1. Uniting Expertise,
Accelerating Ambitions
Uniting Expertise, Accelerating Ambitions
Big Data, Minute Privacy
BA4ALL Big Data & Analytics Insight 2016
Ester Verbylen – CC Legal Manager
Guy Van der Sande – CC BI Manager
2. USG Professionals
Main countries of operation:
Benelux, France, Germany
90.000 flex workers
at work every day
>40 years of experience
2.3 billion Eur
N°2 in the Netherlands and Belgium
11. Legislation?
• Current legislation goes back to the ‘90’s
– Implemented differently in the Member States
– New technologies
• Need for new legislation
– Discussions started in 2011
– General Data Protection Regulation (GDPR)
adopted in April 2016
– Will apply as from 25 May 2018
12. GDPR: what is new?
– Enforced rights of the data subject, e.g.:
• “the right to be forgotten”
• “right to data portability”
– Obligation to maintain a record of processing activities
• Exceptions e.g. enterprise < 250 persons
– Appointment of a data protection officer (DPO) in some cases
– Notification of data breaches
– Obligations for data processors (and not only for controllers)
– …
13. GDPR: why should I care?
• As from 25 May 2018:
– Data protection cases dealt with by a data protection authority
or a court
– One-stop shop for individuals and business
– Fines!
20 million OR 4% of global annual turnover
14. GDPR: What should I do before
25 May 2018?
• Gap analysis, e.g:
– Audit of the data currently being processed
– Do I have a clear overview of all data processing activities
performed by my business?
– Is a data protection impact assessment (DPIA) necessary?
– Do I need to appoint a DPO?
– Are there data subjects request response procedures in place?
– Do I have a data breach response plan (e.g. central breach
management unit)?
• Make staff aware and set up trainings
15. USG Data Protection Framework
We un-complicate your business by applying our USG DPF
USG DPF = Guidance of specialists, working according by a specific
set of guidelines, to assure compliancy to the European GDPR
• Perform the necessary GAP analysis
• Define the desired level of compliancy
• Setup a plan of action to implement the necessary actions to
get to this desired level
• Follow-up to ensure you remain compliant
16. References
• Text of the GDPR:
http://eur-lex.europa.eu/legal-
content/EN/TXT/?qid=1462353523271&uri=CELEX:32016R0679
• More information about the GDPR:
http://www.consilium.europa.eu/en/policies/data-protection-reform/
Guy Van der Sande
CC BI Manager
Guy.VanderSande@ext.usgprofessionals.be
@BICC_at_USG
Ester Verbylen
CC Legal Manager
Ester.Verbylen@usgprofessionals.be
Contactgegevens
http://www.forbes.com/sites#/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/
As Pole’s computers crawled through the data, he was able to identify about 25 products that, when analyzed together, allowed him to assign each shopper a “pregnancy prediction” score. More important, he could also estimate her due date to within a small window, so Target could send coupons timed to very specific stages of her pregnancy.
Then we started mixing in all these ads for things we knew pregnant women would never buy, so the baby ads looked random. We’d put an ad for a lawn mower next to diapers. We’d put a coupon for wineglasses next to infant clothes. That way, it looked like all the products were chosen by chance.
pretend like you know less than you do so as not to creep the person out.
http://www.oregonlive.com/today/index.ssf/2014/11/sex_the_single_girl_and_ubers.html
2012
https://gigaom.com/2012/03/26/uber-one-night-stands/
I say it’s not too scientific because Uber’s study is based on a hypothesis that it has all but deemed true from the get-go: “[A]nyone who took a ride between 10pm and 4am on a Friday or Saturday night, and then took a second ride from within 1/10th of a mile of the previous nights’ drop-off point 4-6 hours later (enough for a quick night’s sleep) [has engaged in a one-night stand].” But then Uber goes on to prove its hypothesis right, kind of.
Peek on birthday, taxs day
Drop on Valentine’s day
http:/
Er is een 21-jarige Britse man aangehouden in het onderzoek naar de grote hack bij Vtech, een ontwikkelaar van computers en online diensten voor kinderen.
Dat meldt de BBC dinsdag. De man wordt ervan verdacht ingebroken te hebben in een computer, aldus de Britse politie.
De politie laat weten dat het onderzoek nog in een vroeg stadium verkeert en dat er nog veel nader onderzoek moet worden verricht.
Eind november werd bekend dat Vtech was getroffen door een omvangrijke hack. Daarbij lekten de gegevens van ruim zes miljoen kinderen en bijna 5 miljoen ouders, waaronder de data van ruim 124.000 Nederlandse kinderen en meer dan 100.000 Nederlandse ouders. Die gegevens zijn, voor zover bekend, niet online gezet.
V-tech liet kort na de hack weten dat de beveiliging van de database te wensen overliet. De exacte omvang van de hack is nog onduidelijk. In ieder geval de namen, geslachten en geboortedata van de kinderen zijn gelekt. Van de ouders zijn ook de adressen, e-mailadressen, versleutelde wachtwoorden en ip-adressen gelekt.
/www.cnbc.com/2015/12/02/vtech-hack-data-of-64m-kids-exposed.html
Directive 95/46/EC
= richtlijn, dus elke lidstaat moest deze omzetten in nationale wetgeving (in België heb je de Privacywet van 1992 die werd aangepast aan de richtlijn)
Alle lidstaten hebben hun eigen manier van omzetten gehad, waardoor er verschillen per land zijn inzake privacywetgeving
Sinds de jaren ‘90 veel veranderd qua technologie (internet, gps, smartphone,…) en wetgeving was hier niet op voorzien
Vandaar nieuwe wetgeving op Europees niveau
Verordening: onmiddellijk van toepassing in de lidstaten, geen omzetting in nationale wetgeving vereist! Lidstaten moeten tegen 2018 wel nog bepaalde zaken in nationale wetgeving nader bepalen (bv. details over hoe de toezichthoudende autoriteit boetes kan opleggen).
Grounds for asking erasure (right to be forgotten):
the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
the data subject withdraws consent on which the processing is based and where there is no other legal ground for the processing of the data;
the data subject objects to the processing of personal data for profiling purposes and there are no overriding legitimate grounds for the processing;
the data have been unlawfully processed;
the data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;
the data have been collected in relation to the offering of information society services to children.
!Er bestaan uitzonderingen op, dus right to be forgotten is niet absoluut.
Data Portability :
mogelijkheid om de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden.
De GDPR voorziet in de verplichting om inbreuken op de verwerking van persoonsgegevens te melden aan de verantwoordelijke autoriteit, in de regel binnen 72u. Indien een hoog risico ivoor de rechten en vrijheden van natuurlijke personen: ook de betrokkene zelf verwittigen!
Data processors = verwerkers die in opdracht van de verantwoordelijke voor de verwerking (controllers) werken. Werden tot nu toe enkel via een contract met de verantwoordelijke aansprakelijk gehouden maar niet vanuit de wetgeving.
Vanaf mei 2018 zullen inbreuken op data protection veel efficiënter en effectiever worden aangepakt.
Niet alleen de rechtbanken, maar ook de toezichthoudende autoriteiten (in ons land: de privacycommissie) krijgen de mogelijkheid om boetes te geven.
leidende toezichthoudende autoriteit:
- Aangezien de wetgeving uniform zal zijn in de lidstaten en er een one-stop-shop principe geldt, zal een onderneming maar tov 1 toezichthoudende overheid verantwoording moeten afleggen:
= de toezichthoudende autoriteit van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker of van de ene vestiging van de verwerkingsverantwoordelijke of verwerker
One stop shop heeft ook het voordeel voor de business dat ze niet meer in elk land een aangifte voor verwerking van persoonsgegevens moeten doen zoals nu wel het geval is.
Ondernemingen moeten zich nu reeds verschillende vragen stellen om tegen 25 mei 2018 compliant te zijn met de nieuwe verordening.
Privacy by design (vanop de tekentafel rekening houden met privacy)
Privacy by default: alleen persoonsgegevens gebruiken die nodig zijn voor een welbepaald doeleinde, rekening houdend met
Hoeveelheid gegevens
Omvang van de verwerking
Bewaarduur
Toegankelijkheid
Niet by default toegankelijk voor iedereen
Privacyvriendelijke instellingen
USG kan daarbij helpen.
Wij ontzorgen onze klanten van de problematiek en zorgen dat ze complant zullen zijn met de wetgeving
Advies, zowel ICT als legal
GAP analysis (DP assessment ?)
Need for Uitvoeren van Data Protection Impact Assessments
Do I need to appoint a DPO
Training ?
25 mei 2018