SlideShare une entreprise Scribd logo

Gegevensbescherming makelaars

Télécharger en tant que PPTX, PDF
T
Tommy Vandepitte

De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).

Droit
1  sur  43
Gegevensbescherming bij de verzekeringsmakelaar Tommy Vandepitte Ondersteuning van Fidea’s DPO
Omgeving Fysiek Mens Toestel Toepassing Database Drager Informatieveiligheid Risico-inschatting Risico-beslissing Controles Incidenten- beheer Change • In het regulatoir kader • In processen • In mensen (JLT) • In technologie Netwerk Data derden • 1ste lijn • 2de lijn • 3de llijn • Impact • Probabiliteit • Vermijd • Matig • Deel • Aanvaard
Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end Gegevensbescherming
GDPR – wat is er nieuw? Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end
GDPR – wat is nieuw? • Processor is nu ook geaddresseerd • Organisatie • ”Accountability” (omkering van het bewijsrisico), concreet • Verwerkingsregister (en risicoregister) • Privacy / data protection impact assessment (“PIA”/”DPIA”) • Privacy by Design en Privacy by Default • Data Protection Officer • Erkenning van “kader”-mechanismen: certificatie, gedragscodes, binding corporate rules,… • Incidentenbeheer en datalekken • Rechten van individuen zijn aangevuld en nader uitgewerkt • Handhaving • Administratieve boetes algemeen en uniform • Collectieve actie van individuen algemeen en uniform
Makelaar Verzekeringsnemer Verzekerde Begunstigde Verzekeraar Herverzekeraar “To be or not to be”Acceptatie Claim Persoonsverzekering Schadeverzekering
Makelaar • Assuralia ? – Geen akkoord (standaardovereenkomst, sectorgedragscode,…) – Segmentering de oplossing? • Intussen? – Verschillende oplossingen voor verschillende verzekeraars • Fidea : verwachtingen en instructies
Makelaar als verwerker • Artikel 28 AVG (cf. art. 16 privacywet) • Wanneer? – Op systemen van verzekeraar + – Processen opgelegd door verzekeraar + – Mandaat van de verzekeraar
Makelaar als verwerker • “volgen”, maar toch ook eigen verplichtingen – Waarschuwing (“sanity check”) – DPO (meestal niet, wel te checken + documenteren) – Verwerkingsregister (<250 personeel, maar…) – Onderverwerkers (keuze, toestemming, overeenkomst-ketting, aansprakelijkheid) – Overeenkomst • Beschrijving verwerking • Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want wet) • Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten van data subjecten • Bijstand bij informatiebeveiliging, datalekken, DPIA • Einde (vernietigen en/of teruggeven) • Bewijs (incl. audit)
Makelaar als verwerkingsverantwoordelijke • Artikel 24 AVG • Wanneer? – Personeel – Prospecten – Cliënteel • Cliëntenidentificatie (AML) • Cliëntenbeheer • Adviesrol • Marktbevraging • Claimsbegeleiding – Leveranciers, aandeelhouders, …
Gezamenlijke verantwoordelijkheid • Artikel 26 GDPR • Wanneer? – Gezamenlijke marketingactie – Witwaspreventie (derdezaakaanbrenger)? – Risk carrier constructie?
Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” ART. 24 ART. 37-39 ART. 32
Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 26 ART. 28
Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) ART. 30 ART. 35
Data register
Data register • CBPL – https://www.gegevensbeschermingsautoriteit.be/ register-van-de-verwerkingsactiviteiten-0#overlay- context=nl/model-voor-een-register-van-de- verwerkingsactiviteiten – https://www.gegevensbeschermingsautoriteit.be/ model-voor-een-register-van-de- verwerkingsactiviteiten • CNIL – https://www.cnil.fr/fr/les-outils-de-la-conformite
Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch ART. 32
KISS
Technische en organisatorische maatregelen
IRL
Op slot • Kantoor • Dossierkasten • Bureaulade • Computer • …
Houdt de zaken gescheiden
Beperk het aantal ontvangers
Denk aan de “aanvaller” …maar ook
Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming ART. 25 ART. 12-14 ART. 6-8
Transparant • Eigen privacyverklaring – Algemeen (o.a. op website?) • Suggestie: clusters van informatie – algemene sectie – persoon: prospect, verzekeringsnemer, verzekerde, begunstigde, corporate klant, contactpersonen, ultieme begunstigden (UBO) – gegeven: gezondheidsgegevens, gerechtelijke gegevens, … – Op de verschillende (eigen) documenten • Rekening houden met privacyverklaring van verzekeraars (en eventueel doorlinken) – Algemeen (op hun website) – Staat dat goed op de verschillende documenten ?
Marketing Geschreven beleid voor gegevensbescherming in marketing - Prospecten v. Klanten - Klanten v. reps, UBOs, … - Transparantie - Verzamelen van data - Kwaliteit van data - Up-to-date data - Gebruik van data: segmentatie, profilering - Omgaan met een opt-out - Delen van data: intra-company, intra- groep, partners, …
Opt-in
Keuzes waar mogelijk
Elektronische post = opt-inUitzondering (nog altijd, verhouding niet duidelijk): - Professionele klanten ALS • professioneel aanbod • op een niet-persoonlijk adres • Individuele bestaande klanten • die hun gegevens doorgaven • ALS het aanbod • is door contractpartij • betrekking heeft op gelijkaardige producten van de contractpartij Art. VII.13 WER Altijd moet de boodschap een opt-out bevatten.
Bottom line
CRM / Beheerstoepassing • Doelgebonden – Is wat je weg (kan) schrijven relevant en noodzakelijk? – “vrije velden”: toonbaar, respectvol, objectief, … • Beveiliging – Wie is de superuser? Kan daar een belangenconflict ontstaan? – Kan je de toegangen modulair regelen? – Is er een log van het gebruik? Controle op log (vanuit bijzonder profiel)? • Rechten data subjecten – Kan je exporteren (met een bijzonder profiel)? – Kan je opt-in registreren (met bewijs)? Kan je opt-out registeren en verzekeren dat die gerespecteerd wordt? – Kan je (permanent) deleten?
Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 15-23
Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Melden verzekeraar? – Risico • Melden (GBA – asap) – Hoog risico • Communiceren (DS) ART. 36 ART. 33-34
De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual In delen / iteraties
De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual • Tone at the top ! • “Money where your mouth is” • Beslissingen mbt gegevensbescherming • Sponsor • HR • Communicatie & Training • Bewustmaking (= “top of mind”) • Processen • Regelmatig herbekijken en actualiseren • IT • Beveiliging is een moving target – upgrade, patch, uitdienststelling • Nieuwe – PbD + contract • Monitoren & Rapporteren • Testen • Eerstelijnscontroles (KPI, SL, etc.) • Rapportering • Consolidatie dashboard naar bestuur In delen / iteraties
Tools • Word • Excel • www.ravib.nl • www.nymity.com
Bronnen Wet • http://data.europa.eu/eli/re g/2016/679/oj • Apps – Baker & McKenzie's Global Privacy App – DLA Piper: Explore GDPR – DPOrganizer – EDPS: GDPR app – Fieldfisher: GDPR, the Complete Guide “Toegepast” • www.gegevensbescherming sautoriteit.be • www.assuralia.be • EU – https://ec.europa.eu/info/law /law-topic/data- protection_en – http://ec.europa.eu/newsroo m/article29/news- overview.cfm
Bedtime story
Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 24 ART. 26 ART. 28 ART. 37-39 ART. 32
Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 30 ART. 35 ART. 32 ART. 25 ART. 12-14 ART. 6-8 ART. 15-23
Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Risico • Melden (GBA – asap) • Communiceren (DS) ART. 36 ART. 33-34

Recommandé

Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Koenraad FLAMANT
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
Best practices privacy policies heerlijk helder
Best practices privacy policies heerlijk helderBest practices privacy policies heerlijk helder
Best practices privacy policies heerlijk helderKoenraad FLAMANT
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 

Recommandé

Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Dpo a plum job when avoiding living hell.
Dpo a plum job when avoiding living hell.Koenraad FLAMANT
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocaten20181113 politeia gdpr voor advocaten
20181113 politeia gdpr voor advocatenBart Van Den Brande
 
Best practices privacy policies heerlijk helder
Best practices privacy policies heerlijk helderBest practices privacy policies heerlijk helder
Best practices privacy policies heerlijk helderKoenraad FLAMANT
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
Presentatie studiedag avg
Presentatie studiedag avgPresentatie studiedag avg
Presentatie studiedag avgVlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_paVlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw (VVBAD)
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
DMCC Webinar compliance
DMCC Webinar complianceDMCC Webinar compliance
DMCC Webinar compliancePatrick Jordens
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de PraktijkBartLieben
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinarBart Van Den Brande
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgBart Van Den Brande
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 

Contenu connexe

Tendances

HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de PraktijkBartLieben
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 

Tendances (15)

Presentatie studiedag avg
Presentatie studiedag avgPresentatie studiedag avg
Presentatie studiedag avg
 
20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa20171020 toepassing avg_bij_pa
20171020 toepassing avg_bij_pa
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius Legal
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
DMCC Webinar compliance
DMCC Webinar complianceDMCC Webinar compliance
DMCC Webinar compliance
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en Overheid
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de Praktijk
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing
 

Similaire à Gegevensbescherming makelaars

AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgBart Van Den Brande
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202Considerati1
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...SURF Events
 
GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)Tommy Vandepitte
 

Similaire à Gegevensbescherming makelaars (20)

20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proof
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202Considerati cv ok slideshare 120202
Considerati cv ok slideshare 120202
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites
 
Privacy by Design
Privacy by DesignPrivacy by Design
Privacy by Design
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...
 
GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)
 

Plus de Tommy Vandepitte

Gegevensbescherming-clausule in (overheids)opdracht
Gegevensbescherming-clausule in (overheids)opdrachtGegevensbescherming-clausule in (overheids)opdracht
Gegevensbescherming-clausule in (overheids)opdrachtTommy Vandepitte
 
20190131 - Presentation Q&A on legislation's influence (on travel management)
20190131 - Presentation Q&A on legislation's influence (on travel management)20190131 - Presentation Q&A on legislation's influence (on travel management)
20190131 - Presentation Q&A on legislation's influence (on travel management)Tommy Vandepitte
 
GDPR toegepast op huur-verhuur (Dutch)
GDPR toegepast op huur-verhuur (Dutch)GDPR toegepast op huur-verhuur (Dutch)
GDPR toegepast op huur-verhuur (Dutch)Tommy Vandepitte
 
Controller-to-processor agreements
Controller-to-processor agreementsController-to-processor agreements
Controller-to-processor agreementsTommy Vandepitte
 
EEAS - Cultivate your data protection
EEAS - Cultivate your data protectionEEAS - Cultivate your data protection
EEAS - Cultivate your data protectionTommy Vandepitte
 
Presentation for the LSEC GDPR event - 20171130
Presentation for the LSEC GDPR event - 20171130Presentation for the LSEC GDPR event - 20171130
Presentation for the LSEC GDPR event - 20171130Tommy Vandepitte
 
Training privacy by design
Training privacy by designTraining privacy by design
Training privacy by designTommy Vandepitte
 
GDPR project board deck (example)
GDPR project board deck (example)GDPR project board deck (example)
GDPR project board deck (example)Tommy Vandepitte
 
IS/DPP for staff #8 - Monitoring
IS/DPP for staff #8 - MonitoringIS/DPP for staff #8 - Monitoring
IS/DPP for staff #8 - MonitoringTommy Vandepitte
 
IS/DPP for staff #7 - Incidents
IS/DPP for staff #7 - IncidentsIS/DPP for staff #7 - Incidents
IS/DPP for staff #7 - IncidentsTommy Vandepitte
 
IS/DPP for staff #6 - Acceptable use
IS/DPP for staff #6 - Acceptable useIS/DPP for staff #6 - Acceptable use
IS/DPP for staff #6 - Acceptable useTommy Vandepitte
 
IS/DPP for staff #5b - Passwords
IS/DPP for staff #5b - PasswordsIS/DPP for staff #5b - Passwords
IS/DPP for staff #5b - PasswordsTommy Vandepitte
 
IS/DPP for staff #5a - Access
IS/DPP for staff #5a - AccessIS/DPP for staff #5a - Access
IS/DPP for staff #5a - AccessTommy Vandepitte
 
IS/DPP for staff #3b - Data Classification
IS/DPP for staff #3b - Data ClassificationIS/DPP for staff #3b - Data Classification
IS/DPP for staff #3b - Data ClassificationTommy Vandepitte
 
IS/DPP for staff #3a - Data
IS/DPP for staff #3a - DataIS/DPP for staff #3a - Data
IS/DPP for staff #3a - DataTommy Vandepitte
 
IS/DPP for staff #2 - Why?
IS/DPP for staff #2 - Why?IS/DPP for staff #2 - Why?
IS/DPP for staff #2 - Why?Tommy Vandepitte
 
IS/DPP for staff #1 - intro
IS/DPP for staff #1 - introIS/DPP for staff #1 - intro
IS/DPP for staff #1 - introTommy Vandepitte
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset OwnersTommy Vandepitte
 

Plus de Tommy Vandepitte (20)

DPIA template
DPIA templateDPIA template
DPIA template
 
Gegevensbescherming-clausule in (overheids)opdracht
Gegevensbescherming-clausule in (overheids)opdrachtGegevensbescherming-clausule in (overheids)opdracht
Gegevensbescherming-clausule in (overheids)opdracht
 
20190131 - Presentation Q&A on legislation's influence (on travel management)
20190131 - Presentation Q&A on legislation's influence (on travel management)20190131 - Presentation Q&A on legislation's influence (on travel management)
20190131 - Presentation Q&A on legislation's influence (on travel management)
 
GDPR toegepast op huur-verhuur (Dutch)
GDPR toegepast op huur-verhuur (Dutch)GDPR toegepast op huur-verhuur (Dutch)
GDPR toegepast op huur-verhuur (Dutch)
 
Controller-to-processor agreements
Controller-to-processor agreementsController-to-processor agreements
Controller-to-processor agreements
 
EEAS - Cultivate your data protection
EEAS - Cultivate your data protectionEEAS - Cultivate your data protection
EEAS - Cultivate your data protection
 
Presentation for the LSEC GDPR event - 20171130
Presentation for the LSEC GDPR event - 20171130Presentation for the LSEC GDPR event - 20171130
Presentation for the LSEC GDPR event - 20171130
 
Training privacy by design
Training privacy by designTraining privacy by design
Training privacy by design
 
GDPR project board deck (example)
GDPR project board deck (example)GDPR project board deck (example)
GDPR project board deck (example)
 
IS/DPP for staff #8 - Monitoring
IS/DPP for staff #8 - MonitoringIS/DPP for staff #8 - Monitoring
IS/DPP for staff #8 - Monitoring
 
IS/DPP for staff #7 - Incidents
IS/DPP for staff #7 - IncidentsIS/DPP for staff #7 - Incidents
IS/DPP for staff #7 - Incidents
 
IS/DPP for staff #6 - Acceptable use
IS/DPP for staff #6 - Acceptable useIS/DPP for staff #6 - Acceptable use
IS/DPP for staff #6 - Acceptable use
 
IS/DPP for staff #5b - Passwords
IS/DPP for staff #5b - PasswordsIS/DPP for staff #5b - Passwords
IS/DPP for staff #5b - Passwords
 
IS/DPP for staff #5a - Access
IS/DPP for staff #5a - AccessIS/DPP for staff #5a - Access
IS/DPP for staff #5a - Access
 
IS/DPP for staff #3b - Data Classification
IS/DPP for staff #3b - Data ClassificationIS/DPP for staff #3b - Data Classification
IS/DPP for staff #3b - Data Classification
 
IS/DPP for staff #3a - Data
IS/DPP for staff #3a - DataIS/DPP for staff #3a - Data
IS/DPP for staff #3a - Data
 
IS/DPP for staff #2 - Why?
IS/DPP for staff #2 - Why?IS/DPP for staff #2 - Why?
IS/DPP for staff #2 - Why?
 
IS/DPP for staff #1 - intro
IS/DPP for staff #1 - introIS/DPP for staff #1 - intro
IS/DPP for staff #1 - intro
 
Training Procurement
Training ProcurementTraining Procurement
Training Procurement
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset Owners
 

Gegevensbescherming makelaars

  • 1. Gegevensbescherming bij de verzekeringsmakelaar Tommy Vandepitte Ondersteuning van Fidea’s DPO
  • 2. Omgeving Fysiek Mens Toestel Toepassing Database Drager Informatieveiligheid Risico-inschatting Risico-beslissing Controles Incidenten- beheer Change • In het regulatoir kader • In processen • In mensen (JLT) • In technologie Netwerk Data derden • 1ste lijn • 2de lijn • 3de llijn • Impact • Probabiliteit • Vermijd • Matig • Deel • Aanvaard
  • 3. Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end Gegevensbescherming
  • 4. GDPR – wat is er nieuw? Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end
  • 5. GDPR – wat is nieuw? • Processor is nu ook geaddresseerd • Organisatie • ”Accountability” (omkering van het bewijsrisico), concreet • Verwerkingsregister (en risicoregister) • Privacy / data protection impact assessment (“PIA”/”DPIA”) • Privacy by Design en Privacy by Default • Data Protection Officer • Erkenning van “kader”-mechanismen: certificatie, gedragscodes, binding corporate rules,… • Incidentenbeheer en datalekken • Rechten van individuen zijn aangevuld en nader uitgewerkt • Handhaving • Administratieve boetes algemeen en uniform • Collectieve actie van individuen algemeen en uniform
  • 6. Makelaar Verzekeringsnemer Verzekerde Begunstigde Verzekeraar Herverzekeraar “To be or not to be”Acceptatie Claim Persoonsverzekering Schadeverzekering
  • 7. Makelaar • Assuralia ? – Geen akkoord (standaardovereenkomst, sectorgedragscode,…) – Segmentering de oplossing? • Intussen? – Verschillende oplossingen voor verschillende verzekeraars • Fidea : verwachtingen en instructies
  • 8. Makelaar als verwerker • Artikel 28 AVG (cf. art. 16 privacywet) • Wanneer? – Op systemen van verzekeraar + – Processen opgelegd door verzekeraar + – Mandaat van de verzekeraar
  • 9. Makelaar als verwerker • “volgen”, maar toch ook eigen verplichtingen – Waarschuwing (“sanity check”) – DPO (meestal niet, wel te checken + documenteren) – Verwerkingsregister (<250 personeel, maar…) – Onderverwerkers (keuze, toestemming, overeenkomst-ketting, aansprakelijkheid) – Overeenkomst • Beschrijving verwerking • Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want wet) • Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten van data subjecten • Bijstand bij informatiebeveiliging, datalekken, DPIA • Einde (vernietigen en/of teruggeven) • Bewijs (incl. audit)
  • 10. Makelaar als verwerkingsverantwoordelijke • Artikel 24 AVG • Wanneer? – Personeel – Prospecten – Cliënteel • Cliëntenidentificatie (AML) • Cliëntenbeheer • Adviesrol • Marktbevraging • Claimsbegeleiding – Leveranciers, aandeelhouders, …
  • 11. Gezamenlijke verantwoordelijkheid • Artikel 26 GDPR • Wanneer? – Gezamenlijke marketingactie – Witwaspreventie (derdezaakaanbrenger)? – Risk carrier constructie?
  • 12. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” ART. 24 ART. 37-39 ART. 32
  • 13. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 26 ART. 28
  • 14. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) ART. 30 ART. 35
  • 16. Data register • CBPL – https://www.gegevensbeschermingsautoriteit.be/ register-van-de-verwerkingsactiviteiten-0#overlay- context=nl/model-voor-een-register-van-de- verwerkingsactiviteiten – https://www.gegevensbeschermingsautoriteit.be/ model-voor-een-register-van-de- verwerkingsactiviteiten • CNIL – https://www.cnil.fr/fr/les-outils-de-la-conformite
  • 17. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch ART. 32
  • 18. KISS
  • 20. IRL
  • 21. Op slot • Kantoor • Dossierkasten • Bureaulade • Computer • …
  • 22. Houdt de zaken gescheiden
  • 23. Beperk het aantal ontvangers
  • 24. Denk aan de “aanvaller” …maar ook
  • 25. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming ART. 25 ART. 12-14 ART. 6-8
  • 26. Transparant • Eigen privacyverklaring – Algemeen (o.a. op website?) • Suggestie: clusters van informatie – algemene sectie – persoon: prospect, verzekeringsnemer, verzekerde, begunstigde, corporate klant, contactpersonen, ultieme begunstigden (UBO) – gegeven: gezondheidsgegevens, gerechtelijke gegevens, … – Op de verschillende (eigen) documenten • Rekening houden met privacyverklaring van verzekeraars (en eventueel doorlinken) – Algemeen (op hun website) – Staat dat goed op de verschillende documenten ?
  • 27. Marketing Geschreven beleid voor gegevensbescherming in marketing - Prospecten v. Klanten - Klanten v. reps, UBOs, … - Transparantie - Verzamelen van data - Kwaliteit van data - Up-to-date data - Gebruik van data: segmentatie, profilering - Omgaan met een opt-out - Delen van data: intra-company, intra- groep, partners, …
  • 30. Elektronische post = opt-inUitzondering (nog altijd, verhouding niet duidelijk): - Professionele klanten ALS • professioneel aanbod • op een niet-persoonlijk adres • Individuele bestaande klanten • die hun gegevens doorgaven • ALS het aanbod • is door contractpartij • betrekking heeft op gelijkaardige producten van de contractpartij Art. VII.13 WER Altijd moet de boodschap een opt-out bevatten.
  • 32. CRM / Beheerstoepassing • Doelgebonden – Is wat je weg (kan) schrijven relevant en noodzakelijk? – “vrije velden”: toonbaar, respectvol, objectief, … • Beveiliging – Wie is de superuser? Kan daar een belangenconflict ontstaan? – Kan je de toegangen modulair regelen? – Is er een log van het gebruik? Controle op log (vanuit bijzonder profiel)? • Rechten data subjecten – Kan je exporteren (met een bijzonder profiel)? – Kan je opt-in registreren (met bewijs)? Kan je opt-out registeren en verzekeren dat die gerespecteerd wordt? – Kan je (permanent) deleten?
  • 33. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 15-23
  • 34. Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Melden verzekeraar? – Risico • Melden (GBA – asap) – Hoog risico • Communiceren (DS) ART. 36 ART. 33-34
  • 35. De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual In delen / iteraties
  • 36. De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual • Tone at the top ! • “Money where your mouth is” • Beslissingen mbt gegevensbescherming • Sponsor • HR • Communicatie & Training • Bewustmaking (= “top of mind”) • Processen • Regelmatig herbekijken en actualiseren • IT • Beveiliging is een moving target – upgrade, patch, uitdienststelling • Nieuwe – PbD + contract • Monitoren & Rapporteren • Testen • Eerstelijnscontroles (KPI, SL, etc.) • Rapportering • Consolidatie dashboard naar bestuur In delen / iteraties
  • 37. Tools • Word • Excel • www.ravib.nl • www.nymity.com
  • 38. Bronnen Wet • http://data.europa.eu/eli/re g/2016/679/oj • Apps – Baker & McKenzie's Global Privacy App – DLA Piper: Explore GDPR – DPOrganizer – EDPS: GDPR app – Fieldfisher: GDPR, the Complete Guide “Toegepast” • www.gegevensbescherming sautoriteit.be • www.assuralia.be • EU – https://ec.europa.eu/info/law /law-topic/data- protection_en – http://ec.europa.eu/newsroo m/article29/news- overview.cfm
  • 40.
  • 41. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 24 ART. 26 ART. 28 ART. 37-39 ART. 32
  • 42. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 30 ART. 35 ART. 32 ART. 25 ART. 12-14 ART. 6-8 ART. 15-23
  • 43. Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Risico • Melden (GBA – asap) • Communiceren (DS) ART. 36 ART. 33-34

Notes de l'éditeur

  1. Brio Insusoft Sigura