Hoe breng je de nieuwigheden van de Algemene Gegevensbeschermingsverordening (AGV) of General Data Protection Regulation (GDPR) aan bij jouw stad of gemeente? Dit is een voorbeeld van slidedeck.

1. ALGEMENE
VERORDENING
GEGEVENS-
BESCHERMING
DATA PROTECTION IN STUKKEN
@TommyVandepitte

2. OUDE WIJN…
VOOR 25 MEI 2018
• Richtlijn (vereist
implementatie)
• 34 artikelen
• 6 definities
• 72 consideransen
NA 25 MEI 2018
• Verordening (werkt
direct, maar 35
uitvoeringspunten)
• 99 artikelen
• 26 definities
• 173 consideransen

3. OVERZICHT
Controle
Data
Subject
Verwerking persoonsgegevens
Data
Controller
Data
processor
Finaliteit Legitimiteit
Transparantie Organisatie
proportioneel
End-to-end
Slide3

4. NIEUWTJES – VISUEEL
Controle
Data
Subject
Verwerking persoonsgegevens
Data
Controller
Data
processor
Finaliteit Legitimiteit
Transparantie Organisatie
proportioneel
End-to-end
Slide4

5. BELANGRIJKSTE NIEUWTJES
• Toepassingsgebied
• Ruimere territoriale werking
• Verwerker nu ook een geadresseerde
• Legitimiteit
• Toestemming strenger uitgewerkt
• Organisatie
• ”Accountability” op zijn Engels (omkering van de bewijslast), concreet
• Verwerkingsregister (en risicoregister)
• Privacy impact beoordelingen (“PIA”)
• Privacy by Design en Privacy by Default
• Data Protection Officer
• Erkenning van “koepel”-mechanismen: certificatie, gedragsregels, BCR,…
• Incidentenbeheer en -meldingen
• Rechten van het individu uitgebreid
• Handhaving
• Administratieve boetes geüniformiseerd
• Collectieve acties van individuen mogelijk

6. S&G: WAT VERANDERT NIET?
• S&G zijn gevat door de wetgeving
• Doeleinden van verwerking worden grotendeels bepaald door
wettelijke opdrachten (belangrijk: wat met de rest?)
• Legitimeit van verwerking wordt grotendeels bepaald door
wettelijke opdrachten (belangrijk: wat met de rest?)
• Transparantie wordt soms geacht te liggen in de wettelijke grond
of de bijzondere machtiging (belangrijk: klopt dat wel? Willen we
niet verder gaan?)
• Toegewezen (interne) verantwoordelijkheden zou al
geïmplementeerd moeten zijn
• Technische beveiliging zou al opgezet moeten zijn
• Degelijke contracten met derden zouden al moeten bestaan
• Rechten van de individuen zou al grotendeels afgedekt moeten
zijn

7. S&G: IMPACT
• S&G vallen eronder
• maar er is aanzienlijke impact van nationale en regionale
wetgeving waardoor onzekerheid bestaat
• waar beschouwt men de GDPR overheersend en waar
niet?
• vermoedelijk wordt systeem van sectorale comités herzien
/ afgeschaft
• vermoedelijk wordt systeem van CBPL v VTC herzien
• niemand durft zich wagen aan analyses van de
authentieke bronnen

8. S&G: WAT IS BELANGRIJK?
• Data register: er wordt gekeken of uniformisering en
schaalvoordeel op niveau VVSG kan worden gehaald
(vergadering 28 april 2017)
• PIA: poging om dat voor de grote toepassingen via VVSG af
te dwingen
• Privacy by Design: zou voor meeste toepassingen op
overkoepelend niveau bekeken moeten worden - VVSG
spreekt met belangrijkste leveranciers
• Rechtsgrond (niet altijd onder controle v handhaving)
• Lokale beslissingen: goed motiveren en duidelijk formuleren
• Hogere overheid: bij geven van input, aandringen op goede
motivering en duidelijke formulering
• Werken op grond buiten de wet? (debat over taken)

9. S&G: WAT IS BELANGRIJK?
• Transparantie (aligneren op niveau VVSG)
• Interne beveiliging optrekken heeft kosten/baten meer zin
(strengere sancties)
• NIET alleen maar IT !
• Opleiding, bewustmaking,…
• Relatie met leveranciers
• Oplijsten
• Risicogebaseerd benaderen (bij grotere via VVSG?)
• Data lekken melden (aan CBPL, naast KSZ en/of authentieke
bron)
• Veiligheidsconsulent >< DPO (theoretisch geen continuiteit)

10. VERWACHT OOK
ANDERE FACTOREN
• Groter bewustzijn van burger
• Platformen die uitoefening van rechten faciliteren én
trnasparantie daarrond creëren
• Samendenken met andere regels, zoals openbaarheid van
bestuur

11. CONCLUSIE
• Geen revolutie, maar wel belangrijke evolutie
• Focus blijven houden op implementering
• Documentatie wordt belangrijker
• Nood aan overkoepelende inspanning, om te vermijden dat
kost wordt herhaald op elk lokaal niveau
• Onzekerheid rond kader voor overheidsinstellingen, incl.
lokale besturen, waardoor opvolging nodig is
• Wel al concrete actie mogelijk, voornamelijk voorbereid zijn
en overzicht hebben (en houden)

12. BRONNEN
 context: http://ec.europa.eu/justice/data-
protection/reform/index_en.htm
Verordening (EU) 2016/679
 tekst: http://eur-lex.europa.eu/legal-
content/NL/TXT/?uri=CELEX:32016R0679
Website Belgische Privacycommissie
 https://www.privacycommission.be/nl/node/19451