mei‘18 // 25 - vlaams agentschap zorg en gezondheid · hierbij wordt - het belang van...

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

INLEIDING INFORMATIEVEILIGHEIDOpleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra

Mei‘18

25

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

PETER BERGHMANS

Peter Berghmans

Contact

Linked in

› Veiligheidsborger eWZC programma › Helpt mee persoonsgegevens te beschermen › Passie voor de zorgsector › Liefde voor lesgeven

› [email protected] › 0475951516

› Data Protection Officer White Wire › Docent Thomas More › Docent Data Protection Institute

› https://be.linkedin.com/in/peter-berghmans-96841241

2

https://be.linkedin.com/in/peter-berghmans-96841241

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

LESSENREEKS 5: KLAAR VOOR GDPR

> Deel 1: Gegevensbescherming en informatieveiligheid > Deel 2: De stappen voor implementatie van gegevensbescherming

• Stap 1: Bewustwording en Governance • Stap 2: Hoe stel ik een register op van verwerkingsactiviteiten? • Stap 3: Hoe voer ik een gegevensbeschermingseffectenbeoordeling uit? • Stap 4: Hoe meldt ik een inbreuk? • Stap 5: Hoe ga ik om met verwerkers? • Stap 6: Welke elementen moeten worden geïmplementeerd m.b.t. de rechten van de

patiënt/betrokkene?

> Oefening: het opstellen van een register > Deel 3: afsluitende vragenronde

3

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OVERZICHT VAN DE OPLEIDINGInformatieveiligheid in de ouderenzorg

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DOELSTELLING VAN DE OPLEIDING

> Een goed begrip krijgen van wat informatieveiligheid is binnen de context van WZC’s

> Woonzorgcentra begeleiden in de ontwikkeling van documenten inzake informatieveiligheid

> Het ter beschikking stellen en toelichten van templates > Gelegenheid scheppen om hierover vragen te stellen

5

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

LEERDOELEN VOOR ELKE DEELNEMER

> kent de voorwaarden voor het verwerken van gezondheidsgegevens > kan deze voorwaarden aftoetsen > kan deze verwerkingsvoorwaarden in een breder kader plaatsen, met name

de relevante wetten en regels > Kent de basisbegrippen van informatieveiligheid > Kan een beleidshoofdstuk voor informatieveiligheid schrijven > Kan een informatieveiligheidsplan opstellen en onderhouden > Is in staat om de juiste vragen te stellen over de genomen technische

maatregelen inzake informatieveiligheid > Kan een procedure uitschrijven en bewaken voor beleidsthema’s > Heeft de kennis om een bewustwordingssessie in te vullen in een

zorgorganisatie > Kan rollen en verantwoordelijkheden borgen binnen een zorgorganisatie

6

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

5 KERNDOMEINEN VAN DE OPLEIDING

> Begrijpen wat een veiligheidsbeleid is & beheer ervan > De kernprincipes van COT implementeren

• Bewustwording en opzetten van een organisatiestructuur • Beheer van identiteiten, toegangen en logging • Beheer van een therapeutische/zorgrelatie • Beheer van verwerkers zoals leveranciers • Beheer van calamiteiten en incidenten

> De basis technische veiligheidsmaatregelen begrijpen > Een plan opstellen m.b.t. informatieveiligheid > Dit plan integreren in de dagelijkse werking en hierover waken

7

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

HOE DOEN WE DIT?

8

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

SESSIE 1: INLEIDING INFORMATIEVEILIGHEID

Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.

informatieveiligheid in de wetgeving, het eHealth platform en sectorcomité SZ/AG).

- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht

Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management

van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum

- De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring

9

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

SESSIE2: COT EN MINIMALE VOORWAARDEN

Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden

Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande

onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden

opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de

verschillende woonzorgcentra

10

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS

Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische

veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist.

- Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist

- Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het eHealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier

11

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS

Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en

zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te

worden opgenomen in het beleidshandboek.

12

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT

Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag “Wat te doen bij een gegevenslek” wordt behandeld.

Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup

procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te

worden opgenomen in het beleidshandboek.

13

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DEEL 5: WRAP UP: EEN STAP VERDER…

Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld?

Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer

14

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

PRAKTISCHE AFSPRAKEN

> Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding

• 09u30 – 12u00: sessie deel 1 - Broodjeslunch

• 13u00 – 15u30: sessie deel 2

> Opdrachten tussen de sessies helpen bij de implementatie

> In de presentatie staan hyperlinks • Onderlijnde woorden • Figuren

15

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

GEGEVENSBESCHERMING VS. INFOVEILIGHEIDGegevensbescherming in de ouderenzorg

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

17

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OVERZICHT: WAT IS GDPR?Gegevensbescherming in de ouderenzorg

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAT IS GDPR?

Toon aan patiënt/toezichthouder dat je

persoonsgegevens correct verwerkt

Transparant

Bedrijfsprocessen om risico’s te beheren: vb

leveranciers & datalekken beheren

Processen

Sancties indien je de regels niet toepast

AfdwingbaarGDPR is voor iedereen,

onder waakzaam oog DPO

DPO en alle medewerkers

Van kracht op alle organisaties, zonder uitstel

25 mei 2018

Bijkomende rechten voor de betrokkene (beperkte toepassing in zorg)

Rechten

Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden 19

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

CODE OF CONDUCT ZORGT VOOR VERTALING

EuropeesEen gedragscode is

nationaal of internationaal van

toepassing, afhankelijk van het internationaal

karakter

ToezichtEen toezicht door een

federatie is mogelijk, na accreditatie door toezichthouder

GoedkeuringDe DPA keurt een

nieuwe gedragscode of de wijziging daarvan

goed

VerduidelijkingVertaling van de GDPR

principes en zorgen voor een juiste

toepassing van de regelgeving

SectorCode of conduct zorgt voor een vertaling van

de regelgeving. Ze wordt opgesteld door

federaties

Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden 20

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DE IMPLEMENTATIE VAN GDPR IN OUDERENZORG

Gegevensbescherming in de ouderenzorg

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

BeleidOpstellen van een beleid voor gegevensbescherming

DPIAUitvoeren van een Data Protection Impact Assessment

GegevenslekkenZorgen dat lekken intern en extern worden gemeld

RegisterOpstellen van een register van verwerkingsactiviteiten

VerwerkersOplijsten van verwerkers en maken van afspraken

RechtenVrijwaren van de patiëntenrechten

VerwerkersImpact- assessment

RegisterBeleid

en taken Rechten betrokkene

Lekken

22

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

23

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

PRIVACY POLICY VS PRIVACY BELEID?

> Opgelet, dit zijn geen vaste definities > Privacy policy: meestal de verklaring op een website of onthaal. > Is bedoeld als een kennisgeving naar de patiënt

• In het kader van de patiëntenrechten • Maar ook in het kader van de wetgeving. In GDPR:

- Artikel 13: Persoonsgegevens rechtstreeks verkregen - Artikel 14: Persoonsgegevens niet rechtstreeks bij de betrokkene verkregen

24

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

PRIVACY POLICY VS PRIVACY BELEID?

> Privacy beleid: ook wel gegevensbeschermingsbeleid > Verplicht document in het kader van de GDPR > Intern beleid, vastgesteld door de directie

• Benoemt de belangrijkste principes rond gegevensbescherming die de directie nastreeft • Omschrijft de verantwoordelijkheden binnen de organisatie • Bekrachtigt dat de basisprincipes zoals benoemt in de GDPR worden toegepast,

bijzondere aandacht voor risico gebaseerde aanpak - Niet willekeurig een opgelegde lijst met veiligheidsmaatregelen invoeren, maar obv risico

analyse relevant maken voor de organisatie

25

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

INHOUD BELEID GEGEVENSBESCHERMING

1Algemene doelstelling Gegevensbescherming

Uitgangspunten van het veiligheidsbeleid, gekoppeld aan de missie en visie van de organisatie

2 Governance structuur - organisatiestructuurWie krijgt welke verantwoordelijkheden bij het uitvoeren van het beleid voor

gegevensbescherming? Zowel bij implementatie als bij uitvoering

4 Toepassing van het beleid gegevensbescherming op zorgnetwerkenGegevensbescherming en zorgnetwerken: scope en toepassingsgebied

3 De functionaris voor de gegevensbeschermingTakenpakket, onafhankelijkheid, kennisniveau en tijdsbesteding moet verder worden

toegelicht

26

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

VOORBEELDEN VAN EEN BELEID

> Zie voorbeeld van een tekst

27

https://whitewire.be/wp-content/uploads/2017/09/20170919_template-gegevensbeschermingsbeleid_WZC.docx

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

28

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

INFORMATIE OVER HET REGISTER

› https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf

Leeswijzer

29

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAAROM EEN REGISTER?

> Vandaag: verwerkingsactiviteiten worden gemeld in een publiek register • https://eloket.privacycommission.be/elg/chooseDeclarationType.htm;jsessionid=8BBD21B70C716C1CB1B8F23C0ABCCD32 (aangifte) • https://eloket.privacycommission.be/elg/searchPR.htm?eraseResults=true&siteLanguage=nl (consultatie aangifte)

> Nieuw principe: aantonen dat je zicht hebt op verwerkingsprocessen door en intern register bij te houden

30

https://eloket.privacycommission.be/elg/chooseDeclarationType.htm;jsessionid=8BBD21B70C716C1CB1B8F23C0ABCCD32

https://eloket.privacycommission.be/elg/searchPR.htm?eraseResults=true&siteLanguage=nl

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAT IS HET REGISTER?

> Bevat informatie over de verrichte verwerking • met welk doel worden de gegevens verwerkt • welke zijn de categorieën persoonsgegevens waarop de verwerkte gegevens betrekking

hebben • wie zijn de ontvangers van de gegevens • welke is hun bewaartermijn • etc.

31

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

HET REGISTER

OVERZICHT

Register volgens CBPL

32

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

HET WZC LEGT EEN REGISTER AAN

> Schriftelijk of elektronisch > Het moet niet op papier en elektronisch beschikbaar zijn. > Het moet helder en begrijpelijk zijn. > Moet worden bijgewerkt in functie van de ontwikkelingen en evoluties van

de activiteiten van de onderneming of organisatie.

> Van toepassing voor verantwoordelijke en verwerker

33

Wat moet in het register?WZC als verantwoordelijke Register van verwerkingsactiviteiten

WZC als verwerker… Register v. categorieën verwerkingsactiviteiten

Naam en de contactgegevens verwerkingsverantwoordelijke(n)

Naam en contactgegevens van verwerkers en iedere verwerkingsverantwoordelijke voor rekening waarvan men verwerker handelt

De verwerkingsdoelen Categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd

Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevensDe categorieën van ontvangers

Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen


De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewistAlgemene beschrijving van technische en organisatorische beveiligingsmaatregelen

Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen

34

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

35

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

HET BELANG VAN EEN DPIA

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Slides!opgemaakt door!https:/ /www.dp-institute.eu Alle rechten voorbehouden

DPIA

• Wat is een DPIA? • Wanneer een DPIA

uitvoeren? • Door wie uit te

voeren? • Wat is de inhoud

van een DPIA? • Voorbeelden van

DPIA

DPIA

DPIA

Wanneer?

Definitie

Door wie? Inhoud

Voorbeeld

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAAROM EEN DPIA?

• Aantonen

• correcte toepassing van GDPR

• Risico’s (inherent) van de verwerking onder controle krijgen.

• bijvoorbeeld

• discriminatie

• identiteitsdiefstal of –fraude

• financiële verliezen

• reputatieschade

• verlies van vertrouwelijkheid beroepsgeheim beschermde persoonsgegevens

• ongeoorloofde ongedaanmaking van pseudonimisering`

• aanzienlijk economisch of maatschappelijk nadeel

• …


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

KENMERKEN VAN EEN DPIA

• Doel: Specifieke waarschijnlijkheid/ernst risico’s beoordelen

• Wat beoordelen? De geplande maatregelen om

• de geïdentifceerde risico’s te beperken,

• de persoonsgegevens te beschermen

• aan te tonen dat aan deze verordening is voldaan

• Door wie? Verantwoordelijke verwerking op advies van DPO (indien aangesteld)


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DPIA





DPIA

DPIA

DPIA

Wanneer?

Definitie

Door wie? Inhoud

Voorbeeld

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

AANGEWEZEN WANNEER (ARTIKEL 35)

• Geautomatiseerde, systematische en uitgebreide evaluatie (vb profiling),

waarbij het resultaat wordt gebruikt om beslissingen/besluiten te nemen

- met juridische consequenties

- met gelijkaardige consequenties

• Bij speciale categorieën van persoonsgegevens (grootschalig)

• Monitoring van publieke plaatsen (stelselmatig, grootschalig)


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

TIMING VAN DE DPIA

• Voor de verwerking zal plaatsvinden, toetsing bij belangrijke wijzigingen (art.

35 lid 11).

• Ook bij wijzigingen in technieken vb dataminimalisatie

• Aanbeveling CBPL: om de 2 jaar


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DPIA AANGEWEZEN ALS…

• wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen;

• wanneer de verwerking gebruik maakt van genetische gegevens; • persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen • financiële solvabiliteit van de betrokkene te beoordelen • Risicoprofiel betrokkene opmaken in kader dienstverlening aan de betrokkene • Inbreuk op persoonsgegevens zou fysieke gezondheid van de betrokkene in

gedrang brengen • Verwerking financiële/gevoelige persoonsgegevens die (her)gebruikt worden

voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij • Toestemming • Noodzakelijk is voor wettelijke verplichting


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DPIA AANGEWEZEN ALS…

• Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep

• Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, …)

• Profiling op grote schaal • Grootschalige verwerking persoonsgegevens kinderenvoor andere dan

oorspronkelijke doeleinden • Meerdere verwerkingsverantwoordelijken zijn van plan een gemeenschappelijke

applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;

• De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden.


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DPIA NIET AANGEWEZEN ALS…

• Loonadministratie van personen in dienst verantwoordelijke voor de verwerking

• Administratie van personeel (tenzij artikel 9 en 10 gegevens) • Boekhouding • Administratie van aandeelhouders en vennoten • Ledenadministratie, contacten en begunstigden VZW • Registratie bezoekers (zie registratiebladen bezoekers) • Onderwijsinstellingen in kader van studentenadministratie, onder

voorwaarden


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

… UITZONDERING (RECIT. 91 /LID 4,5 /6 ART. 35)

• Een verplichting mag niet bij verwerking van

• patiënten door individuele arts/zorgprofessional

• cliënten advocaat

• Wanneer er een wettelijke grond is voor de verwerking (en deze is beoordeeld) , dient er

geen DPIA te worden uitgevoerd, tenzij anders gesteld


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DPIA





DPIA

DPIA

DPIA

Wanneer?

Definitie

Door wie? Inhoud

Voorbeeld

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ROL VAN DE VERANTWOORDELIJKE?

• Draagt de verantwoordelijkheid en kan hierop worden aangesproken

• Multi-disciplinair team - DPO - Ontwikkelaars - Project lead - Personeelsleden die met de gegevens zullen omgaan - Marketing - Juridische dienst

• Betrokkenheid door directie (sign off)


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ROL VAN DE VERWERKER?

• Op verzoek


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ROL VAN DE DPO?

• bijstand en advies

• verplicht indien deze is aangesteld


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DPIA





DPIA

DPIA

DPIA

Wanneer?

Definitie

Door wie? Inhoud

Voorbeeld

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

INHOUD DPIA (ART. 35 LID 7)?

• Beschrijving verwerking en verwerkingsdoel

• Noodzaak/evenredigheid in functie van doelen

• Risico’s op rechten en vrijheden

• Maatregelen


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


• Een beschrijving van de verwerking en verwerkingsdoel

- Categorieën van betrokkenen en van de categorieën van persoonsgegevens;

- Ontvangers inclusief derde landen of internationale organisaties

- Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie

- Beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


• Noodzaak/evenredigheid in functie van doelen

- Waarom is de verwerking van persoonsgegevens noodzakelijk?

- Is voor deze verwerking elke handeling die voorzien is noodzakelijk?

- Zijn de middelen die worden aangewend niet te ingrijpend?


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


> Beschrijving maatregelen

• t.a.v. de bescherming van de persoonsgegevens

• om in regel te zijn met GDPR incl rechten betrokkenen en eventuele derden

> Waar aanwezig: moet in lijn liggen met bestaande ‘Code Of Conducts’. Dit

moet worden aangetoond (lid 8)


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


DPIA





DPIA

DPIA

DPIA

Wanneer?

Definitie

Door wie? Inhoud

Voorbeeld

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENKELE VOORBEELDEN DPIA

• Norea checklist

• Publieke PIA

• Template van een DPIA


https://www.norea.nl/download/?id=522

http://www.hscic.gov.uk/media/12931/Privacy-Impact-Assessment/pdf/privacy_impact_assessment_2013.pdf

http://www.hscic.gov.uk/media/12931/Privacy-Impact-Assessment/pdf/privacy_impact_assessment_2013.pdf

https://whitewire.be/wp-content/uploads/2017/06/20170616_template_DPIA.docx

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

58

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Welke handelingen mag de leverancier u i t voeren met de persoonsgegevens die moeten worden verwerkt?.

Link naar een voorbeeld

Gegevens- bescherming

W e l k e a f s p r a k e n m a a k j e m e t d e l e v e r a n c i e r o v e r informatieveiligheid? - Product - Ondersteuning

Link naar voorbeeld

Informatie-veiligheid

B i j k o m e n d e verplichtingen door nieuwe regelgeving ( b i j s t a n d s -verplichting)

• Bijstand verlenen in geval van lekken

• Bijstand bij DPIA • … …

GDPR verplichtingen

Hoe omgaan met leveranciers?


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ONDERDELEN VAN EEN OVEREENKOMST

60

Checklist Overeenkomst

https://whitewire.be/wp-content/uploads/2017/02/20170411_verwerkersovereenkomst_checklist.xlsx

https://whitewire.be/wp-content/uploads/2017/02/Overeenkomst-verwerking-persoonsgegevens-TE-HANDTEKENEN.docx

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

EXTRA GDPR VERPLICHTINGEN: DE LEVERANCIER ZAL

> Alle maatregelen nemen die vereist zijn overeenkomstig artikel 32 > Voldoen aan de in de artikelen 28.2 en 28.4 van Verordening bedoelde

voorwaarden voor het in dienst nemen van een andere verwerker. • De leverancier zal niet zonder een schriftelijke bevestiging onderaannemer(s) aanstellen OF • Het WZC hiervan in kennis stellen met het recht op verzet

> Het WZC door middel van passende technische en organisatorische maatregelen bijstand verlenen bij de uitoefening van de rechten van de betrokkene

> Het WZC bijstand verlenen bij het doen nakomen van de verplichtingen bepaald in de artikelen 32-36 van Verordening 2016/679.

> Het WZC alle informatie ter beschikking stellen die nodig is om de nakoming aan te tonen van de verplichtingen bepaald in artikel 28 van Verordening 2016/679 (audits)

61

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ANDERE VERWERKERS IN HET WZC

> CRA? > Huisarts? > Zelfstandige zorgverleners vb kiné?

> Telkens verantwoordelijkheid bepalen • Vb wat is de verantwoordelijkheid van de huisarts t.a.v. het WZC?

62

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

63

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DE VERPLICHTINGEN INZAKE DATALEKKEN

64

Intern registerMelding wordt opgenomen in een intern register

Melding DPAMelding aan de gegevensbeschermings- autoriteit

Melding betrokkeneBetrokkene wordt op de hoogte gebracht

Doubt

50%

High

70%

LOW

20%


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENISA TOOL VOOR

NOTIFICATIE

65

NOTIFICATIE: HOE VB. ENISA?

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENISA TOOL VOOR

NOTIFICATIE

66


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENISA TOOL VOOR

NOTIFICATIE

67


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENISA TOOL VOOR

NOTIFICATIE

68


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ENISA TOOL VOOR

NOTIFICATIE

69


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////








RegisterBeleid


Lekken

70

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

71

Enkel wanneer een toestemming gegeven is, beperkt toepasbaar.

• Toestemming intrekken 02

Privacy policy voor de patiënt, in lijn met de patiëntenrechten en nieuwe GDPR bepalingen

• Informatie 01

Beperkt van toepassing op gezondheidsgegevens

• Bezwaar 03

Zie rechten van de patiënt• Inzage 05

Enkel in specifieke gevallen, dus beperkte relevantie. Zie ook uitwisseling eHealth.

• Overdraagbaar06

Beperkt van toepassing in de zorg.

• Verbetering 07

Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht

• Schrapping 08

Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht

• Vergeten 09

Impact nader te bekijken. Wat als patiënt een element in een dossier in twijfel trekt? Meestal notitie in EBD

• Beperkte verwerking 10

03

04

05 06

07

08

09

1001

02

Beperkt van toepassing. Wanneer ooit wachtlijsten of EBD’s verder worden geautomatiseerd bijvoorbeeld

• Geen geautomatiseerde individuele besluiten 04

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

EN NU… OEFENENToepassing van een verwerkingsregister in WZC’s

https://whitewire.be/wp-content/uploads/2017/09/Template-verwerkingsregister-WZC-v1.xlsx

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER

73

WZC als verantwoordelijke Register van verwerkingsactiviteiten


De verwerkingsdoelen

Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens

De categorieën van ontvangers


De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

74

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


75









//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DATAREGISTER VS REGISTER VERWERKINGSACTIVITEITEN

> Dataregister: • Som alle data elementen op die in de informatieomgeving aanwezig zijn • Realisatie door een opsomming van de informatiesystemen en hun data-objecten

> Register van verwerkingsactiviteiten: • Som alle verwerkingsactiviteiten op. • Dit is eigenlijk de definitie van uw organisatie (visie, missie en doelstellingen van de

organisatie)

76

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

77

Niveau 0 (L0) • Sturing en verantwoording • Samenwerking • Zorg • Zorgprocesondersteuning • Bedrijfsondersteuning

Foto: Nictiz referentiemodel

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

78

Niveau 1 (Voorbeeld)(L1) • Zorg

• In/uit zorg • Verpleging en verzorging • Behandeling • Gemak en Welzijn


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

79

Niveau 2 (Voorbeeld) Domein • Zorg

• Verpleging en verzorging • Zorgleefplan • Levering zorg


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

80

Niveau 3 (Voorbeeld) Verwerkingsactiviteit • Zorg

• Verpleging en verzorging • Zorgleefplan

• Opstellen van zorgplan • Zorgregistratie • Aanpassen van het zorgplan • Monitoren van Katz Schaal • Observaties

Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner.


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAAROM KIEZEN VOOR

81

> Niveau 1 • Minste werk voor het

opstellen/bijwerken • Minimale GDPR

implementatie • Duidelijke en eenvoudige

communicatie

> Niveau 2 • Betere definitie van de

domeinen • Meer mogelijkheid om de

verwerkingsdoelen en hun verwerkingsgronden uit te leggen

• Duidelijke en eenvoudige communicatie

> Niveau 3 • Optimale controle over de

verwerkingsdoelen en hun overeenkomstige gronden

• Betere controle op alle leveranciers en andere verwerkers

• Betere controle over de middelen die ingezet worden tijdens de verwerking

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WELKE KEUZE MAKEN?

> Antwoord vinden op de vraag in welke mate je eerder minimale conformiteit nastreeft (niveau 1 en 2)

> Of eerder controle wenst te krijgen op de informatieomgeving en bijvoorbeeld • de leveranciers die betrokken zijn bij de verwerking • specifieke verwerkingsdoelen • Verschillende ontvangers van de persoonsgegevens • bewustwording over welke activiteiten je uitvoert en de overeenkomstige

veiligheidscriteria

82

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

WAAR VIND JE DE VERWERKINGSDOELEN NIVEAU 0/1/2/3?

83

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

84

Niveau 3 • Zorg

• Verpleging en verzorging • Zorgleefplan

• Monitoren van Katz Schaal

Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner.


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

85

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


86




Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevensDe categorieën van ontvangers




//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

CATEGORIEËN VAN BETROKKENEN EN CATEGORIEËN PERSOONSGEGEVENS

87

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


88









//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ONTVANGERS

89

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


90






Doorgiften aan derde land of internationale organisatie en documenten passende waarborgenDe beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

DOORGIFTEN

91

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


92







De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewistAlgemene beschrijving van technische en organisatorische beveiligingsmaatregelen

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

BEWAARTERMIJN

93

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


94









//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

ALGEMENE TECHNISCHE/ORGANISATORISCHE MAATREGELEN

95

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

TOEVOEGINGEN

> Soms zinvol om toevoegingen in het register te voorzien: • Toevoeging 1: Elementen met het oog op een risico-evaluatie

- Vb extra documentatie aanleggen over de verwerkingsgrond, zoals het gerechtvaardigd belang? - Vb specifieke kenmerken van de verwerking zoals profiling edm?

• Toevoeging 2: Elementen met het oog op leveranciersadministratie (Geen voorbeeld in slides) - Leveranciers nominatief opsommen met het oog op “vendor assessment”

• Toevoeging 3: Opsommen van de applicaties - Met het oog op een applicatiecatalogus

> Opletten: maakt het verwerkingsregister minder statisch • Zijn de toevoegingen elders al voorzien in een proces

- Vb Aankoopdienst (indien beheer van leveranciers al voorzien is in het aankoopproces) - Vb ICT dienst (indien er al een applicatiecatalogus is)

• Dan is het verwerkingsregister mogelijk niet de juiste plaats!

96

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

TOEVOEGING 1: RISICO-EVALUATIE

97

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

TOEVOEGING 3: APPLICATIECATALOGUS

98

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

VRAGEN VOOR DE DEELNEMERS (GROEPSWERK)

> Kan je de lijst van verwerkingsactiviteiten (niveau 0, 1, 2 en 3) valideren en input geven ter verbetering?

> Kan je een verwerkingsactiviteit (niveau 3) kiezen en deze uitwerken? • Bij voorkeur andere verwerkingsactiviteiten per deelnemende groep

> Nadien bespreken we jullie bevindingen en resultaten in groep

99

mei‘18 // 25 - vlaams agentschap zorg en gezondheid · hierbij wordt - het belang van...

Documents