Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Eerder besliste het Hof van Justitie van de Europese Unie in zijn Wirtschaftsakademie Schleswig-Holstein arrest al dat de beheerder van een facebookpagina een joint-controller (gezamenlijke verwerkingsverantwoordelijke) van persoonsgegevens is samen met Facebook. Nu werd de vraag opgeworpen of een beheerder van een website waarop een facebook like-knop plug-in staat, ook een joint controller is.

Like-knop plug-in

De zaak betrof de website Fashion ID. Op deze website stond een externe like-knop plug-in van facebook. De bodemrechter had vastgesteld dat deze plug-in informatie verzamelde van alle bezoekers van de Fashion ID website, ongeacht of zij een account hadden bij facebook of niet.

Joint-controller

Om een joint-controller te zijn moet Fashion ID samen met facebook het doel en de middelen van de gegevensverwerking vaststellen. Hiermee bedoelen we: samen bepalen waarom en hoe de persoonsgegevens worden verwerkt. Het Hof besliste dat dit voor zowel de verzameling van de gegevens als het doorzenden ervan naar facebook het geval is. Op de verdere verwerking heeft Fashion ID geen invloed, noch is zij op de hoogte zelfs van doel en middelen van de verwerking en is zij aldus geen joint controller.

Rechtsgeldige verwerking

Een rechtmatige verwerking van persoonsgegevens vereist aanwezigheid van een rechtsgrond voor de verwerking, in casu zijn volgende gronden relevant: gerechtvaardigd belang in hoofde van de verwerkingsverantwoordelijke of toestemming van de betrokkene.
Indien men zich beroept op gerechtvaardigd belang verduidelijkte het Hof dat het belang moet bestaan in hoofde van elke joint-controller. Zo moet Fashion ID een gerechtvaardigd belang hebben om de gegevens te verzamelen en te verzenden en Facebook een gerechtvaardigd belang voor alle verwerkingshandelingen die het stelt.
Alternatief kan je ook de toestemming van de betrokken persoon voor de gegevensverwerking vragen. Ook hier moet Fashion ID afzonderlijk van Facebook de toestemming van de betrokken persoon vragen voor het verzamelen en verzenden van de gegevens en moet Facebook toestemming vragen voor alle verwerkingshandelingen die het verricht.
Hetzelfde geldt overigens ook voor de transparantieplicht die zowel op Fashion ID als op Facebook rust.

Gevolgen

Facebook zal waarschijnlijk dezelfde lijn als voorheen doortrekken en voor het gebruik van plug-ins een joint-controller overeenkomst invoegen in overeenkomsten (zie ook het joint controller addendum voor Facebook paginabeheerders) Het afsluiten van zo’n overeenkomst tussen de joint-controllers is immers vereist onder artikel 26 AVG.
Websites die plug-ins van facebook gebruiken moeten er dan ook rekening mee houden dat zij voor bepaalde verwerkingen van persoonsgegevens joint-controllers zijn.
Wij raden dan ook aan om in ieder geval de nodige informatie te verschaffen aan je websitebezoekers en te zorgen dat je over een nodige rechtsgrond beschikt voor die verwerking. Je kan hiervoor toestemming voor gegevensverwerking vragen aan jouw website-bezoekers of afwegen of je over een gerechtvaardigd belang beschikt om die gegevens te verwerken.

Heb je nog vragen over plug-ins of de GDPR in het algemeen, aarzel dan niet om ons te contacteren!

De General Data Protection Regulation (GDPR) is een Europese “wet” die op 25 mei 2018 in werking treedt. De GDPR (Algemene Verordening Gegevensbescherming) geldt voor bedrijven en overheden. De wet gaat over bescherming en beheer van persoonsgegevens van websitebezoekerss, prospects, klanten, medewerkers ... Als je niet aan de GDPR voldoet, riskeer je een monsterboete.

Dit zijn de 5 belangrijkste verplichtingen om die boetes te ontlopen.

1 GDPR legt nieuwe verplichten op aan bedrijven en overheden

Als de General Data Protection Regulation op 25 mei 2018 in werking treedt en je als bedrijf aan deze wet moet voldoen, moet je een register bijhouden van verwerkingsactiviteiten. Dit register vervangt de aangifteplicht bij de Privacy Commissie (Meer over Verschil tussen Data Protection Reguslation (GDPR) en de Privacywet).

Daarnaast is het als onderdeel van de verantwoordingsplicht vereist om bij risicovolle projecten gegevensbeschermingseffectbeoordelingen (Privacy Impact Assessment of PIA) uit te voeren. Het gaat om activiteiten die een risico inhouden voor de rechten en vrijheden van personen, denk aan stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, de verwerking op grote schaal van gezondheidsgegevens, etc.

Zijn er incidenten, bv. jouw databank met gegevens wordt gehacked of je zet die databank per ongeluk zelf online, dan ben je verplicht die binnen 72 uur te melden bij de Privacycommissie en in sommige gevallen aan de betrokkenen zelf.

Bedrijven moeten privacy by design & default implementeren. Dit wil zeggen dat enerzijds databeschermingsprincipes moeten worden ingebakken bij nieuwe verwerkingsprojecten en anderzijds dat de standaardinstellingen slechts de minimum hoeveelheid persoonsgegevens mogen verwerken.

Om dit in goede banen te leiden kun je verplicht worden een Data Protection Officer (DPO) aan te stellen: check hier of je verplicht een DPO moet aanstellen.

2 GDPR geeft de betrokkenen nieuwe rechten

Betrokken zijn jij en ik, namelijk elke geïdentificeerde of identificeerbare natuurlijke persoon op wie persoonsgegevens betrekking hebben. Gebruik je bijvoorbeeld facebook, dan ben jij een betrokkene.

Als betrokkene heb je o.a. recht op Dataportabiliteit, namelijk het recht om al jouw persoonsgegevens van één verwerker te laten overdragen naar een andere, net zoals je dat zou doen met jouw telefoonnummer. En het ‘recht om vergeten te worden’, hierbij heb je als betrokkene het recht om jouw persoonsgegevens te laten verwijderen indien de verwerking niet meer gerechtvaardigd is. Dit is o.m. het geval indien men jouw gegevens niet meer nodig heeft voor hun originele doelstelling. (Meer weten over de andere rechten van betrokkenen)

3 GDPR stelt strengere voorwaarden voor bekomen van ‘Consent’

In vele gevallen is het noodzakelijk dat aan de betrokkene zijn toestemming wordt gevraagd om zijn persoonsgegevens te verwerken. Deze toestemming moet gebeuren door middel van een verklaring of een ondubbelzinnige actieve handeling, een checkbox aanduiden, handtekenen, etc.

4 GDPR stelt strengere transparantieregels

Wanneer je persoonsgegevens verwerkt moet je de betrokkene inlichten over die verwerking, je moet hem of haar meedelen waarom je zijn of haar gegevens nodig hebt, aan wie je die gaat doorgeven, etc. Vormelijk moet de privacypolicy op jouw website beschikbaar zijn in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal worden meegedeeld.

5 GDPR verduidelijkt informatieveiligheidsverplichtingen

Informatieveiligheid staat meer dan ooit op de agenda van bedrijven, zeker indien het gaat om persoonsgegevens kan de imagoschade enorm groot zij. Maar ook de GDPR verplicht bedrijven om persoonsgegevens te beveiligen met passende technische en organisatorische maatregelen. Hierbij kan worden gedacht aan encryptie & pseudonimisering, het uitvoeren van audits, het zorgen voor back-ups & redundantie.

 

Twijfels of vragen over toepassing GDPR?

Neem vrijblijvend contact op en we kunnen je snel duidelijkheid geven over toepassing en/of betekenis van de General  Data Protection Regulation voor jouw bedrijf of organisatie.