De GDPR checkup voor uw organisatie

2018 is begonnen en de deadline van 25 mei nadert met rasse schreden. Tijd dus om de de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR) voor u gebald samen te vatten.

De GDPR wet stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt
De GDPR wet stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt

De GDPR wet vervangt de huidige wet bescherming persoonsgegevens en stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt. De wet is er voor iedereen die te maken krijgt met de verwerking van data van EU inwoners.

We lazen tal van artikels, gingen workshops volgen om u te kunnen informeren met de essentie.

GDPR, waar gaat dit nu over?

  • Persoonsgegevens en het vrije verkeer hiervan
  • Het verwerken van persoonlijke data
  • Rechtmatige verwerking van deze data
  • Verantwoordingsplicht voor uw rechtmatigheid
Bepaal uw rol naargelang de situatie
Bepaal uw rol naargelang de situatie
RECHTEN PLICHTEN
Betrokkene Verwerker/verwerkingsverantwoordelijke
  • Recht op transparante informatie
  • Recht van inzage
  • Recht op rectificatie
  • Recht op gegevensuitwisseling/ vergetelheid
  • Recht op beperking van de verwerking
  • Recht op overdraagbaarheid / dataportabiliteit
  • Recht van bezwaar
  • Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profilering
  • Rechtmatigheid, behoorlijkheid en transparantie
  • Doel-binding
  • Minimale gegevensverwerking
  • Juistheid
  • Opslag beperking
  • Integriteit en vertrouwelijkheid
  • Verantwoordingsplicht

Hoe pakt u dit nu best aan

  1. Bepaal uw rol
  2. Maak een risicoanalyse
  3. Stel een actieplan op
  4. Maak een overzicht van alle gegevens verwerkingsprocessen
  5. Implementeer de vereisten van GDPR op basis van de hierboven vermelde acties
  6. Herbekijk uw contracten/policies/interne afspraken en pas aan waar nodig
  7. Documenteer alles!

1. Bepaal uw rol

Uw rol kan wisselen naargelang de situatie. Elke rol heeft zijn eigen verantwoordelijkheden maar daarnaast is er ook sprake van een gedeelde verantwoordelijkheid. Er moet een vewerkersovereenkomst zijn tussen de verantwoordelijken.

Daarnaast moet de verwerkingsverantwoordelijke of verwerker verslag kunnen uitbrengen aan de toezichthoudende autoriteit (in ons geval de privacycommissie) én de betrokkene.

VERWERKINGSVERANTWOORDELIJKE VERWERKER
  • Neem passende technische en organisatorische maatregelen
  • Gebruik alleen verwerkers die voldoende garanties bieden
  • Melding van een inbreuk van persoonsgegevens binnen de 72 uur (na vaststelling) aan de bevoegde autoriteit (in België: privacycommissie)
  • Gegevensbescherming by design en door standaardinstellingen (default)
  • Gegevensbeschermingseffectbeoordeling
  • Neem passende technische en organisatorische maatregelen
  • Meld een inbreuk in verband met persoonsgegevens z.s.m. aan de Verwerkingsverantwoordelijke
  • Stel een bewerkersovereenkomst op met de Verwerkingsverantwoordelijke

2. Maak een risicoanalyse

Breng uw risico’s in kaart en schat de impact en waarschijnlijkheid ervan in. Een handige Tool hiervoor is de Risico Matrix

Gebruik de Risico Matrix voor uw risicoanalyse
Gebruik de Risico Matrix voor uw risicoanalyse

3. Stel een actieplan op

Op basis van de gemaakte risico analyse kan u prioriteiten gaan bepalen. Koppel ‘te ondernemen’ acties aan deze prioriteiten, bepaal wie wat gaat aanpakken en hoeveel tijd dit in beslag zal nemen.

Gevolg: u weet wat te doen, wie het moet doen, hoe het moet worden gedaan, en op welke termijn.

4. Maak een overzicht van alle gegevens verwerkingsprocessen

Maak een overzicht van alle ‘data assets’
(bv. Website, intranet, klantenlijsten, personeelsbestand, enz.)

Welke gegevens verwerkt u? Persoonsgegevens / gevoelige gegevens
(onder persoonsgegevens vallen ook het IP-adres, kenteken auto, m.a.w. alle gegevens waartoe een natuurlijk persoon kan geïdentificeerd worden). Verwerkt u gevoelige persoonsgegevens gegeven dan raden wij u absoluut aan contact op te nemen met een gespecialiseerd jurist.

Wie is betrokken in de verwerking?

  • Wie heeft toegang tot welke gegevens binnen uw organisatie?
  • Tot welke gegevens hebben uw leveranciers toegang?
  • Werk u met externe gegevensverwerkers (crm, erp,…)?

Op de website van de Privacycomissie kan je een leidraad vinden voor je gegevensverwerking.

DOCUMENTEER en visualiseer al deze gegevens!
Bekijk nadien of u extra maatregelen moet nemen en documenteer dit ook.

5. Implementeer de vereisten van GDPR

Op basis van de hierboven vermelde acties implementeert u de vereisten van GDPR voor uw rol.

  • Implementatie van de rechten van de betrokkenen
  • Breng iedereen op de hoogte
  • Betrek iedereen binnen uw organisatie en train uw personeel

6. Herbekijk uw overeenkomsten

Herbekijk al uw contracten, policies, processen, interne afspraken, afspraken met leveranciers & klanten en implementeer ook hierin de vereisten van GDPR.

7. Documenteer

Documenteer alles wat u doet en de acties die u hebt ondernomen om GDPR compliant te worden!

GDPR gaat in hoofdzaak over de bescherming van gegevens. Dit mag geen fundamentele impact hebben op uw onderneming.

Veerle Van Hecke - Combell

Concrete stappen die u moet ondernemen

  • Wees transparant in uw communicatie. Geef mee waarom u bepaalde gegevens bij gaat houden. bv. in de disclaimer op uw website.
    Het doel waarom je bepaalde gegevens verzamelt moet duidelijk zijn. Vraag niet naar de nationaliteit van een persoon als dit geen enkel doel heeft. Heeft dit wel een doel, communiceer dit dan naar de betrokkene zodat hij hiermee wel of niet akkoord kan gaan.
  • De duur voor het bewaren van de gegevens moet in overeenstemming zijn met het doel
    bv. gegevens voor facturatie dient u minimum 7 jaar bij te houden
    Wanneer de betrokkene vraagt om zijn gegevens te wissen hoeft u dit dus niet onmiddellijk te doen. U moet immers rekening houden met andere wettelijke verplichtingen, kijk deze eerst na.
  • Rectificatie: rechtzetten van een fout. Het is voldoende om een contactpersoon aan te duiden waarbij de betrokkene terecht kan.
  • De betrokkene kan en mag al zijn eigen persoonlijke gegevens opvragen. Zorg ervoor dat u dit snel en duidelijk kan voorleggen.
  • Hou er rekening mee dat persoonsgegevens niet alleen deze van uw klanten zijn maar evengoed deze van uw personeel, besteed ook daar de nodige aandacht aan
  • De review van processen is een persoonlijke oefening, gebruik hiervoor geen templates
  • Breng uw medewerkers voldoende op de hoogte

Het aantal implicaties dat de GDPR heeft op het gros van de ondernemingen wordt wat overschat. Zie het als een extra layer die de betrokkene transparantie biedt.

Bart Lieben - advocaat

Licht de betrokkene voldoende in

Denk vooral na over welke persoonsgegevens u bijhoudt, en of deze wel relevant zijn voor het voeren van uw business. Vraag toestemming aan de betrokkene voor het gebruik van deze relevante data én wees transparant in uw communicatie hierover.

U moet ten alle tijden kunnen bewijzen dat er toestemming is gegeven voor de persoonsgegevens die u heeft bewaard.

  • Dit moet een expliciete toestemming zijn: geen vooraf aangevinkt vakje of andere vorm van “niet-handelen”.
  • De gebruiker moet actief akkoord gaan.
  • Toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn om wettelijk in orde te zijn.

Stel dat er een datalek ontstaat

In dat geval moet u dit melden 72u NA de ontdekking van het lek.

Keep calm, de GDPR tekst is er vooral één voor consultants door consultants. De lobby deed hierin zijn werk.

Bart Lieben - advocaat

Lavagraphics informeert

Voor hulp in de uitwerking van de GDPR toegepast op uw organisatie verwijzen wij u door naar juristen & advocaten. Het behoort tot onze taak om u te informeren. Maar zijn als communicatiepartner niet de geschikte partij om uw bedrijf GDPR compliant te maken.

Nota: Wij opereren ook vaak als verwerker of verwerkingsverantwoordelijke van gegevens voor onze klanten en houden in dat kader alle acties hieromtrent bij onder de vorm van logs. u kan ons hieromtrent steeds contacteren voor meer informatie.

Interessante links:

Opiniestukken:

Naar overzicht
Dries Van haver
Strategic Partner

Managing/strategic partner, projectmanager, strateeg en bewaker-met-arendsoog van uw online communicatie.

Meer over dit onderwerp?

Geïnspireerd door deze post of honger naar meer? Kom gerust eens langs.

Maak een afspraak