Upload
bart-van-den-brande
View
271
Download
4
Embed Size (px)
Citation preview
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
In deze presentatie
Basisprincipes van privacyrecht en inleiding tot de GDPROverzicht van de nieuwe verplichtingen uit de GDPRTechnische implicaties van de GDPRVerloop van een implementatietraject in GDPR complianceContactgegevens Sirius Legal IT/IP/Media team
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
Basisprincipes van privacyrecht en inleiding tot de GDPR
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevensOp basis van Richtlijn 95/46/EG - Boek XII WER
Andere tijden…
Geen online marketingGeen “profiling”Geen “cookies”Geen “tracking”Geen “location based marketing”Geen “trigger based marketing”Geen e-commerceGeen social mediaMinder dan 1% van de EU-bevolking gebruikte internet in 1995…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
“Recht op privacy” >< verwerking van gegevens
Definitie van persoonsgegevens is zeer breed
Elk gegeven dat kan toelaten om een individu te identificeren
EHJ 2015: Ook IP adres
Ook browser history is persoonsgegevens, ook aankoopgedrag, voorkeuren, …
Plaatst verhaal big data in gevoelig daglicht
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Straight and simple:
Voorafgaande “Opt-in” vereist voor elke verwerking (uitzonderingen)
“Vrije en geïnformeerde” Opt-in
Overdracht van gegevens aan een 3de? = bijkomende Opt-in
Cfr. Analytics tools, apps, cookies, database enrichment door mailings en acties, …: altijd opt-in vereist
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Zowat alle info die we delen op social media zijn persoonsgegevens in de zin van de privacywetgeving
Let op, ook comments en meningen die achter gelaten worden in het kader van bvb Facebook wedstrijden, reacties op bedrijfspagina’s of product pages zijn in de meeste gevallen persoonsgegevens
Bovendien: auteursrecht (in sommige gevallen)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Rechten van de betrokkene
Recht om zich te verzetten tegen de verwerking van gegevensRecht op toegang en verbeteringRecht om zich te verzetten tegen toekomstige verwerkingRecht op informatie(via de privacy policy)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Recht van verzet
Recht is niet absoluutUitzondering verwerking voor artistieke en journalistieke doeleinden (vb. Online persarchieven, niet reclame)
Actiemogelijkheden
klacht PrivacycommissieStakingsprocedure (Voorz. Rb 1ste Aanleg Brussel, 9 oktober 2012)Procedure ten gronde (Rb 1ste Aanleg Neufchâteau, 25 januari 2013)aansprakelijkheid zoekmachine? (CJUE C - 131/12 Google Spanje / AEPD & Gonzalez)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Recht op toegang en verbetering
Max Schrems v. FacebookX v. het Waals Gewest (Cass. 14 februari 2013)Model klachtbrieven op www.privacycommission.be/nl
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Plichten verwerken
InformerenOpt-in bekomenDatabase beveiligenAanmelden bij privacycommissieGeen doorgifte aan derden zonder aparte opt-inGeen export database buiten EU, tenzij onder strenge voorwaardenVerwijderen, verbeteren, toegang verschaffen, …
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Boetes tot 500.000 euroDe grote vissen ontsnappen tot op heden al te vaakWeinig boetes, weinig controle
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
In praktijk bijzonder veel inbreuken
Data collection zonder opt-in (data crawling, cookies, uitwisseling derden, big data, …)Databases niet aangemeldDoorgifte aan derden zonder toestemmingNiet verwijderen data…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsPrivacyrecht vandaag
Aanleiding tot GDPR/AVGB
Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve ontwikkelingenFacebook en Twitter bestonden niet in 1995Internet of ThingsBig data & profiling op grote schaalTrigger based, location based, …Veelheid aan devices, opkomst van appsCloud toepassingenDronesPrivacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287 van eind mei 2016)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
Concrete aanleidingen
Location based / Server based principe is niet meer realistisch in Cloud omgeving en global economy28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28 interpretatiesBelemmert eengemaakte markt
Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig technische profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …
Forum shopping (alle grote internet service providers zitten in Ierland…)
Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
DG Justice in handen van Viviane Reding vanaf 201025 januari 2012 GDPR/AVGB aangekondigdEerste ontwerptekst EP op 21 oktober 2013Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland)Zware lobby (cfr. “affaire Michel”)Impact van civil rights (via LIBE committee) grootAfgezwakt in laatste instantie door DM sectorAkkoord in Europese Raad op 15 juni 2015Vanaf dan tot eind 2015 3X overleg tussen EP, EC en RaadUiteindelijk akkoord in december 2015Goedgekeurd in april 2015Inwerkingtreding 1 mei 2018
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
Privacy
Voor alle diensten aangeboden in EU (ook gratis)Personal data = ook online identifiers, “pseudonymous data”Expliciete opt-in of “gerechtvaardigde redenen voor verwerking”Informatieplicht (icons)Recht om profiling te weigerenRight to be forgottenData breach plichten“Data protection by design”“Data protection officer” Instemming van ouders voor minderjarigenSancties: tot 4% van jaarlijkse omzet of 20 mio euro
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
In werking op 28 mei 2018Géén overgangsperiode
Privacycommissie zal (zeer hoge) boetes kunnen opleggen
Elk bedrijf dat data in handen heeft moet zich in regel stellen+ zal van zijn leveranciers, onderaannemers te… verwachten dat zij in regel zijn
Beursgenoteerde bedrijven, banken, financiële instellingen, gereguleerde sectoren nemen voortouw
GDPR compliance is onvermijdelijk
Bedrijven kunnen best GDPR compliance zien als asset ipv als risico of last…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
GDPR compliance is onvermijdelijk voor elk bedrijf dat data verwerkt
De facto verwerkt ELK bedrijf beschermde persoonsgegevens:
HR afdeling houdt personeelsgegevensProcurement houdt data over leveranciersSales en marketing houden data over klanten en prospectsAccounting houden gegevens over alle lagen van bedrijf heen
Al deze data bevat potentieel beschermde persoonsgegevens, waardoor GDPR compliance verplicht wordt
+ GDPR compliance wordt vereiste voor wie data van derden verwerkt, gebruikt of aanstuurt (reclamebureaus, softwareleveranciers, webplatformen, …)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
GDPR kadert in bredere aanpak vanuit EU voor ganse digitale maatschappij
NIS richtlijn, PNR richtlijn, …
Doel van EU in digitale omgeving = “Digital Single Market” (e-commerce en online diensten
Eén eengemaakte digitale markt doorheen ganse EUZonder hinderpalen voor consumenten en verkopersOp basis van duidelijke regels die gelijk zijn voor iedereen
Betere toegang tot online goederen en diensten voor consumentenMeer consumentenvertrouwen in (cross border) online aankopenLagere kosten voor cross border verkopen (lagere transactiekosten, lagere leveringskost)Wegnemen van discriminatie op basis van nationaliteit of verblijfplaats Uniforme regels in ganse EU in belang van consument én online verkoper
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje
Digital Single Market Pakket mei 2016
Mei 2015 “Roadmap” bekendgemaakt
Timing 2015 – 2016 eerste ontwerpen van richtlijn en verordeningAfgelopen jaar liep het wetgevend traject binnen instellingen: meeste ontwerpen zitten bij EP nu Definitieve teksten…? Bedoeling EC blijft om in 2018 DSM-vernieuwingen af te ronden
Zeer intensieve lobby en follow up bij EU (Sirius Legal als lid van Emota & Fedma)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje
Ontwerp Richtlijn aangaande contracten voor de levering van fysieke goederenOntwerp Richtlijn aangaande contracten voor de levering van digitale dienstenOntwerp Verordening aangaande Geoblocking en discriminatie obv verblijfplaats of nationaliteitOntwerp Verordening aangaande de samenwerking tussen nationale overheden bij het afdwingen van consumentenbeschermingOntwerp Verordening aangaande cross border pakketleveringsdienstenePrivacyverordeningVerordening BTW op levering van goederen via MOSSAanpassing aan TelecomregelgevingAanpassing Richtlijn Audiovisuele MediadienstenCreatie “Europese cloud” en initiatieven rond data ownership in EUVereenvoudiging BTW-regels (eind 2016)…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje
Ontwerp Richtlijn aangaande contracten voor de levering van fysieke goederenOntwerp Richtlijn aangaande contracten voor de levering van digitale dienstenOntwerp Verordening aangaande Geoblocking en discriminatie obv verblijfplaats of nationaliteitOntwerp Verordening aangaande de samenwerking tussen nationale overheden bij het afdwingen van consumentenbeschermingOntwerp Verordening aangaande cross border pakketleveringsdienstenePrivacyverordeningVerordening BTW op levering van goederen via MOSSAanpassing aan TelecomregelgevingAanpassing Richtlijn Audiovisuele MediadienstenCreatie “Europese cloud” en initiatieven rond data ownership in EUVereenvoudiging BTW-regels (eind 2016)…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation
Aanvulling op GDPR met aantal materies die daar niet behandeld zijn, maar wel “privacy” raken
CookiesDirect marketingTelemarketingVertrouwelijkheid van e-mail communicatie
Eerste ontwerp begin 2017 bekend gemaaktNog relatief lange weg tot definitieve tekstEerst als richtlijn aangekondigd, nu uiteindelijk verordeningWeinig wijzigingen aan dit ontwerp te verwachten vooralsnog
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation
Cookies
Gezond verstand lijkt te zullen zegevieren
Expliciete toestemming van eindgebruiker voor plaatsen cookies wordt/blijft principeBlijft ook gelden voor alle andere technieken, zoals fingerprintingGebruik van cookies vereist “duidelijke en specifieke reden”“Eindgebruiker” lijkt ook op B2B te slaan…
Toestemming moet NIET meer via pop up bannerEU beseft dat deze enkel tot frustratie leiden voor alle partijenToestemming kan louter via browser settings van gebruikerVereist uitbreiding mogelijkheden browser settingsPrivacy by default / privacy by design
Ontwerp voorziet (beperkte) uitzonderingen op vereiste toestemmingAls beperkte impact op privacy (sessiecookies of bvb analytics cookies)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation
Direct marketing
Weinig wijzigingen tav op heden in België geldende regels
Opt-in blijft principeUitzondering voor bestaande klanten blijft bestaan (mits voorafgaande informatie aan klant)Opt-out recht blijft verplicht en opt-out mogelijkheid onderaan mail blijft in voege
Direct marketing moet steeds als dusdanig herkenbaar zijn (is al zo onder WER)
Regels gelden ook voor politieke partijen en non-profitsector
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation
Telemarketing
Versterking van de rechten van de consument
Consument krijgt recht om inkomende gesprekken van anonieme nummers Of van bepaalde nummers te blokkeren
Telemarketeers mogen geen anonieme nummers meer gebruiken en zullen vaste prefixen of nummerplannen moeten hanteren om herkenbaar te zijn
Regels komen bovenop bel-me-niet-meer in België
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsHet bredere plaatje: ePrivacy Regulation
Timing en boetes
Bedoeling is inwerkingtreding samen met GDPRMaar dit is slechts eerste ontwerpTiming wordt moeilijk
Boetes gelijkaardig aan GDPRTot 20 mio euroOf 4% van wereldwijde jaaromzet
Van toepassing op iedereen die diensten aanbiedt in EU
Be prepared…
Belangrijkste artikels (cfr. profiling = high risk processing)Boetes tot 20 mio euroBoetes tot 4% van wereldwijde omzet
Hervorming van Privacycommissie zal leiden tot effectieve controlesLevel playing field in EU zal leiden tot (strenge) controles op niveau van buurlanden
+ schadevergoeding voor betrokkenen
GDPR is niet alleen risico, maar opportuniteit (compliancy als sales argument)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
Gespecialiseerd en ervaren advocatenkantoorI.s.m. bekwame IT
specialistenPrivacyConnected
VUB/iMinds
Vrijblijvende intakegesprek met eerste analyse
Offerte op maat voor uw bedrijf op basis van 4 pijlers
(Legal, HR, IT enBusiness processen)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsGDPR compliance traject i.s.m. Sirius Legal
Overzicht van de nieuwe verplichtingen uit de GDPR
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Oude wijn in nieuwe zakken !
Bijv.: “toereikend, terzake dienend en niet overmatig” > “privacy by default” & “data minimization”“beveiliging” > versleuteling en melding datalekken
Rode draad: - Geen “function creep”- Sterke focus op verantwoordingsplicht
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Verdwijnt: de voorafgaande aangifteplicht bij de Privacycommissie
Blijft en/of breidt uit: - Kwaliteitszorg- Informatieverplichting- Rechten van betrokkenen- Beveiliging- Verwijdering
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Nieuw: - Design & default- Doorlichting, assessment, advies en register- Meldingsplicht datalekken- Rapportering- DPO?
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Kwaliteitszorg (art. 5 AVG)
- Rechtmatigheid, behoorlijkheid en transparantie- Doelbinding- Minimalisatie- Juistheid- Opslagbeperking- Integriteit en vertrouwelijkheid
--> Verantwoordingsplicht!!
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Privacy by design (art. 25 AVG)
“Privacy” centraal van bij het begin!
Aandacht bij uitdenken en uitrollen van nieuwe producten of diensten:
- Privacy Enhancing Technologies- Dataminimalisatie
“Rekening houdend met…” / “passende maatregelen”
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Privacy by default (art. 25 AVG)
“Privacy” is dé standaard!
Bij keuze > steeds de meest privacyvriendelijke optie
Dus: fabrieksinstellingen, vriendelijke policy, geen verstopte bedoelingen, geen “function creep”, data minimalisatie,…
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Data Protection Officer (art. 37 AVG)
Enkel verplicht voor overheden, stelselmatige observatie en gevoelige gegevens
Taken: interne voorlichting, toezicht, evaluatie effecten en aanspreekpuntWie: intern of extern?
Mee betrekken van bij het begin! (effectenbeoordeling - autoriteit)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Evaluatie, effectenbeoordeling en raadpleging (art. 35-36 AVG)
Hoog risico op schending privacyrechten?> alleszins bij profiling, gevoelige gegevens en monitoring
Rapport: noodzaak, risicobeoordeling en maatregelen, advies DPO, advies autoriteit
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Beveiliging (art. 32 AVG)
Interpretatie: Passende maatregelen, afhankelijk van het risico en rekening houdend met techniek, kosten, aard, omvang, context,…
Bijv.: pseudonimisering, tokenisering, encryptie, fire drills,…
Zie verder ook: meldingsplicht datalekken
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Register (art. 30 AVG)
met informatie over alle datastromen in de onderneming: verantwoordelijke, doeleinden, data en betrokkenen, ontvangers, doorgifte extra EU, bewaartermijnen en beveiliging
Ook verwerker moet register aanleggen!
Schriftelijk (elektronisch), ter beschikking van autoriteitEnkel bij hoog risico, gevoelige gegevens of werknemersaantal > 250
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Informatieverplichting (art. 12 ev AVG)
Beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk> Standaardiconen
> Aandacht voor het kind
Op voorhand bij verkrijging van data of eerste contactname (of doorgifte aan derden)Ook steeds gratis op vraag en binnen 1 maand (tenzij buitensporig)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Informatieverplichting (art. 12 ev AVG)
- Wie? Verantwoordelijke, vertegenwoordiger, functionaris en ontvangers (ook: bron bij doorgifte)
- Waarom? Doeleinden, belangen en rechtsgronden- Hoe lang bewaard?- Rechten van betrokkene (inzage, verbetering, - verwijdering, beperking, bezwaar en overdracht, ook: klachtrecht)- Gevolgen indien data niet wordt verwerkt- ABV en profiling
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Rechten van betrokkene (art. 15 ev AVG)
- Recht op inzage- Recht op verbetering en verwijdering- Recht op overdraagbaarheid van gegevens- Kennisgevingsplicht aan ontvangers!- Recht op verzet (of bezwaar) indien gerechtvaardigd belang- Recht op menselijke tussenkomst en
revisie bij ABV en profiling
Steeds “onverwijld” en ten laatste binnen 1 maand
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Meldingsplicht bij datalekken (art. 33 AVG)
“Inbreuk”: op Confidentiality, Integrity en Accessibility
Aan de autoriteit: binnen 72 uur (of motivering voor vertraging)> aard, omvang, gevolgen en getroffen maatregelen
Aan de betrokkene: in geval van hoog risico
Documentatieplicht
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Verwijdering (art. 5 & 17 AVG)
Wanneer?- Indien niet meer relevant voor het doel (zie verjaringstermijnen en
andere wettelijke verplichtingen) - Op vraag van de betrokkene
Behalve: vrije meningsuiting en informatie (journalistiek),algemeen belang, gezondheidsredenen, wettelijke verplichtingen, archivering, wetenschappelijk of historisch belang en statistieken, rechtsvorderingen
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsNieuwe verplichtingen uit de GDPR
Sancties (o.m. art. 82 & 83 AVG)
Zie presentatie Bart
Hervorming autoriteiten: meer controleLage drempel voor procedure: meer klachten Boetes: voor zware overtredingentot 20M euro / 4% wereldwijde jaaromzetSchadevergoeding voor betrokkenen
Verloop van een implementatietraject in GDPR compliance
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
Implementation of privacyWorkload - Cost - Approach
05/02/2023 49
Purpose of privacy implementationCompliancy with regulation
(Unique) Selling Proposition
Care about client’s privacyPrivacy as part of the company’s quality
05/02/2023 50
How to implement privacy – One slider
51HR
Buyers
Processes, procedures, structures, …
Juridical
PRIVACY policy
Regulation
Europe: GDPR
Specific case
Juridical support
Contract processes
Labor contract
Business/IT alignment
Work rules
Training
Awareness
Ethical code
IT policy
Data analyses
Business analyses
Enterprise architecture
Technical
Breach protection
Disaster recovery
Infrastructure
Application architecture
Substitutes
Entrants
Work packages
… … …
DPO
Workload (cost) of implementation• Depends from company tot company
05/02/2023 52
Size
Maturity Complexity
Workload per work package
Number of work packages
+ Internal workload!
Workload (cost) of implementation• Size
• Number of people• Number of departments• Number of processes• …
05/02/2023 53
• Maturity• Are processes described?• Is there a data inventory?• Is a PMO implemented?• …
• Complexity• Ownership of data defined• Relations between departments• …
13 CBPL Steps • Awareness
• Data register• Communication
• Rights of the data subjects• Access procedures
• Legal basis• Consent
• Children• Data breaches
05/02/2023 54
• Privacy by design• Data privacy officer
• International compliance• Existing contracts
Three levels of implementation
05/02/2023 55
Privacy policy
Yearly action plan
Baseline & risk analyses
Bring live procedures & structures(Steering committee, PMO, Service delivery, PIA, Incident management…),
Create awareness.
Strategic
Tactical
Operational
Privacy policy• Contents:
• Management statement• Information security elucidation (scope, principles, legislation, …)• Organization (roles & responsibilities, organizational…) • Collaboration with suppliers• Asset management• Risk management• Personnel• Information systems• Physical & logical security• Incident management• Continuity management
05/02/2023 56
Baseline & annually action plan
05/02/2023 57
Baseline:• Identification of
processes, data, systems• Identification of risks
Annually action plan
Poss
ible
impa
ct
Probability
Risk appetite &Security policy
Confidentiality
Integrity Availability
Baseline & annually action plan• Inventory
• Identification of processes & actors (e.g. BPMN Swim lane diagrams)• Identification of data & systems (e.g. Archimate diagrams)• Identification of risks (internal & external)
• Assessing the risks• Impact (financial, prestige…)• Probability• Risk appetite• C – I – A • (ISO 27001/27002)
05/02/2023 58
• Approach:• Walk through the organization• Interviews• Workshops
• Tools• Excel• MS Visio• EA
Example Archimate diagram
05/02/2023 59
Processes
Applications
Technology & data
DepartmentsClients
Business layer / Application layer / Technology & data layer
Example swimlane diagram (BPMN)
05/02/2023 60
Complexity – Size - MaturityStep 1: Implementing GDPR as a project/programmeStep 2: Keeping privacy processes alive
05/02/2023 61
DPO?Small SME
Intake 1h
13 steps in 3 3h sessions 9h Templates Guidance Q&A 8h
2,5 days(DPO 1h/week)
SME
Intake & projectapproach
Fit/gap
Privacy policy Baseline & risk analyses Yearly action plan Going live …
(DPO 2-4h/week)
LE
2-4h
1d
Intake & projectapproach
Fit/gap
Privacy policy Baseline & risk analyses Yearly action plan Going live …
(DPO 4-8h/week)
4-8h
05/02/2023 62
Q&A?
Technische implicaties van de GDPR
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
The implementation of a legal requirement
Peter Potemans - PrivacyConnected
The implementation of a legal requirement• This legal requirement has an impact on:
People
Processes
Impact
Technology
The implementation of a legal requirement• Or alternatively:
BusinessInformation systems
Technology
Impact on business• Processes• Information / documents• Organisation• Products / services• Channels• Customer segments• Value propositions• Business models• …
Impact on information systems• Functionalities• Applications
• Data• Databases
• …
Impact on technology• Information & communication technology & infrastructure:
• (Smart) phones• Tablets• Laptops• Desktops• Monitors• Workstations• Servers• Storage• Networking• …
Additional impact
Strategic•Mission•Vision•Strategy•Strategic objectives•Values
Tactical•Portfolio•Programmes•Projects
Operational
•Way of working
Additional impact• On Digital Transformation:
• Social
• Mobile
• Analytics
• Cloud
• Internet of Things
• …
How to determine the level of impact?• High-level:
As is •Current situationTo be •Desired
situation
Fit gap •Resources•Obstacles
Roadmap
How to determine the level of impact?• More detailed:
• Follow this 3-step process to set up your privacy governance:
Policy Processes Roles & responsibilities
How to determine the level of impact?• More detailed:
• In parallel, follow this 6-step process to do impact analysis:
Data invent
ory
Risk analys
is
Privacy impact assessment
Fit gap analys
is
Remediation planni
ng
Follow-up
Privacy governance• Follow this 3-step process to set up your privacy governance:
Policy Processes Roles & responsibilities
Step 1/3: privacy policy• There is no such thing as a standard privacy policy that works for each
and every organisation, just like there is no such thing as a standard strategy for a standard organisation that works each and every time
• Questions to ask yourself:• Do you have a privacy policy?• To what extent is it:
• Specific for your organisation?• Customised to the GDPR?• Complete, correct and clear?• Explicitly communicated as such?• Read and accepted by your stakeholders?• …
Step 2/3: privacy processes• Privacy processes are closely related to the rights of the data subject:
• Right of access by the data subject• Right to rectification • Right to erasure (‘right to be forgotten’)• Right to restriction of processing • Right to data portability • Right to object • …
• Privacy processes need to be seamlessly integrated in your other processes
Step 3/3: privacy roles & responsibilities• Data Protection Officer (DPO)
• Accountable
• Data Protection Office (DPo)• Responsible
• Department representatives• Responsible, consulted and/or informed
• Compliance• Legal• Risk management• Audit• HR• ICT• Any other department
Impact analysis• In parallel, follow this 6-step process to do impact analysis:
Data invent
ory
Risk analys
is
Privacy impact assessment
Fit gap analys
is
Remediation planni
ng
Follow-up
Step 1/6: data inventory• Where is personal data being processed?
• Business• Which processes?• …
• Information systems• Which applications?• Which databases?• …
• Technology• Which devices?• Which users?• …
Step 2/6: risk analysis• What are the biggest risks?
• Where is sensitive personal data being processed?
• Where does personal data go from your organisation to another organisation (and vice versa)?
• Where does personal data go from your country to another country (and vice versa)?
• …
Step 3/6: privacy impact assessment• For the biggest risks:
• Perform an extended version of the privacy impact assessment
• For smaller risks:• Perform a standard version of the privacy impact assessment
• If there is no risk at all, there is no need to perform any kind of privacy impact assessment, so be pragmatic about this please
Step 4/6: fit gap analysis• For each answer you receive to the questions you have asked in privacy
impact assessments, qualify the answer:• The given answer is the desired answer: this is a fit: RAG-status is green• The given answer is not the desired answer, but the situation is under control:
this is a potential gap: RAG-status is orange• The given answer is not the desired answer and the situation is not under
control: this is a gap: RAG-status is red
• Individual gaps need to be consolidated (as much as possible) into opportunities to close multiple gaps at the same time. Solutions need to be mapped (as much as possible) to opportunities, rather than to individual gaps
Step 5/6: remediation planning• Roadmap:
• Risk-based approach:• The higher the risk, the higher the priority
• Cost-benefit approach:• The lower the cost, the higher the priority• The higher the benefit, the higher the priority
• Hybrid approach
Step 6/6: follow-up• Execution:
• Requires many different skills:
• Specific skills like portfolio management, programme management, project management, high-level requirements analysis, detailed business analysis, process management, functional analysis, product development, test management, …
• General skills like requirements management, change management, communication, training, coaching, people management, …
Be prepared…
Belangrijkste artikels (cfr. profiling = high risk processing)Boetes tot 20 mio euroBoetes tot 4% van wereldwijde omzet
Hervorming van Privacycommissie zal leiden tot effectieve controlesLevel playing field in EU zal leiden tot (strenge) controles op niveau van buurlanden
+ schadevergoeding voor betrokkenen
GDPR is niet alleen risico, maar opportuniteit (compliancy als sales argument)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsDe GDPR vanaf mei 2018
Gespecialiseerd en ervaren advocatenkantoorI.s.m. bekwame IT
specialistenPrivacyConnected
VUB/iMinds
Vrijblijvende intakegesprek met eerste analyse
Offerte op maat voor uw bedrijf op basis van 4 pijlers
(Legal, HR, IT enBusiness processen)
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregelsGDPR compliance traject i.s.m. Sirius Legal
Zelfstandigen Work load +/- 2 dagen
Timing traject: 3 à 4 weken
KMO’s Work load
ifv omvang, maturiteit en complexiteit tussen 5 en 25 dagen
Timing traject: 1 à 4 maanden
Grote ondernemingenWork load ifv omvang, maturiteit en
complexiteittussen 15 en … dagen
Timing traject: 2 à 6 maanden
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
Data Protection & PrivacyIs uw bedrijf klaar voor de nieuwe Europese privacyregels
Ons IT/IP/Media team
Media & advertisement lawCopyright - trademarks - databases - software - knowhowTravel & consumer protectionIT, Internet & e-commercePrivacy & cookiesGambling & gaming
Contacteer ons vandaag [email protected]
Facebook.com/siriuslegal