SlideShare una empresa de Scribd logo

Privacy management volgens de nieuwe Europese regelgeving: Lezing 13/10/2014

BICC Thomas More
BICC Thomas More

Interesse in trending topics zoals Informatie en Privacy Management? Op 13 november organiseerde het BICC Thomas More een lezing om te informeren over grondige wijzigingen die ons allemaal zullen raken als persoon en organisatie: begin 2016 zal er immers een nieuwe Europese Privacywet (de General Data Protection Regulation) in voege treden die een aanzienlijke hervorming betekent van de verwerking van persoonsgegevens in heel Europa. Tijdens deze informatieavond heeft Peter Berghmans een inleiding gegeven in de problematiek. Is Privacy dood? De gastspreker voor deze avond was Bart van Buitenen. Als trendwatcher én Data Protection Officer adviseert hij klanten in de publieke en private sector dagelijks op het gebied van privacy en informatieveiligheid. Bart kent dan ook als geen ander de ontwerptekst van de nieuwe Europese verordening en heeft inzicht gegeven in de meestgehoorde vraag rond deze nieuwe wetgeving: wat betekent de nieuwe Europese Privacywet nu voor ons als organisatie? Bart van Buitenen is een Security en Toegepaste Privacy consultant met ervaring binnen zowel Federale als Vlaamse instellingen en ministeries. Binnen deze organisaties is hij betrokken bij de toepassing van de Privacywet vanuit zijn rol als veiligheidsconsulent. In totaal is hij al meer dan 12 jaar actief binnen diverse IT-, controle- en auditfuncties bij overheden, multinationals en KMO’s waarvan de laatste vier jaar specifiek op het gebied van informatiebeveiliging en de bescherming van persoonsgegevens. Vanuit deze diverse achtergrond is Bart uitstekend in staat om tijdens de opleidingen en in de praktijk de link te leggen tussen aan de ene kant de privacywet en informatiebeveiliging en aan de andere kant de toepassing hiervan binnen complexe organisaties en IT-omgevingen. Peter Berghmans is een Security & Privacy specialist. Als veiligheidsconsulent voor GZA ziekenhuizen adviseert hij het ziekenhuis om hun informatieveiligheid te optimaliseren. Vanuit deze ervaring tracht hij informatieveiligheid te optimaliseren binnen de gezondheidssector, onder meer als lesgever voor de FOD Volksgezondheid. Hij werkt bovendien als veiligheidsconsulent voor de Vlaamse instellingen. Les geven zit in zijn bloed: hij doceert onder andere het topic Informatieveiligheid aan de Thomas More Hogeschool en bouwt er als onderzoeker mee aan het Business Intelligence Competence Center en het Mobilab platform. Daarbuiten is hij betrokken bij de uitbouw van informatieveiligheid bij Vlaamse steden en OCMW’s, onder meer als auditor samen met AudiO. Deze lezeing vond plaats op Donderdag 13 november 2014 in Campus De Ham van Thomas More Mechelen

Presentaciones y charlas públicas
1 de 48
1 Privacy 1948 – 2014
Is Privacy Dead? 1/10 2
Is Privacy Dead? 2/10 3
Is Privacy Dead? 3/10 4
Is Privacy Dead? 4/10 5
6Is Privacy Dead? 5/10
7Is Privacy Dead? 6/10
8Is Privacy Dead? 7/10 Bron: Jaguar owner’s manual
99Is Privacy Dead? 8/10
1010Is Privacy Dead? 9/10 Bron: Itunes Rijd je te snel of ben je vaak op drukke (en dus minder veilige) trajecten te vinden. Dan dreig je straks meer te betalen voor je autoverzekering. Rijd je veilig en meestal op kalme wegen, dan krijg je korting. Dat is althans de weg die steeds meer verzekeraars op willen (destandaard.be).
• The database with CV’s is leaked • The data came from an organization helping unemployed people to find employment • The data come from an institution supporting gay people rights • The data come from an organization helping recovering gay drug addicts to find employment. 11Is Privacy Dead? 10/10
12 Privacy 1950 – 2014
Privacy en de General Data Protection Regulation ... en wat houdt de GDPR in
Wie ben ik? Bart van Buitenen • Veiligheidsconsulent • Data Protection Officer • Docent • Informatieveiligheid Professioneel dagelijks bezig met informatieveiligheid en privacy en de impact ervan op ons dagelijks leven
Waarom doet privacy er toe? Waarom privacy méér is dan iets willen verbergen
'If you have something you don’t want anyone to know, maybe you shouldn’t be doing it in the first place'
Heb je iets te verbergen? Ieder heeft dingen die hij liever niet aan de grote klok hangt: • Criminele activiteiten • Dingen waar je je voor schaamt • Of andere redenen waarom je simpelweg iets voor jezelf wilt houden Maar eigenlijk gaat dit voorbij aan belangrijkere principes die privacy vertegenwoordigd, het is meer dan “iets te verbergen hebben” Dit is ook de reden waarom het (mogelijk) opsporen van criminelen niet voldoende argumentatie is om privacy inbreuken als “collateral damage” te zien
Vrijheid van denken, persoonlijke ontwikkeling Vrijheid van meningsuiting en de mogelijkheid tot het onderzoeken van iets nieuws hangen nauw samen aan privacy • Monitoring of controle leidt tot conformiteit, niet tot innovatie • Kritiek kunnen en mogen uiten, zonder dit meteen met de hele wereld te delen, leidt tot nieuwe denkbeelden en ideeen • Niet alle keuzes die wij in ons leven maken moeten onbeperkt herinnerd blijven
Sociale interacties Hoeveel sociale interacties zouden veranderen als men alles van elkaar wist? Privacy maakt veel van onze sociale interacties mogelijk: • Iemands reputatie beinvloedt zijn interacties • Aangepaste gebruiken of omgangsvormen afhankelijk van context • Natuurlijke grenzen aan interacties: werkomgeving, thuissituatie, school of universiteit Iedereen heeft behoefte aan een persoonlijke ruimte die hij of zij zelf controleert
Huidige maatschappij dankzij privacy • Een vrije maatschappij vs. een gecontroleerde maatschappij • Ondanks vele bezwaren en reeds bestaande inbreuken op privacy: al met al leven we in vrije maatschappij • Kennis is macht, en het recht op privacy beheert en controleert die macht • Kennis over ons doen en laten beinvloedt ons leven: of we wel of geen lening krijgen, of we aangenomen worden voor een job, of we onderdeel zijn van een onderzoek door politie of justitie
Ton Siedsma, de lopende metadata generator Activeerde app op zijn telefoon, ging louter om meta data verzamelen -> geen inhoudelijke gegevens, niet wat hij communiceert Maar wel • Welk nummer • Met wie (bellen, mailen, whatsapp) • Wanneer • Van waaruit (waar is de telefoon) https://decorrespondent.nl/528/Hoe-je-onschuldige-smartphone-bijna-je-hele-leven-doorgeeft-aan-de-geheime- dienst/25712016-b07ce737
Verzamelen, minen, profileren • Veel bedrijven en/of (sommige) overheden zouden graag zoveel mogelijk data onbeperkt verwerken, en lang niet altijd met kwade bedoelingen, maar voor: • Betere dienst verlening • Meer winst • Dienen van de burger Niet allemaal even nobel maar zelden bewust “evil”, echter in de tijd van “the internet of things” kan op het oog onschuldige data veel meer onthullen dan we denken Ook in deze gedigitaliseerde maatschappij de basis principes van de verwerking van persoonsgegevens niet vergeten: • Finaliteit: verzamelen voor een welbepaald specifiek doeleinde • Proportionaliteit: niet meer verzamelen dan nodig voor dit doeleinde • Transparantie: betrokkene weet precies hoe of wat, geeft toestemming of trekt die in
Enter: General Data Protection Regulation Een broodnodige update aan privaywetgeving
De hoogste tijd • Tijd voor nieuwe wet: • Originele richtlijn waar wet op is gebaseerd dateert van ’96 met update in 2001 • Ter illustratie: • Facebook: februari 2004 • Twitter: maart 2006 • Linkedin: mei 2003 • Kortom, een andere tijd • Tijd voor een Europese wet • Ieder land heeft zijn eigen interpretatie gemaakt van de oorspronkelijke richtlijn • Geen richtlijn meer maar een verordening
Tijdslijn en stand van zaken • 25 januari 2012: Commissie kondigt GDPR aan • 21 oktober 2013: Europees Parlement (EP) heeft “Compromise Text”, definitieve draft na maandenlange onderhandelingen tussen verschillende EP commisies • [ongoing]: Raad van Europa werkt aan zijn eigen draft • Oktober 2014: laatste grote update rond wijzigingen sectie IV • [ongoing]: RvE en EP gaan in discussie over finale versie • [ongoing]: finale versie wordt vastgesteld • 01-01-2016: General Data Protection Regulation treedt in werking met een overgangsperiode van max. 2 jaar • Timing eind 2015 in juni 2014 bevestigd door Viviane Reading (destijds nog Eurocommissaris Justitie) • Recent opnieuw bevestigd door Juncker (nieuwe Commissie voorzitter)
Belangrijkste aspecten GDPR Wat zijn de hoofdlijnen in de GDPR, met nadruk op bedrijven
Territoriale Scope Waar geldig? • Grondgebied van de EU, de lidstaten • Niet enkel fysieke aanwezigheid: vestiging op EU grondgebied niet noodzakelijk • Zaken doen in de EU • Producten of diensten aanbieden die gericht zijn op EU burgers
One Stop Shop Bedrijf met vestigingen doorheen de EU heeft één Data Protection Authority (DPA) aanspreekpunt voor al zijn data verwerkingen op EU grondgebied Algemene insteek: • One Stop Shop geldt automatisch bij verwerkingen in meerdere vestigingen • Eén DPA zal uitspraken doen over een bedrijf die geldig zijn over gehele EU • Nog zwaar bediscussieerd vanwege praktische implicaties • Moet, bij data verwerkingen in meerdere EU lidstaten, een One Stop Shop mechanisme automatisch zijn of kan men de keuze hebben om er geen gebruik van te maken? • Hoe voorkom je “one stop shop” shopping? (door specifieke vestiging te kiezen) • Kan één DPA wel instaan voor alle issues die in een andere lidstaat kunnen ontstaan? • Zullen uitspraken of opdrachten aan een bedrijf in lidstaat A wel uitvoerbaar zijn in alle andere lidstaten? • Is het wenselijk als een betrokkene voor zijn issues naar de Italiaanse DPA moet?
Toestemming betrokkene (art. 7) Bestaat ook in huidige privacywet reeds, maar wordt uitgediept: • Bewijslast voor bestaan toestemming ligt bij controller • Wanneer de toestemming wordt verkregen in een grotere algemene context dient de toestemming specifiek en onderscheiden zichtbaar te zijn • Betrokkene kan toestemming intrekken en moet dan geinformeerd worden over mogelijke gevolgen • Toestemming is gerelateerd aan specifiek doeleinde en vervalt indien dit doeleinde niet langer van toepassing is
Toestemming betrokkene (art 7)
Toestemming betrokkene (art 7)
Inzage recht betrokkene (art. 12) • Indien verwerkingen automatisch gebeuren zal een controller zorgen voor eveneens automatische mogelijkheden tot uitoefening inzage recht • Gratis, tenzij de betrokkene overdrijft (frequentie en/of omvang): redelijke bijdrage
Data Portability (art 15 2a) Wanneer een betrokkene zijn data heeft verstrekt en deze wordt electronisch verwerkt heeft hij het recht op: • De verstrekking van deze data in electronische vorm, • Op een wijze die interoperabel is (niet software afhankelijk), • En die verder gebruik niet afhankelijk maakt van de controller • Wanneer realistisch mogelijk dient de data van controller naar controller te worden doorgegeven Doel van deze clausule is het voorkomen van “vendor lock-in” voor een betrokkene, hoe men dit in de praktijk wil gaan uitwerken zal nog enige voeten in de aarde hebben
Right to be forgotten / to erasure (art. 17) • Betrokkene heeft recht om verwerkte informatie over hem of haar te laten verwijderen wanneer: • De data niet langer noodzakelijk is voor het doeleinde • De betrokkene zijn toestemming intrekt, de bewaartermijn is verstreken of er geen wettelijke basis meer is • De betrokkene zich verzet tegen de wijze van verwerking (zie ook art 19 rond bezwaar) • Een rechtbank besluit definitief dat de data vernietigd moet worden • De data is onrechtmatig verwerkt Wat ontbreekt (nog): voorwaarde die in artikel 7 en 19 (right to object) wel staat, nl. de mogelijkheid moet expliciet duidelijk gemaakt worden aan de betrokkene
Right to be forgotten / to erasure (art. 17) Bekendste voorbeeld: Google rechtszaak bij European Court of Justice • https://support.google.com/legal/contact/lr_eudpa?product=websearch
Right to be forgotten (art. 17) • Right to be forgotten is geen vrijgeleide om onwelvallige informatie te laten verwijderen
Datalek notificatie (art. 31 en 32) Twee aspecten: • Verwittigen DPA binnen 72 uur • Indien mogelijk inbreuk op privacy, gerechtvaardigd belang of de rechten van de betrokkene dient ook de betrokkene verwittigd te worden “without undue delay” • DPA dient een publiek register bij te houden Meest concrete gevolgen: • Vertrouwen van klanten/betrokkenen • reputatieschade
Datalek notificatie (art. 31 en 32) Opvallend: In de top 10 zijn 5 van 10 incidenten uit de laatste twee jaar. -> datalekken komen niet noodzakelijk vaker voor, maar als ze gebeuren zijn ze wel veel groter en de gevolgen dus ook Bron: datalossdb.org
Uitvoeren Data Protection Impact Assessment (art 33) Indien het gaat om een mogelijk risicovolle verwerking of een verwerking met potentieel grote gevolgen voor de betrokkene dient er een Data Protection Impact Assessment uitgevoerd te worden. DPIA bevat onder andere: • Een beschrijving van de beoogde processen • Een toelichting mbt deze processen in relatie tot beoogde doeleinde • Overzicht van mogelijke risico’s voor de betrokkenen • Lijst met veiligheidsmaatregelen die genomen zullen worden • Bewaartermijnen • Lijst met ontvangers van de data Een DPIA is beschikbaar, op verzoek, voor de DPA
New York en 20gb aan taxi ritjes • Maart 2014 krijgt Chris Whong toegang tot 20 gb aan taxirit informatie over 2013 • Op het oog anoniem, zie kolom Medaillon (taxi nr) en License, verder info over prijs, fooi, GPS coordinaten, etc.
New York en 20gb aan taxi ritjes • Eén taxi chauffeur leek echter wel heel veel ritjes te maken: • CFCD208495D565EF66E7DFF9F98764DA • Dit getal bleek de MD5 hash van het getal 0 • Met de wetenschap dat de “anonimisering” gebeurde met een MD5 hash konden alle taxi nummers en license nummers ontcijferd worden • Wat kan men hiermee? B.v. • Jaarlijkse inkomen van taxi chauffeur • Rijdt hij wel eens te snel? • Of omgekeerd, maakt hij omwegen? Maar interessanter: passagiers info
New York en 20gb aan taxi ritjes • Hollywood sterren worden overal gefotografeerd, ook als ze in een taxi stappen • Met de info wanneer een ster instapte in welke taxi en waar kan alle info van de rit worden uitgelezen • Bv: wel of geen fooi, waar gingen ze heen: niet schokkend, maar wel informatie die voordien niet bschikbaar was Bron: http://research.neustar.biz/2014/09/1 5/riding-with-the-stars-passenger- privacy-in-the-nyc-taxicab-dataset/
Aanstellen Data Protection Officer (art. 35-37) In definitieve draft van Europees Parlement spreekt men over verplichte aanstelling van een DPO indien: • De verwerking gebeurt door een overheidsinstelling • De verwerking gebeurt door een rechtspersoon en meer dan 5.000 data subjects betreft over een aaneengesloten periode van 12 mnd. • De verwerking betreft gevoelige persoonsgegevens • Het verwerkingen betreft die leiden tot het systematisch en structureel monitoren van data subjects Let op: in een eerste versie van de RvE over dit artikel zet men in op géén verplichte aanstelling DPO -> gezien de risico gebaseerde aanpak zal dit moeilijk standhouden
Administratieve sancties (art 79) Een groot manco van de huidige privacywet wil men aanpakken: handhaving. De verordening bevat onder andere specifieke sancties bij niet naleven die de DPA kan opleggen: • Een brief in het geval van eerste of onregelmatige overtreding • Regelmatige audits door de DPA • Boete van €100.000.000,- of 5% jaarlijkse omzet Concrete invulling hiervan zal nog veel voer voor discussie zijn
Administratieve sancties (art 79) ICO heeft deze mogelijkheid ook vandaag reeds:
Een nieuw kader voor de verwerking van persoonsgegevens De GDPR is niet perfect maar betekent een grote stap voorwaarts op het gebied van de bescherming van persoonsgegevens • Ondanks de vele becijferingen zullen de kosten m.i. wel meevallen • Google’s en Facebooks van deze wereld zijn ten onrechte bang dat hun business model in het water valt • Genoeg mensen hebben, in ruil voor hun diensten, geen enkele moeite met het verstrekken van hun gegevens • Maar belangrijkste aspect van de GDPR: men zal er transparant over moeten zijn • Kleine ondernemingen worden mogelijk voor het eerst geconfronteerd met nieuwe wetgeving • Op termijn zal het echter de norm zijn • het is een kleine prijs om in onze steeds verregaandere digitale samenleving de controle over gegevens te houden waar hij hoort: bij de betrokkene
Bedankt! Bart@lorica.be

Recomendados

BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...
BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...
BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...BICC Thomas More
 
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas More
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas MoreBI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas More
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas MoreBICC Thomas More
 
BI congres 2014-4: thinking out of the box - Jos Cools - Crosspoint
BI congres 2014-4: thinking out of the box - Jos Cools - CrosspointBI congres 2014-4: thinking out of the box - Jos Cools - Crosspoint
BI congres 2014-4: thinking out of the box - Jos Cools - CrosspointBICC Thomas More
 
Digitale Disruptie - BI slaat terug!
Digitale Disruptie - BI slaat terug!Digitale Disruptie - BI slaat terug!
Digitale Disruptie - BI slaat terug!BICC Thomas More
 
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...BICC Thomas More
 
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...BICC Thomas More
 
What's the profile of a data scientist?
What's the profile of a data scientist? What's the profile of a data scientist?
What's the profile of a data scientist? BICC Thomas More
 
BI congres 2016: programma
BI congres 2016: programmaBI congres 2016: programma
BI congres 2016: programmaBICC Thomas More
 

Recomendados

BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...
BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...
BI congres 2016-2: Diving into weblog data with SAS on Hadoop - Lisa Truyers...BICC Thomas More
 
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas More
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas MoreBI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas More
BI congres 2014-6: Opleiding Informatiemanagement - Hans Tubbax - Thomas MoreBICC Thomas More
 
BI congres 2014-4: thinking out of the box - Jos Cools - Crosspoint
BI congres 2014-4: thinking out of the box - Jos Cools - CrosspointBI congres 2014-4: thinking out of the box - Jos Cools - Crosspoint
BI congres 2014-4: thinking out of the box - Jos Cools - CrosspointBICC Thomas More
 
Digitale Disruptie - BI slaat terug!
Digitale Disruptie - BI slaat terug!Digitale Disruptie - BI slaat terug!
Digitale Disruptie - BI slaat terug!BICC Thomas More
 
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...
BI congres 2016-3: Insurance comparison engine - Miloud Belkacem - Business &...BICC Thomas More
 
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...
BI congres 2016-4: Hoe groei je als organisatie in analytische maturiteit? - ...BICC Thomas More
 
What's the profile of a data scientist?
What's the profile of a data scientist? What's the profile of a data scientist?
What's the profile of a data scientist? BICC Thomas More
 
BI congres 2016: programma
BI congres 2016: programmaBI congres 2016: programma
BI congres 2016: programmaBICC Thomas More
 
gdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersgdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersThe CMR Agency
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
Internet, belager van mijn privacy
Internet, belager van mijn privacyInternet, belager van mijn privacy
Internet, belager van mijn privacyGene Vangampelaere
 
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheid
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheidLevensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheid
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheidPixular - Kortrijk - Roeselare - Stefaan Lammertyn
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
Performance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelfPerformance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelfBICC Thomas More
 
Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.Edelhart Y. Kempeneers
 
Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...Cédric Laurant
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
Vlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice SeriesVlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice SeriesTommy Vandepitte
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr complianceBart Van Den Brande
 
Leaflet privacy workshop
Leaflet privacy workshopLeaflet privacy workshop
Leaflet privacy workshopSebyde
 
Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.Edelhart Y. Kempeneers
 
Data protection and privacy
Data protection and privacyData protection and privacy
Data protection and privacyhimanshu jain
 
BI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - PentahoBI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - PentahoBICC Thomas More
 

Más contenido relacionado

Destacado

gdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersgdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersThe CMR Agency
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
Internet, belager van mijn privacy
Internet, belager van mijn privacyInternet, belager van mijn privacy
Internet, belager van mijn privacyGene Vangampelaere
 
Performance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelfPerformance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelfBICC Thomas More
 
Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.Edelhart Y. Kempeneers
 
Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...Cédric Laurant
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
Vlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice SeriesVlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice SeriesTommy Vandepitte
 
Leaflet privacy workshop
Leaflet privacy workshopLeaflet privacy workshop
Leaflet privacy workshopSebyde
 
Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.Edelhart Y. Kempeneers
 
Data protection and privacy
Data protection and privacyData protection and privacy
Data protection and privacyhimanshu jain
 
BI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - PentahoBI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - PentahoBICC Thomas More
 

Destacado (16)

gdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeersgdpr - avg algemene introductie voor marketeers
gdpr - avg algemene introductie voor marketeers
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPR
 
Internet, belager van mijn privacy
Internet, belager van mijn privacyInternet, belager van mijn privacy
Internet, belager van mijn privacy
 
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheid
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheidLevensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheid
Levensloop kortrijk - Social Media in de praktijk - Privacy & mediawijsheid
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
Performance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelfPerformance MANAGEMENT 3.0 - De evidentie zelf
Performance MANAGEMENT 3.0 - De evidentie zelf
 
Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.Langdorp. Plaatsnamen en hun geschiedenis.
Langdorp. Plaatsnamen en hun geschiedenis.
 
Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...Recent Privacy and Data Protection Developments in Latin America and Their Im...
Recent Privacy and Data Protection Developments in Latin America and Their Im...
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraal
 
Vlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice SeriesVlaamse Data Protection Officer (Dutch) - DP in Practice Series
Vlaamse Data Protection Officer (Dutch) - DP in Practice Series
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
Leaflet privacy workshop
Leaflet privacy workshopLeaflet privacy workshop
Leaflet privacy workshop
 
Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.Vertrijk. Plaatsnamen en hun geschiedenis.
Vertrijk. Plaatsnamen en hun geschiedenis.
 
Data protection and privacy
Data protection and privacyData protection and privacy
Data protection and privacy
 
BI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - PentahoBI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
BI congres 2014-5: from BI to big data - Jan Aertsen - Pentaho
 

Privacy management volgens de nieuwe Europese regelgeving: Lezing 13/10/2014

  • 8. 8Is Privacy Dead? 7/10 Bron: Jaguar owner’s manual
  • 10. 1010Is Privacy Dead? 9/10 Bron: Itunes Rijd je te snel of ben je vaak op drukke (en dus minder veilige) trajecten te vinden. Dan dreig je straks meer te betalen voor je autoverzekering. Rijd je veilig en meestal op kalme wegen, dan krijg je korting. Dat is althans de weg die steeds meer verzekeraars op willen (destandaard.be).
  • 11. • The database with CV’s is leaked • The data came from an organization helping unemployed people to find employment • The data come from an institution supporting gay people rights • The data come from an organization helping recovering gay drug addicts to find employment. 11Is Privacy Dead? 10/10
  • 13. Privacy en de General Data Protection Regulation ... en wat houdt de GDPR in
  • 14. Wie ben ik? Bart van Buitenen • Veiligheidsconsulent • Data Protection Officer • Docent • Informatieveiligheid Professioneel dagelijks bezig met informatieveiligheid en privacy en de impact ervan op ons dagelijks leven
  • 15. Waarom doet privacy er toe? Waarom privacy méér is dan iets willen verbergen
  • 16. 'If you have something you don’t want anyone to know, maybe you shouldn’t be doing it in the first place'
  • 17. Heb je iets te verbergen? Ieder heeft dingen die hij liever niet aan de grote klok hangt: • Criminele activiteiten • Dingen waar je je voor schaamt • Of andere redenen waarom je simpelweg iets voor jezelf wilt houden Maar eigenlijk gaat dit voorbij aan belangrijkere principes die privacy vertegenwoordigd, het is meer dan “iets te verbergen hebben” Dit is ook de reden waarom het (mogelijk) opsporen van criminelen niet voldoende argumentatie is om privacy inbreuken als “collateral damage” te zien
  • 18. Vrijheid van denken, persoonlijke ontwikkeling Vrijheid van meningsuiting en de mogelijkheid tot het onderzoeken van iets nieuws hangen nauw samen aan privacy • Monitoring of controle leidt tot conformiteit, niet tot innovatie • Kritiek kunnen en mogen uiten, zonder dit meteen met de hele wereld te delen, leidt tot nieuwe denkbeelden en ideeen • Niet alle keuzes die wij in ons leven maken moeten onbeperkt herinnerd blijven
  • 19. Sociale interacties Hoeveel sociale interacties zouden veranderen als men alles van elkaar wist? Privacy maakt veel van onze sociale interacties mogelijk: • Iemands reputatie beinvloedt zijn interacties • Aangepaste gebruiken of omgangsvormen afhankelijk van context • Natuurlijke grenzen aan interacties: werkomgeving, thuissituatie, school of universiteit Iedereen heeft behoefte aan een persoonlijke ruimte die hij of zij zelf controleert
  • 20. Huidige maatschappij dankzij privacy • Een vrije maatschappij vs. een gecontroleerde maatschappij • Ondanks vele bezwaren en reeds bestaande inbreuken op privacy: al met al leven we in vrije maatschappij • Kennis is macht, en het recht op privacy beheert en controleert die macht • Kennis over ons doen en laten beinvloedt ons leven: of we wel of geen lening krijgen, of we aangenomen worden voor een job, of we onderdeel zijn van een onderzoek door politie of justitie
  • 21. Ton Siedsma, de lopende metadata generator Activeerde app op zijn telefoon, ging louter om meta data verzamelen -> geen inhoudelijke gegevens, niet wat hij communiceert Maar wel • Welk nummer • Met wie (bellen, mailen, whatsapp) • Wanneer • Van waaruit (waar is de telefoon) https://decorrespondent.nl/528/Hoe-je-onschuldige-smartphone-bijna-je-hele-leven-doorgeeft-aan-de-geheime- dienst/25712016-b07ce737
  • 22.
  • 23. Verzamelen, minen, profileren • Veel bedrijven en/of (sommige) overheden zouden graag zoveel mogelijk data onbeperkt verwerken, en lang niet altijd met kwade bedoelingen, maar voor: • Betere dienst verlening • Meer winst • Dienen van de burger Niet allemaal even nobel maar zelden bewust “evil”, echter in de tijd van “the internet of things” kan op het oog onschuldige data veel meer onthullen dan we denken Ook in deze gedigitaliseerde maatschappij de basis principes van de verwerking van persoonsgegevens niet vergeten: • Finaliteit: verzamelen voor een welbepaald specifiek doeleinde • Proportionaliteit: niet meer verzamelen dan nodig voor dit doeleinde • Transparantie: betrokkene weet precies hoe of wat, geeft toestemming of trekt die in
  • 24. Enter: General Data Protection Regulation Een broodnodige update aan privaywetgeving
  • 25. De hoogste tijd • Tijd voor nieuwe wet: • Originele richtlijn waar wet op is gebaseerd dateert van ’96 met update in 2001 • Ter illustratie: • Facebook: februari 2004 • Twitter: maart 2006 • Linkedin: mei 2003 • Kortom, een andere tijd • Tijd voor een Europese wet • Ieder land heeft zijn eigen interpretatie gemaakt van de oorspronkelijke richtlijn • Geen richtlijn meer maar een verordening
  • 26. Tijdslijn en stand van zaken • 25 januari 2012: Commissie kondigt GDPR aan • 21 oktober 2013: Europees Parlement (EP) heeft “Compromise Text”, definitieve draft na maandenlange onderhandelingen tussen verschillende EP commisies • [ongoing]: Raad van Europa werkt aan zijn eigen draft • Oktober 2014: laatste grote update rond wijzigingen sectie IV • [ongoing]: RvE en EP gaan in discussie over finale versie • [ongoing]: finale versie wordt vastgesteld • 01-01-2016: General Data Protection Regulation treedt in werking met een overgangsperiode van max. 2 jaar • Timing eind 2015 in juni 2014 bevestigd door Viviane Reading (destijds nog Eurocommissaris Justitie) • Recent opnieuw bevestigd door Juncker (nieuwe Commissie voorzitter)
  • 27. Belangrijkste aspecten GDPR Wat zijn de hoofdlijnen in de GDPR, met nadruk op bedrijven
  • 28. Territoriale Scope Waar geldig? • Grondgebied van de EU, de lidstaten • Niet enkel fysieke aanwezigheid: vestiging op EU grondgebied niet noodzakelijk • Zaken doen in de EU • Producten of diensten aanbieden die gericht zijn op EU burgers
  • 29. One Stop Shop Bedrijf met vestigingen doorheen de EU heeft één Data Protection Authority (DPA) aanspreekpunt voor al zijn data verwerkingen op EU grondgebied Algemene insteek: • One Stop Shop geldt automatisch bij verwerkingen in meerdere vestigingen • Eén DPA zal uitspraken doen over een bedrijf die geldig zijn over gehele EU • Nog zwaar bediscussieerd vanwege praktische implicaties • Moet, bij data verwerkingen in meerdere EU lidstaten, een One Stop Shop mechanisme automatisch zijn of kan men de keuze hebben om er geen gebruik van te maken? • Hoe voorkom je “one stop shop” shopping? (door specifieke vestiging te kiezen) • Kan één DPA wel instaan voor alle issues die in een andere lidstaat kunnen ontstaan? • Zullen uitspraken of opdrachten aan een bedrijf in lidstaat A wel uitvoerbaar zijn in alle andere lidstaten? • Is het wenselijk als een betrokkene voor zijn issues naar de Italiaanse DPA moet?
  • 30. Toestemming betrokkene (art. 7) Bestaat ook in huidige privacywet reeds, maar wordt uitgediept: • Bewijslast voor bestaan toestemming ligt bij controller • Wanneer de toestemming wordt verkregen in een grotere algemene context dient de toestemming specifiek en onderscheiden zichtbaar te zijn • Betrokkene kan toestemming intrekken en moet dan geinformeerd worden over mogelijke gevolgen • Toestemming is gerelateerd aan specifiek doeleinde en vervalt indien dit doeleinde niet langer van toepassing is
  • 33. Inzage recht betrokkene (art. 12) • Indien verwerkingen automatisch gebeuren zal een controller zorgen voor eveneens automatische mogelijkheden tot uitoefening inzage recht • Gratis, tenzij de betrokkene overdrijft (frequentie en/of omvang): redelijke bijdrage
  • 34. Data Portability (art 15 2a) Wanneer een betrokkene zijn data heeft verstrekt en deze wordt electronisch verwerkt heeft hij het recht op: • De verstrekking van deze data in electronische vorm, • Op een wijze die interoperabel is (niet software afhankelijk), • En die verder gebruik niet afhankelijk maakt van de controller • Wanneer realistisch mogelijk dient de data van controller naar controller te worden doorgegeven Doel van deze clausule is het voorkomen van “vendor lock-in” voor een betrokkene, hoe men dit in de praktijk wil gaan uitwerken zal nog enige voeten in de aarde hebben
  • 35. Right to be forgotten / to erasure (art. 17) • Betrokkene heeft recht om verwerkte informatie over hem of haar te laten verwijderen wanneer: • De data niet langer noodzakelijk is voor het doeleinde • De betrokkene zijn toestemming intrekt, de bewaartermijn is verstreken of er geen wettelijke basis meer is • De betrokkene zich verzet tegen de wijze van verwerking (zie ook art 19 rond bezwaar) • Een rechtbank besluit definitief dat de data vernietigd moet worden • De data is onrechtmatig verwerkt Wat ontbreekt (nog): voorwaarde die in artikel 7 en 19 (right to object) wel staat, nl. de mogelijkheid moet expliciet duidelijk gemaakt worden aan de betrokkene
  • 36. Right to be forgotten / to erasure (art. 17) Bekendste voorbeeld: Google rechtszaak bij European Court of Justice • https://support.google.com/legal/contact/lr_eudpa?product=websearch
  • 37. Right to be forgotten (art. 17) • Right to be forgotten is geen vrijgeleide om onwelvallige informatie te laten verwijderen
  • 38. Datalek notificatie (art. 31 en 32) Twee aspecten: • Verwittigen DPA binnen 72 uur • Indien mogelijk inbreuk op privacy, gerechtvaardigd belang of de rechten van de betrokkene dient ook de betrokkene verwittigd te worden “without undue delay” • DPA dient een publiek register bij te houden Meest concrete gevolgen: • Vertrouwen van klanten/betrokkenen • reputatieschade
  • 39. Datalek notificatie (art. 31 en 32) Opvallend: In de top 10 zijn 5 van 10 incidenten uit de laatste twee jaar. -> datalekken komen niet noodzakelijk vaker voor, maar als ze gebeuren zijn ze wel veel groter en de gevolgen dus ook Bron: datalossdb.org
  • 40. Uitvoeren Data Protection Impact Assessment (art 33) Indien het gaat om een mogelijk risicovolle verwerking of een verwerking met potentieel grote gevolgen voor de betrokkene dient er een Data Protection Impact Assessment uitgevoerd te worden. DPIA bevat onder andere: • Een beschrijving van de beoogde processen • Een toelichting mbt deze processen in relatie tot beoogde doeleinde • Overzicht van mogelijke risico’s voor de betrokkenen • Lijst met veiligheidsmaatregelen die genomen zullen worden • Bewaartermijnen • Lijst met ontvangers van de data Een DPIA is beschikbaar, op verzoek, voor de DPA
  • 41. New York en 20gb aan taxi ritjes • Maart 2014 krijgt Chris Whong toegang tot 20 gb aan taxirit informatie over 2013 • Op het oog anoniem, zie kolom Medaillon (taxi nr) en License, verder info over prijs, fooi, GPS coordinaten, etc.
  • 42. New York en 20gb aan taxi ritjes • Eén taxi chauffeur leek echter wel heel veel ritjes te maken: • CFCD208495D565EF66E7DFF9F98764DA • Dit getal bleek de MD5 hash van het getal 0 • Met de wetenschap dat de “anonimisering” gebeurde met een MD5 hash konden alle taxi nummers en license nummers ontcijferd worden • Wat kan men hiermee? B.v. • Jaarlijkse inkomen van taxi chauffeur • Rijdt hij wel eens te snel? • Of omgekeerd, maakt hij omwegen? Maar interessanter: passagiers info
  • 43. New York en 20gb aan taxi ritjes • Hollywood sterren worden overal gefotografeerd, ook als ze in een taxi stappen • Met de info wanneer een ster instapte in welke taxi en waar kan alle info van de rit worden uitgelezen • Bv: wel of geen fooi, waar gingen ze heen: niet schokkend, maar wel informatie die voordien niet bschikbaar was Bron: http://research.neustar.biz/2014/09/1 5/riding-with-the-stars-passenger- privacy-in-the-nyc-taxicab-dataset/
  • 44. Aanstellen Data Protection Officer (art. 35-37) In definitieve draft van Europees Parlement spreekt men over verplichte aanstelling van een DPO indien: • De verwerking gebeurt door een overheidsinstelling • De verwerking gebeurt door een rechtspersoon en meer dan 5.000 data subjects betreft over een aaneengesloten periode van 12 mnd. • De verwerking betreft gevoelige persoonsgegevens • Het verwerkingen betreft die leiden tot het systematisch en structureel monitoren van data subjects Let op: in een eerste versie van de RvE over dit artikel zet men in op géén verplichte aanstelling DPO -> gezien de risico gebaseerde aanpak zal dit moeilijk standhouden
  • 45. Administratieve sancties (art 79) Een groot manco van de huidige privacywet wil men aanpakken: handhaving. De verordening bevat onder andere specifieke sancties bij niet naleven die de DPA kan opleggen: • Een brief in het geval van eerste of onregelmatige overtreding • Regelmatige audits door de DPA • Boete van €100.000.000,- of 5% jaarlijkse omzet Concrete invulling hiervan zal nog veel voer voor discussie zijn
  • 46. Administratieve sancties (art 79) ICO heeft deze mogelijkheid ook vandaag reeds:
  • 47. Een nieuw kader voor de verwerking van persoonsgegevens De GDPR is niet perfect maar betekent een grote stap voorwaarts op het gebied van de bescherming van persoonsgegevens • Ondanks de vele becijferingen zullen de kosten m.i. wel meevallen • Google’s en Facebooks van deze wereld zijn ten onrechte bang dat hun business model in het water valt • Genoeg mensen hebben, in ruil voor hun diensten, geen enkele moeite met het verstrekken van hun gegevens • Maar belangrijkste aspect van de GDPR: men zal er transparant over moeten zijn • Kleine ondernemingen worden mogelijk voor het eerst geconfronteerd met nieuwe wetgeving • Op termijn zal het echter de norm zijn • het is een kleine prijs om in onze steeds verregaandere digitale samenleving de controle over gegevens te houden waar hij hoort: bij de betrokkene