impact avg op de lokale overheden -...

Vlaamse Toezichtcommissie voor hetelektronische bestuurlijke gegevensverkeer

Impact AVG op de lokale overheden

Caroline VernaillenAnne Teughels september 2016

Vlaamse Toezichtcommissie

o De Vlaamse Toezichtcommissievoor het elektronischebestuurlijke gegevensverkeer

Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) → ook lokale besturen

Hoe: 1° machtigen van die stromen (criteria privacywet)2° adviezen (regelgeving, VDI-decreet)3° beantwoorden van vragen en begeleiding4° controletaken (audit)


Opgericht bij E-GOV decreet 18 juli 2008

Verantwoording aan Vlaams Parlement

Wie zijn wij?


De privacywet en de AVR

• Privacywet of wet verwerking persoonsgegevens (WVP)

• Uitvoering van de privacyrichtlijn

• Wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG)

(= General Data Protection Regulation (GDPR))In principe rechtstreeks van toepassing, geen omzetting meer nodig.


http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=EN

http://vtc.corve.be/wetgeving.php

88 blz. in NL versie waaronder

31 blz intro

3 blz definities

5 blz beginselen

9 blz rechten van betrokkene

12 blz verwerker

5 blz doorgifte aan derde landen

6 blz onafhankelijke toezichthoudende autoriteiten

4 blz beroep, aansprakelijkheid en sancties



Algemene Verordening Gegevensbescherming

• In werking 25 mei 2016• Van toepassing 25 mei 2018 = nu beginnen!

TO DO

o Wet- en regelgeving aanpassen = eerder een taak van parlementen en regeringen)

o Verwerken persoonsgegevens conform de vereisten van de verordening = ook een taak van de lokale overheden



• De meeste principes en definities werden behouden ! Fundamenteel verandert er niet zoveel.

• Er wordt meer geëxpliciteerd, onder andere zaken die gegroeid waren via rechtspraak en praktijk

• Het toepassingsgebied werd aangepast

• Wel nieuwe verplichtingen en sanctionering



• DEFINITIES

• Ongewijzigde definities:

o definitie van persoonsgegeven

o definitie van verantwoordelijke

o definitie van verwerking

o definitie van verwerker



• Gewijzigde definities:o definitie van gezondheidsgegeven en de indeling in bijzondere

categorieën persoonsgegevens - art. 9 AVG

o Toestemming van de betrokkene: - art. 6 en 7 AVGelke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

(Niet expliciet. Wel afzonderlijk.)



• Nieuwe definities:

o definitie van genetische gegevens en biometrische gegevens

o definitie van profilering

o definitie van pseudonimisering

o definitie van persoonsgegevensinbreuk

o definitie van bindende bedrijfsvoorschriften (binding corporate rules - BCR)

NIEUW


Principes WVP en AVR

De belangrijkste principes uit de privacywet gelden ook onder de AVR


Principes WVP

finaliteit, proportionaliteit, transparantie, veiligheid

o Rechtmatigheid, behoorlijkheid en transparantie

o Juistheid

o Doelbinding

o Minimale gegevensverwerking

o Opslagbeperking

o Integriteit en vertrouwelijkheid


Principes AVR

o Verantwoordingsplicht = nieuw (accountability)

= verantwoordelijkheid nemen én verantwoording geven

= belangrijk principe dat zich uit op verschillende punten in de AVR

Zie o.a. register en DPIA


Principes AVR

NIEUW


Rechten en verplichtingen onder AVR

De rechten zijn grotendeels hetzelfde gebleven, maar de modaliteiten werden aangepast

• RECHTEN VAN DE BETROKKENE

• Recht op transparantie – art. 12 • Informatieplicht - art. 13, 14 • Recht op inzage - art. 15 • Recht op rectificatie - art. 16



• Recht op gegevenswissing (vergetelheid)= nieuw - art. 17

• Recht op verwerkingsbeperking - art. 18 • Recht op overdraagbaarheid = nieuw• Recht van bezwaar (tenzij wettelijke verplichting)

- art. 21 • Profilering en geautomatiseerde individuele besluitvorming - art. 22

NIEUW



• VERPLICHTINGEN VAN DE VERANTWOORDELIJKEEN DE VERWERKER

• Accountability principe – art. 24

• Privacy by design and by default – art. 25 = NIEUW !!

• Keuze van een verwerker – art. 28-29

• Register bijhouden – art. 30 = NIEUW !

NIEUW



• Beveiliging – art. 32

• Gegevensbeschermingseffectbeoordeling –art.35 = ‘NIEUW’ !! (PIA of DPIA)

• Functionaris voor de gegevensbescherming –art.37 (DPO) = veiligheidsconsulent ?

• Melding van een inbreuk – art. 33 = ‘NIEUW’ !!

NIEUW


Aandachtspunten voor de lokale besturen

• AVG geldt zowel voor publieke als voor private sector = privacywet

• Lidstaten vroegen om een bijzonder regime voor de publieke sector en er zijn afwijkende bepalingen opgenomen



1. DPO

2. Register

3. Databreach

4. Administratieve geldboeten

5. DPIA

6. Privacy by default en design (niet uitgewerkt)



1. DPO



Alle steden en gemeenten en provincies moeten een functionaris voor de gegevensbescherming

(data protection officer) aangesteld hebben tegen 25 mei 2018


(als ze dat nog niet gedaan hebben, want … ze hadden dat al lang moeten doen)

= informatieveiligheidsconsulent? (ja)

Ideaal profiel?


Februari 2015

Steden/gemeenten waar VTC geen informatie over heeft = rood.Steden/gemeenten met VC en waarvoor VTC positief advies heeft gegeven = groen

Situatie VC in Vlaanderen.


Juli 2016

Steden/gemeenten waar VTC geen informatie over heeft = rood.Steden/gemeenten met VC en waarvoor VTC positief advies heeft gegeven = groenSteden/gemeenten met VC en waarvoor VTC geen positief advies heeft gegeven = geel

Situatie VC in Vlaanderen.


En de VC-DPO krijgt er nieuwe taken bij:

- contact voor de betrokkenen/burgers (contactgegevens moeten publiek w gemaakt)

- contact voor de TA en ermee samenwerken (contactgegevens moeten w meegedeeld a TA)

- te raadplegen voor DPIA

NIEUW


Artikel 37.Aanwijzing van de functionaris voor gegevensbescherming

1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

Nu dus ook een verplichting voor de verwerker, uw contractant. NIEUW



2. Een register bijhouden

NIEUW


De aangifteplicht valt weg ☺☺☺☺

maar het register van verwerkingsactiviteiten komt in de plaats.

• Schriftelijk waaronder elektronisch

• Ter beschikking van de TA

NIEUW


� Naam en contactgegevens verantwoordelijke/verwerker en DPO

� Doeleinden (nt voor verwerker)

� Categorieën betrokkenen en persoonsgegevens (nt voor verwerker)

� Categorieën ontvangers (nt voor verwerker)

� Caterorieën verwerkingen en voor wie (enkel verwerker)

� Doorgifte naar derde landen of internationale organisaties + waarborgen

� Termijnen om te wissen (nt voor verwerker)

� Beveiligingsmaatregelen

NIEUW



3. Melding van een inbreuk


Melding van een inbreuk

Definitie:

inbreuk in verband met persoonsgegevens:

� een inbreuk op de beveiliging� die per ongeluk of op onrechtmatige wijze� leidt tot

• de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang

• tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;


Nieuw als verplichting

Wel al vrijwillige melding bij CBPL (aanbeveling 01/2013 CBPL – W 13/06/2005 elektronische communicatie: verplicht bij openbaar incident telecomsector)

Wel al in richtsnoeren informatieveiligheid versie 2.0 2014 al aanbevolen (nr13)

De steden en gemeenten en provincies moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.

(databreach)

NIEUW




Verwerker kennis

Verantwoordelijke kennis

Verantwoordelijke

Betrokkene

Toezichthoudende autoriteitrisico R &V?

Zonder onredelijke vertraging

Onverwijld !!Minus 3 uitz

waarschijnlijk

waarschijnlijk HOOG

Zonder onredelijke vertragingMax 72 uur !!



4. Administratieve geldboeten (en andere sancties)

NIEUW

Vlaamse Toezichtcommissie 35

4. Inbreuken op onderstaande bepalingen zijn

overeenkomstig lid 2 onderworpen aan

administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:

5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan

administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:

OverheidVerwerker

OverheidVerwerker

� de administratieve geldboeten die worden opgelegd moeten in elke zaak doeltreffend, evenredig en afschrikkend zijn.

� elke lidstaat kan regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen

� ? Eventueel dwangsom?

Aandachtspunten voor de lokale

besturen

5. Gegevensbeschermingseffectbeoordeling

(data protection impact assesment DPIA (vroeger PIA)

� verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen

� in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt

� risico: gelet op de aard, de omvang, de context en de doeleinden

NIEUW

� zeker in volgende gevallen• een systematische en uitgebreide beoordeling van

persoonlijke aspecten gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd met rechtsgevolgen of gelijkaardig

• grootschalige verwerking van bijzondere categorieën van persoonsgegevens

• stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

o Lidstaten verplicht: positieve lijsto Lidstaten optioneel: negatieve lijsto Niet verplicht als al DPIA n.a.v. wetgeving

� vóór de verwerking

� DPO moet betrokken worden

� beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens

� Verplichte inhoud DPIA

o een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden

o een beoordeling van de noodzaak en de evenredigheid van de verwerkingen m.b.t. de doeleinden

o beoordeling van de risico’s voor rechten en vrijheden van betrokkenen

≠ veiligheidsplan !

o maatregelen om de risico's aan te pakken, om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan verordening is voldaan

https://www.cnil.fr/fr/node/15798


• Website CBPL: themadossier AVGhttps://www.privacycommission.be/nl/node/19451

• Brochure CBPL: AVR – bereid je voor in 13 stappenhttps://www.privacycommission.be/nl/nieuws/algemene-verordening-gegevensbescherming-privacycommissie-lanceert-themadossier-en


Nuttige doc:

Vlaamse Toezichtcommissie 43

Nog eens:

nu beginnen!


Besluit

• Relevante en actuele informatie vindt u terug op

owww.vlaamsetoezichtcommissie.be

owww.privacycommission.be

• Vragen of opmerkingen zijn altijd welkom op

[email protected]


Contact

impact avg op de lokale overheden -...

Documents