Eindgebruiker” lijkt ook op B2B te slaan…
Toestemming moet NIET meer via pop up banner
EU beseft dat deze enkel tot frustratie leiden voor alle partijen
Toestemming kan louter via browser settings van gebruiker
Vereist uitbreiding mogelijkheden browser settings
Privacy by default / privacy by design
Ontwerp voorziet (beperkte) uitzonderingen op vereiste toestemming
Als beperkte impact op privacy (sessiecookies of bvb analytics cookies)

Direct marketing?
Weinig wijzigingen tav op heden in België geldende regels
Opt-in blijft principe
Uitzondering voor bestaande klanten blijft bestaan (mits voorafgaande informatie aan klant)
Opt-out recht blijft verplicht en opt-out mogelijkheid onderaan mail blijft in voege
Direct marketing moet steeds als dusdanig herkenbaar zijn (is al zo onder WER)
Regels gelden ook voor politieke partijen en non-profitsector

Direct marketing?
Versterking van de rechten van de consument
Consument krijgt recht om inkomende gesprekken van anonieme nummers
Of van bepaalde nummers te blokkeren
Telemarketeers mogen geen anonieme nummers meer gebruiken en zullen vaste
prefixen of nummerplannen moeten hanteren om herkenbaar te zijn
Regels komen bovenop bel-me-niet-meer in België

Vertrouwelijkheid?
Formeel bevestigen van “briefgeheim” voor elektronische communicatie
Letterlijk verbod op telefoontap, afluisteren, scannen en elke vorm van
interferentie op communicatie
(geldt ook voor “diensten” van buiten EU zoals NSA…)
Uitzondering voor politieonderzoek, natuurlijk
Regels komen bovenop regeling voor bescherming briefgeheim in België

Timing & boetes
Bedoeling is inwerkingtreding samen met GDPR
Maar dit is slechts eerste ontwerp
Timing wordt moeilijk
Boetes gelijkaardig aan GDPR
Tot 20 mio euro
Of 4% van wereldwijde jaaromzet
Van toepassing op iedereen die diensten aanbiedt in EU

Do-not-call-me
Art. VI.111 e.v. WER - In werking sinds 11/07/2015
Omgekeerd principe van anti-spam:
Bellen is in se toegestaan TENZIJ betrokkene verzocht heeft om op lijst te komen (opt-out vs. opt-in)
Principe is eenvoudig: wie verzocht heeft om niet meer gebeld te worden, mag niet meer gebeld
worden voor DM
Opt-out is in se algemeen (niet per bedrijf). Individuele (her-) opt-in blijft wel mogelijk

Do-not-call-me
Vzw DNCM beheert lijst (onder toezicht en beheer van BDMA)
Akkoord met 9 grootste operatoren
Database is toegankelijk tegen betaling
Adverteerder MOET voorafgaand aan telefonische actie zijn database ontdubbelen met DNCM

Do-not-call-me
“telefonische oproep voor DM doeleinden”?
Definitie “reclame” in WER is zeer breed. Elke communicatie die rechtstreeks of onrechtstreeks bedrijf
of product promoot.
Niet inbegrepen: onafhankelijke of neutrale surveys en informatieve telefoongesprekken (bvb afspraak
voor levering)
DNCM geldt voor prospects EN BESTAANDE KLANTEN!
DNCM geldt voor B2C EN B2B!

Do-not-call-me
Opname op lijst moet binnen 5 dagen na verzoek
Initieel was termijn nog korter voorzien
Cfr.:
Privacywet geeft 30 dagen tijd om database aan te passen
Robinsonlijst geeft 3 maanden tijd om database aan te passen
Opname op lijst blijft 2 jaar geldig…
+/- 250.000 telefoonnummers op de lijst

Do-not-call-me
Opname op lijst DNCM
≠ verbod verdere verwerking persoonsgegevens
≠ verbod om sms te zenden
≠ verbod op e-mail te zenden
≠ verbod op papieren DM

Do-not-call-me
Opname op lijst DNCM
Mogelijk moet door operator geboden worden
Gratis
Intrekbaar
Bewijslast ligt bij operator

Do-not-call-me
Alle info op:
https://www.bel-me-niet-meer.be/

Do-not-call-me
Sancties
Inbreuk = inbreuk op WER
Boetes tot 250.000 euro…

Do-not-call-me
Problemen met Do Not Call Me
Technisch moeilijk voor KMO – plicht om licentie op lijst te nemen
Licenties zijn duur (1.600 euro/jaar KMO tot 7.500 big users)
Zeer hoge boetes
Onbekend bij bedrijven – zeer weinig licenties – onbekend
5 dagen is zéééér kort…

Robinsonlijst
“Ik wil geen papieren DM meer ontvangen
Geen wettelijke basis
Sectorinitiatief van BDMA en in se enkel bindend voor haar leden
Registratie door burger op: http://www.robinsonlist.be/
Opname op lijst binnen 3 maanden

Robinsonlijst
Door in te schrijven in de Robinson Mail-lijst ontvangt men geen DM op naam meer over producten of
diensten van bedrijven
Maar ook geen promoties en kortingsbonnen meer van geen enkel bedrijf via de post
Geldt voor ALLE bedrijven samen (net per bedrijf)
Bedrijven waar men klant is mogen WEL blijven contacteren (cfr. Do Not Call Me)

De Data Protection Officer: rol, taken, positie
door Freekje De Vidts

Wanneer DPO aanduiden?
• Door de verwerker en de verantwoordelijke voor de verwerking
• In 3 situaties:
• Verwerking door een overheidsorgaan
• “Hoofdzakelijk belast” met verwerking die “vanwege hun aard, omvang en/of doeleinden”, “regelmatige
en stelstelmatige observatie op grote schaal” vereist
• “Grootschalige verwerking” van gevoelige gegevens
• GDPR is beperkt, maar advies WP29

Advies WP29:
• “hoofdzakelijk belast” ?
Vb. Ziekenhuis, beveiligingsfirma,…
Niet: payroll administratie, standaard IT-support
• “Regelmatige en stelselmatige observatie” ?
Alle vormen van tracking en profiling incl. behavioural advertising
• “ op grote schaal” of “grootschalige verwerking” ?
Geen exact aantal; Rekening houden met het aantal betrokkenen, het volume van data, de duur van de
verwerking, geografische reikwijdte,….

Vrijwillige aanstelling DPO is uiteraard steeds mogelijk
MAAR: Opletten met functieomschrijving en titel!

Wat zijn de taken van de DPO?
• Informeren en adviseren (WG/WN)
“tijdig betrekken”
• Toezien op de naleving van de Verordening en toezien op naleving beleid
m.i.v. toewijzen van verantwoordelijkheden, bewustmaking bij personeel en opleiding,…
“toegang tot persoonsgegevens/verwerkingsactiviteiten”
• Advies verstrekken m.b.t. DPIA en audit
• Samenwerken met de Privacycommissie en optreden als contactpunt

Wat is NIET de taak van de DPO?
Het zélf uitvoeren van een DPIA, enkel advies verlenen over of er een DPIA moet uitgevoerd worden;
methodologie, technische en organisatorische beveiligingsmaatregelen,…
Het zélf bijhouden van het verwerkingsregister, in principe niet maar kan wel worden toegewezen

Wat is de positie van de DPO in uw organisatie?
Personeelslid OF via dienstverleningsovereenkomst (“DPO as a service”)
MAAR: steeds met rechtstreekse “toegang” tot hoogste leidinggevende
CEO
Manager
WN WN
Manager
WN/DPO

• Kan andere taken en verplichtingen vervullen (géén belangenconflict)
• Onafhankelijk
• Rechtstreeks aanspreekbaar voor betrokkene
• Geen sancties! Geen instructies!
• Voldoende middelen en tijd voorzien
• Toegang tot informatie/resources die noodzakelijk zijn

Aandachtspunten bij keuze voor “DPO as a service”:
• Aantal uren moet verantwoord worden bij de Privacycommissie (geen richtlijnen!)
• Vertrouwelijkheid/confidentialiteit
• Expertise DPO i.f.v. uw organisatie/verwerkingsactiviteiten
• Belang van “paraplu”/aansprakelijkheid
• DPO is ook “verwerker”=> verwerkersovereenkomst!

Concreet voorbeeld: de aankoop van nieuwe CRM-software
• De DPO moet tijdig worden geïnformeerd door het management zodat hij/zij advies kan geven
• DPO moet toegang hebben tot alle informatie noodzakelijk om dit advies te geven
• Er moet voldoende gewicht worden gegeven aan het advies
• Advies is niet bindend maar belang van documentatieplicht (accountability!)
• In geval van data breach dient de DPO betrokken te worden (+ contact Privacycommissie)

Wie kan DPO zijn en welke kwaliteiten?
• GDPR is zeer beknopt
• WP29 verduidelijkt:
Level of expertise – understanding how to build, implement and manage data protection programs is essential, with
the guidelines stating the more complex, or high-risk, the data processing activities are, the greater the expertise of the
DPO will need to be.
Professional qualities – DPOs do not have to be lawyers, but must have expertise in national and European data
protection law, including an in-depth knowledge of the GDPR. From a practical perspective, DPOs must have a
reasonable understanding of the organisation’s technical and organisational structure and be familiar with
information technologies
and data security.
Ability to fulfil task – the DPO should demonstrate integrity and high professional ethics and, as a primary
concern, enable compliance with the GDPR.

Wie kan DPO zijn en welke kwaliteiten?
 Welke achtergrond?
IT?
Legal?
Management?

Privacy op de werkvloer

GDPR-bepalingen in het kader van de arbeidsverhouding: zeer beknopt (art. 88)
 Nationale wetgever moet dit nog regelen (!)
 Harmonisatie van bestaande wetgeving
 Opgelet indien tewerkstelling in verschillende landen van de EER
Privacyrecht vs. arbeidsrecht

Privacyrecht vs. arbeidsrecht
MAAR: Werknemer verliest zijn recht op privacy niet op de werkvloer
 Algemene principes GDPR zijn ook van toepassing op verwerking van persoonsgegevens
werknemers
Niet méér gegevens verwerken dan nodig
Probleem van vrije/ondubbelzinnige toestemming tot verwerking
Verwerking i.k.v. arbeidsrelatie: best baseren op “Contract” (=> niet voor gevoelige gegevens!)
Noodzaak aan een duidelijk arbeidsreglement en eventueel ICT-policy

Overlopen HR-processen
Recruitment en
selectie
Payroll
administratie
HR-administratie Evaluatie
Einde
dienstbetrekking

Recruitment en selectie
• Welke data?
C.V., motivatiebrief, attest goed gedrag & zeden, diploma’s of getuigschriften,…
• Aandachtspunten
• Toegang mailbox
• Onderzoek kandidaat/CV
• (vragen naar) gevoelige gegevens (zwangerschap, ziekte, gerechtelijk verleden)
• Uitnodiging gesprek / Afwijzing
• Bewaartermijnen
• Specifieke clausules in arbeidscontract

• Welke data?
Naam, adres, telefoon, e-mailadres, gezinssamenstelling, loon, bonussen, prikklok
gegevens,…
• Aandachtspunten
• Payroll-systeembeheerder (compliancy? Verwerkersovereenkomst?)
• Inzage in payroll-gegevens
• Badging systeem

• Welke data?
Contactpersoon in nood, gegevens omtrent allergiëen, maaltijd-voorkeuren, aankoop
bedrijfsrestaurant, foto’s bedrijfsuitstap, info over nieuwe werknemer in personeelsnieuws,…
• Aandachtspunten
• “Toestemming”, “Gerechtvaardigd belang”
• Opletten met gevoelige gegevens

• Welke data?
Evaluatieformulieren, nota van verantwoordelijke/manager, interne
beoordelingsdocumenten,…
• Aandachtspunten
• Opslaan/bijhouden evaluatieformulieren
• Toegang
• Bewaartermijn

• Welke data?
Alle voorgaande data
• Aandachtspunten
• Opslaan/bijhouden
• Toegang (van belang bij ontslag van werknemer)
• Bewaartermijn

Specifieke cases - Camerabewaking
Geregeld door CAO nr.68 voor private sector <-> Camerawet
Bevestiging principes privacywetgeving
Enkel toegelaten voor volgende doeleinden (finaliteitsprincipe):
• Veiligheid en gezondheid
• Bescherming van goederen van de onderneming
• Controle productieproces (zowel machines als mensen)
• Controle van de arbeid van de werknemer
Voortdurende vs. Tijdelijke camerabewaking
Proportionaliteitsprincipe

Specifieke cases - Camerabewaking
Informatieverplichting t.a.v. werknemers (doel, bewaring van de gegevens, aantal en de plaatsing, periode van
functionering)
en t.a.v. ondernemingsraad/Comité Preventie en bescherming/vakbondsafgevaardigde/werknemers
Niet goedkeuring, enkel informatie verschaffen
Aangifte Camerabewaking onder bestaande privacywetgeving <-> GDPR
Waarborgen rechten betrokkenen (recht van inzage, toegang,..)
Wat bij dubbel gebruik?

Specifieke cases – Geo lokalisatie
Lokalisatie van dienstvoertuigen van werknemers => verwerking van persoonsgegevens
Advies Privacycommissie (nr. 12/2005):
• Finaliteit
• Proportionaliteit
• Transparantie
• Toelaatbaarheid
Aangifte Privacycommissie <-> GDPR

Specifieke cases –
Monitoring Internet en e-mail
Werkgever heeft recht op controle
<-> Werknemer heeft recht op privacy
=> CAO nr. 81
Principes?
• Finaliteit
• Proportionaliteit
• Transparantie

Specifieke cases – Monitoring Internet en e-mail
Finaliteit:
• het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden
of de waardigheid van een andere persoon kunnen schaden;
• de bescherming van de economische, handels- en financiële belangen van de onderneming die
vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken;
• de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de
onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de
fysieke bescherming van de installaties van de onderneming
• het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het
gebruik van on-linetechnologieën.

• Proportionaliteit:
Geen inmenging in persoonlijke levenssfeer werknemer
Indien toch noodzakelijk? Inmenging tot een minimum beperken

• Transparantie
Ondernemingsraad, Comité Preventie en Bescherming, vakbondsafgevaardigde, werknemers inlichten
Geen toestemming vragen, wel informeren over…
… de nagestreefde doelstelling(en); het feit of persoonsgegevens al dan niet worden bewaard, de plaats
en de duur van bewaring; het al dan niet permanente karakter van de controle
Ook in arbeidsreglement opnemen! (individuele informatie werknemer)

Rechtsbescherming en toezicht

Commissie voor bescherming Persoonlijk Levenssfeer (federaal)
• Ressorteert onder de Kamer
• Adviezen/aanbevelingen/Klachtenbehandeling (als bemiddelaar)
• Sectorale comités
Vlaamse Toezichtscommissie
• Adviezen/aanbevelingen/Klachtenbehandeling
 Hervorming van toezicht door GDPR
<-> harmonisatie (elke lidstaat heeft eigen DPA)

Hervorming CBPL naar Gegevensbeschermingsautoriteit mét tanden
Bestaande uit 6 organen
Middelen en personeel verleend door Kamer
Bevoegdheden:
• Verstrekken van informatie/advies
• Begeleiding Verwerkingsverantwoordelijken en verwerkers
• Controle NIEUW
• Sancties opleggen (variërend va waarschuwing tot boete) NIEUW
=> Vgl. Mededingingautoriteit
European Data Protection Board

Bron: Presscenter.org

Zéér ruime bevoegdheden GBA: NIEUW
- Seponeren,
- Overmaken aan parket
- Waarschuwing formuleren
- Bevelen dat verwerking tijdelijk wordt opgeschort
- Bevelen dat verwerking in overeenstemming wordt gebracht
- Bevelen dat betrokkene wordt geïnformeerd over het veiligheidsprobleem
- Dwangsommen opleggen
- Dossier doorsturen naar andere GBA

Ook: Administratieve geldboete opleggen NIEUW
Rekening houden met:
• Aard, ernst en duur van de inbreuk
• Opzettelijk of nalatigheid?
• Genomen maatregelen om de schade te beperken
• Eerdere inbreuken
• Mate van samenwerking?
• …

Hoogte van de administratieve boete:
Variërend van 10mio EUR of voor een onderneming tot 2% van de totale wereldwijde omzet voor
volgende inbreuken:
• Verwerking van persoonsgegevens -16jarige zonder toestemming van de ouders
• Niet naleving principes privacy by default/by design
• Beroep doen op een verwerker die niet compliant is en/of geen geschreven overeenkomst
hebben
• Geen register voor de verwerking bijhouden
• Geen passende technische en organisatorische beveiligingsmaatregelen nemen
• …..

Hoogte van de boete:
… tot 20mio EUR of 4% van de totale wereldwijde omzet voor volgende inbreuken:
• Verwerking van persoonsgegevens zonder toestemming
• Niet waarborgen van de rechten van de betrokkene
• Doorgifte van persoonsgegevens buiten de EER zonder passende waarborgen
• Niet-naleving van een bevel van de DPA tot tijdelijke/definitieve opschorting van
gegevensstromen
• …

Onverminderd toegang tot burgerlijke rechter bij inbreuken!
Indien klacht niet wordt behandeld of indien niet akkoord met beslissing van DPA
Indien betrokkene of andere onderneming schade lijdt
Ruime interpretatie van “schade”
Aansprakelijkheid verantwoordelijke verwerking en soms ook verwerker
Niet te vergeten: persoonlijke aansprakelijkheid bestuurders

Wat wij doen…
15 & 30 november
15 & 29 januari
15 & 28 februari
15 & 30 maart
Dubbele workshops kleine groepen (max 20 deelnemers)
Op basis van self assessment audit template www.start2gdpr.be
Eerste sessie = infosessie 795 euro excl. BTW
Tweede sessie = feedback en advies workshop Kortingscode 15% “Infotopics1011”
15+ standaarddocumenten inbegrepen

Infotopics GDPR seminarie by Sirius Legal

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Infotopics GDPR seminarie by Sirius Legal

Ähnlich wie Infotopics GDPR seminarie by Sirius Legal (20)

Mehr von Bart Van Den Brande

Mehr von Bart Van Den Brande (20)

Infotopics GDPR seminarie by Sirius Legal