mei‘18 // 25 - vlaams agentschap zorg en gezondheid · hierbij wordt - het belang van...
Post on 14-May-2021
1 Views
Preview:
TRANSCRIPT
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INLEIDING INFORMATIEVEILIGHEIDOpleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra
Mei‘18
25
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
PETER BERGHMANS
Peter Berghmans
Contact
Linked in
› Veiligheidsborger eWZC programma › Helpt mee persoonsgegevens te beschermen › Passie voor de zorgsector › Liefde voor lesgeven
› peter@whitewire.be › 0475951516
› Data Protection Officer White Wire › Docent Thomas More › Docent Data Protection Institute
› https://be.linkedin.com/in/peter-berghmans-96841241
2
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
LESSENREEKS 5: KLAAR VOOR GDPR
> Deel 1: Gegevensbescherming en informatieveiligheid > Deel 2: De stappen voor implementatie van gegevensbescherming
• Stap 1: Bewustwording en Governance • Stap 2: Hoe stel ik een register op van verwerkingsactiviteiten? • Stap 3: Hoe voer ik een gegevensbeschermingseffectenbeoordeling uit? • Stap 4: Hoe meldt ik een inbreuk? • Stap 5: Hoe ga ik om met verwerkers? • Stap 6: Welke elementen moeten worden geïmplementeerd m.b.t. de rechten van de
patiënt/betrokkene?
> Oefening: het opstellen van een register > Deel 3: afsluitende vragenronde
3
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVERZICHT VAN DE OPLEIDINGInformatieveiligheid in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DOELSTELLING VAN DE OPLEIDING
> Een goed begrip krijgen van wat informatieveiligheid is binnen de context van WZC’s
> Woonzorgcentra begeleiden in de ontwikkeling van documenten inzake informatieveiligheid
> Het ter beschikking stellen en toelichten van templates > Gelegenheid scheppen om hierover vragen te stellen
5
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
LEERDOELEN VOOR ELKE DEELNEMER
> kent de voorwaarden voor het verwerken van gezondheidsgegevens > kan deze voorwaarden aftoetsen > kan deze verwerkingsvoorwaarden in een breder kader plaatsen, met name
de relevante wetten en regels > Kent de basisbegrippen van informatieveiligheid > Kan een beleidshoofdstuk voor informatieveiligheid schrijven > Kan een informatieveiligheidsplan opstellen en onderhouden > Is in staat om de juiste vragen te stellen over de genomen technische
maatregelen inzake informatieveiligheid > Kan een procedure uitschrijven en bewaken voor beleidsthema’s > Heeft de kennis om een bewustwordingssessie in te vullen in een
zorgorganisatie > Kan rollen en verantwoordelijkheden borgen binnen een zorgorganisatie
6
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
5 KERNDOMEINEN VAN DE OPLEIDING
> Begrijpen wat een veiligheidsbeleid is & beheer ervan > De kernprincipes van COT implementeren
• Bewustwording en opzetten van een organisatiestructuur • Beheer van identiteiten, toegangen en logging • Beheer van een therapeutische/zorgrelatie • Beheer van verwerkers zoals leveranciers • Beheer van calamiteiten en incidenten
> De basis technische veiligheidsmaatregelen begrijpen > Een plan opstellen m.b.t. informatieveiligheid > Dit plan integreren in de dagelijkse werking en hierover waken
7
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
HOE DOEN WE DIT?
8
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
SESSIE 1: INLEIDING INFORMATIEVEILIGHEID
Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.
informatieveiligheid in de wetgeving, het eHealth platform en sectorcomité SZ/AG).
- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht
Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management
van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum
- De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring
9
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
SESSIE2: COT EN MINIMALE VOORWAARDEN
Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden
Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande
onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden
opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de
verschillende woonzorgcentra
10
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische
veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist.
- Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist
- Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het eHealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier
11
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS
Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en
zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te
worden opgenomen in het beleidshandboek.
12
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT
Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag “Wat te doen bij een gegevenslek” wordt behandeld.
Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup
procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te
worden opgenomen in het beleidshandboek.
13
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DEEL 5: WRAP UP: EEN STAP VERDER…
Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld?
Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer
14
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
PRAKTISCHE AFSPRAKEN
> Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding
• 09u30 – 12u00: sessie deel 1 - Broodjeslunch
• 13u00 – 15u30: sessie deel 2
> Opdrachten tussen de sessies helpen bij de implementatie
> In de presentatie staan hyperlinks • Onderlijnde woorden • Figuren
15
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
GEGEVENSBESCHERMING VS. INFOVEILIGHEIDGegevensbescherming in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
17
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVERZICHT: WAT IS GDPR?Gegevensbescherming in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAT IS GDPR?
Toon aan patiënt/toezichthouder dat je
persoonsgegevens correct verwerkt
Transparant
Bedrijfsprocessen om risico’s te beheren: vb
leveranciers & datalekken beheren
Processen
Sancties indien je de regels niet toepast
AfdwingbaarGDPR is voor iedereen,
onder waakzaam oog DPO
DPO en alle medewerkers
Van kracht op alle organisaties, zonder uitstel
25 mei 2018
Bijkomende rechten voor de betrokkene (beperkte toepassing in zorg)
Rechten
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden 19
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
CODE OF CONDUCT ZORGT VOOR VERTALING
EuropeesEen gedragscode is
nationaal of internationaal van
toepassing, afhankelijk van het internationaal
karakter
ToezichtEen toezicht door een
federatie is mogelijk, na accreditatie door toezichthouder
GoedkeuringDe DPA keurt een
nieuwe gedragscode of de wijziging daarvan
goed
VerduidelijkingVertaling van de GDPR
principes en zorgen voor een juiste
toepassing van de regelgeving
SectorCode of conduct zorgt voor een vertaling van
de regelgeving. Ze wordt opgesteld door
federaties
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden 20
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DE IMPLEMENTATIE VAN GDPR IN OUDERENZORG
Gegevensbescherming in de ouderenzorg
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
22
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
23
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
PRIVACY POLICY VS PRIVACY BELEID?
> Opgelet, dit zijn geen vaste definities > Privacy policy: meestal de verklaring op een website of onthaal. > Is bedoeld als een kennisgeving naar de patiënt
• In het kader van de patiëntenrechten • Maar ook in het kader van de wetgeving. In GDPR:
- Artikel 13: Persoonsgegevens rechtstreeks verkregen - Artikel 14: Persoonsgegevens niet rechtstreeks bij de betrokkene verkregen
24
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
PRIVACY POLICY VS PRIVACY BELEID?
> Privacy beleid: ook wel gegevensbeschermingsbeleid > Verplicht document in het kader van de GDPR > Intern beleid, vastgesteld door de directie
• Benoemt de belangrijkste principes rond gegevensbescherming die de directie nastreeft • Omschrijft de verantwoordelijkheden binnen de organisatie • Bekrachtigt dat de basisprincipes zoals benoemt in de GDPR worden toegepast,
bijzondere aandacht voor risico gebaseerde aanpak - Niet willekeurig een opgelegde lijst met veiligheidsmaatregelen invoeren, maar obv risico
analyse relevant maken voor de organisatie
25
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INHOUD BELEID GEGEVENSBESCHERMING
1Algemene doelstelling Gegevensbescherming
Uitgangspunten van het veiligheidsbeleid, gekoppeld aan de missie en visie van de organisatie
2 Governance structuur - organisatiestructuurWie krijgt welke verantwoordelijkheden bij het uitvoeren van het beleid voor
gegevensbescherming? Zowel bij implementatie als bij uitvoering
4 Toepassing van het beleid gegevensbescherming op zorgnetwerkenGegevensbescherming en zorgnetwerken: scope en toepassingsgebied
3 De functionaris voor de gegevensbeschermingTakenpakket, onafhankelijkheid, kennisniveau en tijdsbesteding moet verder worden
toegelicht
26
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
VOORBEELDEN VAN EEN BELEID
> Zie voorbeeld van een tekst
27
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
28
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INFORMATIE OVER HET REGISTER
› https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf
Leeswijzer
29
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAAROM EEN REGISTER?
> Vandaag: verwerkingsactiviteiten worden gemeld in een publiek register • https://eloket.privacycommission.be/elg/chooseDeclarationType.htm;jsessionid=8BBD21B70C716C1CB1B8F23C0ABCCD32 (aangifte) • https://eloket.privacycommission.be/elg/searchPR.htm?eraseResults=true&siteLanguage=nl (consultatie aangifte)
> Nieuw principe: aantonen dat je zicht hebt op verwerkingsprocessen door en intern register bij te houden
30
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAT IS HET REGISTER?
> Bevat informatie over de verrichte verwerking • met welk doel worden de gegevens verwerkt • welke zijn de categorieën persoonsgegevens waarop de verwerkte gegevens betrekking
hebben • wie zijn de ontvangers van de gegevens • welke is hun bewaartermijn • etc.
31
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
HET REGISTER
OVERZICHT
Register volgens CBPL
32
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
HET WZC LEGT EEN REGISTER AAN
> Schriftelijk of elektronisch > Het moet niet op papier en elektronisch beschikbaar zijn. > Het moet helder en begrijpelijk zijn. > Moet worden bijgewerkt in functie van de ontwikkelingen en evoluties van
de activiteiten van de onderneming of organisatie.
> Van toepassing voor verantwoordelijke en verwerker
33
Wat moet in het register?WZC als verantwoordelijke Register van verwerkingsactiviteiten
WZC als verwerker… Register v. categorieën verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
Naam en contactgegevens van verwerkers en iedere verwerkingsverantwoordelijke voor rekening waarvan men verwerker handelt
De verwerkingsdoelen Categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevensDe categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewistAlgemene beschrijving van technische en organisatorische beveiligingsmaatregelen
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
34
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
35
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
HET BELANG VAN EEN DPIA
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
DPIA
• Wat is een DPIA? • Wanneer een DPIA
uitvoeren? • Door wie uit te
voeren? • Wat is de inhoud
van een DPIA? • Voorbeelden van
DPIA
DPIA
DPIA
Wanneer?
Definitie
Door wie? Inhoud
Voorbeeld
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAAROM EEN DPIA?
• Aantonen
• correcte toepassing van GDPR
• Risico’s (inherent) van de verwerking onder controle krijgen.
• bijvoorbeeld
• discriminatie
• identiteitsdiefstal of –fraude
• financiële verliezen
• reputatieschade
• verlies van vertrouwelijkheid beroepsgeheim beschermde persoonsgegevens
• ongeoorloofde ongedaanmaking van pseudonimisering`
• aanzienlijk economisch of maatschappelijk nadeel
• …
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
KENMERKEN VAN EEN DPIA
• Doel: Specifieke waarschijnlijkheid/ernst risico’s beoordelen
• Wat beoordelen? De geplande maatregelen om
• de geïdentifceerde risico’s te beperken,
• de persoonsgegevens te beschermen
• aan te tonen dat aan deze verordening is voldaan
• Door wie? Verantwoordelijke verwerking op advies van DPO (indien aangesteld)
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
DPIA
• Wat is een DPIA? • Wanneer een DPIA
uitvoeren? • Door wie uit te
voeren? • Wat is de inhoud
van een DPIA? • Voorbeelden van
DPIA
DPIA
DPIA
Wanneer?
Definitie
Door wie? Inhoud
Voorbeeld
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
AANGEWEZEN WANNEER (ARTIKEL 35)
• Geautomatiseerde, systematische en uitgebreide evaluatie (vb profiling),
waarbij het resultaat wordt gebruikt om beslissingen/besluiten te nemen
- met juridische consequenties
- met gelijkaardige consequenties
• Bij speciale categorieën van persoonsgegevens (grootschalig)
• Monitoring van publieke plaatsen (stelselmatig, grootschalig)
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TIMING VAN DE DPIA
• Voor de verwerking zal plaatsvinden, toetsing bij belangrijke wijzigingen (art.
35 lid 11).
• Ook bij wijzigingen in technieken vb dataminimalisatie
• Aanbeveling CBPL: om de 2 jaar
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DPIA AANGEWEZEN ALS…
• wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen;
• wanneer de verwerking gebruik maakt van genetische gegevens; • persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen • financiële solvabiliteit van de betrokkene te beoordelen • Risicoprofiel betrokkene opmaken in kader dienstverlening aan de betrokkene • Inbreuk op persoonsgegevens zou fysieke gezondheid van de betrokkene in
gedrang brengen • Verwerking financiële/gevoelige persoonsgegevens die (her)gebruikt worden
voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij • Toestemming • Noodzakelijk is voor wettelijke verplichting
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DPIA AANGEWEZEN ALS…
• Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep
• Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, …)
• Profiling op grote schaal • Grootschalige verwerking persoonsgegevens kinderenvoor andere dan
oorspronkelijke doeleinden • Meerdere verwerkingsverantwoordelijken zijn van plan een gemeenschappelijke
applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;
• De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden.
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DPIA NIET AANGEWEZEN ALS…
• Loonadministratie van personen in dienst verantwoordelijke voor de verwerking
• Administratie van personeel (tenzij artikel 9 en 10 gegevens) • Boekhouding • Administratie van aandeelhouders en vennoten • Ledenadministratie, contacten en begunstigden VZW • Registratie bezoekers (zie registratiebladen bezoekers) • Onderwijsinstellingen in kader van studentenadministratie, onder
voorwaarden
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
… UITZONDERING (RECIT. 91 /LID 4,5 /6 ART. 35)
• Een verplichting mag niet bij verwerking van
• patiënten door individuele arts/zorgprofessional
• cliënten advocaat
• Wanneer er een wettelijke grond is voor de verwerking (en deze is beoordeeld) , dient er
geen DPIA te worden uitgevoerd, tenzij anders gesteld
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
DPIA
• Wat is een DPIA? • Wanneer een DPIA
uitvoeren? • Door wie uit te
voeren? • Wat is de inhoud
van een DPIA? • Voorbeelden van
DPIA
DPIA
DPIA
Wanneer?
Definitie
Door wie? Inhoud
Voorbeeld
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ROL VAN DE VERANTWOORDELIJKE?
• Draagt de verantwoordelijkheid en kan hierop worden aangesproken
• Multi-disciplinair team - DPO - Ontwikkelaars - Project lead - Personeelsleden die met de gegevens zullen omgaan - Marketing - Juridische dienst
• Betrokkenheid door directie (sign off)
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ROL VAN DE VERWERKER?
• Op verzoek
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ROL VAN DE DPO?
• bijstand en advies
• verplicht indien deze is aangesteld
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
DPIA
• Wat is een DPIA? • Wanneer een DPIA
uitvoeren? • Door wie uit te
voeren? • Wat is de inhoud
van een DPIA? • Voorbeelden van
DPIA
DPIA
DPIA
Wanneer?
Definitie
Door wie? Inhoud
Voorbeeld
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INHOUD DPIA (ART. 35 LID 7)?
• Beschrijving verwerking en verwerkingsdoel
• Noodzaak/evenredigheid in functie van doelen
• Risico’s op rechten en vrijheden
• Maatregelen
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INHOUD DPIA (ART. 35 LID 7)?
• Een beschrijving van de verwerking en verwerkingsdoel
- Categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- Ontvangers inclusief derde landen of internationale organisaties
- Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
- Beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INHOUD DPIA (ART. 35 LID 7)?
• Noodzaak/evenredigheid in functie van doelen
- Waarom is de verwerking van persoonsgegevens noodzakelijk?
- Is voor deze verwerking elke handeling die voorzien is noodzakelijk?
- Zijn de middelen die worden aangewend niet te ingrijpend?
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
INHOUD DPIA (ART. 35 LID 7)?
> Beschrijving maatregelen
• t.a.v. de bescherming van de persoonsgegevens
• om in regel te zijn met GDPR incl rechten betrokkenen en eventuele derden
> Waar aanwezig: moet in lijn liggen met bestaande ‘Code Of Conducts’. Dit
moet worden aangetoond (lid 8)
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
DPIA
• Wat is een DPIA? • Wanneer een DPIA
uitvoeren? • Door wie uit te
voeren? • Wat is de inhoud
van een DPIA? • Voorbeelden van
DPIA
DPIA
DPIA
Wanneer?
Definitie
Door wie? Inhoud
Voorbeeld
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENKELE VOORBEELDEN DPIA
• Norea checklist
• Publieke PIA
• Template van een DPIA
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
58
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Welke handelingen mag de leverancier u i t voeren met de persoonsgegevens die moeten worden verwerkt?.
Link naar een voorbeeld
Gegevens- bescherming
W e l k e a f s p r a k e n m a a k j e m e t d e l e v e r a n c i e r o v e r informatieveiligheid? - Product - Ondersteuning
Link naar voorbeeld
Informatie-veiligheid
B i j k o m e n d e verplichtingen door nieuwe regelgeving ( b i j s t a n d s -verplichting)
• Bijstand verlenen in geval van lekken
• Bijstand bij DPIA • … …
GDPR verplichtingen
Hoe omgaan met leveranciers?
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ONDERDELEN VAN EEN OVEREENKOMST
60
Checklist Overeenkomst
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
EXTRA GDPR VERPLICHTINGEN: DE LEVERANCIER ZAL
> Alle maatregelen nemen die vereist zijn overeenkomstig artikel 32 > Voldoen aan de in de artikelen 28.2 en 28.4 van Verordening bedoelde
voorwaarden voor het in dienst nemen van een andere verwerker. • De leverancier zal niet zonder een schriftelijke bevestiging onderaannemer(s) aanstellen OF • Het WZC hiervan in kennis stellen met het recht op verzet
> Het WZC door middel van passende technische en organisatorische maatregelen bijstand verlenen bij de uitoefening van de rechten van de betrokkene
> Het WZC bijstand verlenen bij het doen nakomen van de verplichtingen bepaald in de artikelen 32-36 van Verordening 2016/679.
> Het WZC alle informatie ter beschikking stellen die nodig is om de nakoming aan te tonen van de verplichtingen bepaald in artikel 28 van Verordening 2016/679 (audits)
61
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ANDERE VERWERKERS IN HET WZC
> CRA? > Huisarts? > Zelfstandige zorgverleners vb kiné?
> Telkens verantwoordelijkheid bepalen • Vb wat is de verantwoordelijkheid van de huisarts t.a.v. het WZC?
62
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
63
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DE VERPLICHTINGEN INZAKE DATALEKKEN
64
Intern registerMelding wordt opgenomen in een intern register
Melding DPAMelding aan de gegevensbeschermings- autoriteit
Melding betrokkeneBetrokkene wordt op de hoogte gebracht
Doubt
50%
High
70%
LOW
20%
Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENISA TOOL VOOR
NOTIFICATIE
65
NOTIFICATIE: HOE VB. ENISA?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENISA TOOL VOOR
NOTIFICATIE
66
NOTIFICATIE: HOE VB. ENISA?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENISA TOOL VOOR
NOTIFICATIE
67
NOTIFICATIE: HOE VB. ENISA?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENISA TOOL VOOR
NOTIFICATIE
68
NOTIFICATIE: HOE VB. ENISA?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ENISA TOOL VOOR
NOTIFICATIE
69
NOTIFICATIE: HOE VB. ENISA?
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BeleidOpstellen van een beleid voor gegevensbescherming
DPIAUitvoeren van een Data Protection Impact Assessment
GegevenslekkenZorgen dat lekken intern en extern worden gemeld
RegisterOpstellen van een register van verwerkingsactiviteiten
VerwerkersOplijsten van verwerkers en maken van afspraken
RechtenVrijwaren van de patiëntenrechten
VerwerkersImpact- assessment
RegisterBeleid
en taken Rechten betrokkene
Lekken
70
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
71
Enkel wanneer een toestemming gegeven is, beperkt toepasbaar.
• Toestemming intrekken 02
Privacy policy voor de patiënt, in lijn met de patiëntenrechten en nieuwe GDPR bepalingen
• Informatie 01
Beperkt van toepassing op gezondheidsgegevens
• Bezwaar 03
Zie rechten van de patiënt• Inzage 05
Enkel in specifieke gevallen, dus beperkte relevantie. Zie ook uitwisseling eHealth.
• Overdraagbaar06
Beperkt van toepassing in de zorg.
• Verbetering 07
Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht
• Schrapping 08
Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht
• Vergeten 09
Impact nader te bekijken. Wat als patiënt een element in een dossier in twijfel trekt? Meestal notitie in EBD
• Beperkte verwerking 10
03
04
05 06
07
08
09
1001
02
Beperkt van toepassing. Wanneer ooit wachtlijsten of EBD’s verder worden geautomatiseerd bijvoorbeeld
• Geen geautomatiseerde individuele besluiten 04
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
EN NU… OEFENENToepassing van een verwerkingsregister in WZC’s
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
73
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
74
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
75
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DATAREGISTER VS REGISTER VERWERKINGSACTIVITEITEN
> Dataregister: • Som alle data elementen op die in de informatieomgeving aanwezig zijn • Realisatie door een opsomming van de informatiesystemen en hun data-objecten
> Register van verwerkingsactiviteiten: • Som alle verwerkingsactiviteiten op. • Dit is eigenlijk de definitie van uw organisatie (visie, missie en doelstellingen van de
organisatie)
76
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
77
Niveau 0 (L0) • Sturing en verantwoording • Samenwerking • Zorg • Zorgprocesondersteuning • Bedrijfsondersteuning
Foto: Nictiz referentiemodel
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
78
Niveau 1 (Voorbeeld)(L1) • Zorg
• In/uit zorg • Verpleging en verzorging • Behandeling • Gemak en Welzijn
Foto: Nictiz referentiemodel
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
79
Niveau 2 (Voorbeeld) Domein • Zorg
• Verpleging en verzorging • Zorgleefplan • Levering zorg
Foto: Nictiz referentiemodel
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
80
Niveau 3 (Voorbeeld) Verwerkingsactiviteit • Zorg
• Verpleging en verzorging • Zorgleefplan
• Opstellen van zorgplan • Zorgregistratie • Aanpassen van het zorgplan • Monitoren van Katz Schaal • Observaties
Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner.
Foto: Nictiz referentiemodel
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAAROM KIEZEN VOOR
81
> Niveau 1 • Minste werk voor het
opstellen/bijwerken • Minimale GDPR
implementatie • Duidelijke en eenvoudige
communicatie
> Niveau 2 • Betere definitie van de
domeinen • Meer mogelijkheid om de
verwerkingsdoelen en hun verwerkingsgronden uit te leggen
• Duidelijke en eenvoudige communicatie
> Niveau 3 • Optimale controle over de
verwerkingsdoelen en hun overeenkomstige gronden
• Betere controle op alle leveranciers en andere verwerkers
• Betere controle over de middelen die ingezet worden tijdens de verwerking
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WELKE KEUZE MAKEN?
> Antwoord vinden op de vraag in welke mate je eerder minimale conformiteit nastreeft (niveau 1 en 2)
> Of eerder controle wenst te krijgen op de informatieomgeving en bijvoorbeeld • de leveranciers die betrokken zijn bij de verwerking • specifieke verwerkingsdoelen • Verschillende ontvangers van de persoonsgegevens • bewustwording over welke activiteiten je uitvoert en de overeenkomstige
veiligheidscriteria
82
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
WAAR VIND JE DE VERWERKINGSDOELEN NIVEAU 0/1/2/3?
83
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
84
Niveau 3 • Zorg
• Verpleging en verzorging • Zorgleefplan
• Monitoren van Katz Schaal
Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner.
Foto: Nictiz referentiemodel
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
85
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
86
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevensDe categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
CATEGORIEËN VAN BETROKKENEN EN CATEGORIEËN PERSOONSGEGEVENS
87
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
88
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ONTVANGERS
89
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
90
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgenDe beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
DOORGIFTEN
91
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
92
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewistAlgemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
BEWAARTERMIJN
93
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER
94
WZC als verantwoordelijke Register van verwerkingsactiviteiten
Naam en de contactgegevens verwerkingsverantwoordelijke(n)
De verwerkingsdoelen
Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens
De categorieën van ontvangers
Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen
De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist
Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
ALGEMENE TECHNISCHE/ORGANISATORISCHE MAATREGELEN
95
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TOEVOEGINGEN
> Soms zinvol om toevoegingen in het register te voorzien: • Toevoeging 1: Elementen met het oog op een risico-evaluatie
- Vb extra documentatie aanleggen over de verwerkingsgrond, zoals het gerechtvaardigd belang? - Vb specifieke kenmerken van de verwerking zoals profiling edm?
• Toevoeging 2: Elementen met het oog op leveranciersadministratie (Geen voorbeeld in slides) - Leveranciers nominatief opsommen met het oog op “vendor assessment”
• Toevoeging 3: Opsommen van de applicaties - Met het oog op een applicatiecatalogus
> Opletten: maakt het verwerkingsregister minder statisch • Zijn de toevoegingen elders al voorzien in een proces
- Vb Aankoopdienst (indien beheer van leveranciers al voorzien is in het aankoopproces) - Vb ICT dienst (indien er al een applicatiecatalogus is)
• Dan is het verwerkingsregister mogelijk niet de juiste plaats!
96
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TOEVOEGING 1: RISICO-EVALUATIE
97
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
TOEVOEGING 3: APPLICATIECATALOGUS
98
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
VRAGEN VOOR DE DEELNEMERS (GROEPSWERK)
> Kan je de lijst van verwerkingsactiviteiten (niveau 0, 1, 2 en 3) valideren en input geven ter verbetering?
> Kan je een verwerkingsactiviteit (niveau 3) kiezen en deze uitwerken? • Bij voorkeur andere verwerkingsactiviteiten per deelnemende groep
> Nadien bespreken we jullie bevindingen en resultaten in groep
99
top related