GDPR voor techies. Intro tot de GDPR vanuit het standpunt van de ITer evaluatie na een jaar, voorbeelden

1. GDPR FOR NERDS
A NOT SO BORING (?) INTRO TO THE GDPR

2. WHOAMI
FRANK LOUWERS
@FRANK_BE
VORIG LEVEN: MANAGED HOSTING
FREELANCE CONSULTANT
STARTUP: GDPR-BUTLER.EU

3. DIGSP !
IBGA!

4. AGENDA
AGENDA
▸ GDPR …
▸ … for nerds
▸ Voorbeelden hoe het moet en niet moet
▸ België vs Buitenland
▸ Q & A

5. GDPR FOR NERDS

6. GDPR … (SAAI, MAAR NODIG)
GDPR
▸ General
▸ Data
▸ Protection
▸ Regulation

7. GDPR …
GENERAL
▸ Van toepassing op verwerkers binnen Europa.
▸ voor alle persoonsgegevens die ze verwerken
▸ onafhankelijk van staatsburgerschap van de betrokkene
▸ Ook van toepassing op verwerkers buiten Europa:
▸ voor alle persoonsgegevens die ze verwerken
▸ van EU inwoners

8. GDPR …
DATA - PERSOONSGEGEVENS
▸ alle informatie over een
▸ geïdentificeerde of identificeerbare natuurlijke persoon (“de
betrokkene”).
▸ Een identificeerbare persoon is iemand die direct of indirect kan worden
geïdentificeerd, aan de hand van een identificator zoals een naam, een
identificatienummer, locatiegegevens, een online identificator of van
een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of sociale
identiteit van die natuurlijke persoon.

9. GDPR …
PROTECTION - BESCHERMING VAN DE RECHTEN VAN DE BETROKKENE
‣ Verwerking moet rechtmatig, behoorlijk (“fairly”) en transparant
‣ Voor een bepaald, wel-omschreven doel
‣ Minimale gegevensverwerking
‣ Juist en up-to-date
‣ Opslagbeperking
‣ Technische of organisatorische maatregelen (integriteit en vertrouwelijkheid)
‣ Verantwoordingsplicht en aantoonbaarheid

10. GDPR …
REGULATION - VERORDENING
▸ EU “verordening”
▸ Europese wet zonder dat dit omgezet moet worden in lokale wetgeving
▸ Meeste landen intussen wel omgezet voor lands-eigen uitbreidingen
▸ Alle EU lidstaten
▸ Sinds 25 Mei 2018

11. DWHSS!
TVEQ

12. IS DE GDPR VAN TOEPASSING
OP EEN US BANK DIE REKENINGEN
AANBIEDT AAN US EXPATS IN DE EU?
SCOPE

13. IS DE GDPR VAN TOEPASSING
OP EEN US BANK DIE REKENINGEN
AANBIEDT AAN US EXPATS IN DE EU?
SCOPE
JA!

14. IS DE GDPR VAN TOEPASSING OP
FACEBOOK IERLAND, VERWERKING
VAN EEN JAPANS INWONER?
SCOPE

15. IS DE GDPR VAN TOEPASSING OP
FACEBOOK IERLAND, VERWERKING
VAN EEN JAPANS INWONER?
SCOPE
JA!

16. “PERSOONSGEVENS” BETEKENT PII
DATA?

17. “PERSOONSGEVENS” BETEKENT PII
DATA?
NEE!

18. DATA
PERSOONSGEGEVENS
“De lichtjes grijzende man met een bril
op de LOADays conferentie 2018 met
een hemd dat op het oude Slack logo
lijkt”
‣ Geen PII (afhankelijk van land)
‣ Maar het zijn persoonsgegevens
Sorry Toshaan!

19. IK HEB TOESTEMMING NODIG OM
PERSOONSGEGEVENS TE VERWERKEN
RECHTMATIGE VERWERKING

20. IK HEB TOESTEMMING NODIG OM
PERSOONSGEGEVENS TE VERWERKEN
RECHTMATIGE VERWERKING
NEE!

21. RECHTMATIGE VERWERKING
RECHTMATIGE VERWERKING: TOESTEMMING
▸ Toestemming
▸ Vrij gegeven,
▸ specifieke,
▸ geïnformeerde,
▸ ondubbelzinnige wilsuiting.
▸ Verklaring of ondubbelzinnige actieve handeling

22. RECHTMATIGE VERWERKING
RECHTMATIGE VERWERKING
▸ Toestemming
▸ Uitvoering voor een contract
▸ Wettelijke verplichting
▸ Vitale belangen (vergeet deze …)
▸ Taak van van algemeen belang of openbare orde (vergeet deze …)
▸ Gerechtvaardigde belangen (intra-group transfers, IT security, fraude-
preventie, direct marketing …)

23. IK HEB EEN ABSOLUUT RECHT
OM VERGETEN TE WORDEN
RECHTEN …

24. IK HEB EEN ABSOLUUT RECHT
OM VERGETEN TE WORDEN
RECHTEN …
NEE*!

25. IK HEB EEN ABSOLUUT RECHT
OM VERGETEN TE WORDEN
RECHTEN …
NEE*!
*: it depends

26. RECHTEN OM VERGETEN TE WORDEN
HET RECHT OM VERGETEN TE WORDEN MOET GE-EERBIEDIGD WORDEN… TENZIJ JE NIET KAN
▸ Andere verplichtingen hebben voorrang:
▸ Uitoefenen van het recht op vrijheid van meningsuiting en informatie
▸ Contract
▸ Wettelijke verplichting
▸ Vitale belangen en volksgezondheid
▸ Algemeen belang
▸ Rechtsvordering
▸ (Gerechtvaardigde belangen, maar let op hiermee)

27. RECHTEN
ANDERE RECHTEN…
▸ Transparante informatie
▸ Recht van inzage (“Subject Access Request” or SAR)
▸ Recht op rectificatie
▸ Recht op verwerkingsbeperking (bij betwisting, rechtsvordering, …)
▸ Recht van bezwaar
▸ Recht op data-overdraagbaarheid

28. MIJN ORGANISATIE HEEFT EEN
DPO NODIG
DPO…

29. MIJN ORGANISATIE HEEFT EEN
DPO NODIG
DPO…
NEE*!

30. MIJN ORGANISATIE HEEFT EEN
DPO NODIG
DPO…
NEE*!
*: it depends

31. DPO
WANNEER HEB JE EEN DPO (FUNCTIONARIS VOOR GEGEVENSBESCHERMING) NODIG?
▸ Overheid! Zelfs een kleine, behalve rechtbanken
▸ Hoofdactiviteit: verwerking die vanwege aard, omvang of doeleinden
een regelmatige en stelselmatige observatie op grote schaal vereisen
▸ Hoofdactiviteit: grootschalige verwerking van “gevoelige gegevens”

32. DPO
GEVOELIGE GEGEVENS
▸ Gegevens over een betrokkene’s:
▸ Gezondheid
▸ Genetische eigenschappen
▸ Biometrische eigenschappen
▸ Seksuele voorkeuren, oriëntatie of gegevens over seks-leven
▸ Politieke, religieuze of filosofische overtuigingen
▸ Lidmaatschap vakbond (!)
▸ Veroordelingen en strafbare feiten

33. DPO EN GEB
GEGEVENSBESCHERMINGSEFFECTBEOORDELING (GEB)
▸ DPIA: Data Protection Impact Assessment
▸ Wanneer “Nieuwe technologieën” + aard/omvang/context/doelen hoog
risico inhouden
▸ Profiling
▸ Grootschalige verwerking bijzondere gegevens
▸ Stelselmatige grootschalige monitoring van openbaar toegankelijke
ruimten

34. DPO EN GEB
GEB: UITBREIDING BELGISCHE GBA
▸ Biometrische gegevens met oog op identificatie in publiek toegankelijke ruimten
▸ Gezondheidsinfo bij “slimme implant”
▸ Systematische uitwisseling van gevoelige data (uitgebreid naar armoede, jeugdzorg,
locatiegegevens, …) tussen meerdere verantwoordelijken
▸ IoT als gebruikt om economische situatie, gezondheid, voorkeuren, verplaatsingen te
analyseren of voorspellen.
▸ (Meta-)data van telefonie, netwerk, wifi-tracking wanneer niet strikt nodig voor door
betrokkene gevraagde dienst
▸ Verwerking kijk-, luister-, surf-, klik- of aankoopgedrag

35. GDPR FOR NERDS

36. HOE GDPR COMPLIANT
WORDEN?

37. GDPR
CERTIFICATIE …
CERTIFICATIE…

38. GDPR
CERTIFICATIE …
CERTIFICATIE…
NEE*!

39. GDPR
CERTIFICATIE …
CERTIFICATIE…
NEE*!
*: nog niet!

40. GDPR
CODE OF CONDUCT …
CERTIFICATIE…

41. GDPR
CODE OF CONDUCT …
CERTIFICATIE…
NEE*!

42. GDPR
CODE OF CONDUCT …
CERTIFICATIE…
NEE*!
*: nog niet!

43. ISO 27001 CERTIFIED
CERTIFICATIE…

44. ISO 27001 CERTIFIED
CERTIFICATIE…
NEE*!

45. ISO 27001 CERTIFIED
CERTIFICATIE…
NEE*!
*: maar het helpt

46. IN ORDE MET DE GDPR IN VIJF STAPPEN
GDPR COMPLIANT?
1. Breng de informatiestromen in kaart
▸ Vereiste (zelfs voor KMOs): “Register” van verwerkingsactiviteiten (bv gdpr-butler.eu)
▸ Waarom / Wiens / Welke / Wat / Wanneer / Waar
2. Denk na over veiligheid en privacy in je systemen: (“risico analyse”)
‣ Voldoende beveiliging (encryptie, toegangscontrole, …)
‣ “Privacy by design”: bv. dev-DB bevat geen echte data
‣ “Privacy by default”. Standaard instellingen in je applicatie
‣ ISO 27001 kan een guideline zijn, maar wordt nergens in de GDPR vernoemd

47. IN ORDE MET DE GDPR IN VIJF STAPPEN
GDPR COMPLIANT?
3. Wees transparant en eerlijk
‣ Privacy policy
‣ Verplicht: logboek van data-lekken en incidenten (gdpr-butler.eu)
‣ Heb een nood-plan klaar (vraag is niet of maar wanneer)
‣ Heb een procedure voor SAR afhandeling klaar (Subject Access Requests)
4. Derden die gegevens voor je verwerken (of omgekeerd)? Contract nodig!!

48. IN ORDE MET DE GDPR IN VIJF STAPPEN
GDPR COMPLIANT?
5. Open je favoriete teken tool, maak een mooi “GDPR Certified” logo,
kader het in, hang het op in je kantoor en vraag een loonsverhoging!

49. VERWERKINGSVERANTWOORDELIJKEN, VERWERKERS, EN ALLES ERNAAST
PROCESSORS EN CONTROLLERS
‣ Controller (verwerkingsverantwoordelijke): diegene die de gegevens
“controleert” (bezit)
‣ Processor (verwerker): “verwerkt” de gegevens in opdracht van een
controller
‣ Sub-Processor: processor voor een processor

50. VERWERKINGSVERANTWOORDELIJKEN, VERWERKERS, EN ALLES ERNAAST
PROCESSORS EN CONTROLLERS: VERDUIDELIJKING BELGISCHE GBA
‣ Voor iedere verwerking:
1. Wie bepaalt doel van de verwerking?
2. Wie kiest de middelen om dit doel te verwezenlijken?
‣ Geen enkele invloed? Geen verwerkingsverantwoordelijke (Controller)
‣ Context
‣ Belangrijk voor IT: Controller kan bepalen van de middelen delegeren aan
processor, zonder dat die laatste controller wordt!
‣ Op voorwaarde dat dit enkel slaat op technische en organisatorische kwesties

51. VERWERKINGSVERANTWOORDELIJKEN, VERWERKERS, EN ALLES ERNAAST
CONTRACTEN
‣ Een contract tussen een controller en processor is altijd nodig
‣ Vaak kan heel veel (alles?) opgenomen worden in algemene voorwaarden,
standaard contract, …
‣ Belangrijk: gedeelde verantwoordelijkheid, kan niet 100% naar één partij
geduwd worden!
‣ Processor mag sub-processors gebruiken, maar moet ze benoemen:
‣ “It depends”: soms is een algemene omschrijving genoeg
‣ In theorie mag een controller een nieuwe sub-processor weigeren

52. VERWERKINGSVERANTWOORDELIJKEN, VERWERKERS, EN ALLES ERNAAST
WAT IS VERWERKING?
“een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens of een geheel van persoonsgegevens,
al dan niet uitgevoerd via geautomatiseerde procedés,
zoals het verzamelen, vastleggen, ordenen, structureren, opslaan,
bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door
middel van doorzending, verspreiden of op andere wijze ter beschikking
stellen, aligneren of combineren, afschermen, wissen of vernietigen van
gegevens”

53. VERWERKINGSVERANTWOORDELIJKEN, VERWERKERS, EN ALLES ERNAAST
WAT IS VERWERKING?
‣ Hosting? Ja
‣ Backup diensten? Ja, tenzij de klant het versleutelt vóór jouw tussenkomst
‣ Read-Only toegang op een analytics account met doel website te optimaliseren? Ja
‣ Admin/root-toegang op een storage server van je klant? Ja
‣ Toegang tot je klant’s VPN router? Ja
‣ Onderhoudsfirma van een Multi-functional printer/scanner met hard-disk? …
➡ Mijn advies in 2018: Bij twijfel: JA
➡ Mijn advies in 2019: Bij twijfel: JA
Ik verwacht hierin wel nog uitspraken van het Europees hof van Justitie

54. IK MAG ENKEL SERVERS IN DE EU
GEBRUIKEN?
WAAR STAAN MIJN SERVERS?

55. IK MAG ENKEL SERVERS IN DE EU
GEBRUIKEN?
WAAR STAAN MIJN SERVERS?
NEE*!

56. IK MAG ENKEL SERVERS IN DE EU
GEBRUIKEN?
WAAR STAAN MIJN SERVERS?
NEE*!
*: maar het maakt sommige zaken eenvoudiger

57. WAAR STAAN DE SERVERS?
WAAR STAAN DE SERVERS?
‣ Basis-principe: verwerking in de EER (EU + IJsland + Noorwegen + Lichtenstein), tenzij:
‣ Lijst van landen die “adequate bescherming” bieden:
‣ USA als verwerker onder Privacy Shield valt
‣ Grootste deel van Canada
‣ Andorra, Zwitserland, Argentinië, Israel, Nieuw-Zealand, Japan, Uruguay, …
‣ Onderhandelingen lopen met Zuid-Korea
‣ “Standard clauses”: model-contract tussen controller en processor opgesteld door de EU
‣ Binding Corporate Rules: doorgifte binnen een internationale groep van bedrijven

58. VANAF 2019 HEB IK EXTRA
CONTRACTEN NODIG MET DE UK
WAAR STAAN MIJN SERVERS?

59. VANAF 2019 HEB IK EXTRA
CONTRACTEN NODIG MET DE UK
WAAR STAAN MIJN SERVERS?
NEE!

60. VANAF 2019 HEB IK EXTRA
CONTRACTEN NODIG MET DE UK
WAAR STAAN MIJN SERVERS?
NEE!JA!

61. ELK DATA VERLIES MOET GEMELD
WORDEN
PAPA DON’T BREACH …

62. ELK DATA VERLIES MOET GEMELD
WORDEN
PAPA DON’T BREACH …
NEE*!

63. ELK DATA VERLIES MOET GEMELD
WORDEN
PAPA DON’T BREACH …
NEE*!
*: it depends

64. IK GA EEN BOETE KRIJGEN BIJ EEN
DATA BREACH
PAPA DON’T BREACH …

65. IK GA EEN BOETE KRIJGEN BIJ EEN
DATA BREACH
PAPA DON’T BREACH …
NEE*!

66. IK GA EEN BOETE KRIJGEN BIJ EEN
DATA BREACH
PAPA DON’T BREACH …
NEE*!
*: it depends

67. PAPA DON’T DATA-BREACH …
DATA BREACHES
▸ Elke data-verlies (“inbreuk”) moet in een register opgeslagen worden
▸ Verlies houdt risico in voor rechten en vrijheden van natuurlijke
personen?
➡ meldingsplicht binnen 72 hours na ontdekking lek aan toezichtshouder
▸ Verlies houdt waarschijnlijk een hoog risico in?
➡ meldingsplicht aan betrokkene zelf (coördinatie toezichtshouder)
▸ Je krijgt geen boete enkel en alleen omdat je een lek hebt!
▸ Advies: “Tell it all, tell it fast, tell the truth”

68. VOORBEELDEN

69. VOORBEELDEN
ANTIVIRUS, DATA LOSS PREVENTION, … IN BEDRIJFSOMGEVING
▸ NIET: op basis van consent
▸ Niet “vrij gegeven”, want machtsverhouding
▸ WEL
▸ Basis: “gerechtvaardigd belang”
▸ Informeren (arbeidsreglement, policy die uitlegt wat, hoe en vooral waarom)
▸ Opletten met:
▸ Informeren, informeren, informeren
▸ Cloud-diensten: welke data gaat naar buiten, naar waar gaat het, en heb ik contracten?

70. Bezoek professionele beurs:
‣ Verplicht: “als ik mijn badge laat
scannen, mogen ze me eenmalig
contacteren”
‣ Duidelijke informatie
‣ Bewuste actie (“ik laat mijn
badge scannen aan een stand”)
‣ Optioneel: Als ze scannen,
mogen ze me inschrijven op hun
nieuwsbrief
‣ Privacy by default

71. Antwerpen Autovrij
‣ Volgnummers in URL
‣ Sequentieel
‣ “privacy by design” niet gevolgd
‣ Reactie toezichts-houder?

72. Antwerpen Autovrij
‣ Volgnummers in URL
‣ Sequentieel
‣ “privacy by design” niet gevolgd
‣ Reactie toezichts-houder?

73. VOORBEELDEN
FOD FINANCIËN: NIEUWE LAYOUT BELASTINGEN
‣ Publieke enquête: A/B testing
‣ ECHTE belastings-betalers (naam, voornamen, adres, rijksregisternummer,
bedrag)
‣ gegevens zwart gemaakt, “layer” in PDF, copy paste toonde alles
‣ Probleem:
‣ Datalek betrokkenen
‣ Maar vooral: privacy by design??
‣ Wat doet een layout-er met echte brieven?

74. VOORBEELDEN
FOD FINANCIËN: REACTIE GBA

75. VOORBEELDEN
FOD FINANCIËN: REACTIE GBA

76. VOORBEELDEN
BELGISCHE GBA (EX-PRIVACY COMMISSIE)
‣ Jaar lang niet (deftig) gefunctioneerd
‣ Histoire à la Belge
‣ Voorzitter die geen voorzitter wil zijn
‣ Facebook of ook “kleinere” zaken?
‣ Advies en acties tot nu toe heb ik vragen bij…
‣ Durft niet. Amateuristisch. Gaat zelf in de fout (mail naar journalisten in To)
‣ Maar ook positief: Fisconet en Microsoft / …

77. VOORBEELDEN
BUITENLAND
‣ UK: verpleegster krijgt 800 GBP boete
‣ UK: GBP 40 000 voor marketingcampgne na fout advies van agency
‣ UK: GBP 80 000 voor To: mails ipv Bcc naar 56 mensen
‣ DE: 20 000 EUR voor datalek wachtwoorden in plain text
‣ PT: 400 000 EUR voor ziekenhuis waar werknemers valse profielen maakten
om aan data te kunnen
‣ NL: Belastingsdienst in gebreke gesteld voor gebruik rijksregisternummers
bij BTW nummers zelfstandigen

78. VOORBEELDEN
BUITENLAND

79. TOEKOMST
TOEKOMST: IK VERWACHT …
‣ Europees hof: uitspraken die richting gaan geven
‣ verwerking, controller vs processor
‣ security, voorzorgen, …
‣ US
‣ Alles staat of valt met Privacy Shield
‣ … en met Trump
‣ Brexit
‣ Harde Brexit vs EER
‣ Belgische GBA en haar relatie tot de politiek

80. 5DOTO…

81. 5DOTO
TE ONTHOUDEN VAN DEZE PRESENTATIE
▸ De GDPR is er, ook al is de Belgische GBA een puppie
▸ Alle “GDPR Certification” programma’s zijn bullsh*t
▸ Wees transparant, denk over datastromen en beveiliging
▸ Controller - Processor overeenkomsten
▸ Werk je in/voor een grotere organisatie? Plan voor data-breach en SARs

82. Q & A
@FRANK_BE
FRANK@LOUWERS.BE