GDPR Audit4 Stappenplan
1. Sensibilisering & data mapping
2. Gap analyse
3. Implementatie
4. Opvolging
1
1/ Awareness creëren
2
2/ Data mapping
3/ KMO’s & accountability
Sensibilisering & data mappingFase 1
SENSIBILISERING & DATA MAPPING
AWARENESS CREËREN
Uit de business praktijk: hoe beginnen ?
C L S SE MINAR IE 15/02/2018
“ DATA PR OTE C TION: HE T IS N O G NIE T TE L AAT ”
K E Y F A C T S
− Vandemoortele food business operator (frozen bread, pastry , patisserie & margarines, culinary oils, fats, sauces, mayo)
− 5200 employees (EU)
− Presence in 12 EU countries (production & sales)
− HQ Gent (Belgium)
− Mainly B2B customer base (wholesalers, industrial operators, retailers, distributors, etc.)
− No direct sale , no e-commerce to (end)consumer
− limited direct marketing to (end) consumer
DRAFT INTERNAL & CONFIDENTIAL
G D P R : H E T I S N O G N I E T T E L A A T
3 P I J L E R S :
− INFORMEREN
− OVERTUIGEN
− AWARNESS CREËREN
DRAFT INTERNAL & CONFIDENTIAL
( 1 ) I N F O R M E R E N - W A K E - U P C A L L
WIE? TOP DOWN –CENTRAAL & LOCAAL?
− Directiecomité
− Raad van Bestuur / Audit Comité
− Management comités (centraal & lokaal)
− Verschillende departementen en teams in binnen- en buitenland (met focus op HR, IT , PRODUCTION SITES, SALES , PROCUREMENT , MARKETING, F&A (accounting), etc.)
HOE?
- CEO letter + memo + presentatie GDPR
- Presentaties
- Bevraging – interviews
- Intranet
DRAFT INTERNAL & CONFIDENTIAL
( 1 ) I N F O R M E R E N - W A K E - U P C A L L
WAT :
− Nieuwe verplichtingen GDPR vanaf 25 mei 2018
− het “waarom” van nieuwe wetgeving (t.o.v. bestaande wetgeving): wat is er veranderd t.o.v. 1995
− Toepassingsgebied (ook voor B2B omgeving)
− Nieuwe begrippen (persoonsgegevens, controller, processor, privacy by design & by default, etc.)
− Nieuwe sancties
− Concrete voorbeelden
− Duidelijk en realistisch actieplan ( stappenplan) aangepast aan de business ( “NO one size fits all”)
− Organisatorische maatregelen
− Na implementatie , updaten en handhaven
DRAFT INTERNAL & CONFIDENTIAL
( 1 ) I N F O R M E R E N – W A K E - U P C A L L
WIE BETREKKEN?
− PROJECT LEADER (duo legal & interne audit ,met IT achtergrond)
− INTERN GDPR PROJET TEAM (vaste kern HQ : legal, HR, IT, F&A, procurement, sales, marketing, interne audit, transport) (maandelijkse follow-up meetings) (ad hoc: lokale collega’s in functie van besproken problematieken)
− BPO’s (business process owners): schakel tussen business & IT
DRAFT INTERNAL & CONFIDENTIAL
( 2 ) O V E R T U I G E N – M O T I V E R E N – B U Y - I N ( O O K V O O R B 2 B )
V E E L M E E R D A N “ L E G A L C O M P L I A N C E ”
− Juridische argumenten (compliance, accountability , sancties) tellen uiteraard , maar niet altijd voldoende om mensen in beweging te krijgen (“change mind set”)
− Beseffen dat alle acties die gevraagd worden bijkomend werk betekenen (“on top of”)
− Motivatoren : zoeken naar commerciële/business voordelen =
− Direct marketing (consumenten)
− Creëren van “trust” t.a.v. consumenten , klanten en leveranciers
− Voorwaarde voor de ontwikkeling van de digitale economie
− Reputatie bedrijf “GDPR compliant”
− Antwoorden op GDPR – “data protection maturity ” vragenlijsten van klanten
− Duurzaam ondernemen – bedrijfswaarden (“trust & respect”)
− Concurrentie, enz.
DRAFT INTERNAL & CONFIDENTIAL
( 2 ) O V E R T U I G E N – M O T I V E R E N – B U Y - I N ( O O K V O O R B 2 B )
K E E P I T S I M P L E A N D F O C U S S E D O N B U S I N E S S P R I O R I T I E S
Om te overtuigen is het belangrijk dat de boodschap goed begrepen wordt:
− Moeilijke begrippen voor niet-juristen (persoonsgegevens, verwerkingsverantwoordelijke, verwerker,
verwerkingsactiviteiten, accountability, gegevensbescherming door ontwerp en door standaard instellingen, gegevensbeschermingseffectbeoordeling (DPIA), DPO, etc.
− B2B omgeving voelt zich niet rechtstreeks betrokken
− “persoonsgegevens” wordt gerelateerd aan (eind)consumenten, geslacht, religie, herkomst, politieke strekking, enz. , en niet aan naam, e-mail adres, gsm nummers, enz.
− Grens tussen professioneel en privé vervaagt (gegevens in gsm, outlook, etc.)
− Begrippen moeten goed uitgelegd worden aan de hand van concrete voorbeelden
− Pragmatisch: praktijkgericht < werk omgeving
DRAFT INTERNAL & CONFIDENTIAL
( 3 ) A W A R E N E S S C R E Ë R E N – S E N S I B I L I S E R E N – C H A N G E M I N D S E T
− Elk moment aangrijpen om GDPR als topic op het agenda te plaatsen
− GDPR doen “leven”
− Praktische voorbeelden aanhalen
− Vragen stellen : • Betreffen het persoonsgegevens? • Voor welk doel worden de persoonsgegevens verwerkt?• Op basis van welke rechtmatige grondslag?• Nieuwe software: is deze GDPR compliant ?• Is de verwerking opgenomen in register?
− Re-fresh
DRAFT INTERNAL & CONFIDENTIAL
T H A N K Y O U
Q U E S T I O N S
Carine Hintjens
Group Legal & Regulatory Affairs Manager
Moutstraat 64
B – 9000 Gent
+ 32 476 48 23 18
DRAFT INTERNAL & CONFIDENTIAL
1/ Awareness creëren
13
2/ Data mapping
3/ KMO’s & accountability
Sensibilisering & data mappingFase 1
14
Data Protection: het is nog niet te laat
Nele Van Kerrebroeck
15 februari 2018
15
Impact op ondernemingen
“Wat moet ik nu concreet doen als onderneming?”
> Nazicht
documentatie
> Omgaan met de
gap analyse
> Rapportering
> Actieplan
> Aanstellen
functionaris
> Implementatie en
uitrollen van (nieuwe/vernieuwde)
procedures en
policies
> Compliance
opleiding
> Voortgezet toezicht
op naleving
Voorbereiding Analyse Implementatie
> Opzetten project
> Management
betrekken
> Documentatie
verzamelen
> In kaart brengen
van gegevens-
verwerking
16
I. Data Mapping
Overzicht
“verwerkings-
activiteiten”
Verwerking van alle informatie betreffende een
geïdentificeerde of identificeerbare natuurlijke persoon
Ondernemingen /
werkgevers staan er vaak
niet bij stil hoeveel
verwerkingsprocédés er van
toepassing zijn
(i) Geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens en
(ii) de niet-geautomatiseerde verwerking die in een bestand zijn opgenomen of die zijn bestemd om
daarin te worden opgenomen
Voorbeelden
• Database sollicitanten,
werknemers, uitzendkrachten,
consultants, …
• Loon- en
personeelsadministratie
• E-monitoring, track&trace,
camerabewaking
• Aanwezigheidsregistratie
• Fotoboek intranet / internet
17
I. Data Mapping
1. Oplijsten van verschillende data flows
2. Concreet: vragenlijst / interviews
a) Beschrijving verwerkingsactiviteit (! training)
b) Details verwerkingsactiviteit (voorbeeld – performance app):
doel / betrokkenen / persoonsgegevens / verzamelen van de gegevens / grond
voor gegevensverwerking (wettigheid) / bewaring / locatie van bewaring /
toegangsrechten / gegevensoverdracht buiten de EU (in de groep) / bewaartermijn /
aangifte bij Gegevensbeschermingsautoriteit / informatie aan werknemers? /
beveiligingsmaatregelen / incidenten of geschillen in het verleden
3. Antwoord op vragen heeft impact op hetgeen noodzakelijk is voor de naleving van de GDPR (zie deel implementatie & opvolging)
1/ Awareness creëren
18
2/ Data mapping
3/ KMO’s & accountability
Sensibilisering & data mappingFase 1
KMOs
Geen uitzondering voor KMO’s!
Accountability & proportionaliteitArt. 5.2 & 24
20
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van
lid 1 en kan deze aantonen ("verantwoordingsplicht").
Art. 5.2 GDPR
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van
lid 1 en kan deze aantonen ("verantwoordingsplicht").
Art. 5.2 GDPR
21
Accountability
• Passend beleid
• Technische en organisatorische maatregelen
Art. 24 GDPR
22
Rekening houdend met de aard, de omvang, de context en het doel van de
verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende
risico's voor de rechten en vrijheden van natuurlijke personen …
Art. 24.1 GDPR
Proportionaliteit
Risk based approach:
• Multinational vs. bakker / bank vs. B2B speler
• KMO’s: cf. ov. 13 bij de GDPR ACCOUNTABILITY D.M.V. REGISTER
Registervan verwerkingsactiviteiten
Om de naleving van deze verordening aan te kunnen tonen, dient de
verwerkingsverantwoordelijke of de verwerker een register bij te houden van
verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben
plaatsgevonden.
Ov. 82 GDPR
23
24
Uitzondering voor KMO’s tenzij…
Niet incidenteel Waarschijnlijk risicoGevoelige gegevens
Geen uitzondering voor KMO’s
volgens de Belgische Privacy Commissie
[naam en adres controller]
[naam en contactgeg. verantwoordelijke voor het register]
[bu
sin
es
pro
ce
ss
/ o
wn
er
en
IT
syste
em
]
[do
ele
ind
en
]
[ca
t. g
eg
eve
ns]
[naam en contactgeg. DPO]
[ca
t. b
etr
okke
nen
]
[join
t contr
olle
r]
[on
tva
ng
ers
]
[naam en contactgegevens vertegenwoordiger]
[do
org
ifte
3e
lan
de
n, in
cl.
wa
arb
org
en
]
[te
rmijn
en
]
[be
ve
ilig
ing
s-
ma
atr
eg
ele
n]
25
Register v/d verwerkingsactiviteitenArt. 30
Model (.xls) van de Privacycommissie: https://www.privacycommission.be/nl/model-
voor-een-register-van-de-verwerkingsactiviteiten
Verzamelen
Gro
nd
sla
g
Info
rma
tie
?
Pro
ce
du
re
rech
ten
?Opslag
Lo
ca
tie
se
rve
r
Se
rve
r p
rovid
er
Verwerker
Na
am
en
co
nta
ctg
eg
.
Lo
ca
tie
se
rve
r
Su
bp
roce
sso
rs
DPIA
Ve
reis
t?
Uitg
evo
erd
?
26
Register v/d verwerkingsactiviteiten
• Schriftelijk (bijv. in elektronische vorm)
• Ter beschikking houden van de autoriteit
• Praktisch:
− Vaak al een basis om van te vertrekken (bijv. o.b.v. huidig IT systeem)
− Voor iedereen “leesbaar” (geen code taal)
− Up to date houden
27
Register v/d verwerkingsactiviteiten
1/ Basics
28
2/ Prioriteiten & workstreams
3/ Vendor management & doorgifte
Gap analyse & implementatieFase 2 en 3
4/ Data subjects
5/ Data lekken
Van data mapping naar actiepunten & prioriteiten
FASE 2 – GAP ANALYSE
De basicsArt. 5
Enkele (louter theoretische?) principes:
• Rechtmatigheid
• Doelbinding
30
→ met concrete praktische implicaties
31
GrondslagArt. 6
• Overeenkomst met de betrokkene
• Wettelijke verplichting v/d verantwoordelijke
• Toestemming v/d betrokkene
• Gerechtvaardigd belang v/d verantwoordelijke
→ website, overeenkomst, IT oplossingen, …
→ (schriftelijke) afweging
→ opnemen in uw privacy verklaringen! Intern beleid hierop afstemmen!
• Doel bepaalt:
− Welke gegevens mogen bijgehouden worden?
− Hoelang mogen die gegevens bijgehouden worden?
→ opnemen in intern beleid / actiepunt: verwijderen van gegevens / updaten
• Doel = de ruggengraat van het register van verwerkingsactiviteiten
32
DoelWelke gegevens? Bewaartermijn?
(Gap) analyse
Concrete to do’s
Prioriteiten Implementatie
33
! Neem ook de basis verplichtingen mee in uw analyse !
Ook deze verplichtingen hebben praktische gevolgen…
… voor uw privacy verklaringen, intern beleid, het vragen van
toestemming, het bijhouden van data, het opstellen van uw register.
Pas wanneer u alle to do’s hebt geïdentificeerd, kan u
prioriteiten bepalen en aan de implementatie beginnen.
1/ Basics
34
2/ Prioriteiten & workstreams
3/ Vendor management & doorgifte
Gap analyse & implementatieFase 2 en 3
4/ Data subjects
5/ Data lekken
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Gap analyse en implementatie
Prioriteiten stellen en workstreams vastleggen
Julie Bossaert, CMS
35
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Workstreams?
36
Getting
ready for
the GDPR
Conduct regular
verifications and audits to
make sure data processing
activities comply with
internal policies and
standards and with laws &
regulations
Verify Data
Processing
Activities
Implement policies
and procedures for
handling personal
data breaches
Data
Breach
Handling
Procedure
Ensure that there are
individuals responsible for
data privacy, accountable
management, and
management reporting
procedures
Governance
Structure
Maintain an inventory
of data processing
activities (location,
purposes, transfers/flows,
nature of data, security
measures, persons
handling the data, etc.)
Data
processing
map
Implement
external and/or
internal polic(y)(ies)
explaining why & how
you handle personal
data + how data
subjects can exercise
privacy rights
Privacy
Polic(y)(ies)Ensure that privacy is
built in in operations and
IT systems (CCTV,
biometrics, geo-location,
credit scoring, employee
monitoring, big data, e-
recruitment, etc.)
Privacy by
design
Develop, document
and deliver appropriate
privacy training for staff
to ensure ongoing
awareness of and
compliance with policies,
laws & regulations
Provide
training & raise
awareness
Pro-actively
manage IS risk (IS
policy, incident handling
procedures, vulnerability
testing, encryption, IS
standards (eg. ISAE 3402,
SOC 2, PCI DSS ISO/IEC
27017), etc.)
Information
Security
Pro-actively manage
DP in relationships with
suppliers (DP/IS due
diligence as part of
procurement process,
template clauses in
contracts, data breach
reporting, supplier
audits, etc.)
DP in
supplier
relationships
Systematically
use easy-to-
understand privacy
notices vis-à-vis
data subjects.
If needed, use
consent forms
Use
privacy
notices &
consent
forms
Procedures for
Complaints and
InquiriesImplement procedures
for handling
complaints and
inquiries regarding
personal data you hold
about data subjects
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium37
2018 2018
Today
Feb Mar Apr May
Phase I: data mapping15/2/2018
Phase III: implementation22/3/2018
Become GDPR accountable25/5/2018
Phase II: gap analysis
15/3/2018
Project timeline
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium38
Project timeline
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Define workstreams and priorities
39
- Focus on real risks (e.g. vendors, online presence, security measures,
international data transfers, etc.)
- Data processing inventory: keep it simple & manageable
- Involve IT from the outset and strike the right tone:
- Assessing and improving IT security takes a lot of time
- IT people speak a (very) different language
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Define workstreams and priorities
40
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Define workstreams and priorities
41
1/ Basics
42
2/ Prioriteiten & workstreams
3/ Vendor management & doorgifte
Gap analyse & implementatieFase 2 en 3
4/ Data subjects
5/ Data lekken
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Gap analyse en implementatie (workstreams)
Vendor management en doorgifte
Julie Bossaert, CMS
43
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
Vendor management
44
- Action points?
- Vendor identification and qualification: Data controllers? Data processors?
Joint data controllers?
- Vendor prioritization (based on vendor qualification/annual spent/number of
PO’s, etc.)
- Review and update existing vendor contracts: do we want to enter into one-
to-one negotiations? Do we need a template data processing agreement?
- Develop tools/checklist for the business to assess privacy risk and vet
vendors
"Data Protection": het is nog niet te laat | 15 februari 2018 CMS Belgium
International data transfers
45
- Action points?
- Identify internal and external data transfers outside the EU
- Collect and review existing agreements with other group entities/third
parties on transfer of personal data outside the EU
- Develop framework for intra-group sharing of personal data – consider
adopting an intercompany agreement
- Develop framework for sharing personal data with third parties outside the
EU
1/ Basics
46
2/ Prioriteiten & workstreams
3/ Vendor management & doorgifte
Gap analyse & implementatieFase 2 en 3
4/ Data subjects
5/ Data lekken
Rechten van data subjects
• Meer controle voor data subjects
• Awareness
• B2C
• Bron voor klachten / beroep
48
Prioriteit
Overzicht
49
Transparantie Inzage Rectificatie Bezwaar
Wissing Beperking Overdracht Geautomatiseerde
besluitvorming
Overzicht
50
Transparantie Inzage Rectificatie Bezwaar
Wissing Beperking Overdracht Geautomatiseerde
besluitvorming
• Updaten / opstellen privacyverklaringen
→ cfr. lijst GDPR
51
TransparantiePraktisch
52
• Updaten / opstellen privacyverklaringen
→ cfr. lijst GDPR
→ Beknopt (“gelaagde” structuur)
→ Actieve en eenvoudige taal (~ doelpubliek)
→ Gemakkelijk toegankelijk
53
TransparantiePraktisch
• Bepalen meest praktische manier van informeren
→ Klanten: contract, leaflets, link website/”about” sectie sociale media
→ Personeel: contract, intranet
→ Zakenrelaties: link in e-mail signature
→ Data via derden: e-mail of brief < 1 maand na ontvangst
• Overweeg een algemene “GDPR” mailing
54
TransparantiePraktisch
Overzicht
55
Transparantie Inzage Rectificatie Bezwaar
Wissing Beperking Overdracht Geautomatiseerde
besluitvorming
• Voorzie procedures voor gevolg aan verzoeken
→ Centrale verantwoordelijke
→ Specifiek e-mailadres / contactcenter
→ Ontvangstbevestiging
→ Complex / kennelijk ongegrond / buitensporig?
→ Gevolg binnen 1-3 maanden
• Verduidelijk procedures in privacyverklaring
56
RechtenPraktisch
• Overweeg een online platform of “personal preference” pagina
→ Eenvoud + controle data subjects
→ Automatisering eenvoudige verzoeken (één knop)
inzage / rectificatie / bezwaar direct marketing / intrekken toestemming
→ Processen voor drastischere verzoeken (contactcenter/e-mail)
bezwaar, wissing, beperking, overdracht, geautomatiseerde besluitvorming
57
RechtenPraktisch
1/ Basics
58
2/ Prioriteiten & workstreams
3/ Vendor management & doorgifte
Gap analyse & implementatieFase 2 en 3
4/ Data subjects
5/ Data lekken
59
Wat te doen bij datalekken
60
Prioriteit
• Elk geval van niet-geautoriseerde toegang of verlies
→ Hacking van datasystemen
→ Gestolen IT (laptop, gsm)
→ Verloren files (USB, hardcopy)
→ Verkeerd uitgestuurde e-mails
→ …
61
DatalekkenBegrip
• Vermijden d.m.v. gepaste beveiligingsmaatregelen
• Melden indien nodig
• Documenteren
62
Datalekken3 verplichtingen
Datalek resulteert niet automatisch in een boete!
• Risk-based approach
• Samenwerking IT !
• Hulpbronnen
→ Referentiemaatregelen Privacycommissie
→ Certicifering (ISO/IEC 27000 serie)
63
BeveiligingPraktisch
• Updaten / opstellen procedure
→ Detectie
→ Centrale contactpersoon
→ Risico analyse: niet waarschijnlijk – waarschijnlijk – hoog
→ Inperken gevolgen
→ Melding bij autoriteit(en) (< 72u)
→ Communicatie aan data subjects (e-mail/SMS)
64
MeldingsplichtPraktisch
• Aanleg register
→ Alle datalekken
→ Datum, beschrijving, risico-analyse, maatregelen
65
DocumentatieplichtPraktisch
Uw prioriteiten naar 25/5/2018
66
67
OpvolgingFase 4
68
TO DO’s
Informatie aan sollicitanten / nieuwe
werknemers / huidige werknemers /
overeenkomsten / register opmaken / policies
Online cursussen – compliance training
(tip: camera opname van trainingen)
Overleg met IT-departement /
één platform met HR data /
wie heeft toegang?
IV. Implementatie & Opvolging
Voorbereiding (template)
documenten –
continu proces
Training personeel
Beveiligingsmaatregelen
ontwikkelen
69
IV. Implementatie & Opvolging
Moet aan het hoogste management
level rapporteren
Er kan één functionaris zijn (of een
team) voor de hele groep
Kan niet ontslagen worden voor
uitoefening van zijn functies
Ervaring
Leidinggevende rol
Werknemer of zelfstandige
“Hoe kan deze functionaris zijn taak
vervullen?”Verplicht?
Verwerking uitgevoerd door
overheidsinstantie
Bedrijven met als
hoofdactiviteit
verwerken van
persoonsgegevens of
gevoelige gegevens
Functionaris voor gegevensbescherming aanstellen? (indien nodig of gewenst)
7070
Vragen
Nele Van KerrebroeckManaging Associate, EmploymentTel: +32 2 501 90 66Email: [email protected]
© Linklaters, 2018
Key take-aways
71