Data Protection Institute https://www.dp-institute.eu/nl/ Tue, 12 Mar 2024 12:03:25 +0000 nl-NL hourly 1 https://www.dp-institute.eu/wp-content/uploads/2023/11/favicon.png Data Protection Institute https://www.dp-institute.eu/nl/ 32 32 DPO in the spotlight: Barbara Schoonjans https://www.dp-institute.eu/nl/dpo-in-the-spotlight-barbara-schoonjans/ Mon, 11 Mar 2024 13:01:39 +0000 https://www.dp-institute.eu/?p=14384 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Barbara Schoonjans , Data Protection Officer bij Baloise, beantwoordt ze graag.   Hoe ben je in de rol van DPO verzeild geraakt? Barbara: Dat is geleidelijk aan gebeurd. Voordat ik DPO werd bij Baloise, […]

The post DPO in the spotlight: Barbara Schoonjans appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Barbara Schoonjans , Data Protection Officer bij Baloise, beantwoordt ze graag.

 

Hoe ben je in de rol van DPO verzeild geraakt?

Barbara: Dat is geleidelijk aan gebeurd. Voordat ik DPO werd bij Baloise, werkte ik bij rechtsbijstandsverzekeraar Euromex, dochter van Baloise. Ik was er juridisch specialist en bij de opstart van de compliance functie in 2005 heb ik het domein privacy voor mijn rekening genomen. In 2012 ben ik fulltime compliance officer geworden om dan in 2018 bij de inwerkingtreding van de GDPR over te stappen naar Baloise om voltijds DPO te worden. Heb  dus al bijna 20 jaar actief ervaring met privacyregelgeving. 

 

Welk deel van het takenpakket van een DPO geniet jouw voorkeur? 

 

Barbara: Ik hou van de afwisseling tussen advies verlenen in langlopende projecten maar ook wel van het  snel reageren bij incidenten. Ik geef ook graag opleiding en training, kennisoverdracht en sensibilisering van deze materie. Voor sommigen lijkt GDPR misschien saai maar  ik probeer het toch op een praktische manier over te brengen.  

 

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt? 

 

Barbara: Nu toch de snelle evolutie van de technologie zoals artificiële intelligentie en tools zoals chat gpt waarbij veel mogelijk is voor het verbeteren en versnellen van processen.  Maar het brengt  ook veel gevaren en privacy risico’s met zich mee zoals “deepfakes” waarbij valse profielen data proberen stelen.  

 

Hoe zou je de rol van DPO in jouw bedrijf beschrijven? 

 

Barbara: Het permanent adviseren en ook meedenken om tot oplossing te komen die GDPR compliant is. Proactief zijn en niet louter een check de box zijn in een governance proces.  

 

Wat is volgens jou de grootste uitdaging voor een DPO? 

 

Barbara: DPO is een functie waarbij je betrokken wordt bij vele processen, bedrijfsbreed en over de verschillende afdelingen heen. Je moet adviseren, assessments uitvoeren, klachten behandelen, rapporteren,… het is daarom belangrijk het bedrijf waarin je werkt goed te kennen en blijvend je netwerk binnen  het bedrijf te onderhouden.  

 

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)? 

 

Barbara: Artificiële intelligentie omwille van de snelheid en impact.  

 

Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder? 

 

Barbara: De contacten met de betrokkene zijn helaas meestal het gevolg van een niet-GDPR- conflict met name klachten in een onderliggend dossier.  

 

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen? 

 

Barbara: Ervoor zorgen dat je goed gekend bent bij het management en proactief meedenkt over oplossingen.  

 

 Wat is jouw Zwitsers zakmes als DPO? 

Barbara: Bereikbaar zijn, begrijpbare adviezen geven, geen vertragende rol, zorgen dat je ook een meerwaarde bent. Maar ook heel duidelijk zijn als bepaalde zaken niet kunnen.  

En meer dan 30 jaar ervaring in de sector, waardoor je goed weet hoe een verzekeraar werkt, helpt.  

 

 

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving? 

 

Barbara: Intern door maandelijks overleg met mijn collega DPO’s binnen de group Baloise .  

En extern via Stay Tuned maar ik volg ook veel professionals op Linkedin, nieuwsbrieven, neem deel aan netwerkevents en spreek met collega’s DPO’s ,  gespecialiseerde advocaten.,…  

 

 

The post DPO in the spotlight: Barbara Schoonjans appeared first on Data Protection Institute.

]]>
DPO in the spotlight: Céline Nactergal https://www.dp-institute.eu/nl/dpo-in-the-spotlight-celine-nactergal/ Thu, 15 Feb 2024 13:42:15 +0000 https://www.dp-institute.eu/?p=14207 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.Céline Nactergal , Data Protection Officer bij Nagelmackers, beantwoordt ze graag. Hoe ben je in de rol van DPO verzeild geraakt?  Céline:  Ik ben vrij recent op het gebied van gegevensbescherming terechtgekomen. Ik heb een […]

The post DPO in the spotlight: Céline Nactergal appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.Céline Nactergal , Data Protection Officer bij Nagelmackers, beantwoordt ze graag.

Hoe ben je in de rol van DPO verzeild geraakt? 

Céline:  Ik ben vrij recent op het gebied van gegevensbescherming terechtgekomen. Ik heb een master in communicatie en reclame, wat er logischerwijs toe heeft geleid dat ik 15 jaar bij de bank Nagelmackers in personeelszaken heb gewerkt, in een functie met veel verschillende aspecten, zoals statistiek en projectbewaking. In deze functie was ik de vertegenwoordiger van de AVG voor mijn managementteam. Toen intern de functie van DPO vrijkwam, aarzelde ik niet lang om deze nieuwe uitdaging aan te gaan. 

 

Welk deel van het takenpakket van een DPO geniet jouw voorkeur? 

Céline: Ik heb geen voorkeur voor een bepaalde opdracht, het is meer de afwisseling van taken en de onafhankelijkheid van de rol die het werk voor mij interessant maakt. Het gebied van gegevensbescherming en risicobeheer is voortdurend in ontwikkeling. Persoonsgegevens zijn overal aanwezig in de banksector, Europese wetgevers zijn productief, fraudeurs zijn creatief en de jurisprudentie ontwikkelt zich voortdurend, dus als DPO verveel je je nooit!   

 

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt? 

Céline:  Dit is meer een algemene beschouwing over de bescherming van privacy. Veel bedrijven hebben nog een lange weg te gaan als het gaat om de bewustwording van hun verantwoordelijkheden, en hetzelfde geldt voor veel van de betrokkenen, die zich niet erg bewust zijn van de kwestie. Het is duidelijk geworden dat “gegevens het nieuwe goud zijn”. En de komst van kunstmatige intelligentie, die zich voedt met gegevens, zal deze trend alleen maar versnellen. Desondanks kunnen bijvoorbeeld gewone mensen zich vaak nog lang niet voorstellen hoeveel gegevens er over hen worden verwerkt. 

 

Hoe zou je de rol van DPO in jouw bedrijf beschrijven? 

Céline:  Als kleine bank hebben we niet de grote, multidisciplinaire teams die je bij grotere bedrijven aantreft. Elke schakel in de keten moet veelzijdig zijn en in staat om alle aspecten van zijn of haar vakgebied aan te raken.  

Met dit in gedachten, en gezien de cross-functionele aard van de AVG, is nauwe samenwerking tussen alle afdelingen van de bank essentieel, aangezien de AVG niet los kan worden gezien van juridische en IT-zaken.  

 

Wat is volgens jou de grootste uitdaging voor een DPO? 

Céline: Ik kan er twee bedenken: de onzekerheid die inherent is aan het onderwerp gegevensbescherming en de moeilijkheid om in deze rol op je plaats te blijven. 

Wat onzekerheid betreft, hoeven we ons tegenwoordig niet meer af te vragen of we op een dag een datalek krijgen, maar wanneer. Ook alle IT-systemen veranderen voortdurend. We kunnen dus nooit op onze lauweren rusten, we moeten constant waakzaam blijven en op de hoogte blijven van alle ontwikkelingen, zowel intern als extern. 

Wat de rol van DPO betreft, daarmee bedoel ik dat we in de rol van DPO blijven zoals beschreven door de AVG, d.w.z. een rol van ondersteuning, informatie en advies, zowel aan het eigen bedrijf als aan de werknemers of klanten die er misschien een beroep op moeten doen. Het is vaak erg verleidelijk om over te schakelen naar de rol van projectmanager, om cross-functionele AVG projecten tot een goed einde te brengen, als het bedrijf moeite heeft om de nodige middelen te vinden. Het is echter aan ieder individu om zijn of haar deel van de verantwoordelijkheid te nemen, en het is aan de operationele afdelingen om de AVG in de praktijk te brengen. 

 

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)? 

Céline: De komst en het wijdverspreide gebruik van kunstmatige intelligentie, dat zowel kansen als risico’s met zich meebrengt, is zeker een van de grootste uitdagingen waar DPO’s vandaag de dag voor staan. 

 Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder? 

Céline   Relaties met betrokkenen vinden voornamelijk plaats in het kader van hun verzoeken om hun rechten uit te oefenen. Wat mij betreft worden deze verzoeken intern afgehandeld door het Complaints & Privacy-team, en in samenwerking met hen voor de meest complexe gevallen. Op dit moment ontvangen we zelden directe vragen van betrokkenen over de verwerking van hun gegevens. 

 

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen? 

Céline:  Wat besluitvormers vaak aanspreekt, is de balans tussen gegevensbeheer en operationele, reputatie- of juridische risico’s. Het feit dat we de boetes die worden opgelegd door de gegevensbeschermingsautoriteiten steeds vaker in de pers zien, verhoogt ook het bewustzijn van het management. De uitdaging is om de AVG niet te presenteren als de zoveelste controle of beperking, maar als een echte kans voor verbetering. 

Intern is de AVG een integraal onderdeel van de aandachtspunten van het Management Committee. Elk kwartaal wordt er gedetailleerd gerapporteerd over de naleving van de AVG, rechtstreeks door de DPO aan het comité zelf. 

Positief is dat ik zie dat de volwassenheid van de verschillende spelers voortdurend toeneemt, of het nu gaat om AVG of om risico’s in het algemeen. 

 

Wat is jouw Zwitsers zakmes als DPO? 

Céline:   Samenwerking en informatie. 

Samenwerking tussen de verschillende interne afdelingen is essentieel wanneer je te maken hebt met een functie-overschrijdende kwestie zoals de AVG. Er zijn geen kant-en-klare instructies voor het bereiken van naleving van de AVG: de kwesties die aan de orde worden gesteld, moeten per geval worden behandeld en de ondersteuning van de juridische, compliance- en IT-teams is essentieel. Er is ook een privacyvertegenwoordiger aangesteld op elke interne afdeling, die fungeert als doorgeefluik voor de AVG-kwesties van de afdeling.  

 Ook is het van vitaal belang om iedereen in het bedrijf op de hoogte te houden. De AVG wordt vaak gezien als een “obstakel om dingen gedaan te krijgen”, waardoor het bedrijf niet kan werken, prospectie wordt belemmerd of processen worden bemoeilijkt. Maar als het waarom op een duidelijke en toegankelijke manier wordt uitgelegd, of als de voordelen van deze of gene actie aan collega’s worden gepresenteerd alsof ze zelf de betrokkenen zijn (“Hoe zou u reageren als u wist dat deze of gene verwerking werd uitgevoerd met uw gegevens? Hoe zou u reageren als u wist dat uw bank van plan was uw gegevens op deze manier te delen? – En wat als het de gegevens van uw kinderen waren?”), komt de boodschap meteen beter over. 

 

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving? 

Céline: Het onderwerp is enorm en voortdurend in ontwikkeling. Daarom probeer ik zo goed mogelijk op de hoogte te blijven via gespecialiseerde websites, de websites van gegevensbeschermingsautoriteiten bijvoorbeeld, of ad-hoc groepen op sociale netwerken. 

Er zijn ook steeds meer seminars en trainingen over dit onderwerp. De banksector heeft ook een speciale werkgroep binnen Febelfin (de Belgische Federatie van de Financiële Sector). 

Wat de Belgische en internationale jurisprudentie over dit onderwerp betreft, neem ik al 2 jaar deel aan de sessies ‘Stay Tuned als DPO’, georganiseerd door het Data Protection Institute. Naast het gedetailleerde materiaal dat experts voor ons analyseren tijdens elke ‘Stay Tuned’-sessie, is het feit dat we andere DPO’s kunnen ontmoeten en met hen kunnen praten een echte bonus. 

The post DPO in the spotlight: Céline Nactergal appeared first on Data Protection Institute.

]]>
DPO’s op bezoek bij de GBA: een kort verslag https://www.dp-institute.eu/nl/dpos_op_bezoek_bij_de_gba_een_kort_verslag/ Fri, 09 Feb 2024 13:24:03 +0000 https://www.dp-institute.eu/?p=14199 2024 is begonnen met een sterke focus op de rol en positie van de Data Protection Officer (DPO) in organisaties, evenals de relatie tussen de DPO en de Gegevensbeschermingsautoriteit (GBA). Dit komt tot uiting in recente initiatieven en evenementen, waaronder de publicatie van het rapport over de DPO-enquêtes in de verschillende lidstaten door de Europees […]

The post DPO’s op bezoek bij de GBA: een kort verslag appeared first on Data Protection Institute.

]]>
2024 is begonnen met een sterke focus op de rol en positie van de Data Protection Officer (DPO) in organisaties, evenals de relatie tussen de DPO en de Gegevensbeschermingsautoriteit (GBA). Dit komt tot uiting in recente initiatieven en evenementen, waaronder de publicatie van het rapport over de DPO-enquêtes in de verschillende lidstaten door de Europees Comité voor gegevensbescherming  (EDPB) en de enquête waaraan DPI meewerkte over het DPO geluk, alsook een specifiek DPO-event georganiseerd door de GBA. Hieronder vind je een kort verslag van dit event.

 

De Rol en Positie van de DPO in Organisaties

De rol en positie van de DPO binnen organisaties is een kernthema, belicht door zowel de uitdagingen in de praktijk als de theoretische kaders. Peter Van den Eynde, inspecteur-generaal bij de Inspectiedienst van de GBA, benadrukte de cruciale positie van DPO’s binnen organisaties en de noodzaak voor hen om over voldoende middelen te beschikken om hun functie effectief uit te voeren. De discussie omvatte ook de verwarring rond de verschillende benamingen voor privacyrollen en de uitdagingen bij het identificeren van de juiste verwerkingsverantwoordelijke (en dito de positite van de DPO) binnen complexe organisatiestructuren. Daarnaast werd de diversiteit in de invulling van DPO-rollen besproken, variërend van de ideale ‘echte’ DPO tot minder geschikte invullingen van de rol (“Il Buono, Il Bruto en Il Cattivo”).

Nathalie Ragheno belichtte in haar praktijkvoorbeeld de uitdagingen voor bedrijven om een DPO aan te stellen die voldoet aan de strenge eisen van onafhankelijkheid, wat de complexiteit van de rol en positie van DPO’s binnen organisaties verder onderstreept.

 

De Relatie tussen de DPO en de GBA

De relatie tussen de DPO en de GBA werd verder uitgediept tijdens het event. Anne-Charlotte Recker, directrice van de Eerstelijnsdienst (ELD) bij de GBA, benadrukte het belang van bemiddeling en de rol van de DPO hierin. De discussie omvatte ook het belang van directe communicatiekanalen tussen DPO’s en de GBA.

Hielke Hijmans ging dieper in op de interactie tussen DPO’s en de Geschillenkamer, waarbij het belang van een goede samenwerking en de rol van advocaten die cliënten verdedigen in de Geschillenkamer werden besproken. Hij benadrukte ook de medewerkingsplicht van organisaties en de positie van de DPO als essentieel contactpunt met de autoriteit.

 

Veranderende Regelgeving en de Impact op de GBA en de DPO

Veranderende regelgeving vormt een constant thema binnen de discussie over de rol van de DPO en de relatie met de GBA. De recente wijzigingen in de GBA-wet, zoals besproken door Anne-Charlotte Recker, maken een betere beoordeling van klachten mogelijk. Ook Hielke Hijmans bracht de hervorming van de GBA-wet ter sprake, die op dat moment nog niet gepubliceerd was in het Belgisch Staatsblad.

 

Het DPO-event 2024 bood een uitgebreid platform voor discussie en inzicht in de uitdagingen en kansen voor DPO’s in het licht van veranderende regelgeving, de noodzaak voor een sterke positie binnen organisaties, en een effectieve relatie met de GBA. Dit benadrukt het belang van voortdurende opleiding, aanpassingsvermogen en samenwerking tussen DPO’s, bedrijven en toezichthoudende autoriteiten.

 

The post DPO’s op bezoek bij de GBA: een kort verslag appeared first on Data Protection Institute.

]]>
Verslag Privacy Cafe 6 Februari 2024 https://www.dp-institute.eu/nl/verslag-privacy-cafe-6-februari-2024/ Thu, 08 Feb 2024 15:51:00 +0000 https://www.dp-institute.eu/?p=14187 Voor het eerst sinds de coronapandemie heropenden we ons Privacy Café in Gent, na sessie in Mechelen, Antwerpen en Waterloo in de afgelopen jaren. Met een opkomst van meer dan 100 personen in de sfeervolle Sphinx Cinema boden we een gevarieerd en diepgaand programma aan, gericht op actuele ontwikkelingen en uitdagingen in data protectie, informatiebeveiliging, […]

The post Verslag Privacy Cafe 6 Februari 2024 appeared first on Data Protection Institute.

]]>

Voor het eerst sinds de coronapandemie heropenden we ons Privacy Café in Gent, na sessie in Mechelen, Antwerpen en Waterloo in de afgelopen jaren. Met een opkomst van meer dan 100 personen in de sfeervolle Sphinx Cinema boden we een gevarieerd en diepgaand programma aan, gericht op actuele ontwikkelingen en uitdagingen in data protectie, informatiebeveiliging, en privacy. 

 

Nieuwigheden: 

  • Peter Berghmans trapte af met recente updates, gevolgd door een introductie van de sponsors. 
  • Het belang van netwerken onder DPO’s, zoals uitgelicht in recent onderzoek, stond centraal, met als doel het welzijn van DPO’s te verhogen door kennis- en ervaringsuitwisseling. 
  • De lancering van een nieuw leertraject binnen Stay Tuned voor DPO’s, gericht op overheidssectoren, en verbeterde toegang tot de Stay Tuned kennisdatabase werden bekendgemaakt. 
  • De introductie van een nieuwe, goed bereikbare locatie in Brussel voor Stay Tuned evenementen. 
  • Peter introduceerde een nieuwe training: AI voor DPO’s, met focus op de praktijkgerichte uitdagingen en vragen omtrent AI vanuit het perspectief van DPO’s. 
  • Het nieuwe initiatief Stay Tuned voor Chief Information Security Officers (CISO’s) werd aangekondigd, gericht op verdieping in thema’s zoals governance en de impact van AI op security architecturen, en de implementatie van NIS2 in België. 

 

Sessie 1: Privacyrisico’s van AI Modellen 

Andres Algaba van de VUB besprak de risico’s van AI-modellen die gevoelige data uit hun trainingsets kunnen onthouden, inclusief de uitdagingen rond data ‘vergeten’ en de implementatie van differential privacy. 

 

AI-modellen, vooral die gebaseerd op “Deep Learning”, hebben het vermogen om gevoelige informatie uit hun trainingsdata te memoriseren, wat significante privacy-uitdagingen met zich meebrengt. Dit risico wordt versterkt bij generatieve modellen die in staat zijn specifieke datafragmenten, zoals tekst of afbeeldingen, te reproduceren. Het onderscheid tussen besluitvormende algoritmes, zoals die gebruikt in financiële beslissingen, en generatieve modellen die content kunnen genereren, is cruciaal. De soorten data die worden verwerkt (tabellen, tekst, beelden) en hoe modellen worden getraind met inputkenmerken om voorspellingen te doen, spelen een rol in de mate van risico op datalekken. 

 

Het verwijderen van data uit de trainingsset van een model, of het model bepaalde data laten “vergeten”, is een complexe uitdaging. Technieken zoals Differential Privacy en methodes om specifieke datapunten te “ontleren” zijn in ontwikkeling, maar vereisen nog veel onderzoek. Deze benaderingen proberen de privacy te verhogen door te zorgen dat individuele datapunten minder herkenbaar of belangrijk zijn voor het model. Dit kan echter de leerprestaties van het model verminderen. Daarnaast is het risico op privacyinbreuken hoger bij open-source modellen door de beschikbaarheid van het model zelf. 

 

Voor Data Protection Officers (DPO’s) en ontwikkelaars is het van belang strategieën zoals red-teaming, pseudonimisatie, en federated learning te overwegen om de privacyrisico’s te beperken. De EU AI Act benadrukt het belang van dataminimalisatie. Het is cruciaal voor DPO’s om betrokken te zijn bij het ontwerpproces van AI-systemen en vragen te stellen over de veiligheid en privacy van de gebruikte data, vooral in het licht van de toenemende risico’s bij generatieve AI-modellen. 

 

Sessie 2: Van DPO naar Privacyprofessor 

Griet Verhenneman deelde haar ervaringen als voormalig DPO van UZ Leuven en haar nieuwe rol als Professor Privacyrecht aan de UGent, met een focus op de uitdagingen voor DPO’s in 2024 en de aankomende hervormingen in de GBA wetgeving. 

 

Op de vraag wat ze zelf zou veranderen aan de GDPR regelgeving, antwoordde Griet Verhenneman dat het gebrek aan een duidelijke definitie van anonimiteit binnen de verordening een absoluut gebrek is, wat leidt tot juridische onzekerheid.  

 

Haar terugblik op haar rol als DPO bij UZ Leuven was overwegend positief, ondanks de uitdagingen en de constante evolutie van de regelgeving. Verhenneman benadrukte het belang van het combineren van GDPR-expertise met kennis over AI en data governance, een combinatie die vaak verwacht werd van de DPO, een rol die al omvangrijk is. 

 

Terugblikkend op haar rol als DPO beklemtoont ze dat de veelzijdigheid van een DPO een belangrijke vereiste is, inclusief juridische kennis en inzicht in informatieveiligheid. De noodzaak van specialisatie nam de afgelopen jaren toe. Ze onderstreept het belang van interdisciplinaire samenwerking binnen organisaties, waarbij een mix van achtergronden en expertise cruciaal was tijdens de periode dat ze deze rol waarnam. De interne dynamiek en het begrijpen van de organisatie waren sleutelfactoren voor succes. 

 

De steun van het management en een duidelijke rapportagelijn waren essentieel voor het functioneren van de DPO, een aspect dat in de loop der tijd evolueerde bij UZ Leuven. Verhenneman deelde anekdotes die de uitdagingen en het unieke karakter van de rol van een DPO illustreerden, van het omgaan met datalekken tijdens de feestdagen tot het vervullen van een brugfunctie tussen het management en de toezichthoudende autoriteiten. Ze benadrukte de constructieve benadering in haar stijl van werken, waarbij pragmatische oplossingen en samenwerking vooropstonden, ondanks de soms zware verwachtingen en de controlerende aspecten die de wetgeving met zich meebracht. 

 

Beide sessies werden professioneel geleid door Bart van Buitenen. 

 

Kom naar ons volgende Privacy Café op 19 Maart (Waterloo) 

 

Gedurende het jaar nodigt DPI professionals uit om hun ervaringen als Data Protection Officer te delen, waarbij ingegaan wordt op best practices, uitdagingen bij het implementeren van privacybeleid, de impact van Europese regelgeving, en een kritische kijk op actuele thema’s. Naast de presentaties is er ruimte voor een netwerkreceptie. 

 

Om uitgenodigd te worden voor de volgende edities, kan zich inschrijven op onze nieuwsbrief. Het volgende Franstalige Privacy Café vindt plaats in Waterloo op 19 maart, met bijdragen van Privanot over de gedragscode voor notarissen en een presentatie vanwege Isabelle Vereecken van de EDPB die het zal hebben over de uitdagingen waarmee DPOs worden geconfronteerd en de nationale en internationale implicaties belichten. 

 

The post Verslag Privacy Cafe 6 Februari 2024 appeared first on Data Protection Institute.

]]>
DPO in de kijker: Thomas Graditzky https://www.dp-institute.eu/nl/dpo-in-de-kijker-thomas-graditzky/ Wed, 17 Jan 2024 12:35:56 +0000 https://www.dp-institute.eu/?p=14053 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Thomas Graditzky, Data Protection Officer bij Fedasil, beantwoordt ze graag. Hoe ben je in de rol van DPO verzeild geraakt? Als juridisch adviseur voor een internationale humanitaire organisatie was ik jarenlang betrokken bij het […]

The post DPO in de kijker: Thomas Graditzky appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Thomas Graditzky, Data Protection Officer bij Fedasil, beantwoordt ze graag.

Data Protection Officer (DPO) Thomas Graditzky

Hoe ben je in de rol van DPO verzeild geraakt?

Als juridisch adviseur voor een internationale humanitaire organisatie was ik jarenlang betrokken bij het toezicht op het beheer van vaak bijzonder gevoelige gegevens van kwetsbare mensen (gewonden, gedetineerden, enz.).

Met de ontwikkeling van het wetgevingskader met betrekking tot de bescherming van persoonsgegevens, in Europa en over de hele wereld, ben ik binnen deze organisatie heel natuurlijk naar dit gebied geëvolueerd.

Ik werd plaatsvervangend DPO voor operaties in het Midden-Oosten en Azië-Pacific. Vervolgens kreeg ik de kans om als DPO aan de slag te gaan bij het Federaal Agentschap voor de Opvang van Asielzoekers (Fedasil).

 

Welk deel van het takenpakket van een DPO geniet jouw voorkeur?

Het vergroten van het bewustzijn over de kwesties en beginselen van gegevensbescherming is voor mij bijzonder belangrijk.

Het is verre van voor de hand liggend, maar het is essentieel om ervoor te zorgen dat alle collega’s zich bewust zijn van de specifieke risico’s voor het publiek dat wordt getroffen door de activiteiten van onze organisatie en weten hoe ze hen de best mogelijke bescherming kunnen bieden op het gebied van de verwerking van persoonsgegevens.

 

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?

De vaststelling en inwerkingtreding van de Algemene Verordening Gegevensbescherming en de impact die dit had op de ontwikkeling van normatieve kaders elders in de wereld, ook binnen internationale organisaties.

Zelfs toen er al regels bestonden, was het een kwestie van versterken, ontwikkelen en verduidelijken. Alle handelingen waarbij persoonsgegevens werden verwerkt, moesten door dit nieuwe perspectief worden heroverwogen.

 

Hoe zou je de rol van DPO in jouw bedrijf beschrijven?

De rol van de DPO in mijn organisatie komt overeen met die waarin de Algemene Verordening Gegevensbescherming voorziet; een discrete maar alomtegenwoordige rol, des te meer gezien de talrijke en complexe behandelingen die binnen het Agentschap en het hele opvangnetwerk worden uitgevoerd.

De specifieke uitdagingen houden met name verband met de grote kwetsbaarheid van de betrokken mensen – de verzoekers om internationale bescherming – en met de druk die wordt uitgeoefend op veel van mijn collega’s, die zich terdege bewust zijn van de problemen, om snel, efficiënt en vaak creatief te handelen binnen het kader van de huidige crisis in de sector.

 

Wat is volgens jou de grootste uitdaging voor een DPO?

Het gaat erom op koers te blijven, ondanks alle moeilijkheden die je onderweg tegenkomt, overtuigd te blijven en te blijven overtuigen, een stem te blijven horen onder iedereen die spreekt met het managementorgaan van het bedrijf of de ‘organisatie’.

 

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?

De komst van kunstmatige intelligentie is hier zeker het vermelden waard, met alle uitdagingen die dit met zich meebrengt voor de toepassing van het huidige normatieve kader op het gebied van de bescherming van persoonsgegevens, bijvoorbeeld op het gebied van verantwoordelijkheden en transparantie.

 

Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?

Contacten vinden vooral plaats in het kader van de uitoefening van rechten door betrokkenen. Soms worden er ook buiten dit kader vragen ontvangen in verband met een of andere gegevensverwerking door het Agentschap.

Het is de bedoeling om deze contacten te vergroten, bijvoorbeeld door deze mensen beter te betrekken bij het uitvoeren van impactanalyses op het gebied van gegevensbescherming of om de geschiktheid van de wijze waarop de informatie met betrekking tot gegevensverwerking wordt verstrekt beter te beoordelen.

 

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?

Wat mij betreft: duidelijk en direct zijn over de impact van het wel of niet respecteren van de regels op de betrokken personen enerzijds, maar ook op de organisatie, haar reputatie, etc.. In deze context is het belangrijk om alle bijdragen van gegevensbescherming onder de aandacht te brengen.

De situatie hangt echter waarschijnlijk sterk af van de activiteitensector en het profiel van de managementleden. Soms is het effectief om een ​​beroep te doen op de persoonlijke ervaring van laatstgenoemden, of op hun mogelijke reactie in een situatie die hen waarschijnlijk directer aangaat.

 

Wat is jouw Zwitsers zakmes als DPO?

Door te luisteren, geduld en doorzettingsvermogen op te brengen kan ik veel uitdagingen aan.

 

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?

Ik probeer mezelf zo goed mogelijk op de hoogte te houden door verschillende websites te monitoren of te raadplegen, door uitwisselingen op sociale netwerken die mijn aandacht kunnen vestigen op informatie die mij anders zou zijn ontgaan, door af en toe deel te nemen aan conferenties, workshops of seminars, en, als laatste maar niet In ieder geval door deel te nemen aan Stay Tuned als DPO-trainingen georganiseerd door het Data Protection Institute.

Deze bijzonder stimulerende training zorgt ervoor dat we globaal up-to-date blijven op het gebied van de bescherming van persoonsgegevens.

 

The post DPO in de kijker: Thomas Graditzky appeared first on Data Protection Institute.

]]>
Navigeren door nieuwe regels van gegevensbescherming in Vlaanderen en België https://www.dp-institute.eu/nl/nieuwe-regels-gegevensbescherming/ Wed, 03 Jan 2024 17:44:33 +0000 https://www.dp-institute.eu/?p=13929 Eind 2023 was Dirk De Bot te gast in de Stay Tuned Newscast van Bart van Buitenen, waar beide heren diep doken in de recente wijzigingen in regelgeving over gegevensbescherming in Vlaanderen en België. Deze aflevering markeert enkele recente ontwikkelingen in de evolutie van digitale privacy en gegevensbeheer. Het gesprek belichtte de cruciale aspecten van […]

The post Navigeren door nieuwe regels van gegevensbescherming in Vlaanderen en België appeared first on Data Protection Institute.

]]>
Eind 2023 was Dirk De Bot te gast in de Stay Tuned Newscast van Bart van Buitenen, waar beide heren diep doken in de recente wijzigingen in regelgeving over gegevensbescherming in Vlaanderen en België.

Deze aflevering markeert enkele recente ontwikkelingen in de evolutie van digitale privacy en gegevensbeheer. Het gesprek belichtte de cruciale aspecten van het Vlaamse Digitaliseringsdecreet, wijzigingen die betrekking hebben op het Informatieveiligheidscomité en de vernieuwde Gegevensbeschermingsautoriteit-wet in België (de GBA-wet), met speciale aandacht voor de uitdagingen en kansen die deze met zich meebrengen.

In dit artikel bespreken we de regelgeving vanuit het perspectief van de DPO. We gebruiken voorbeelden en inzichten uit de podcast om een duidelijk beeld te geven van de gevolgen van deze wetswijzigingen.

Het Digitaliseringsdecreet: Een Nieuw Tijdperk van Digitale Dienstverlening in Vlaanderen

Het Digitaliseringsdecreet in Vlaanderen luidt een nieuw tijdperk in voor digitale dienstverlening en gegevensbeheer door overheidsinstanties. In de newscast gaan Dirk en Bart in op onder meer de oprichting van het Vlaamse Comité voor de Mededeling van Persoonsgegevens.

Dit nieuwe comité, waarvoor op het moment van schrijven een oproep loopt voor het aanstellen van nieuwe leden, maakt het mogelijk om af te stappen van de protocolverplichting die rust op Vlaamse Instanties. Zij kunnen in de plaats daarvan terugvallen op een beraadslaging van dit nieuwe comité. In de newscast gaan we dieper in op de gevolgen daarvan voor de DPO in de praktijk.

Verder wordt ook uitgelegd waarom het decreet raakt aan het Bestuursdecreet voor wat betreft de bewaartermijnen en welke extra bescherming dit de burger moet bieden.

Je kunt het individuele fragment hier bekijken.

Versterking van Gegevensbescherming: Veranderingen in de Belgische GBA-wet

Recent kwam ook het signaal dat de Belgische GBA-wet (eindelijk) zal worden aangepast. Dit proces, dat al geruime periode loopt, wijzigt één en ander aan de interne werking van de Gegevensbeschermingsautoriteit. Volgens Dirk zijn er voor de DPO twee belangrijke aandachtspunten.

Eerst en vooral licht hij toe hoe de Eerstelijnsdienst onderzoek doet naar ontvankelijkheid van klachten. Gezien een dergelijke klacht vaak volgt na een contact met het bedrijf of de organisatie die aangeklaagd wordt, is het belangrijk om deze criteria goed te begrijpen. Een tweede belangrijke aanpassing heeft betrekking op de werking van de Geschillenkamer.

In de newscast wordt toegelicht dat ze via (meerdere) tussenbeslissing(en) kan aangeven hoe ze het dossier verder zal opvolgen. Dit geeft meer kader aan zogenaamde light beslissingen.

Je kunt het individuele fragment hier bekijken.

Wijzigingen aan wetsbepalingen die betrekking hebben op het Informatieveiligheidscomité

Tot slot haalt deze newscast een recent wetgevend initiatief aan dat meer kader geeft aan de werking van het Informatieveiligheidscomité (IVC). In de newscast leggen de experts uit dat deze wetswijziging het statuut van de Beraadslagingen van het IVC verduidelijkt door aan te geven dat dit bestuurlijke documenten zijn die kunnen worden aangevochten bij de Raad van State.

Bovendien voert men een politieke controle in, zodat het duidelijk is dat deze beraadslagingen onder de noodzakelijke politieke “controle” vallen.

Je kunt het individuele fragment hier bekijken.

Wil je meer informatie? Bekijk dan zeker deze Stay Tuned Newscast, een initiatief van het Data Protection Institute om DPO’s te informeren over alle nieuwigheden in hun vakgebied.

Deze en vele andere onderwerpen bespreken we verder tijdens onze kwartaalupdates, de Stay Tuned voor DPO’s.

The post Navigeren door nieuwe regels van gegevensbescherming in Vlaanderen en België appeared first on Data Protection Institute.

]]>
Toonaangevend Colloquium Over Artificiële Intelligentie, Data Bescherming en Ondernemingsrecht https://www.dp-institute.eu/nl/toonaangevend-colloquium-over-artificiele-intelligentie-data-bescherming-en-ondernemingsrecht/ Thu, 21 Dec 2023 12:24:47 +0000 https://www.dp-institute.eu/?p=13833 In een tijdperk waar technologie en recht elkaar voortdurend kruisen, is het colloquium “Op de Kruising van Artificiële Intelligentie, Data Bescherming en Ondernemingsrecht” een niet te missen evenement voor professionals. Het evenement, gepland op 2 februari 2024, biedt een diepgaande blik op de complexe interactie tussen AI, privacyregelgeving en bedrijfswetgeving.  Van 13u tot 18u kunnen […]

The post Toonaangevend Colloquium Over Artificiële Intelligentie, Data Bescherming en Ondernemingsrecht appeared first on Data Protection Institute.

]]>
In een tijdperk waar technologie en recht elkaar voortdurend kruisen, is het colloquium “Op de Kruising van Artificiële Intelligentie, Data Bescherming en Ondernemingsrecht” een niet te missen evenement voor professionals. Het evenement, gepland op 2 februari 2024, biedt een diepgaande blik op de complexe interactie tussen AI, privacyregelgeving en bedrijfswetgeving. 

Van 13u tot 18u kunnen deelnemers het evenement live bijwonen in het IMEC Auditorium in Leuven, of kiezen voor de streamingoptie. Dit biedt een flexibele deelnameoptie voor geïnteresseerden wereldwijd. 

Het programma omvat een reeks boeiende onderwerpen, waaronder het onderscheid tussen data science, machine learning, generatieve AI, en de invloed van de GDPR op deze technologieën. Belangrijke onderwerpen zoals de plicht tot bescherming van persoons- en bedrijfsdata, AI in de rechtbank, en de ontwikkeling van AI-beleid voor bedrijven zullen uitgebreid aan bod komen. 

Een indrukwekkende lijst van sprekers, waaronder

  • Max Schrems van NOYB
  • Klaas Ghesquiere, DPO bij IMEC
  • diverse experts uit de academische en juridische wereld, zullen hun inzichten delen
    • Jan De Bruyne
    • Peter Bossier
    • Thomas Van Gremberghe
    • Maarten Herbosch
    • Philippe Baeten
    • Kathleen Van Havere
    • Geneviève Vanderstichele
    • Annelien Verschaeve
    • Anne-Marie Witters

Dit evenement is speciaal relevant voor raadsheren, rechters, griffiers, advocaten, DPO’s, CTO’s, ICT-experts, accountants, en professionals uit technologisch geïnspireerde bedrijven.  

Deelname kost €150, met de mogelijkheid tot accreditatie via het Instituut voor Gerechtelijke Opleidingen voor rechters in ondernemingszaken. 

Inschrijven kan via sec.vriendenkring@norb.be of via het deelnameformulier. Dit colloquium belooft een diepgaande en verrijkende ervaring te bieden voor iedereen die betrokken is bij de snijvlakken van AI, data bescherming en ondernemingsrecht. 

Zie ook https://www.unixel.be/colloquium2024IGO.pdf 

The post Toonaangevend Colloquium Over Artificiële Intelligentie, Data Bescherming en Ondernemingsrecht appeared first on Data Protection Institute.

]]>
Verslag DPO politie Privacy Event 24 november 2023 https://www.dp-institute.eu/nl/verslag-dpo-politie-privacy-event-24-november-2023/ Thu, 21 Dec 2023 12:21:44 +0000 https://www.dp-institute.eu/?p=13774 Innovatie en nieuwe technologieën is met prio hét engagement van de lokale politie voor de periode 20224-2028. Dat staat te lezen in het nieuwe memorandum dat het resultaat is van samenwerking tussen de verschillende Lokale Politiezones in het hele land. Met deze boodschap startte op Black Friday de DPO dag voor politie. Onder de deelnemers […]

The post Verslag DPO politie Privacy Event 24 november 2023 appeared first on Data Protection Institute.

]]>
Innovatie en nieuwe technologieën is met prio hét engagement van de lokale politie voor de periode 20224-2028. Dat staat te lezen in het nieuwe memorandum dat het resultaat is van samenwerking tussen de verschillende Lokale Politiezones in het hele land. Met deze boodschap startte op Black Friday de DPO dag voor politie. Onder de deelnemers niet alleen de DPO’s van verschillende politiezones, maar ook hun verantwoordelijken, zoals de korpchefs. En met als leuke afsluiter Jochem Nooyen, die het belang van privacy heeft verwerkt in een ludieke show. 

De nood aan een digitale transformatie, gestuurd vanuit de ‘business’, is hierbij een noodzaak. Philippe Kennis, adviseur Kabinet CG, lichtte toe hoe de politie dit wil aanpakken, onder meer door een stevig uitgebouwde governance structuur die het mogelijk moet maken het politiewerk performanter te maken, de medewerkers te faciliteren door administratieve vereenvoudiging en de inzet van innovatieve technologieën. 

Meer en meer technologie in de politionele taken zorgt voor heel veel uitdagingen. Naast een degelijke ICT infrastructuur om al deze technologie aan elkaar te koppelen, moet men ook inzetten op een risico beheerssysteem. Hiervoor zijn verschillende methodologieën gangbaar, maar essentieel is en blijft het bewustzijn van iedereen die met deze technologie en data aan de slag gaat. Tijdens deze DPO dag werd ingegaan op concrete gevaren die er schuilen, van afluitstertechnieken tot het verkeerd gebruik van Artificiële Intelligentie. 

Op beleidsniveau is er zeker ook werk aan de winkel. Frank Schuermans lichtte op basis van een SWOT analyse van gegevensbeschermingstoezicht toe waar deze uitdagingen zich precies bevinden. Tussen de jaarcijfers van de afgelopen jaar door merk je meteen dat het controleorgaan steeds minder tijd kan investeren in pro-actieve acties. Dat is niet verwonderlijk, aldus Stefan. De Proft, die wijst op het onevenwicht tussen het aantal personeelsleden bij de toezichthouder (10) en deze bij de politiediensten (50.000). Bovendien, gezien de hoeveelheid (persoons)gegevens die politie moet verwerken en de uitdagingen die digitalisering met zich meebrengt, is zo’n meer pro-actieve controle noodzakelijk. Maar de hoeveelheid taken en de beperkte bezetting dwingt het orgaan tot een meer re-actieve aanpak. 

Dat de nood aan een pro-actieve aanpak van toezicht essentieel is, werd ook onderstreept door korpschef Jean-Louis Dalle (Korpschef PZ Gavers). Hij wijst op de hoeveelheid tijd en middelen wordt geïnvesteerd in technologie en innovatie. Het is dan ook zonde als tijdens zo’n project na verloop van tijd problemen aan de oppervlakte komen verbonden aan gegevensbescherming. Die mening wordt gedeeld door Christophe Bierlaire (DPO – CG-ISPO). Het vooraf en niet achteraf aftoetsen van innovatie, zowel bij de DPO als de toezichthouder, is dus essentieel. Ook duidelijke regels, bijvoorbeeld omtrent het bijhouden van lokale zwarte lijsten, blijven essentieel om kostefficiënt te werken. 

Voor wat betreft tijdsnood is er voor het COC ook goed nieuws. Door een recent arrest van het EU HvJ van 16 november 2023 zal het COC in de toekomst minder belast worden met inzageverzoeken van burgers. Tot voor het arrest is het in België zo geregeld dat een inzage in een politioneel dossier, uitgeoefend door een burger die wil nagaan welke persoonsgegevens over hem worden verwerkt, dit enkel kon via een verzoek aan het CoC. Vervolgens diende het COC na te gaan of de gegevens van die persoon correct worden verwerkt en dit aan de aanvrager rapporteren. Het arrest haalt deze werkwijze onderuit en stelt dat elke burger, net zoals in andere Europese lidstaten, zich rechtstreeks moet kunnen wenden tot de betreffende politiezone. Enkel in uitzonderlijke gevallen zal het CoC hier nog moeten in tussenkomen. Het COC wijst in dit kader wel meermaals naar de wetgever die het de afgelopen tijd heeft nagelaten om de Belgische Gegevensbeschermingswet te ‘repareren’. Onder meer deze materie zal in ieder geval in Belgisch recht moeten worden omgezet.  

Het COC benadrukt in haar uiteenzetting de belangrijke rol van de korpschef en de DPO in het systeem van toezicht en controle. Zij moeten de eerste lijn vormen in het toezicht en bewaken van privacybescherming. Hierbij reikt de toezichthouder de DPO de hand, door duidelijk steun uit te spreken aan de DPO en spreekt haar respect uit voor de vele individuele en gemotiveerde GPI leden en organisaties die zich inzetten op het gebied van gegevensbescherming. 

Tijdens deze DPO dag werden ook concrete casussen en uitdagingen besproken. Zo ging men tijdens een debat in op de rol van private firma’s (ook wel verwerkers genoemd), die worden ingeschakeld ter ondersteuning van politionele taken, zoals bij het vaststellen van verkeersovertreding aan de hand van camera’s. Kan men een politionele vaststelling uitbesteden? Wat is hun rol bij het voorleggen van een pv aan de sanctionerend ambtenaar en mag deze firma deze gegevens verrijken? Deze en andere vragen blijven voer voor discussie en geven het belang aan van overleg, het delen van inzichten en het uitwisselen van goede praktijken. De uitwisseling van informatie tussen toezichthouders, DPO’s en de organisatie is hierbij essentieel. De plannen voor een Black Friday DPO dag 2024 leggen we alvast op tafel. 

 

Meer info over de DPO Politie Certificatie Training kan je hier vinden.

The post Verslag DPO politie Privacy Event 24 november 2023 appeared first on Data Protection Institute.

]]>
Verslag eerste DPO studiedag Vlaamse Toezichtcommissie (VTC) https://www.dp-institute.eu/nl/verslag-eerste-dpo-studiedag-vlaamse-toezichtcommissie-vtc/ Thu, 21 Dec 2023 12:11:56 +0000 https://www.dp-institute.eu/?p=13779 Het leven van de DPO ondersteunen, dat was de onderliggende intentie van de eerste DPO studiedag die de Vlaamse Toezichtcommissie (VTC) eind november organiseerde. Hoewel DPO’s en toezichthouders andere taken hebben in het kader van de Algemene Verordening Gegevensbescherming, hebben ze een gemeenschappelijk doel: de gegevensbescherming vrijwaren van burgers. Bijna vijf jaar na de oprichting […]

The post Verslag eerste DPO studiedag Vlaamse Toezichtcommissie (VTC) appeared first on Data Protection Institute.

]]>
Het leven van de DPO ondersteunen, dat was de onderliggende intentie van de eerste DPO studiedag die de Vlaamse Toezichtcommissie (VTC) eind november organiseerde. Hoewel DPO’s en toezichthouders andere taken hebben in het kader van de Algemene Verordening Gegevensbescherming, hebben ze een gemeenschappelijk doel: de gegevensbescherming vrijwaren van burgers. Bijna vijf jaar na de oprichting van de Vlaamse Toezichtcommissie, was het daarom hoog tijd voor kennisdeling en overleg. 

Een centraal thema dat onder de aandacht kwam, was de vraag onder welke voorwaarden overheidsinstanties persoonsgegevens van burgers mogen verwerken. Het was te verwachten dat dit onderwerp besproken zou worden, gezien de belangrijke adviserende rol van de VTC in het kader van nieuwe Vlaamse wetgeving over persoonsgegevens. De VTC beoordeelt of dergelijke wetgeving voldoende bescherming biedt voor de gegevens die verwerkt worden. Met deze advisering helpt de VTC burgers te beschermen tegen een overheid die te veel op ‘Big Brother’ lijkt. Ook de DPO wordt met deze regelgevende kaders geconfronteerd, omdat ze geconfronteerd worden met de effectieve verwerkingen die in de regelgeving zijn opgenomen. Door de lezing van Prof. em. Dr Franky Schram kregen de aanwezigen een beter begrip van ’taken van algemeen belang’ en de relatie met een verwerking die gebaseerd is op een wettelijke taak.  

Een thema dat zeker niet mocht ontbreken op deze studiedag is de centrale vraag of het ‘ok’ is dat een Vlaamse (overheids)instelling persoonsgegevens in een niet Europese cloud onderbrengen. Die vraag lijkt wat achterhaald, want de Vlaamse Overheid heeft in februari 2019, een maand voor de oprichting van de VTC, haar Cloudstrategie gepubliceerd. Kort door de bocht en vertaald naar de praktijk, zet ze daarbij het gebruik van Amerikaanse cloudinsfrastructuur op één. Tijdens de studiedag zet de VTC hierbij wel enkele belangrijke uitroeptekens. Een eerste belangrijk aandachtspunt zijn de technische en organisatorische maatregelen die de leverancier van zo’n omgeving voorziet. Het is algemeen bekend dat cloud-omgeving zeer goed uitgerust zijn met de meest moderne veiligheidstechnieken. Echter, het is nog steeds gangbaar om voor deze veiligheidsmaatregelen extra kosten te rekenen. VTC ziet maar al te vaak dat deze ‘veiligheidsopties’ worden ontzien bij de aanschaf van een cloudomgeving. Maar er zijn nog andere bezorgdheden. Denk maar aan de afhankelijkheid van de overheid ten aanzien van, in praktijk, zelfs geen hand vol bedrijven (Microsoft, Google, Amazon). Deze afhankelijkheid, ook wel ‘vendor lock in’ genoemd, kan betekenen dat de afhankelijkheid tussen klant en leverancier zo groot wordt dat het onmogelijk is om de diensten later onder te brengen bij een andere leverancier. Een huwelijk voor het leven dus. Dat kan bijvoorbeeld problematisch worden wanneer de overheid omwille van geo-politieke reden niet meer wenst gebruik te maken van niet Europese aanbieders, om maar één probleem te noemen. 

De mistery guest van de dag, Max Schrems, ging dieper in op de problematiek. Tijdens zijn sessie ging de privacy activist dieper in op de cloud problematiek door onder meer in te zoomen op de Amerikaanse regelgeving en praktijken inzake mass surveilance. Dat is een praktijk waarbij de Amerikaanse overheid (niet Amerikaanse) burgers afluistert, bijvoorbeeld omwille van nationale veiligheid. Volgens zijn betoog is de keuze van een overheid om gegevens van burgers in handen te geven van een Amerikaans bedrijf, automatisch een keuze om haar burgers bloot te stellen aan dit soort risico’s. Technieken die overheden gebruiken om dit gevaar te bestrijden, indien beperkt tot risicoanalyses op papier (de zogenaamde Transfer Impact Assessments) hebben helemaal geen effect en zijn volgens hem verloren moeite. Enkel diepgaande technische maatregelen kunnen een effectieve bijdrage leveren om dit risico te beperken. Of om het met de woorden van Bert Gabriëls te zeggen (die met een ludieke tussenkomst voor een vrolijke noot zorgde): cloud betekent ‘wolk’ en wolken lekken altijd. 

Tijdens de namiddagsessies waren de DPO’s aan het woord. Via workshops werden goede praktijken uitgewisseld en gaf men aanbevelingen, ook aan de VTC.  Prof. Marc Neyssen (lid VTC) deed ter voorbereiding van zijn workshop een grondige studie van alle inbreuken die bij de VTC werden gemeld. Hij beklemtoonde onder meer dat er verdere vertalingen nodig zijn van wat nu wel en niet moet worden gemeld bij een inbreuk. Bovendien zou er bij de overheid veel meer de externe communicatie moeten worden gevoerd dat de overheid nooit hackers die losgeld eisen zal betalen. Hij refereerde in zijn workshop ook naar de relatie met de leveranciers en de vragenlijst die de VTC hierover plant te versturen naar de besturen. 

Hilde Nys, DPO van onder meer de stad Mechelen, had tijdens haar workshop een Bingo! spel klaargelegd en wisselde met de aanwezigen ervaringen uit over de job als DPO. David Matthys van Hulpverleningszone Meetjesland / V-ICT-OR belichtte  de meer technische taken. Hij beklemtoonde het belang van betrokkenheid van de ganse organisatie bij cyberveiligheid. Koen Hostyn (DPO AHOVOKS / Vlaams Datanutsbedrijf) tot slot ging in op de praktijk van Gegevensbeschermingseffectbeoordelingen. Zijn besluit is mooi samengevat in een LinkedIn post die je hier kan nalezen. 

Een rijk gevulde en succesvolle ‘VTC meets DPO’ werd afgesloten met een leuke babbel op een aansluitende receptie. Het was in ieder geval een ideale gelegenheid om toezichthouders en DPO’s dichter bij elkaar te brengen. 

 

The post Verslag eerste DPO studiedag Vlaamse Toezichtcommissie (VTC) appeared first on Data Protection Institute.

]]>
AI Act Bevordert Betrouwbare AI Systemen in Europa https://www.dp-institute.eu/nl/ai-act-bevordert-betrouwbare-ai-systemen-in-europa/ Tue, 19 Dec 2023 13:24:45 +0000 https://www.dp-institute.eu/?p=13792 Het is een traditie dat baanbrekend regelgevend werk in Europa gepaard gaat met nachtelijke onderhandelingen. In de nacht van 8 op 9 december heeft Europa met het afronden van de AI Act, belangrijke richtlijnen vastgesteld voor de toekomst van AI. Deze wetgeving, die in de stille uren tot stand is gekomen, bevat cruciale bepalingen voor […]

The post AI Act Bevordert Betrouwbare AI Systemen in Europa appeared first on Data Protection Institute.

]]>
Het is een traditie dat baanbrekend regelgevend werk in Europa gepaard gaat met nachtelijke onderhandelingen. In de nacht van 8 op 9 december heeft Europa met het afronden van de AI Act, belangrijke richtlijnen vastgesteld voor de toekomst van AI. Deze wetgeving, die in de stille uren tot stand is gekomen, bevat cruciale bepalingen voor de ontwikkeling en het gebruik van AI-systemen. Hieronder vallen enkele belangrijke punten: 

 

Transparantie van AI-Systemen 

 De AI Act verplicht systemen zoals ChatGPT om transparant te zijn over hun werking en trainingsmethoden. Dit betekent dat ontwikkelaars en gebruikers een duidelijk inzicht moeten hebben in hoe deze modellen functioneren en getraind worden. 

 

Regulering van Risicovolle AI 

 Er komen extra regels voor AI-systemen die potentieel een grote negatieve impact kunnen hebben op mensen en de maatschappij, zoals systemen die credit scores ondersteunen. Deze regels omvatten aspecten van risico- en incidentbeheer. 

 

Beperkingen op Biometrische Identificatie 

 De wet stelt strenge limieten aan het gebruik van AI-systemen die mensen kunnen identificeren op basis van biometrie, zoals real-time gezichtsherkenning in openbare ruimten. 

 

Verbod op Beoordelende of Beïnvloedende AI 

 Er is een verbod op AI die gericht is op het beoordelen of beïnvloeden van burgers, zoals het systeem Sesame Credit van Alibaba. 

 

Rechten voor Consumenten 

Consumenten krijgen het recht om klachten in te dienen en betekenisvolle uitleg te ontvangen over de besluitvorming van AI-systemen. 

 

Toezicht en Boetes 

De act voorziet in toezicht op nationaal niveau, een EU AI Office en stelt aanzienlijke boetes tot 35 miljoen euro voor overtredingen, wat een dwingend kader creëert voor de naleving van de regels. 

 

De AI Act promoot een risicogebaseerde aanpak voor AI-systemen. Door de introductie van ‘regulators sandboxes’, wordt het mogelijk om risicovolle AI-systemen buiten laboratoriumomgevingen te testen, waarbij innovatie wordt aangemoedigd zonder deze te belemmeren. Zo krijgt de vierde industriële revolutie een stevig wettelijk kader, essentieel voor de veilige en verantwoorde integratie van AI in ons dagelijks leven. 

The post AI Act Bevordert Betrouwbare AI Systemen in Europa appeared first on Data Protection Institute.

]]>
DPO in de kijker: Piet Diependaele https://www.dp-institute.eu/nl/dpo-in-de-kijker-piet-diependaele/ Mon, 04 Dec 2023 12:29:20 +0000 https://www.dp-institute.eu/?p=13737 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Piet Diependaele, DPO bij AXA beantwoordt ze graag. Hoe ben je in de rol van DPO verzeild geraakt? In 2013 was er de opportuniteit om binnen AXA Belgium de rol van DPO op te […]

The post DPO in de kijker: Piet Diependaele appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.

Piet Diependaele, DPO bij AXA beantwoordt ze graag.

Hoe ben je in de rol van DPO verzeild geraakt?

In 2013 was er de opportuniteit om binnen AXA Belgium de rol van DPO op te nemen. Mijn studies aan de Rechtsfaculteit in Gent en verschillende verantwoordelijkheden binnen IT gaande van artificiële intelligentie, over marketing systemen, architectuur, IT strategie, IT processen en quality assurance, gaven mij een solide basis om de vele uitdagingen gelinkt aan de GDPR op te nemen. Ik heb dan ook geen seconde getwijfeld om mij hiervoor te engageren.

Welk deel van het takenpakket van een DPO geniet jouw voorkeur?

De variëteit in het takenpakket, de continu wijzigende context, het alomtegenwoordig zijn van persoonsgegevens (en dus GDPR) in onze business, en het belang dat AXA hecht aan het transparant en correct omspringen met de klantgegevens, maakt het tot een motiverende job/missie.

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?

De GDPR op zich. Het feit dat Europa het belang van het beschermen van de persoonsgegevens heeft (h)erkend, en daarvoor de nodige stappen heeft gezet om te komen tot een afdwingbare set van regels die elk van ons toelaat controle te behouden over onze gegevens.

Hoe zou je de rol van DPO in jouw bedrijf beschrijven?

Als DPO vertegenwoordig je binnen je bedrijf elke persoon van wie je bedrijf data verwerkt. Je behartigt hun belangen voor wat betreft de verwerking van hun gegevens.

Wat is volgens jou de grootste uitdaging voor een DPO?

Grote organisaties hebben als voornaamste uitdaging het creëren en onderhouden van een gedocumenteerd begrip van wat ze doen met (persoons)gegevens. M.i. is de grootste uitdaging voor een DPO ervoor te zorgen dat het senior management dit begrijpt en hier werk van maakt. De GDPR maturiteit die een organisatie kan bereiken wordt bepaald door de kwaliteit van dit ‘gedocumenteerd begrip’.

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?

Lang geleden was er het internet en de daaruit volgende massieve digitalisering, dus veel meer persoonsgegevens en bijgevolg meer risico’s op misbruik. Momenteel is er de generatieve AI die het mogelijk maakt om massaal fictieve gegevens (in allerlei vormen) te genereren. Daardoor wordt het moeilijk om waarheidsgetrouwe en valse gegevens van elkaar te onderscheiden, en wordt het beschermen van persoonsgegevens een uitdaging.

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?

Bedrijven dienen de GDPR te omarmen als de hoeksteen van een vertrouwensrelatie met hun klanten. Dit vertrouwen is essentieel voor het succes van het bedrijf. Indien het management de GDPR enkel ziet als een wettelijke verplichting komt het niet goed … Mocht dat inzicht ontbreken bij het management, dan moet je daarop werken.

Wat is jouw Zwitsers zakmes als DPO?

Een goede band/relatie/samenwerking met alle departementen is een noodzaak. Zij dienen zich verantwoordelijk te voelen. De rol van de DPO is om hen te ondersteunen, te enthousiasmeren en te coachen. Een mix van juridische en IT ervaring komt hierbij zeker van pas.

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?

Altijd goed om beroep te doen op meerdere kanalen. Het regelmatig volgen van seminaries, trainingen is een noodzaak. Organisaties zoals het DP Institute kunnen hierbij zeker helpen.

 

 

The post DPO in de kijker: Piet Diependaele appeared first on Data Protection Institute.

]]>
Review DPIA van Het Boek van Sinterklaas https://www.dp-institute.eu/nl/review-dpia-boek-van-sinterklaas/ Thu, 30 Nov 2023 10:22:09 +0000 https://www.dp-institute.eu/?p=13711 Het is niet eenvoudig om Data Protection Office (DPO) van de Sint te zijn: ieder jaar rond deze tijd zijn er weer bijdehante posts over de GDPR compliance van Het Boek van Sinterklaas. Als DPO zijnde wil ik dit nu eindelijk eens voor zijn. Het betreft hier uiteraard een verwerking die reeds lange tijd voor […]

The post Review DPIA van Het Boek van Sinterklaas appeared first on Data Protection Institute.

]]>
Het is niet eenvoudig om Data Protection Office (DPO) van de Sint te zijn: ieder jaar rond deze tijd zijn er weer bijdehante posts over de GDPR compliance van Het Boek van Sinterklaas.

Als DPO zijnde wil ik dit nu eindelijk eens voor zijn. Het betreft hier uiteraard een verwerking die reeds lange tijd voor de GDPR werd ingevoerd maar, de adviezen van de EDPB indachtig, dit neemt niet weg dat het de hoogste tijd was om een DPIA uit te voeren op het Boek van Sinterklaas (hierna: Het Boek). Tenslotte is de GDPR ruim vijf jaar van kracht dit jaar.

De Data Protection Impact Assessment (DPIA) zelf is uitgevoerd door Privacy Piet binnen het compliance team van de Sint. Bij het beoordelen van deze DPIA baseren we ons daarnaast op informatie van “Coole Piet Diego” , die een liederlijke uiteenzetting deed over Het Boek, en het onderzoek uitgevoerd door Bart Peeters waarbij hij toegang heeft gekregen tot Het Boek van de Sint.

De volledige DPIA is om vertrouwelijkheidsredenen niet beschikbaar. Maar hieronder kun je wel de review vinden uitgevoerd door Privacy Piet van de DPIA.

  1. Toepassingsgebied en noodzaak DPIA

Privacy Piet heeft terecht vastgesteld dat de GDPR van toepassing is, en dat een DPIA noodzakelijk is. Alle betrokkenen zijn EU ingezetenen wiens gegevens opgenomen zijn in een gestructureerd bestand. Ook aan de criteria voor de uitvoering van een DPIA is ruimschoots voldaan: het betreft hier de verwerking van enorme hoeveelheden gegevens van een kwetsbare doelgroep namelijk kinderen, waarbij er sprake is van systematisch en uitgebreide beoordeling van persoonlijke kenmerken met significante gevolgen voor de betrokkene.

  1. Noodzaak verwerking

Uit de DPIA blijkt de noodzaak van Het Boek een uitgemaakte zaak voor de verwerkingsverantwoordelijke (de Sint), “hoe kan ik anders weten waar ik welke cadeau’s moet gaan bezorgen?”. Hierbij verwijst de Sint echter naar de uitkomst van de verwerking en vastlegging in Het Boek. Een klassieke fout waarbij men niet over de noodzaak van het oorspronkelijk registreren nadenkt maar vooral naar de uitkomst van de registratie. Bij navraag verwijst de Sint naar de noodzaak om aan jonge kinderen het belang van discpline bij te brengen, iets waar de Sint in samenspraak met ouders een grote rol in speelt.

Het is niet aan de DPO om de effectiviteit van dit instrument (“de Sint”) te beoordelen. Gelet op de langdurige traditie, de medewerking van de ouders en de redelijke verwachtingen van de betrokkenen (zie hoofdstuk “mening betrokkenen”) is de noodzaak voldoende onderbouwd.

  1. Grondslag verwerking

In de DPIA worden de verschillende wettelijke grondslagen uit art. 6 overlopen. De DPIA heeft niet overwogen of de gegevens mogelijk bijzondere categorieën zijn uit art. 9 of 10. De “goed” of “fout” indicatie kan in het bijzonder wijzen op strafrechtelijke gegevens. Naar aanleiding van een gesprek met de Sint is besloten dat de goed/stout beoordeling aanzienlijk breder is dan louter de context van het strafrecht.

We besluiten dat er weliswaar sprake is van gevoelige gegevens (betreffende kinderen) maar die vallen niet onder de specifieke context van artikels 9 of 10.

De DPIA concludeert dat gerechtvaardigd belang de enige mogelijke grondslag biedt, in deze specifiek in de context van de belangen van derden (ouders) en de kinderen zelf. De impliciete toestemming die afgeleid kan worden uit het handelen van de ouders (meezingen met liedjes, schoentje laten zetten, etc.) biedt onvoldoende rechtszekerheid en is niet voldoende onderbouwd in functie van het verantwoordingsbeginsel. Daarnaast wordt de Sint traditioneel weliswaar erkend als een algemeen belang met grote maatschappelijke relevantie, maar de huidige werkwijze rond Het Boek is niet te herleiden tot welomgeschreven en toegekende wettelijke taken. Mogelijk heeft de wetgever hier nagelaten een gepaste wet te voorzien.

Voor gerechtvaardigd belang ontbreekt een gepaste belangenafweging (hierna verder benoemd met de Engelse term LIA of legitimate interest assessment), in dit kader specifiek relevant omdat artikel 6.1.f specifiek melding maakt van de gegevens van kinderen. Impliciet zijn de verschillende onderdelen van een LIA echter ook onderdeel van een DPIA (zie hoofdstukken rond transparantie, doeleinde, proportionaliteit, gepaste maatregelen en mening van de betrokkene verder in dit document). De gepastheid van deze rechtsgrond wordt dan ook mee beoordeeld in het afsluitende advies van de DPO bij deze DPIA.

  1. Behoorlijkheid, transparantie

De DPO kan zich vinden in de conclusie van de DPIA. Kinderen zijn goed op de hoogte van de doeleinden en redenen voor verwerking, en welke gegevens er over hen verwerkt worden. Via de ouders, scholen, en vele uitingen in andere media worden kinderen goed geïnformeerd. Dit is overigens een mooi voorbeeld van hoe een privacyverklaring niet noodzakelijk geschreven moet zijn om relevante informatie aan de betrokkene over te dragen, ook is de gekozen werkwijze goed gericht op de doelgroep: kinderen van die leeftijd kunnen immers niet of amper lezen.

Dit maakt het echter moeilijk om vast te stellen of de informatie uit art. 13/14 voldoende is, wat wij registeren als een mogelijk risico.

  1. Doelbinding, minimalisatie, opslagbeperking

Het doeleinde voor de verwerking is duidelijk en specifiek. De bijgehouden gegevens in Het Boek zijn de minimaal noodzakelijke gegevens (enkel naam, en informatie over goed of stoute acties). Verder wordt de informatie ieder jaar volledig gewist, wat gelet op de context een gepaste termijn lijkt.

  1. Juistheid

De juistheid van de gegevens is moeilijk te beoordelen, en de DPIA gaat hier te makkelijk overheen. De verstrekte informatie door de Sint zoals opgenomen in de DPIA is in het beste geval “vaag” te noemen. Volgens de Sint verschijnt de relevante informatie namelijk vanzelf in zijn boek omdat het boek “magisch” is. Eventuele toevoegingen door de Sint gebeuren “omdat hij weet wat kinderen doen”.

Dit betekent concreet dat de beoordeling goed/stout niet te toetsen is. We zien hier significante risico’s omdat niet vast te stellen is wat de bron van de informatie is, of er bepaalde vooringenomenheid in de data zit, en welke criteria juist worden gebruikt om te bepalen of een actie door een kind goed of stout is. Gelet op de mogelijke gevolgen voor de hoeveelheid cadeau’s of, in extreme gevallen, zelfs het volledig ontbreken van cadeau’s moet hier meer duidelijkheid rond bestaan.

  1. Rechten betrokkenen

Nog los van de rechten zelf is het proces om rechten uit te oefenen zeer handmatig maar wel goed bekend bij alle betrokkenen. Men moet namelijk een brief naar Sinterklaas sturen waarna het verzoek wordt behandeld. De Sint geeft geen letterlijke kopieën uit Het Boek, maar geeft wel een getrouwe weergave van de inhoud en de basis voor de conclusie “braaf” of “stout”. Hoe de Sint omgaat met rectificatie-, verwijder- of beperkingsverzoeken is niet bekend. Deze situatie heeft zich nog niet eerder voorgedaan en zal ad hoc bekeken worden wat opnieuw een mogelijk risico inhoudt.

Het recht op bezwaar is niet van toepassing, de Sint beroept zich op zwaarwegend belangen van het bijhouden van het boek. Een eventueel bezwaar zou ook leiden tot het niet ontvangen van cadeautjes wat een grote impact op de betrokkene zou hebben.

  1. Technische en Organisatorische maatregelen.

Dit betreft een onderdeel van de DPIA waar grote tekortkomingen zijn vastgesteld. Uit de DPIA blijkt dat het boek in beheer is bij de Sint zelf. Er is een duidelijk beleid dat enkel de Sint het boek mag raadplegen, maar dit beleid wordt op geen enkele manier afgedwongen. Onder het personeel is het beleid overigens wel goed bekend, zelfs zonder dat dit op papier staat.

Uit diverse geraadpleegde video’s die online beschikbaar zijn blijkt echter dat de Sint Het Boek regelmatig kwijt is, en dat de Sint soms toegang verschaft aan derden op simpel verzoek zonder duidelijk doeleinde. Het authenticatie- en autorisatieproces beperkt zich tot (dixit DPIA) “het boek pakken en openslaan”.

We zien hier significantie risico’s en groot risico op datalekken.

  1. Mening betrokkenen

De DPIA ontbrak het onderdeel “mening van betrokkenen”. Nochtans is dit een cruciaal onderdeel van een juiste DPIA, in het bijzonder bij een verwerking met een dergelijk grote maatschappelijke impact. Toeval wilt dat de DPO recent aanwezig was op een “voorleesmiddag” in de kleuterschool, bij uitstek de doelgroep van deze verwerking. We hebben van de gelegenheid gebruik gemaakt om zelf een (niet-representatieve) steekproef te nemen bij de doelgroep aan de hand van enkele vragen.

Bij navraag was iedere betrokkene op de hoogte van de verwerking en het doeleinde. Niemand had bezwaar tegen de verwerking, al is dit mogelijk ook gelegen in het feit dat iedere betrokkene er vanuitging dat hij/zij “braaf” was geweest. Enig doorvragen over de noodzaak en/of het mogelijk schrappen van de verwerking en de oorsprong van de data via “magie” leidde tot enorme consternatie bij zowel de betrokkenen als de aanwezige leerkracht.

We concluderen dat de verwerkingsactiviteiten aansluiten bij de redelijke verwachtingen van de betrokkene.

  1. Advies van DPO:

We zien meerdere hoge risico’s bij de deze verwerking, we denken hierbij specifiek aan het gebrek aan duidelijkheid omtrent de oorsprong van de gegevens (“magie”), objectieve criteria voor de beslissing goed/stout, en het ontbreken van fundamentele maatregelen ter bescherming van de gegevens. We wijzen er ook op dat het belangrijk zal zijn om vast te stellen op welke wijze de AI Act van toepassing zal zijn op Het Boek, in het bijzonder in hoeverre een verwerking gebaseerd op magie binnen het toepassingsgebied valt.

Gelet op de risico’s en maatschappelijke impact van deze verwerking is het ook noodzakelijk om een voorafgaande raadpleging uit te voeren door een gegevensbeschermingsautoriteit, waarbij de Spaanse AEPD de aangewezen Leidende Toezichthouder is.

De DPO beseft dat het in de tussentijd niet wenselijk is om de verwerking te onderbreken tot er meer duidelijkheid is of de risico’s zijn behandeld. De DPO doet een dringende oproep om in ieder geval zo snel mogelijk betere maatregelen ter bescherming van de gegevens te nemen in afwachting van de beoordeling door de AEPD.

Klik op de volgende links voor meer informatie over onze opleidingen DPIA/DTIA, of om mee op de hoogte blijven van recente ontwikkelingen via onze Stay Tuned formule.

— Peter “Privacy Piet” Berghmans

The post Review DPIA van Het Boek van Sinterklaas appeared first on Data Protection Institute.

]]>
De AI Act en de DPO https://www.dp-institute.eu/nl/ai-act-dpo/ Wed, 15 Nov 2023 09:20:19 +0000 https://www.dp-institute.eu/?p=13653 We doen geen schokkende vaststelling wanneer we zeggen dat het gebruik van artificiële intelligentie (AI) sinds de introductie van ChatGPT nog meer in het vizier van de Data Protection Officer (DPO) is gekomen. In de context van algoritmes en andere lerende modellen kwam we AI al vaker tegen, maar sinds ChatGPT is het onontkoombaar en […]

The post De AI Act en de DPO appeared first on Data Protection Institute.

]]>
We doen geen schokkende vaststelling wanneer we zeggen dat het gebruik van artificiële intelligentie (AI) sinds de introductie van ChatGPT nog meer in het vizier van de Data Protection Officer (DPO) is gekomen. In de context van algoritmes en andere lerende modellen kwam we AI al vaker tegen, maar sinds ChatGPT is het onontkoombaar en daarnaast ook beschikbaar voor iedere medewerker in een organisatie.

Dus de kans is groot dat jouw teams al experimenteren met het gebruik van AI binnen je onderneming.

Een vraag voor vele DPO’s is dan ook: kunnen wij ons blijven vasthouden aan de bestaande handvaten van de GDPR, of moeten we elders onze mosterd gaan halen? De GDPR-regelgeving is immers voorgesteld in 2012 toen deze technologie nog in de kinderschoenen stond.

De vrees dat de GDPR-regels al voorbij zijn gestreefd, is wellicht onterecht. Tenslotte is innovatie van alle tijden en zijn de basisprincipes van gegevensverwerking sinds 1980 niet zo heel veel veranderd. Het zijn dan ook alomvattende principes, en met een beetje mentale gymnastiek zijn ze ook goed toe te passen op de AI context.

Dat betekent bijvoorbeeld meer focus op het juistheidsbeginsel: welke data is gebruikt bij de training van het model en hoe weten we dat die juist is en vrij van vooringenomenheid? We kennen immers het principe van “garbage in, garbage out”. Aan de aanbieders van dergelijke AI-software moet dus nadrukkelijk bevraagd worden welke garanties men kan bieden in die context.

Tegelijkertijd gaat de impact van AI over meer dan louter de verwerking van persoonsgegevens. Waar de GDPR de kant van AI met persoonsgegevens beheerst, door diverse algemene verplichtingen, contracten of policies, is er nood aan een breder kader voor het reguleren en implementeren van AI in zijn algemeenheid. Europa was daar ook voor de ChatGPT hype al over aan het nadenken in de vorm van de AI Act.

De laatste loodjes wegen het zwaarst, al is de AI Act ondertussen in de finale stadia van Europese goedkeuring aangekomen. In de basis zien we veel gelijke elementen met de GDPR zoals de algemene governance-insteek en risk based approach. Zo is een belangrijke rol in de AI Act weggelegd voor de beoordeling van AI en de mogelijke risico’s. Een concept dat DPO’s al goed kennen in de vorm van de DPIA, dus het is niet vreemd dat men binnen organisaties al stiekem naar de DPO voor het opvolgen van diverse verplichtingen uit de AI Act kijkt.

Een voorbereide DPO telt voor twee, en laat de AI Act en de synergie tussen de GDPR en de AI Act precies zijn waar onze volgende Stay Tuned Sessie over gaat. Naast de gewoonlijke bespreking van nationale en internationale zaken van gegevensbeschermingsautoriteiten, gaat de workshop van deze Stay Tuned namelijk over de AI Act en meer bijzonder de uitvoering van een AI Impact Assessment.

Meer info of inschrijven? Kijk HIER

***

Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of check ons aanbod voor één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Newsletter
 

The post De AI Act en de DPO appeared first on Data Protection Institute.

]]>
DPO in de kijker: Ellen Demey https://www.dp-institute.eu/nl/dpo-in-de-kijker-ellen-demey/ Fri, 10 Nov 2023 11:58:10 +0000 https://www.dp-institute.eu/?p=13633 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Ellen Demey, Corporate Data Protection Manager bij Umicore, beantwoordt ze graag. Hoe ben je in de rol van DPO verzeild geraakt? Ik werkte als jurist bij de Vlaamse Overheid in de aanloop naar de […]

The post DPO in de kijker: Ellen Demey appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Ellen Demey, Corporate Data Protection Manager bij Umicore, beantwoordt ze graag.

Hoe ben je in de rol van DPO verzeild geraakt?
Ik werkte als jurist bij de Vlaamse Overheid in de aanloop naar de inwerkingtreding van de GDPR en was toen bezig met jeugdhulp en jeugddelinquentierecht. Binnen Vlaanderen werd toen gestart met een project om de Vlaamse regelgeving in overeenstemming te brengen met de GDPR en ik mocht, samen met een collega van het Departement WVG dit project mee opnemen voor het beleidsdomein WVG. Van het een kwam het ander en voor ik het wist, kon ik de overstap maken van de Vlaamse Overheid naar WhiteWire waar ik heel veel geleerd heb van Bart en Peter en mooie ervaringen heb kunnen opdoen binnen de zorgsector.

Welk deel van het takenpakket van een DPO geniet jouw voorkeur?
Het in gesprek gaan met mensen. Hen uitleggen waar de GDPR voor staat en samen tot een pragmatische oplossing komen, als deze mogelijk is. En merken dat ze nadien inzien dat de GDPR niet die vervelende regelgeving is waardoor niets meer mag 😊

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?
De enorme ontwikkeling aan regelgeving wereldwijd vind ik heel interessant. Hoe zorg je er voor dat de toepassing van al deze regelgevingen werkbaar blijft binnen de context van een multinational.
Maar ook hoe de cultuurverschillen altijd opnieuw naar boven komen drijven  binnen de regelgeving zelf en daarna bij de praktische toepassing ervan.

Hoe zou je de rol van DPO in jouw bedrijf beschrijven?
Als zeer uitdagend.
Ik ben zowel bezig met GDPR binnen België als met de verschillende toepasselijke regelgevingen binnen de Umicore wereld. Hierbij ben ik altijd op zoek naar hoe we kunnen leren van elkaar en waar we elkaar kunnen versterken, zodat we (de verschillende regio’s en landen) niet op onze eigen eilandjes blijven zitten.

Wat is volgens jou de grootste uitdaging voor een DPO?
Het idee doorbreken dat de GDPR iets slecht is, wat zelfs na 5 jaar nog altijd leeft bij sommigen en ervoor zorgen dat je een betrouwbare partner wordt, waarbij mensen graag aankloppen om hun idee/project/proces te bespreken.

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?
Privacy management tools staan hier met stip op nummer 1. De keuze voor de “verkeerde” tool, zorgt er voor dat je mensen kwijt raakt waar de keuze voor een tool die wel bij je organisatie past net voor een efficiëntiewinst zorgt.

Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?
Zeer minimaal. Verder dan vragen voor advies/info is dit contact nog nooit gegaan.

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?
Blijven praten en awareness proberen creëren, ook op het niveau van hoger management. En als dat niet werkt, bottom up blijven werken.

Wat is jouw Zwitsers zakmes als DPO?
Interactieve trainingen organiseren en telkens opnieuw blijven uitleggen waar de GDPR nu eigenlijk voor staat.

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?
De opleidingen bij DPI uiteraard 😉
Daarnaast volg ik ook een aantal vaste waardes op Linkedin en probeer ik de nodige webinars mee te pikken om op de hoogte te blijven van zowel theorie (nieuwe regelgeving) als praktijk (hoe ga ik om met een inspectie, GDPR en HR, data transfers, …)

 

 

The post DPO in de kijker: Ellen Demey appeared first on Data Protection Institute.

]]>
Europees verbod meta – wat moet een DPO met Meta? https://www.dp-institute.eu/nl/europees-verbod-meta/ Thu, 09 Nov 2023 08:17:35 +0000 https://www.dp-institute.eu/?p=13568 Groot nieuws! Meta, het moederbedrijf achter onder andere Facebook en Instagram, krijgt een Europees verbod opgelegd tegen het gebruik van de wettelijke grondslagen “contract” en “gerechtvaardigd belang” in de context van hun profileringsactiviteitein voor reclame-doeleinden. Met andere woorden, de Europese toezichthouders eisen dat Meta komt met een verbod  op gepersonaliseerde advertenties naar de gebruikers van […]

The post Europees verbod meta – wat moet een DPO met Meta? appeared first on Data Protection Institute.

]]>
Groot nieuws! Meta, het moederbedrijf achter onder andere Facebook en Instagram, krijgt een Europees verbod opgelegd tegen het gebruik van de wettelijke grondslagen “contract” en “gerechtvaardigd belang” in de context van hun profileringsactiviteitein voor reclame-doeleinden.

Met andere woorden, de Europese toezichthouders eisen dat Meta komt met een verbod  op gepersonaliseerde advertenties naar de gebruikers van Facebook en Instagram toe, omdat ze hiervoor een beroep moet doen op de persoonlijke gegevens van haar gebruikers.

Door gebruik te maken van Facebook en Instagram, sta ja namelijk als gebruiker (zonder dat de meeste mensen dit beseffen) vaak je persoonlijke gegevens af aan Meta. Meta op haar beurt verkoopt die gegevens aan adverteerders zodat deze gerichte advertenties kunnen sturen in naam van deze bedrijven.

De Noorse gegevensbeschermingsautoriteit Datatilsynet had die vraag neergelegd bij de EDPB, en deze is daarop ingegaan.

Meta’s Alternatief voor persoonsgerichte advertenties

Geheel verrast kan Meta niet geweest zijn. Men werkte immers al langer aan een alternatief model volgens het steeds populairdere “Pay or OK” principe.

In dat model biedt Meta je de keuze op haar platformen: òf je betaalt voor toegang, òf je geeft toestemming voor hun profileringsactiviteiten.

Dit model is overgenomen uit de mediawereld waar vooral in Duitsland en Oostenrijk het al regelmatig terugkomt. De twee belangrijkste verschillen met de bestaande “Pay or OK” modellen uit de mediawereld en de nieuwe wijze waarop Meta dit wil toepassen zijn:

  1. Anders dan in de mediawereld, hebben gebruikers van Meta de afgelopen tien jaar een aanwezigheid opgebouwd op een platform dat (tot enkele jaren terug) aankondigde altijd gratis te zullen blijven. Hoe vrij is dan deze toestemming/keuze om ineens te moeten gaan betalen om niet geprofileerd te worden of niet te betalen en wel geprofileerd te worden?
  2. Daarnaast is het bedrag dat Meta voorstelt (tussen de 10,- en 13,- euro per maand) bijna het dubbele van andere voorbeelden uit de mediawereld. Terwijl de enige tegenprestatie van Meta erin bestaat om je toegang te geven tot je eigen data en die van andere op het platform, zonder hiervoor geprofileerd te worden. In tegenstelling tot de mediawereld, waar je een journalistiek product, zoals een online krant, in de plaats krijgt.

Mijn organisatie adverteert op Meta, wat moet ik als Data Protection Officer doen?

De juridische worsteling die nu ontstaat tussen Meta, Europese autoriteiten en organisaties zoals NOYB is natuurlijk niet het strijdtoneel van de Data Protection Officer (DPO). Dat neemt niet weg dat er een aantal zaken in deze discussie toch relevant zijn voor de DPO, juist omdat enorm veel organisaties met Meta samenwerken.

We zetten ze op een rijtje:

  • Wanneer je data gaat delen met Meta (retargeting, custom audiences, Meta pixel) ben je in vele gevallen gezamenlijk verwerkingsverantwoordelijke. Dat betekent dat ook jouw organisatie verplichtingen heeft. De belangrijkste daarbij is de transparantie naar de gebruiker toe, dus neem de gepaste vermeldingen op in je privacyverklaring.
  • Geef aan interne teams die met Meta tools werken mee dat ze ook moeten opletten met targeting: de criteria die men gebruikt om mensen te selecteren voor reclame kunnen ook al als gevoelig worden aanzien.
  • In het bijzonder bijtechnologie zoals tracking pixels: zijn er bepaalde delen op de website of applicatie waar die pixel absoluut niet hoort te staan? Denk dan aan pagina’s waar via formulieren gegevens worden verstrekt, of pagina’s waarbij het registreren van het bezoek al gevoelig kan zijn. Een klassiek voorbeeld: iemand die een pagina bezoekt “hoe vertel ik mijn partner dat ik HIV positief ben?” zal dat bezoek liever niet geregistreerd zien door Meta.
  • En last but not least: stel het gebruik van de diensten van Meta in vraag: is die Meta Pixel echt noodzakelijk? Moeten we adverteren via Meta? Zijn er geen alternatieven?

Wil je ook altijd op de hoogte blijven van het laatste nieuws die een impact op jouw werk als DPO kan hebben? Schrijf je dan in op onze Stay Tuned formule, waarbij wij elk kwartaal een event organiseren op verschillende locaties met een hele dag vol met interessante topics. 

The post Europees verbod meta – wat moet een DPO met Meta? appeared first on Data Protection Institute.

]]>
Versterk uw CISO-traject: Master Security Governance and Compliance – Webinar Recording https://www.dp-institute.eu/nl/ciso-master-security-governance-and-compliance/ Fri, 27 Oct 2023 12:08:27 +0000 https://www.dp-institute.eu/?p=13513 Onze laatste webinar ging in op de belangrijkste aspecten van het bouwen van een robuust beveiligingsprogramma: Ontdek best practices voor het ontwikkelen en communiceren van beleid, processen en standaarden als basis voor uw beveiligingsframework. Leer hoe u deze elementen kunt transformeren in een dynamische informatiebeveiligingsstrategie die niet alleen uitvoerbaar en meetbaar is, maar ook is […]

The post Versterk uw CISO-traject: Master Security Governance and Compliance – Webinar Recording appeared first on Data Protection Institute.

]]>
Onze laatste webinar ging in op de belangrijkste aspecten van het bouwen van een robuust beveiligingsprogramma:

  • Ontdek best practices voor het ontwikkelen en communiceren van beleid, processen en standaarden als basis voor uw beveiligingsframework.
  • Leer hoe u deze elementen kunt transformeren in een dynamische informatiebeveiligingsstrategie die niet alleen uitvoerbaar en meetbaar is, maar ook is afgestemd op de overkoepelende bedrijfsdoelstellingen van uw organisatie.

Bovendien heeft u hierdoor de betekenis van de implementatie van een uitgebreid beveiligingsbewustzijnsprogramma en de impact ervan op het versterken van uw algehele beveiligingspositie kunnen onderzoeken.

Als je de webinar gemist hebt, kun je de herhaling hieronder bekijken.

Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of deelname aan één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Newsletter
 

The post Versterk uw CISO-traject: Master Security Governance and Compliance – Webinar Recording appeared first on Data Protection Institute.

]]>
De dubbelrol van de DPO: Toezichthouder of Adviseur? https://www.dp-institute.eu/nl/rol-dpo-toezichthouder-adviseur/ Thu, 19 Oct 2023 08:38:37 +0000 https://www.dp-institute.eu/?p=13443 De Dubbelrol van de DPO: Toezichthouder of Adviseur? Recent vond PrivCon2023 plaats en uiteraard waren wij met het Data Protection Institute (DPI) aanwezig op deze nederlandstalige privacyconferentie. Een steeds terugkerend thema was de rol van de Data Protection Officer of DPO en in het bijzonder een ogenschijnlijk verschil in interpretatie tussen Nederlandse en Belgische sprekers en deelnemers, over […]

The post De dubbelrol van de DPO: Toezichthouder of Adviseur? appeared first on Data Protection Institute.

]]>
De Dubbelrol van de DPO: Toezichthouder of Adviseur?

Recent vond PrivCon2023 plaats en uiteraard waren wij met het Data Protection Institute (DPI) aanwezig op deze nederlandstalige privacyconferentie.

Een steeds terugkerend thema was de rol van de Data Protection Officer of DPO en in het bijzonder een ogenschijnlijk verschil in interpretatie tussen Nederlandse en Belgische sprekers en deelnemers, over hoe de functie van DPO ingevuld moet worden.

1. Is de Data Protection Officer (DPO) toezichthouder of adviseur?

De DPO, ook wel de functionaris voor de gegevensbescherming genoemd, houdt klassiek toezicht over alles wat te maken heeft met de verwerking van persoonsgegevens binnen een organisatie en moet toezien op de naleving van de regels vervat in de Algemene Verordening Gegevensbescherming (AVG; ook gekend als GDPR). Het is over de invulling van het woord “toezien” dat er geen eensgezindheid bestaat tussen de twee buurlanden.

In Nederland wordt de DPO gezien als een interne toezichthouder. Die interne toezichthouder moet zo onafhankelijk mogelijk zijn. Dit betekent dat deze niet betrokken mag zijn bij operationele vraagstukken zoals de uitvoering van Data Protection Impact Assessment’s (DPIA’s), geen bewustzijnssessies geeft en slechts vanop afstand risico’s signaleert.

Eén van de Nederlandse sprekers maakte de vergelijking vanuit het bekende Three Lines of Defense model: de DPO is daarin eigenlijk een Fourth Line en kijkt van bovenaf mee.

Dit in contrast met de Belgische insteek waar de DPO zich wat meer onder de mensen begeeft. De DPO is in de eerste plaats een adviseur en voorlichter binnen het bedrijf, daarna volgt (mogelijk) toezicht. De nadruk ligt meer op het gekend zijn binnen de onderneming, bewustzijn creeëren, adviseren en zoveel mogelijk een aanspreekpunt te zijn zodat de Algemene Verordening Gegegvensbescherming  in alle lagen van de organisatie juist toegepast wordt.

2. Wat zegt de Algemene Verordening Gegevensbescherming (AVG)?

Met zulke tegenstelde opvattingen kan het haast niet anders dan dat de ene gelijk heeft, en de andere niet, toch? Tijd om de AVG er zelf bij te halen, waarbij het vooral draait om deze fraseringen uit art. 39.1.a. en b.:

De functionaris voor gegevensbescherming vervult ten minste de volgende taken:

  1. de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  2. toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

De AVG geeft, hoe kan het ook anders, de mogelijkheid voor interpretatie. “Informeren en adviseren over hun verplichtingen” kan je lezen als het beperkt adviseren t.a.v. de verplichtingen zoals ze in de wet staan, een interne toezichthoudende autoriteit zoals de Gegevensbeschermingsautoriteit (GBA – België)/ Vlaamse Toezichtscommissie (VTC – Vlaanderen)/Autoriteit Persoonsgegevens (AP- Nederland). Informeren en adviseren kan echter ook meer hands-on bekeken worden.

Hetzelfde geldt voor art 39.1.b: is de DPO nu ook (deels) zelf verantwoordelijk voor die bewustmaking en opleiding, of moet deze slechts toezien op de uitvoering ervan?

Overweging 97 spreekt dan weer over de taken van een DPO om “de verwerkingsverantwoordelijke (VWV) of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening.”. Bijstaan insinueert dat de DPO het toezicht niet zelf uitvoert, maar tegelijk is dat toezicht uitvoeren ook een vorm van bijstaan.

3. Wat zegt de European Data Protection Board (EDPB)?

Als we op zoek zijn naar duidelijkheid, kunnen we natuurlijk de richtlijnen van de EDPB, het toezichthoudend orgaan op Europees niveau, erbij nemen. Richtlijn wp243 over de DPO is weliswaar nog geschreven door de voorganger van de EDPB, de Working Party 29 (WP 29), maar werd nadien wel bekrachtigd door de EDPB. Punt 4.1 bevat nadrukkelijk verwijzingen naar het informeren en adviseren, zonder daarbij te vermelden dat het enkel om de verplichtingen zou gaan en benoemt zelfs specifiek ook “het geven van aanbevelingen”.

Ook in andere verwijzingen doorheen de richtlijn valt enige dubbelzinnigheid te bespeuren: zo moet het register van verwerkingsactiviteiten in principe door de VWV worden bijgehouden, maar kan het ook de functie van de DPO zijn om dit register bij te houden, dit dan onder toezicht van de VWV. De toelichting op de rol van de DPO bij een DPIA (Gegevensbeschermingseffectbeoordeling, Data Protection Impact Assessment) volgt hetzelfde stramien: het is de taak van de VWV en niet de DPO om een DPIA uit te voeren, maar de DPO moet er wel bij helpen. De opsomming die daarop volgt geeft de DPO de ruimte om bij ieder aspect van de DPIA betrokken te zijn, inclusief methodologie, uitbesteding en te nemen waarborgen.

4.Conclusie: het hangt er vanaf…

Kortom, welke strekking je ook genegen bent: je gaat in de beschikbare lectuur genoeg aanknopingspunten vinden om jouw strekking te onderbouwen en het is dus geen kwestie van gelijk of ongelijk. Wellicht moeten we het met gezond verstand, wat pragmatischer bekijken, termen die de WP29 zelf ook gebruikte in haar richtlijn.

Wat werkt het beste voor onze organisatie? Waar liggen de grootste risico’s? Ook zal de maturiteit van een organisatie hierin meespelen. De keuze voor een rol als louter toezichthouder, in een organisatie die daar nog lang niet aan toe is, brengt immers ook risico’s met zich mee. Omgekeerd zal een organisatie die reeds een Chief Privacy Officer heeft, met een privacyteam van 10 mensen, veel meer gebaat zijn bij een DPO die voornamelijk die rol van toezichthouder invult.

Hoe dan ook, de gemaakte keuzes moeten goed worden vastgelegd. Iedere DPO hoort een goedgekeurde functieomschrijving te hebben, die duidelijkheid verschaft over de invulling van de taken en die wanneer nodig ook kan worden voorgelegd aan toezichthouders. Dit geeft de VWV en de DPO beiden meer zekerheid en duidelijkheid.

***

Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of deelname aan één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Newsletter
 

The post De dubbelrol van de DPO: Toezichthouder of Adviseur? appeared first on Data Protection Institute.

]]>
Studiedag VTC 27/11/2023 – voorlopig programma en inschrijvingen https://www.dp-institute.eu/nl/studiedag-vtc-27-11-2023-voorlopig-programma-en-inschrijvingen/ Wed, 04 Oct 2023 12:43:12 +0000 https://www.dp-institute.eu/?p=13406 In navolging van de save the date van 4 juli 2023 stellen we hierbij het voorlopige programma voor van de studiedag van de Vlaamse Toezichtcommissie. Deze studiedag is bedoeld voor alle functionarissen van Vlaamse instanties (regionale, lokale, gesubsidieerde vzw’s, onderwijsinstellingen,…zie ) en wordt gratis aangeboden door de VTC. Ze gaat door op 27 november 2023 […]

The post Studiedag VTC 27/11/2023 – voorlopig programma en inschrijvingen appeared first on Data Protection Institute.

]]>
In navolging van de save the date van 4 juli 2023 stellen we hierbij het voorlopige programma voor van de studiedag van de Vlaamse Toezichtcommissie.

Deze studiedag is bedoeld voor alle functionarissen van Vlaamse instanties (regionale, lokale, gesubsidieerde vzw’s, onderwijsinstellingen,…zie ) en wordt gratis aangeboden door de VTC.

Ze gaat door op 27 november 2023 van 9 uur tot 18:00 uur in het Conscience-gebouw te Brussel, Koning Albert II laan 15 (nabij Brussel-Noord). U bent welkom vanaf 8.30 uur.

De dag wordt opgesplitst in een plenair gedeelte in de voormiddag en een gedeelte in werkgroepen in de namiddag waarbij de functionarissen kunnen kiezen waar ze aansluiten naargelang hun interesse.

  • 9.00 u Verwelkoming en inleiding Hans Graux, voorzitter VTC
  • 9.30 u “Algemeen belang” als rechtvaardigingsgrond Frankie Schram, effectief lid VTC
  • 10.20 u Koffiepauze
  • 10.40 u De cloudadviezen van de VTC : toelichting Hans Graux, voorzitter VTC en Erik van Zuuren, plaatsvervangend lid VTC
  • 11.40 u Intermezzo
  • 12.15 u Praktische mededelingen
  • 12.30 u Boordjeslunch
  • 13u20 – 14u20 Werkgroepen deel 1:
    – Link tussen best practices volgens de VTC en gegevenslekken in alle vormen
    – Ervaringen als DPO van een centrumstad en relatie tussen DPO en management
    – Risico-inschaling: DPIA: risico-inschaling en opvolging
    – Iinformatieveiligheid:cyberdreigingen en basisweerbaarheid
    – Marc Nyssen Effectief lid VTC
    – Hilde Nys DPO stad Mechelen
    – Koen HostynDPO AHOVOKS
    – David Matthys Hulpverleningszone Meetjesland / V-ICT-OR
  • 14.20 u – 14.40 u Koffiepauze
  • 14.40 u – 15.40 u Werkgroepen deel 2
    (Zelfde aanbod)
  • 15.40 u -16.00 u koffiepauze
  • 16.00 u – 16.40 u Plenair : verslag uit de werkgroepen
  • 16.40 u – 17.00 u Slotwoord Hans Graux, voorzitter VTC
  • 17.00 u – 18.00 u Receptie + netwerking

U kunt zich hier inschrijven voor de studiedag

U dient bij uw inschrijving dus 2 werkgroepen te kiezen.
De deadline voor inschrijven is 13 november 2023.

 

 

 

 

 

 

 

 

 

The post Studiedag VTC 27/11/2023 – voorlopig programma en inschrijvingen appeared first on Data Protection Institute.

]]>
DPO in de kijker: Hannah Maton https://www.dp-institute.eu/nl/dpo-in-de-kijker-hannah-maton/ Tue, 03 Oct 2023 10:12:38 +0000 https://www.dp-institute.eu/?p=13387 In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Hannah Maton, Adjunct DPO Stad Gent, oud-studente en huidige “Stay Tuner” bij DPI, beantwoordt ze graag. Hoe ben je in de rol van DPO verzeild geraakt? Juni vorig jaar behaalde ik mijn masterdiploma in […]

The post DPO in de kijker: Hannah Maton appeared first on Data Protection Institute.

]]>
In deze rubriek willen we een DPO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde. Hannah Maton, Adjunct DPO Stad Gent, oud-studente en huidige “Stay Tuner” bij DPI, beantwoordt ze graag.

Hoe ben je in de rol van DPO verzeild geraakt?

Juni vorig jaar behaalde ik mijn masterdiploma in de rechten. Tijdens mijn studies volgde ik al een keuzevak over gegevensbescherming en als snel was duidelijk dat ik mijn passie gevonden had en hier verder mee aan de slag wou gaan. Toen ik in september begon als adjunct-DPO bij de Stad Gent werd mij gevraagd om de vijfdaagse opleiding bij DPI te volgen en behaalde ik het certificaat van Data Protection Officer.

Welk deel van het takenpakket van een DPO geniet jouw voorkeur?

Ik ben graag bezig met de adviesvragen. Als DPO krijg je elke dag nieuwe vraagstukken en cases voorgeschoteld. Deze analyseren en oplossen maakt de job interessant. Bovendien leeft bij veel collega’s het idee dat de GDPR hun activiteiten en projecten bemoeilijkt. Ik vind het zeer waardevol om hen het belang van de GDPR bij te brengen en samen naar een oplossing te zoeken die voor iedereen werkt.

Welke gebeurtenis in het privacy landschap heeft jou tot op heden het meest getroffen/geraakt?

Ik vind ransomware aanvallen op ziekenhuizen echt onbegrijpelijk.

Hoe zou je de rol van DPO in jouw bedrijf beschrijven?

De GDPR wordt nog vaak als iets beperkend gezien, maar steeds meer collega’s vinden hun weg naar ons DPO-team. Ik probeer dan ook steeds toegankelijk te zijn, mee te denken naar oplossingen en mijn collega’s bij te brengen dat de GDPR ook zeer veel toelaat mits implementatie van de nodige waarborgen.

Wat is volgens jou de grootste uitdaging voor een DPO?

Sensibilisering over gegevensbescherming op alle niveaus. Het is geen simpele karwei om iedereen het belang van de GDPR bij te brengen en een op maat gemaakte vorming te voorzien.

Welke technologische evolutie heeft volgens jou de meeste impact op gegevensbescherming (positief/negatief)?

Het concept van de persoonlijke datakluizen, waarbij burgers zelf kunnen kiezen welke data ze delen met welke organisaties en voor welke periode, lijkt mij zeer veelbelovend.

Wat zijn jouw ervaringen in het contact tussen DPO en betrokkene/toezichthouder?

We merken dat steeds meer burgers zich beroepen op hun rechten onder de GDPR. Het contact met betrokkenen bestaat dan ook hoofdzakelijk uit het beantwoorden van mails van burgers over de uitoefening van deze rechten. Wat de toezichthouders betreft heb ik contact gehad met de Vlaamse Toezichtcommissie voor een informeel advies over het gebruik van de publieke Cloud, waarbij ze pragmatisch met ons meegedacht hebben en waardevolle aandachtspunten hebben meegegeven.

Wat is jouw gouden tip om gegevensbescherming en informatieveiligheid hoger op de agenda van het management te krijgen?

Ik denk dat we voldoende moeten uitleggen dat de bescherming van de persoonsgegevens van de burgers deelt uitmaakt van een goede dienstverlening naar de burger en het zorg dragen voor de burger. Ik kan ook niet ontkennen dat de cyberaanval bij de Stad Antwerpen geholpen heeft om het bewustzijn van het management te verhogen.

 Wat is jouw Zwitsers zakmes als DPO?

Ik probeer steeds het waarom voldoende uit te leggen: waarom kunnen bepaalde dingen niet en andere wel, waarom wordt iets beter op een andere manier aangepakt, waarom zijn bepaalde extra maatregelen noodzakelijk, enz. Het is niet altijd eenvoudig om de wetgeving te verzoenen met de vragen van de collega’s, maar ik probeer steeds met hen mee te denken en voldoende uitleg te geven.

Hoe blijf je op de hoogte van nieuwe trends in AVG-technologie en wetgeving?

De Stay Tuned sessies van het DPI zijn natuurlijk een uitstekende manier om op de hoogte te blijven van de belangrijkste uitspraken en evoluties binnen het privacylandschap en om van gedachten te wisselen met andere DPO’s. Verder luister ik graag naar de podcast van Dasprive, volg ik af en toe een webinar en bekijk ik de uitspraken en adviezen op de website van de toezichthouders

 

 

The post DPO in de kijker: Hannah Maton appeared first on Data Protection Institute.

]]>
Drie privacytrends die iedere DPO moet kennen https://www.dp-institute.eu/nl/drie-privacytrends-die-iedere-dpo-moet-kennen/ Fri, 22 Sep 2023 08:20:47 +0000 https://www.dp-institute.eu/?p=13354 Vanuit het Data Protection Institute volgen we zoveel mogelijk wat er beweegt in ons vakgebied. In deze post signaleren we drie trends die ons zijn opgevallen in het privacylandschap de afgelopen periode en hoe je er mee om moet gaan als DPO. Gezichtsherkenning Gezichtsherkenning op zich is amper een trend natuurlijk, maar wel de geleidelijke […]

The post Drie privacytrends die iedere DPO moet kennen appeared first on Data Protection Institute.

]]>
Vanuit het Data Protection Institute volgen we zoveel mogelijk wat er beweegt in ons vakgebied. In deze post signaleren we drie trends die ons zijn opgevallen in het privacylandschap de afgelopen periode en hoe je er mee om moet gaan als DPO.

Gezichtsherkenning

Gezichtsherkenning op zich is amper een trend natuurlijk, maar wel de geleidelijke verschuiving naar gezichtsherkenning die breed ingezet wordt voor allerlei consumententoepassingen. Op Europees niveau ijvert men in de AI Act nog steeds voor een verbod op de toepassing van gezichtsherkenning in de openbaare ruimte (denk politiediensten) maar voor de consument is dit geenszins de bedoeling. Of het nu gaat om inchecken voor de Eurostar, festivals of in winkels: gezichtsherkenning komt naar je toe!

Dit is niet per se slecht: de technologie heeft risico’s in zich maar ook enorme voordelen naar gebruiksgemak. Als privaycprofessional gruwel je er misschien van ergens gezichtsherkenning gebruiken, maar als een consument graag gezichtsherkenning gebruikt, is de keuze nog steeds aan hen. Daar zit ook de crux: het moet een transparante en bewuste keuze zijn.

Let steeds op dat gezichtsherkenningstoepassingen als een eerlijke keuze worden aangeboden (een alternatief zonder gezichtsherkenning en zonder nadelen) en dat gebruikers goed en vooraf geïnformeerd zijn. Zorg voor zeer strikte maatregelen om de templates van gezichten (of afgeleiden) te beveiligen tegen externe toegang, en beperk intern de toegang zoveel mogelijk

 

Artifical Intelligence

“Wat een open deur, DPI!” horen we u naar uw scherm fulmineren. AI is het buzzword in bijna iedere sector gelinkt aan de kenniseconomie. Wat dezer dagen echter vooral bedoeld wordt met AI is de subset binnen AI die “machine learning” heet en daar zit een keyword, learning. Modellen die de basis vormen van bijvoorbeeld ChatGPT leren op basis van enorme hoeveelheden data, en veel aspecten aan die data zijn dus cruciaal om de technologie een succes te laten worden.

Let op de basics als je geconfronteerd wordt met AI/machine learning:

  • Waar komt de data vandaan die het algoritme trainde? Is deze rechtmatig verwerkt? In het bijzonder wanneer het gaat om bijzondere categorieën persoonsgegevens zal men bijna altijd op toestemming moeten steunen.
  • Is de data divers genoeg, of leidt de oorsprong van de data tot bepaalde vooringenomenheid die tot minder betrouwbare resultaten leidt?
  • Hoe betrouwbaar is de uitkomst? Hoe is de kwaliteit van het algoritme getest?
  • Wordt AI gebruikt in een context met grote impact heeft op personen? Vergeet dan niet om ervoor te zorgen dat er menselijke validatie is van de uitkomsten. Dit moet verder gaan dan een medewerker die blinde goedkeuring geeft!

Ook bij het gebruik van de AI-toepassingen zijn aandachtspunten. Ga bijvoorbeeld bij het gebruik van een bestaande AI-toepassing na hoe deze omgaat met de (persoons)gegevens die als input worden gebruikt. Het hergebruik van de input data door de toepassing zelf kan risico’s (gegevenslekken) met zich meebrengen.

Insider Threat

Langzaamaan is er echter meer aandacht voor het principe van de “insider threat”, oftewel iemand intern aan de organsiatie die bewust probeert toegang te krijgen tot (persoons)gegevens van de organisatie voor eigen gewin. Recente voorbeelden komen uit de politie, ziekenhuizen, of zelfs een mondhygiënist. Een aantal aspecten om rekening mee te houden:

  • Niet alle insiders zijn bewust kwaadwillend, sommigen zijn toch nog niet voldoende op de hoogte van de regels. Blijf dus inzetten awareness, gebruik hiervoor ook voorgaande incidenten als specifieke voorbeelden (zonder daarbij bepaalde (ex-)medewerkers te viseren).
  • Wie geen toegang heeft, kan data ook niet misbruiken: toegang tot persoonsgegevens zoveel mogelijk op basis van het “need to know” principe.
  • Voorzie steeds voldoende logging, zodat incidenten opgespoord kunnen worden.
  • Voorzie een duidelijk disciplinair proces dat ook gehandhaafd wordt, dit helpt ook om een cultuuromslag te veroorzaken: de organsiatie vindt privacy écht belangrijk!

***

Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of deelname aan één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Newsletter
 

The post Drie privacytrends die iedere DPO moet kennen appeared first on Data Protection Institute.

]]>