�ݺ�ߣ

Arjan Burger
Webinar GDPR en AVG
eduvision.nl / eduvision.be

eduvision.nl / eduvision.be: GDPR
Welkom!
● Wie ben jij?
● Wat verwacht je vandaag?

Programma
● Wat is GDPR / AVG
● Voor wie is de GDPR
● Inhoud GDPR
● Gevolgen websites en Email marketing
● Implementatie
● En verder...

Wat is GDPR?
General Data Protection Regulation (GDPR) en
Algemene Verordening Gegevensbescherming
(AVG). Deze nieuwe Europese regelgeving GDPR
vervangt op 25 mei 2018 de bestaande Europese
Richtlijn Bescherming Persoonsgegevens.

Probleem
● De GDPR raakt uw business en organisatie
● Hoe raakt de GDPR/AVG de business?
● Hoe groot is de impact van de wetgeving voor
uw organisatie?
● Bent u klaar voor de GDPR?

Voor wie?
● Organisaties binnen de EU die persoonlijke
gegevens verwerken
● Grootte organisatie onbelangrijk
● Voor organisaties die bepaalde gegevens
verwerken gelden aanvullende regels (bijv.
medische gegevens)

Uitgangspunten GDPR
● Transparantie over verwerking en gebruik
persoonlijke gegevens
● Verwerking persoonlijke gegevens is beperkt tot
specifieke en gegronde doeleinden
● Personen hebben het recht om gegevens in te
zien, aan ta laten passen of te laten verwijderen

Uitgangspunten GDPR
● Het opslaan van persoonlijk identificeerbare
gegevens is beperkt tot het beoogde doel en in
tijdsduur zo lang als noodzakelijk is
● Persoonlijke gegevens dienen conform
geldende actuele beveiligingsmethodes
beveiligd te zijn

Waarborgen
● Data protection officer (functionaris gegevens
bescherming)
● Grootte organisaties
● Overheid
● Specifieke bedrijfstypes

Wat zijn
persoonsgegevens?
● Naam
● e-mail
● IP-adres
● Rekeningnummer
● Creditcardnummer
● Religie

Wat zijn
persoonsgegevens?
● CRM
● contactformulieren
● e-mails
● foto’s
● video met personen
● Profielen (gedrag)
● CV-database

Type gegevens
● Persoonsgegevens
● Pseudo-anonieme gegevens
● Anonieme gegevens

Persoonsgegevens
● Geïdentificeerd of identificeerbaar persoon
● email adres
● IP-adres
● Mac-Adres

Pseudo-anonieme
gegevens
● Niet herleidbaar naar een natuurlijke persoon
zonder aanvullende informatie
● Wel identificeerbaar
● ProfileID
● KlantID
● hashed mailadres

Rollen
● Data subject / betrokkene
● Controller/verwerkingsverantwoordelijke
● Bewerker

Data subject/betrokkene
● Een natuurlijke, te identificeren persoon

Controller
● Eindverantwoordelijke
● Bedrijf / organisatie
● Verwerkingsverantwoordelijke

Bewerker
● Externe partij die de in opdracht van de
controller data verwerkt, maar niet het doel en
de middelen van de bewerkingen vaststelt
● Hostingprovider
● Data analyse bedrijf

Privacy by Design
● Bij de ontwikkeling van producten en diensten
moet standaard de GDPR meegenomen worden
● Bewaartermijn
● Verzameling gegevens
● Beveiliging

Privacy by default
● Technisch en organisatorisch
● Alleen gegevens meenemen en verwerken die
je voor het doel nodig hebt

Datalek
● Binnen 72 uur melden bij de autoriteit
persoonsgegevens
● Niet alleen bijv een crm, maar ook een usb stick
etc
● Protocol om datalekken te voorkomen
● Monitoring
● Documenteren

Rechten data subject
● Data inzien
● Data aanpassen
● Data verwijderen
● Data portabiliteit (overdraagbaarheid)

Implementatie GDPR
● Inventarisatie
● Protocollen
● Technische verwerking / aanpassingen
● Praktische verwerking / aanpassingen

Inventarisatie
● Over welke data beschik je?
● Hoe is de data (technisch) ontsloten?
● Welke bewerkers zijn betrokken?
● Zijn er overeenkomsten met die bewerkers?
● Met welke doelbinding is de data verzameld?
● Is die binding overeenkomstig het gebruik?
● Wie is verantwoordelijk voor welke data

De cloud
● Europese vs niet Europese cloud
● Welke SLA?
● Kan de cloudprovider garanderen dat de data
binnen de EU blijft?

Protocollen
● Protocol voor inzien data
● Protocol voor verwijderen data
● Protocol voor aanpassen data
● Protocol voor datalekken

Technische verwerking
● Is verwijderen mogelijk in al uw systemen?
● Moeten deze systemen gelinkt (verbonden)
worden?
● Zitten er handmatige actie in?
● Zijn uw systemen voorbereid?
● Welke acties moeten er nog gepland worden?

Praktische verwerking
● Waar staat de organisatie nu?
● Wat moet er nog gebeuren?
● Wat is het tijdsverloop?

Online gevolgen
● Website
● E-mail marketing
● Profiling
● Maar ook… contactformulieren

Website
● Secure verbinding
● Privacy disclaimer
● Afhandeling formulieren
● Instemming (registratie)

E-mail marketing
● Registratie toestemming (welke
toestemmingstekst en datum)
● Moet bewijsbaar zijn
● Expliciete Opt in/opt out
● Veel email systemen hebben dat nu als
standaard (bijv Mailchimp)

Profiling
● Voor profielen, retargeting, remarketing e.d.
● Werking moet bezoeker duidelijk zijn
● Beschrijf bewerking en doeleinden in het cookie-
en privacystatement
● Beschrijvingen moeten specifiek zijn, bijv. voor
een bepaald bezoekerssegment

De wet
● Check altijd de wettekst alvorens je actie
onderneemt
● Wettekst is bindend
● eur-lex.europa.eu/legal-content/nl/TXT/?uri=CE
LEX:32016R0679

De GDPR - een probleem?
● GDPR: High level impact
Hoge boetes
Implementatie traject
Continue monitoring
● Hoe schat u de impact van de GDPR in op uw
business?

De GDPR te lijf
● Kennis
● Impact bepalen
● Waar aanpassingen nodig > plan
● Actie!

Training GDPR
● Kennis van de wet
● Impact op de business
● Actieplan maken
● 2 dagen

Actieplan
● Inventarisatie huidige privacy maatregelen in de business of
organisatie
● Bepalen impact GDPR op de business en organisatie
● Actiepunten om complient te worden
● Procedures bepalen
● Monitoring bepalen
● Certificering vereist? (voor specifieke doelgroepen)
● Technische maatregelen
● Organisatorische maatregelen

Inschrijven
● di 15-5
● Incompany wordt ook veel aangevraagd

Vragen?
Neem contact met ons op!
• twitter.com/eduvision
• facebook.com/eduvision
• Over Arjan: arjanburger.com
• +31 (0)88 044 42 22 +32 (0)3 747 03 10
info@eduvision.nl info@eduvision.be

�ݺ�ߣ

Webinar GDPR en AVG

More Related Content

Webinar GDPR en AVG