gdpr voor steden en gemeenten (dutch)
TRANSCRIPT
ALGEMENE
VERORDENING
GEGEVENS-
BESCHERMING
DATA PROTECTION IN STUKKEN
@To
mm
yV
andepitte
OUDE WIJN…
VOOR 25 MEI 2018
• Richtlijn (vereist
implementatie)
• 34 artikelen
• 6 definities
• 72 consideransen
NA 25 MEI 2018
• Verordening (werkt
direct, maar 35
uitvoeringspunten)
• 99 artikelen
• 26 definities
• 173 consideransen
OVERZICHT
Controle
Data Subject
Verwerking persoonsgegevens
Data Controller
Data processor
Finaliteit Legitimiteit
Transparantie Organisatie
proportioneel
End-to-end
Sli
de
3
NIEUWTJES – VISUEEL
Controle
Data Subject
Verwerking persoonsgegevens
Data Controller
Data processor
Finaliteit Legitimiteit
Transparantie Organisatie
proportioneel
End-to-end
Sli
de
4
BELANGRIJKSTE NIEUWTJES
• Toepassingsgebied
• Ruimere territoriale werking
• Verwerker nu ook een geadresseerde
• Legitimiteit
• Toestemming strenger uitgewerkt
• Organisatie
• ”Accountability” op zijn Engels (omkering van de bewijslast), concreet
• Verwerkingsregister (en risicoregister)
• Privacy impact beoordelingen (“PIA”)
• Privacy by Design en Privacy by Default
• Data Protection Officer
• Erkenning van “koepel”-mechanismen: certificatie, gedragsregels, BCR,…
• Incidentenbeheer en -meldingen
• Rechten van het individu uitgebreid
• Handhaving
• Administratieve boetes geüniformiseerd
• Collectieve acties van individuen mogelijk
S&G: WAT VERANDERT NIET?
• S&G zijn gevat door de wetgeving
• Doeleinden van verwerking worden grotendeels bepaald doorwettelijke opdrachten (belangrijk: wat met de rest?)
• Legitimeit van verwerking wordt grotendeels bepaald doorwettelijke opdrachten (belangrijk: wat met de rest?)
• Transparantie wordt soms geacht te liggen in de wettelijke grondof de bijzondere machtiging (belangrijk: klopt dat wel? Willen weniet verder gaan?)
• Toegewezen (interne) verantwoordelijkheden zou algeïmplementeerd moeten zijn
• Technische beveiliging zou al opgezet moeten zijn
• Degelijke contracten met derden zouden al moeten bestaan
• Rechten van de individuen zou al grotendeels afgedekt moetenzijn
S&G: IMPACT
• S&G vallen eronder
• maar er is aanzienlijke impact van nationale en regionale
wetgeving waardoor onzekerheid bestaat
• waar beschouwt men de GDPR overheersend en waar
niet?
• vermoedelijk wordt systeem van sectorale comités herzien
/ afgeschaft
• vermoedelijk wordt systeem van CBPL v VTC herzien
• niemand durft zich wagen aan analyses van de
authentieke bronnen
S&G: WAT IS BELANGRIJK?
• Data register: er wordt gekeken of uniformisering en
schaalvoordeel op niveau VVSG kan worden gehaald
(vergadering 28 april 2017)
• PIA: poging om dat voor de grote toepassingen via VVSG af
te dwingen
• Privacy by Design: zou voor meeste toepassingen op
overkoepelend niveau bekeken moeten worden - VVSG
spreekt met belangrijkste leveranciers
• Rechtsgrond (niet altijd onder controle v handhaving)
• Lokale beslissingen: goed motiveren en duidelijk formuleren
• Hogere overheid: bij geven van input, aandringen op goede
motivering en duidelijke formulering
• Werken op grond buiten de wet? (debat over taken)
S&G: WAT IS BELANGRIJK?
• Transparantie (aligneren op niveau VVSG)
• Interne beveiliging optrekken heeft kosten/baten meer zin
(strengere sancties)
• NIET alleen maar IT !
• Opleiding, bewustmaking,…
• Relatie met leveranciers
• Oplijsten
• Risicogebaseerd benaderen (bij grotere via VVSG?)
• Data lekken melden (aan CBPL, naast KSZ en/of authentieke
bron)
• Veiligheidsconsulent >< DPO (theoretisch geen continuiteit)
VERWACHT OOK
ANDERE FACTOREN
• Groter bewustzijn van burger
• Platformen die uitoefening van rechten faciliteren én
trnasparantie daarrond creëren
• Samendenken met andere regels, zoals openbaarheid van
bestuur
CONCLUSIE
• Geen revolutie, maar wel belangrijke evolutie
• Focus blijven houden op implementering
• Documentatie wordt belangrijker
• Nood aan overkoepelende inspanning, om te vermijden dat
kost wordt herhaald op elk lokaal niveau
• Onzekerheid rond kader voor overheidsinstellingen, incl.
lokale besturen, waardoor opvolging nodig is
• Wel al concrete actie mogelijk, voornamelijk voorbereid zijn
en overzicht hebben (en houden)
BRONNEN
context: http://ec.europa.eu/justice/data-
protection/reform/index_en.htm
Verordening (EU) 2016/679
tekst: http://eur-lex.europa.eu/legal-
content/NL/TXT/?uri=CELEX:32016R0679
Website Belgische Privacycommissie
https://www.privacycommission.be/nl/node/19451