Embed Size (px)
Citation preview
dr. David Stevens
Voorzitter - Président
Comeos
21/11/2019
Gegevensbescherming in België: een terugblik en blik vooruit
Protection des données en Belgique: un regard en arrière et en avant
• 1,5 jaar Belgische Gegevensbeschermingsautoriteit (GBA)
• Visie en strategie
• GDPR compliance: how to?
• Focus on SMEs
• What’s next?
Overzicht
• 1,5 ans d’Autorité belge de Protection des Données (APD)
• Vision et stratégie
• GDPR compliance: how to?
• Focus on SMEs
• What’s next?
Aperçu
Les directeurs de l’APDDe directieleden van de GBA
David StevensVoorzitterDirecteur Algemeensecretariaat
Hielke HijmansVoorzitter van de Geschillenkamer
Peter Van den EyndeInspecteur-Generaal van de Inspectiedienst
Charlotte DereppeDirectrice du Service de Première Ligne
Alexandra JasparDirectrice du Centre de Connaissances
Structuur
Eerstelijnsdienst
Sensibiliseren
Informeren
bemiddelen
Directeur
Kenniscentrum
Adviezen
en
Aanbevelingen
Algemeensecretariaat
Horizontaleondersteuningstaken
Uitvoerende taken
Inspectiedienst
Onderzoeken
Geschillenkamer
Administratievegeschillen
Directeur+ 6 leden
Voorzitterschap GBA 3 jaar
Directeur
Voorzitterschap GBA 3 jaar
Inspecteur-generaal
Voorzitter+ 6 leden
Directiecomité
Art. 9 wet GBA
Gegevensbeschermingsautoriteit
Art. 7 wet GBA
Structure
Service de Première Ligne
Sensibiliser
Informer
Médiation
Directeur
Centre de Connaissances
Avis
et
recommandations
SecrétariatGénéral
Horizontaleondersteuningstaken
Uitvoerende taken
ChambreContentieuse
Contentieuxadministratifs
Directeur+ 6 membres
Présidence APD 3 ans
Directeur
Présidence APD 3 ans
Inspecteurgénéral
Président+ 6 membres
Comité de direction
Art. 9 loi APD
Autorité de protection des données
Art. 7 loi APD
Service d’Inspection
Enquêtes
Service de première ligne
Reçoit les plainteset peut lancer une procédure
de médiation
Sensibilisation (attention spécifique aux
mineurs)
Fournit des informations au RT, au ST et aux personnes
concernées
7
Eerstelijnsdienst
Ontvangt de klachten en start de bemiddelingsprocedure
Sensibilisering (minderjarigen)
Informatieverstrekking aan de VWV, VW en betrokkenen
8
Inspectiedienst(Onderzoek van het dossier/inwinning van informatie)
9
Identificatie van personen
Verhoor
Schriftelijke enquête
Onderzoek ter plaatse
Raadpleging van informaticasystemen en kopie van de gegevens op het informaticasysteem
Inbeslagneming en verzegeling
Service d’InspectionExamen du dossier / Collecte d’informations
10
Identifier des personnes
Auditionner des personnes
Mener une enquête écrite
Procéder à des examens sur place
Consulter des systèmes informatiques et copier les données qu’ils contiennent
Saisir ou mettre sous scellés
Geschillenkamer
De Geschillenkamer is het administratieve geschillenorgaan van de Autoriteit voor gegevensbescherming.
Geschillen op basis van klachten en op eigen initiatiefonderzoek; Nationale en grensoverschrijdende zaken
Opbouw van consistente jurisprudentie
Bevelen, waarschuwingen en overige beslissingen ogv de GBA-wet
Oplegging van sancties en administratieve boetes indien nodig
Geschillen bij de nationale rechtbank
Europese en internationale handhavingssamenwerking
Chambre Contentieuse
La Chambre Contentieuse est l’organe administratif de règlement des litiges de l’Autorité de protection des données
Contentieux fondés sur des plaintes et sur des enquêtes de propre initiative; Affaires nationales et transfrontalières
Construction d’une jurisprudence cohérente
Ordres, avertissements et autres decisions basées sur la loi
Imposition des pénalités et amendes administratives le cas échéant
Contentieux devant les tribunaux nationaux
Coopération européenne et internationale en matière d’application de la loi
13
Algemeen Secretariaat (I)
Monitoren: technologisch, sociaal en economisc
Lijst van verwerkingen onderworpen aan DPIA en advies in het raam van de raadpleging (art. 35 en 36 AVG)
Gedragscodes: goedkeuring, definitie erkenningscriteria van de controleorganen
Certificering: definitie van de certificeringscriteria en de erkenningscriteria van het certificeringsorgaan
Goedkeuring van modelcontractbepalingen en BCR
14
Secrétariat Général (I)
Surveiller les développements sociaux, économiques et technologiques
Liste des opérations de traitement sujettes à une AIPD et conseils dans le contexte des consultations (art. 35 et 36 du
RGPD)
Codes de conduite : approbation, définition des critèresd’accréditation pour les autorités de contrôle
Certification: définition des critères de certification et des critères d’accréditation des organismes de certification
Approuver les clauses contractuelles types et les règles d’entreprises contraignantes (BCR)
Human Ressources
Begroting
Informatica
Juridische dienst van de GBA
Interne en Externe Communicatie
ONDERSTEUNING
Algemeen secretariaat (II)
15
Ressources humaines
Budget
Informatique
Service juridique de l’APD
Communication interne et externe
S
O
U
T
I
E
N
Secrétariat Général (II)
16
Centre de Connaissances
Avissur toute question relative au
traitement de données à caractère personnel
Recommandationsrelatives aux développements
sociaux, économiques et technologiques
17
Membres externes: Yves-Alexandre de Montjoye, Joëlle Jouret, Bart Preneel,Frank Robben, Nicolas Waeyaert, Séverine Waterbley
Kenniscentrum
Adviezenover elke aangelegenheid die
verband houdt met de verwerking van persoonsgegevens
Aanbevelingenmet betrekking tot sociale,
economische en technologische ontwikkelingen
18Externe leden: Yves-Alexandre de Montjoye, Joëlle Jouret, Bart Preneel,
Frank Robben, Nicolas Waeyaert, Séverine Waterbley
Anderhalf jaar GDPR …
Un an et demi de RGPD …
Sinds 25 mei 2018 ontving de GBA:
8 697vragen om inlichtingen
506verzoekschriften
of klachten
1 113meldingen
gegevenslekken
5 036registraties
actieve DPOs
…in België
Update 12/11/2019
Depuis le 25 mai 2018 l’APD a reçu :
8 697demandes
d’information
506requêtes ou
plaintes
1 113notifications de
fuites de données
5 036notifications de DPO actifs
…en Belgique
Update 12/11/2019
Work in progress
+ Sensibiliseringscampagne
+ Website revamp
+ Monitoring
+ Inspecties uit eigen beweging
+ Geschillenkamer+ 8 beslissingen sinds april ‘19
+ 2 administratieve boetes
+ 3 uitspraken in beroep (“Marktenhof”)
+ Samenwerking EDPB
Klacht wegens het niet verwijderen van persoonsgegevens verkregen in het kader van een sollicitatie [Origineel]dinsdag 17 september 201908/2019
Klacht wegens de onvolledigheid van antwoord naar aanleiding van de uitoefening van het recht van inzage [Origineel]dinsdag 17 september 201907/2019
Klacht wegens gebruik van de elektronische identiteitskaart voor de aanmaak van een klantenkaart [Origineel] Zie beslissing Marktenhofdinsdag 17 september 201906/2019
Klacht wegens het niet verlenen van inzage naar aanleiding van intrekking van benoeming [Origineel] Zie beslissing Marktenhofdinsdag 9 juli 201905/2019
Klacht inzake de aanwending van e-mailadressen verkregen in het kader van een verkavelingswijziging voor de verzending van verkiezingspropaganda. [Origineel]dinsdag 28 mei 201904/2019
Klacht wegens plaatsing van een camera in de gemeenschappelijke keuken van een pand met studentenkamers [Origineel]dinsdag 2 april 201903/2019
Klacht wegens verzending van een globale e-mail waarbij alle bestemmelingen zichtbaar zijn [Origineel]dinsdag 2 april 201902/2019
Klacht wegens aanwending voor een ander doeleinde van identiteitsgegevens, telefoonnummer en e-mailadres verstrekt voor opname in WhatsApp-groep [Origineel]dinsdag 2 april 201901/2019
Travaux en cours
+ Campagnes de sensibilisation
+ Refonte du site Internet
+ Monitoring
+ Inspections d’initiatives
+ Chambre Contentieuse+ 8 décisions depuis avril ‘19
+ 2 amendes administratives
+ 3 décisions d’appel(“Cour des Marchés”)
+ Coopération EDPB
Plainte pour non-suppression de données à caractère personnel obtenues dans le cadre
d’une candidature [Traduction] mardi 17 septembre 2019
08/2019
Plainte pour réponse incomplète dans le cadre de l’exercice du droit d’accès [Traduction]
mardi 17 septembre 2019
07/2019
Plainte pour utilisation de la carte d’identité pour la création d’une carte de fidélité
[Traduction] mardi 17 septembre 2019
06/2019
Voir décision de la Cour des Marchés (uniquement disponible en néerlandais)
Plainte pour non-octroi d'un accès dans le cadre du retrait d'une nomination [Traduction]
mardi 17 septembre 2019
05/2019
Voir décision de la Cour des Marchés (uniquement disponble en néerlandais)
Plainte concernant l'utilisation pour l'envoi de propagande électorale d'adresses e-mail
obtenues dans le cadre d'une modification d'un permis de lotir [Traduction]
mardi 28 mai 2019
04/2019
Plainte pour installation d'une caméra dans la cuisine commune d'un immeuble
comportant des chambres d'étudiant [Traduction] mardi 2 avril 2019
03/2019
Plainte pour envoi d'un e-mail général où tous les destinataires sont visibles [Traduction]
mardi 2 avril 2019
02/2019
Plainte pour utilisation pour une autre finalité de données d'identité, du numéro de
téléphone et de l'adresse e-mail fournis afin d'être repris dans un groupe WhatsApp
[Traduction] mardi 2 avril 2019
01/2019
Strategisch plan 2020-2025: “Privacy wordt realiteit”
• 3 prioriteiten:• Sectors
• GDPR-instrumenten
• Maatschappelijke uitdagingen
• Risicogebaseerde aanpak
• Samenwerking met partners
Visie en strategie
Source: https://seylangecorner.wordpress.com/
Plan stratégique 2020-2025: “La vie privée devient uneréalité”
• 3 priorités:• Secteurs
• Outils GDPR
• Enjeux sociétaux
• Approche basée sur le risque
• Collaboration avec les partenaires
Vision et stratégie
Source: https://seylangecorner.wordpress.com/
Criteria:
• # betrokkenen
• Categorie van gegevens
• Volume van de gegevens (tijd)
• Kwetsbaarheid van de betrokkenen
• …
Risicogebaseerde aanpak
Critères:
• # personnes concernées
• Catégories des données
• Volume des données (durée)
• Vulnérabilité des personnes concernées
• …
Approche basée sur le risque
NationalPublic sector• Authorities supervising police & intelligence services
• Telecom regulator (eg. cookies)
• Competition regulator
Private sector: all stakeholders (associations, industry reps, DPOs…)…
International: European Union: EDPB – EDPS – bilateralOECD Council of EuropeICDPPC
Collaboration with partners
GDPR compliance: how to?
• Recent rulings of EU Court of Justice:
• Wirtschaftsakademie (C-210/16): Administrator of FB fan page = controller
• Fashion-ID (C-40/17):
• Owner of a website with social plugin = controller
• Liability limited to the collection and disclosure by transmission of the data at issue (~consent)!
• Planet 49 (C-673/17): pre-checked boxes are not validconsent
GDPR compliance: recent rulings on “online”
Action Plan for SMEs – results of the survey:
✓ 24 professional organisations replied, representing SMEs from all sectors;
✓ Well acquainted with the GDPR and the Belgian DPA;
✓ Very active in advising SMEs on the GDPR;
✓ More than half know the vade-mecum for SMEs;
enhance its visibility and usefulness
✓ Major challenges for SMEs: keep a record of processing activities (‘register’), define data storage periods, reply to the exercise of data subjects rights, notify a data breach;
develop a mini-tool box for SMEs = templates of a register and a privacy policy
review the data breach notification formulaire
enhance citizens’ awareness on their data subjects rights (on-going awareness raising project for citizens)
✓ Interest in the Codes of Conduct (CoC);
communicate about the procedures for CoC when ready
✓ Other challenges for SMEs: DPIA and relationship controller-processor
develop new compliance tools for SMEs: forthcoming project ‘BOOST’
GBA SPOC: Ms. Pavlina Peneva
Focus on SMEs
✓ Start: Beginning of 2020
✓ Consortium: Belgian DPA (leader), VUB, KU Leuven and University of Namur
✓ Purpose: Boost Belgian SMEs' awareness of and compliance with the GDPR, with special focus on three compliance themes:
1) The principle of transparency;2) The Data Protection Impact Assessment (DPIA);3) The concepts of “controller” and “processor”.
✓ Major actions:- Launch surveys for SMEs and organise workshops with professional organisations;- Develop a FAQs brochure for SMEs;- Develop 4 new advanced GDPR compliance tools for SMEs (incl. a software/app);- Organise free of charge seminars for SMEs;- Publish videos for SMEs;- Send newsletters for SMEs.
✓ Expected results: an enhanced level of SMEs’ awareness of the GDPR and a strengthened SMEs’ compliance with the GDPR.
New project for SMEs - ‘BOOST’
What’s next?
• Reflectieraad
• “GDPR toolbox”: update aanbeveling beveiligingsmaatregelen
• Nieuwe aanbevelingen (direct marketing, cookies, eID,..)
• Gedragscodes, DPIAs, …
• Inspecties en toezicht
• Herziening website
• Vereenvoudiging kennisgevingsformulieren
• Evaluatie GDPR
• …
What’s next?
• Conseil de réflexion
• “Boîte à outils RGPD”: mise à jour recommandation mesures de sécurité
• Nouveaux recommandations (marketing direct, cookies, eID,…)
• Codes de conduite, AIPD, …
• Inspections et contrôle
• Révision du site Internet
• Simplification des formulaires de notification
• Évaluation RGPD
• …
Questions ?Vragen ?
