3. eduvision.nl / eduvision.be: GDPR
Programma
● Wat is GDPR / AVG
● Voor wie is de GDPR
● Inhoud GDPR
● Gevolgen websites en Email marketing
● Implementatie
● En verder...
4. eduvision.nl / eduvision.be: GDPR
Wat is GDPR?
General Data Protection Regulation (GDPR) en
Algemene Verordening Gegevensbescherming
(AVG). Deze nieuwe Europese regelgeving GDPR
vervangt op 25 mei 2018 de bestaande Europese
Richtlijn Bescherming Persoonsgegevens.
5. eduvision.nl / eduvision.be: GDPR
Probleem
● De GDPR raakt uw business en organisatie
● Hoe raakt de GDPR/AVG de business?
● Hoe groot is de impact van de wetgeving voor
uw organisatie?
● Bent u klaar voor de GDPR?
6. eduvision.nl / eduvision.be: GDPR
Voor wie?
● Organisaties binnen de EU die persoonlijke
gegevens verwerken
● Grootte organisatie onbelangrijk
● Voor organisaties die bepaalde gegevens
verwerken gelden aanvullende regels (bijv.
medische gegevens)
7. eduvision.nl / eduvision.be: GDPR
Uitgangspunten GDPR
● Transparantie over verwerking en gebruik
persoonlijke gegevens
● Verwerking persoonlijke gegevens is beperkt tot
specifieke en gegronde doeleinden
● Personen hebben het recht om gegevens in te
zien, aan ta laten passen of te laten verwijderen
8. eduvision.nl / eduvision.be: GDPR
Uitgangspunten GDPR
● Het opslaan van persoonlijk identificeerbare
gegevens is beperkt tot het beoogde doel en in
tijdsduur zo lang als noodzakelijk is
● Persoonlijke gegevens dienen conform
geldende actuele beveiligingsmethodes
beveiligd te zijn
10. eduvision.nl / eduvision.be: GDPR
Wat zijn
persoonsgegevens?
● Naam
● e-mail
● IP-adres
● Rekeningnummer
● Creditcardnummer
● Religie
11. eduvision.nl / eduvision.be: GDPR
Wat zijn
persoonsgegevens?
● CRM
● contactformulieren
● e-mails
● foto’s
● video met personen
● Profielen (gedrag)
● CV-database
18. eduvision.nl / eduvision.be: GDPR
Bewerker
● Externe partij die de in opdracht van de
controller data verwerkt, maar niet het doel en
de middelen van de bewerkingen vaststelt
● Hostingprovider
● Data analyse bedrijf
19. eduvision.nl / eduvision.be: GDPR
Privacy by Design
● Bij de ontwikkeling van producten en diensten
moet standaard de GDPR meegenomen worden
● Bewaartermijn
● Verzameling gegevens
● Beveiliging
20. eduvision.nl / eduvision.be: GDPR
Privacy by default
● Technisch en organisatorisch
● Alleen gegevens meenemen en verwerken die
je voor het doel nodig hebt
21. eduvision.nl / eduvision.be: GDPR
Datalek
● Binnen 72 uur melden bij de autoriteit
persoonsgegevens
● Niet alleen bijv een crm, maar ook een usb stick
etc
● Protocol om datalekken te voorkomen
● Monitoring
● Documenteren
22. eduvision.nl / eduvision.be: GDPR
Rechten data subject
● Data inzien
● Data aanpassen
● Data verwijderen
● Data portabiliteit (overdraagbaarheid)
24. eduvision.nl / eduvision.be: GDPR
Inventarisatie
● Over welke data beschik je?
● Hoe is de data (technisch) ontsloten?
● Welke bewerkers zijn betrokken?
● Zijn er overeenkomsten met die bewerkers?
● Met welke doelbinding is de data verzameld?
● Is die binding overeenkomstig het gebruik?
● Wie is verantwoordelijk voor welke data
25. eduvision.nl / eduvision.be: GDPR
De cloud
● Europese vs niet Europese cloud
● Welke SLA?
● Kan de cloudprovider garanderen dat de data
binnen de EU blijft?
26. eduvision.nl / eduvision.be: GDPR
Protocollen
● Protocol voor inzien data
● Protocol voor verwijderen data
● Protocol voor aanpassen data
● Protocol voor datalekken
27. eduvision.nl / eduvision.be: GDPR
Technische verwerking
● Is verwijderen mogelijk in al uw systemen?
● Moeten deze systemen gelinkt (verbonden)
worden?
● Zitten er handmatige actie in?
● Zijn uw systemen voorbereid?
● Welke acties moeten er nog gepland worden?
28. eduvision.nl / eduvision.be: GDPR
Praktische verwerking
● Waar staat de organisatie nu?
● Wat moet er nog gebeuren?
● Wat is het tijdsverloop?
31. eduvision.nl / eduvision.be: GDPR
E-mail marketing
● Registratie toestemming (welke
toestemmingstekst en datum)
● Moet bewijsbaar zijn
● Expliciete Opt in/opt out
● Veel email systemen hebben dat nu als
standaard (bijv Mailchimp)
32. eduvision.nl / eduvision.be: GDPR
Profiling
● Voor profielen, retargeting, remarketing e.d.
● Werking moet bezoeker duidelijk zijn
● Beschrijf bewerking en doeleinden in het cookie-
en privacystatement
● Beschrijvingen moeten specifiek zijn, bijv. voor
een bepaald bezoekerssegment
33. eduvision.nl / eduvision.be: GDPR
De wet
● Check altijd de wettekst alvorens je actie
onderneemt
● Wettekst is bindend
● eur-lex.europa.eu/legal-content/nl/TXT/?uri=CE
LEX:32016R0679
34. eduvision.nl / eduvision.be: GDPR
De GDPR - een probleem?
● GDPR: High level impact
Hoge boetes
Implementatie traject
Continue monitoring
● Hoe schat u de impact van de GDPR in op uw
business?
35. eduvision.nl / eduvision.be: GDPR
De GDPR te lijf
● Kennis
● Impact bepalen
● Waar aanpassingen nodig > plan
● Actie!
36. eduvision.nl / eduvision.be: GDPR
Training GDPR
● Kennis van de wet
● Impact op de business
● Actieplan maken
● 2 dagen
37. eduvision.nl / eduvision.be: GDPR
Actieplan
● Inventarisatie huidige privacy maatregelen in de business of
organisatie
● Bepalen impact GDPR op de business en organisatie
● Actiepunten om complient te worden
● Procedures bepalen
● Monitoring bepalen
● Certificering vereist? (voor specifieke doelgroepen)
● Technische maatregelen
● Organisatorische maatregelen