GDPR Vlaams Welzijnsverbond Infosessie GDPR voor medewerkers van
GDPR Vlaams Welzijnsverbond Infosessie GDPR voor medewerkers van zorg en welzijnsvoorzieningen
2
GDPR - Doel • GDPR/AVG § General Data Protection Regulation/Algemene Verordening Gegevensbescherming • Invoegetreding § 25 mei 2018 • Doel § Privacy van de natuurlijke, levende personen (dit noemt men de betrokkene) beschermen bij de verwerking van zijn persoonsgegevens • Hoe § Door bestaande privacyregels te versterken en nieuwe regels toe te voegen, o. a. § Specifieke beginselen voor de verwerking van persoonsgegevens § Meer rechten van betrokkene • Op vandaag onmogelijk alle aspecten rond privacybescherming bij gegevensverwerking te behandelen: § Nog geen rechtspraak + vage termen in GDPR die nog om meer duiding vragen 3
GDPR - Verwerking • Verwerking § Zeer brede omschrijving § Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’ § Kortom § Het minste wat je tijdens de uitoefening van je functie doet m. b. t persoonsgegevens valt onder de noemer ‘verwerken’ > GDPR van toepassing! 4
GDPR - Persoonsgegevens • Persoonsgegevens § Alle gegevens over een geïdentificeerde of identificeerbare persoon § GDPR maakt onderscheid tussen gewone en bijzondere persoonsgegevens § Gewone § Naam, adres, telefoon, e-mail, foto, ip-adres, … § Bijzondere § Ras of etnische afkomst, politiek opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap bij een vakbond, gezondheid, seksueel gedrag of seksuele gerichtheid, strafrechtelijke feiten, rijksregisternummer, alsook biometrische gegevens en genetische gegevens § Mogen enkel verwerkt worden onder strikte voorwaarden (art. 9, lid 2) – Zie bijlage § Bij het verwerken van deze gegevens moet je extra zorgvuldig te werk gaan (zie verder) § Gegevens zoals technische beschrijvingen, recepten, cijfers, … vallen buiten het toepassingsgebied van de GDPR 5
GDPR – Beginselen gegevensverwerking 6
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Grondslag § Dit houdt in: waarop baseer je je (basis) om persoonsgegevens te mogen verwerken § Limitatief, geen creativiteit mogelijk. GDPR somt redenen op: § Persoonsgegevens mag je enkel verwerken als je je kunt beroepen op één van de volgende grondslagen § Om te voldoen aan een wettelijke verplichting § Voor de uitvoering van een overeenkomst § Om de vitale belangen van een natuurlijk persoon te beschermen § Voor de vervulling van een taak van algemeen belang § Of § De betrokkene heeft toestemming gegeven § Per verwerkingsactiviteit (bv. cliëntenregistratie) mag je slechts één basis inroepen 7
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Duidelijk omschreven doel § Persoonsgegevens mag je alleen verwerken voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden moet je concreet en voorafgaand aan de verwerking schriftelijk vastleggen (verwerkingsregister) § Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen § De voorwaarde van grondslag en doel zijn cumulatief! § Let op bij verandering van doel § Voorafgaand nieuw doel schriftelijk vastleggen (verwerkingsregister) § Betrokkene hiervan inlichten en/of privacyverklaring aanpassen § Indien gegevens zijn verkregen op basis van toestemming > opnieuw toestemming vragen 8
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Minimale gegevensverwerking § Bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken § Dit houdt in: jouw gegevensverzameling moet in verhouding staan tot het doel (=proportioneel) => Hanteer principe ‘Need to know’ i. p. v. ‘Nice to know’ § Het doel kan niet minder, alternatieve of andere gegevens worden bereikt (maak de oefening!) § Kortom, geen gegevens verzamelen Om te verzamelen Vanuit een (ongezonde) nieuwsgierigheid Vanuit het idee ‘dit zou ik later ook nog wel eens nodig kunnen hebben § Ga zeer rationeel om met gegevensverzameling, beperk je tot wat strikt noodzakelijk is § Ga bij je taakuitvoering systematisch na welke gegevens vanaf nu overbodig zijn om te verwerken > Tip: pas je formulieren aan! 9
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Juiste verwerking § Binnen je taakuitvoering met je er over waken dat de persoonsgegevens die je verwerkt juist en actueel zijn § Beveiligde verwerking § Dit houdt in dat je alle maatregelen neemt om § De betrouwbaarheid van de persoonsgegevens te garanderen (= waken over vertrouwelijkheid, integriteit, beschikbaarheid) § Datalekken te voorkomen § Ingeval van datalek: verplicht melden aan DPO 10
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Opslagbeperking § Bewaar data niet langer dan strikt noodzakelijk § Data verwijderen na bewaartermijn § ‘Verwijderen’ kan ook betekenen, wegschrijven naar een archiefserver § Let wel, dan mogen de gegevens op die server niet langer bewerkt of bekendgemaakt worden § Weet waar je je data bewaart! (o. a. in functie van beveiliging) § Maak geen kopieën van kopieën § Bewaar geen persoonsgegevens op je lokale schijf § Let op met het bewaren van persoonsgegevens op mobiele devices (tablet, USB-stick, laptop, smartphone, …) 11
GDPR – Beginselen gegevensverwerking • Rekening houden met de beginselen van gegevensverwerking § Transparantie § Leg aan betrokkenen op transparante wijze uit waarom je over hem persoonsgegevens verwerkt § Dit houdt in dat betrokkenen het recht hebben om te weten: § De grondslag waarop je je beroept § Het doel(en) waarvoor je gegevens verwerkt § Van wie de gegevens van betrokkene afkomstig zijn § Wie de gegevens van betrokkene ontvangt § Hoelang je de gegevens bewaart § Welke zijn rechten zijn § Het geven van informatie doe je ongevraagd en kosteloos § Vb. privacyverklaring op de website, flyer, melding in nieuwsbrief, melding op een aanvraagformulier § Doe dit in een toegankelijke vorm en begrijpelijke taal: privacyverklaring op de website, flyer, nieuwsbrief, aanvraagformulier, . 12
GDPR – Toestemming • Toestemming § Principes § Als je je niet kunt beroepen op de grondslagen: wettelijke bepaling, overeenkomst, algemeen belang, vitaal belang dan mag je mits duidelijk gerechtvaardigd en omschreven doel(en) gegevens verzamelen op grond van toestemming § Als je de gegevens rechtstreeks van de betrokkene verneemt, dan moet je vooraf aan de gegevensverzameling toestemming vragen § Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd § De toestemming moet vrijelijke en expliciet zijn gegeven (moet aantoonbaar zijn, dus leg schriftelijk vast) § Een betrokkene heeft het recht ten allen tijde zijn toestemming in te trekken (moet daarvan vóór het geven van toestemming worden ingelicht) § Op dat moment mag je geen gegevens meer verwerken die op basis van toestemming zijn verkregen § Betrokkene kan op dat moment ook vragen zijn gegevens te laten wissen 13
GDPR – Toestemming § Minder dan 16? § Toestemming nodig van de wettelijke vertegenwoordiger van het kind § Let op bij scheidingen, kinderen in pleeginstelling, … § Beeldmateriaal § Toestemming nodig om beeldmateriaal te nemen § Toestemming nodig om beeldmateriaal te mogen publiceren § Karakter van beeldmateriaal speelt een rol § Groepsfoto’s, sfeerfoto’s mag zonder toestemming § Bij twijfel best toestemming vragen § Wees voorzichtig met het nemen van beeldmateriaal d. m. v. eigen devices (o. a. smartphone) > Moeilijk te beveiligen, grotere kans op datalek, zorg zeker voor pincode 14
GDPR – Informatieplicht • Informatieplicht § Doel § Betrokkenen hebben recht op informatie, zodat zij op voorhand weten in welke mate zijn persoonsgegevens worden verwerkt § De informatieverstrekking moet het transparantiebeginsel respecteren, d. w. z. § Beknopt § Begrijpelijk en gemakkelijk toegankelijke vorm § Duidelijke en eenvoudige taal. Dit moet beoordeeld worden in functie van het doelpubliek (bv. aangepaste taal voor minderjarigen; rekening houden met een eventueel allochtoon publiek, … § Indien de betrokkene wilsonbekwaam is, dan zal de informatie aan zijn vertegenwoordiger moeten worden meegedeeld 15
GDPR – Rechten van betrokkene 16
GDPR – Rechten van betrokkene • Rechten van de betrokkene § Doel § Betrokkenen moet tot op zekere hoogte zeggenschap hebben over de verwerking van hun persoonsgegevens § Rechten § Recht op inzage § Recht op rectificatie § Recht op vergetelheid § Recht op beperking van verwerking § Recht op bezwaar § Recht op overdraagbaarheid § Recht op intrekking van de toestemming § Recht op klacht bij de toezichthoudende autoriteit 17
GDPR – Rechten van betrokkene • Rechten van de betrokkene § Procedure § Indien je te maken krijgt met een burger die meer informatie wenst over zijn rechten of één van zijn rechten wilt uitoefenen: 1. Verwijs naar het privacybeleid te raadplegen bijvoorbeeld via de website 2. Verwijs deze persoon door naar de DPO met het oog op uniforme informatieverstrekking (tip: bezorg de contactgegevens van de DPO bijvoorbeeld via een flyer) § Uiteraard ben je er wel toe gehouden de betrokkene te informeren dat hij welbepaalde rechten heeft (dit is zeker het geval wanneer je persoonsgegevens wilt verwerken op basis van toestemming) § Gezien de complexiteit wat rechten betreft, is het niet aan te bevelen om zelf als medewerker diepgaande informatie te verstrekken, laat dit over aan de DPO en verwijs er naar 18
GDPR – Beveiligingsincidenten 19
GDPR – Beveiligingsincidenten • Beveiligingsincidenten § Houdt verband met de (niet) beschikbaarheid, vertrouwelijkheid, integriteit van gegevens § Voorbeelden § Computer die crasht, server die (tijdelijk) buiten werking is, netwerk dat tijdlang onderbroken is § Het vermoeden van een virus in of aanval op het ICT netwerk, een computer (server), PC, laptop, smartphone, tablet of computerprogramma § Fouten als gevolg van incomplete of onnauwkeurige verwerking § Gegevens onvoldoende beschermd (belang van clean desk, clear screen) § Beveiligingsincidenten moeten geregistreerd worden § Doel: op basis van evaluatie incidenten, komen tot het formuleren en uitvoeren van verbeteracties (op te nemen in plan informatiebeveiliging en gegevensbescherming) 20
GDPR – Datalekken • Datalek § Is een beveiligingsincident met volgende kenmerken § Ongeautoriseerde toegang tot, -gebruik, -bekendmaking van persoonsgegevens § Accidentele wijziging of vernietiging van persoonsgegevens § Verlies van persoonsgegevens § Voorbeelden § Tablet of smartphone, laptop, USB met persoonsgegevens kwijtgeraakt/vervreemd § Papieren dossier kwijtraken en niet terugvinden § Documenten met persoonsgegevens laten liggen aan de printer § E-mail met persoonsgegevens verzenden aan verkeerde afzender § E-mail werk met persoonsgegevens verzenden naar je privé-email (bijvoorbeeld Hotmail) § Ook een calamiteit binnen de organisatie zoals een brand waarbij persoonsgegevens verloren zijn gegaan en er geen back-up beschikbaar is, wordt beschouwd als een datalek 21
GDPR – Datalekken • Datalek § Procedure § Als gevolg van de GDPR dienen datalekken verplicht geregistreerd en in onder bepaalde voorwaarden gemeld te worden § Het potentieel risico op schade en schending van de rechten van betrokkene zijn hierbij doorslaggevend > dus steeds een afweging! § Bij kennisname of vaststelling: zonder verwijl melden aan de DPO! § DPO onderzoekt en gaat na of er melding dient te gebeuren aan de Gegevensbeschermingsautoriteit (moet binnen de 72 uur na kennisname datalek) en/of betrokkene § Melding van een datalek aan de Gegevensbeschermingsautoriteit moet gebeuren via het elektronisch meldingsformulier op hun website § Tip: Gebruik registratieformulier om datalekken, al dan niet gemeld, intern te loggen 22
GDPR – Safety first is van ons allemaal! 23
GDPR – Safety first is van ons allemaal! • Veilig omgaan met (persoons)gegevens § Iedereen van Algemeen Directeur tot eender welke medewerker is aan zet (ook de medewerkers die geen pc gebruiken) > veilig omgaan met gegevens is een zaak en taak van iedereen § Want: een verantwoorde persoonsgegevensverwerking is een veilige persoonsgegevensverwerking, inclusief het veilig en verantwoord omgaan met vertrouwelijke informatie (GDPR, beroepsgeheim, discretieplicht, vertrouwelijkheid, …) § De ons toevertrouwde informatiemiddelen (pc, laptop, smartphone, tablet, applicaties, …) en informatie vragen om extra zorgvuldig handelen! 24
GDPR – Safety first is van ons allemaal! § Te nemen beveiligingsmaatregelen bij de taakuitvoering (ter voorkoming van datalekken) § Beveilig je computer, tablet of telefoon met een wachtwoord of code en neem je mobiele apparaten ook altijd mee § Wellicht een open deur, maar helaas nog steeds nodig; schrijf je wachtwoorden niet op een post-it, geef je wachtwoord niet door, zorg voor een niet gemakkelijk te achterhalen wachtwoord dat je zelf gemakkelijk kan onthouden, verander regelmatig § Beperk het gebruik van USB-sticks of andere mobiele opslagmedia. Deze raken sneller kwijt en worden gemakkelijker vergeten, gebruik geëncrypteerde USB-Sticks § Verwijder spullen die je niet meer nodig hebt op de juiste wijze. Dat wil zeggen; documenten met (privacy)gevoelige informatie door de papierversnipperaar, USB-sticks en harde schijven formateren én doorboren § Loop altijd direct naar de printer als je een (gevoelig) document hebt uitgeprint of gekopieerd § Vergrendel je computer altijd (Windowstoets + L). Dus ook als je even snel koffie gaat halen of naar het toilet gaat § Laat ook je papieren dossiers niet rondslingeren, berg ze veilig op en verwijder na de bewaartermijn 25
GDPR – Safety first is van ons allemaal! § Te nemen beveiligingsmaatregelen bij de taakuitvoering (ter voorkoming van datalekken) § Ga zorgvuldig om met je bevoegdheden; wees je bewust van je verantwoordelijkheid § Geef iemand die dat formeel niet mag geen toegang tot jouw gegevens en bestanden. Als dat wel nodig is dan kan dat via de beheerder geregeld worden § Als je weet dat er een kans bestaat op misbruik van je wachtwoord, bijvoorbeeld omdat iemand heeft meegekeken, verander dan je wachtwoord § Bedenk dat het veilig omgaan met wachtwoorden óók betekent dat jij geen oneigenlijk gebruik maakt van het wachtwoord van iemand anders. Ook niet om te kijken hoe het gaat met een cliënt van een collega waarbij je je betrokken voelt § Neem geen vertrouwelijke informatie over cliënten mee naar huis § Print niet onnodig vertrouwelijke cliëntinformatie § Laat vertrouwelijke documenten niet onbeheerd achter; dit geldt zowel op de werkplek als bij print-, kopieer- en faxapparatuur § Gooi vertrouwelijke documenten alleen weg in een afgesloten bak of papierversnipperaar § Vind je vertrouwelijke gegevens daar waar je deze niet verwacht? Meld dit aan de DPO! 26
GDPR – Safety first is van ons allemaal! § Te nemen beveiligingsmaatregelen bij de taakuitvoering (ter voorkoming van datalekken) § Gebruik internet op een veilige manier § Het gebruik van internet brengt altijd risico’s met zich mee; denk aan: § Het onbewust binnenhalen van ongewenste software die de prestatie van je PC of het netwerk kan beïnvloeden of zelfs het hele internetverkeer kan platleggen § Het onbewust binnenhalen van software die zich als een ‘spion’ gedraagt en kan meekijken met wat je doet of hebt opgeslagen § Surf op safe! § Laat websites waarvan je de betrouwbaarheid in twijfel trekt links liggen § Download geen (illegale) software; er kunnen virussen in zitten § Weet (de gevolgen van) welke informatie je bekendmaakt op het internet (Let op bij het gebruik van sociale media). § Laat nooit vertrouwelijke of gevoelige informatie van je werk achter op het publiek internet (= datalek!) § E-mail § Beperk het verzenden van persoonsgegevens via e-mail, indien wel: versleutel! § Verzend geen werk-email (met persoonsgegevens) naar je privé-emailadres! 27
GDPR = Kwaliteitsproces § Integreren in de volledige organisatiestructuur § Rollen, verantwoordelijkheden § Integreren in de organisatiebrede processen § Integreren in de processen per dienst § Vertalen naar praktische richtlijnen, concrete werkinstructies 28
©Kurt Penninck – V-ICT-OR 29
- Slides: 30