GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Deze verordening heeft de verouderde Europese databeschermingsrichtlijn uit 1995 vervangen omdat ze niet meer was afgestemd op de digitale technologieën van vandaag. Omdat de GDPR impact heeft op zowat iedere kmo, deel ik graag het antwoord op een aantal veel gestelde vragen.
Waarom bestaat er een wettelijk kader rond gegevensbescherming?
Er worden vandaag in het bedrijfsleven heel wat persoonsgegevens verzameld. Denk maar aan gegevens die in websiteformulieren worden ingevuld, databanken met klantgegevens, e-maillijsten, ticketingsystemen enzovoort. Om een goede bescherming van deze gegevens te verzekeren, legt Europa verplichtingen op aan bedrijven die gegevens verzamelen en verwerken, en geeft het rechten aan natuurlijke personen die hun persoonsgegevens met deze bedrijven delen. Europese burgers dienen immers de controle te kunnen behouden over hoe en aan wie hun gegevens verstrekt worden en waarvoor ze gebruikt worden. De GDPR heeft als doel om één overkoepelende wetgeving over gegevensbescherming te verstrekken die automatisch geldt in alle Europese lidstaten.
Is de GDPR ook voor mijn bedrijf van toepassing?
De General Data Protection Regulation (GDPR) is een officiële Europese wetgeving die van toepassing is op alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ook indien je een éénmanszaak of vereniging hebt dus.
Wat valt er onder persoonsgegevens?
Met persoonsgegevens wordt alle informatie bedoeld waarmee een natuurlijke persoon geïdentificeerd kan worden. Hieronder vallen onder andere namen, adressen, telefoonnummers, e-mailadressen, foto’s, klantennummers, IP-adressen, maar ook genetische en biologische gegevens.
Wat als mijn beleid niet GDPR compliant is?
Heb je je bedrijfsvoering niet afgestemd op de Europese regelgeving, en komt er een klacht of vindt er een ernstige datalek plaats? Dan riskeer je boetes en sancties die kunnen oplopen tot 20 miljoen euro of 4% van je jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. De Belgische Gegevensbeschermingsautoriteit is bevoegd om controles uit te voeren en sancties uit te delen.
Wat houdt de GDPR in?
Veel van de basisprincipes van de GDPR kennen we uit de vroegere Belgische privacywetgeving. Onderstaande pijlers zijn belangrijke aspecten die de nieuwe Europese regels kenmerken:
Transparantie
Het is de plicht van je bedrijf om personen duidelijk te informeren over welke gegevens er verzameld en verwerkt worden, en waarvoor je ze gebruikt. Dit alles moet op een begrijpelijke, transparante manier gebeuren.
Verantwoording
Het is noodzakelijk dat je kan verantwoorden voor welk vooropgesteld doel je de verwerkte persoonsgegevens nodig hebt, anders mag je ze niet langer bijhouden (purpose limitation). Ook is het belangrijk dat er een rechtsgrond of actieve toestemming is toegekend aan de verwerkingsactiviteit. Anders mag er geen verwerking plaatsvinden.
Dataportabiliteit
Europese burgers moeten persoonsgegevens die ze aan je bedrijf hebben gegeven, kunnen overdragen naar een andere dienstverlener. Bijvoorbeeld bij een verandering van telecomprovider. Deze pijler is een aanvulling op het reeds bestaande inzagerecht waarbij personen een verzoek kunnen indienen om opgeslagen informatie te bekijken. Personen hebben trouwens ook het recht op hun persoonsgegevens te laten wissen, ook indien hun data gedeeld is met derde partijen.
Data Protection by Design
Maak een Data Protection Impact Assessment (DPIA) op wanneer je een nieuwe tool laat bouwen. Nog voordat je website of webapplicatie daadwerkelijk ontwikkeld wordt, maak je een risicoanalyse op met betrekking tot de privacy en bescherming van persoonsgegevens.
Databeveiliging
het is je plicht om persoonsgegevens veilig op te slaan en te beveiligen via gepaste technische en organisatorische maatregelen. Indien er toch een datalek plaatsvindt (bijvoorbeeld via een gestolen laptop of smartphone, virus of hacking) ben je in bepaalde gevallen verplicht om dit datalek kenbaar te maken. Afhankelijk van de ernst moet dat in je logboek, aan de Gegevensbeschermingsautoriteit en/of aan de betrokkenen. Voorzie nu al een Data Disaster Plan waarin staat beschreven welke procedure je zal toepassen wanneer het fout loopt met je gegevensbescherming.
Wat moet ik ondernemen om ervoor te zorgen dat mijn bedrijf GDPR compliant is?
Er bestaat helaas geen standaard stappenplan of checklist die je kan afvinken waarbij je zeker bent dat je gegevensverwerking in overeenstemming met de GDPR plaatsvindt. Meer nog, wat voor andere ondernemingen te verantwoorden is, is dat mogelijk niet voor jou.
We delen graag het GDPR compliancy traject dat we bij Datalink hebben doorgevoerd omdat het een handige richtlijn is om zelf te volgen:
1. Training
Netwerkarchitect Danny Daniëls is een opleiding gaan volgen tot DPO en mag zich vandaag gecertificeerd Data Protection Officer noemen. Vervolgens hebben er interne GDPR-opleidingen en sensibiliseringstrainingen plaatsgevonden.
2. GDPR audit
Door middel van een doorgedreven audit zijn we een analyse gaan opmaken van de mate waarin de GDPR-principes reeds correct werden toegepast in onze kmo. In deze audit zijn we alle verwerkingen van persoonsgegevens van websitebezoekers, fysieke bezoekers, prospects, klanten, leveranciers, (freelance) partners en medewerkers gaan analyseren. Het resultaat werd een helder adviesrapport, opgesteld door onze DPO, gevolgd door een actieplan.
3. Opstellen van het dataregister
Het dataregister is een nieuwe wettelijke verplichting die de vroegere aangifteplicht bij de Privacycommissie heeft veranderd naar een documentatieplicht. Het register met de verwerkingsactiviteiten van persoonsgegevens moet je bij een eventuele controle kunnen tonen. Omdat wij bij Datalink zowel een rol als verantwoordelijke als een rol als verwerker vervullen, hebben we meerdere registers opgesteld.
4. Doelbinding
Iedere verwerking van persoonsgegevens moet met een rechtmatig doel verbonden zijn. Voor iedere verwerkingsactiviteit hebben we het doel bepaald én daarbij het principe van dataminimalisatie in het achterhoofd gehouden. Je mag immers niet méér persoonsgegevens bijhouden dan nodig voor het beoogde doel.
5. Controle van de rechtsgrond en/of toestemming
Voor iedere verwerkingsactiviteit is een rechtsgrond of actieve toestemming vereist. Toestemming van de betrokkenen moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij verwerking van persoonsgegevens van minderjarigen is bovendien de toestemming van een ouder of voogd nodig. Bij iedere verwerkingsactiviteit vulden we de rechtsgrond aan in het register.
6. Communicatie over privacy
Door ons privacybeleid en onze overeenkomsten kritisch te evalueren zijn we gaan kijken of we steeds op een beknopte, begrijpbare en duidelijke manier informeerden over de verwerkingsactiviteiten. Zo herschreven we onze privacy policy.
7. Opstellen van overeenkomsten, clausules en procedures
We hebben overeenkomsten, werkwijzen en procedures opgesteld met betrekking tot de rechten van de betrokkenen, de bescherming van de gegevens die we bij Datalink verwerken en de plichten die we als verantwoordelijke en als verwerker te vervullen hebben.
8. Evaluatie van de technische en organisatorische maatregelen
Omdat de beveiliging van de persoonsgegevens die wij verwerken als verantwoordelijke, én als verwerker voor de klant aantoonbaar moet zijn, en omdat we van security een top priority maken, werken we bij Datalink zowel met geautomatiseerde als met manuele controles van de beveiliging. We zetten alles op alles om een datalek te voorkomen en dat moet de standaard zijn.
9. Sensibilisering van het team
We blijven de medewerkers in ons bedrijf bewustmaken over de GDPR. Vandaag bieden wij zelf ook in-company GDPR workshops aan op maat.
10. Opvolgingsaudits
Door middel van periodieke opvolgingsaudits plannen we onze kritische denkoefening jaarlijks opnieuw in en blijft ook in de toekomst duidelijk in welke mate de veilige omgang met data nog steeds correct wordt toegepast. Zo blijft onze organisatie, maar ook ons team scherp!
Conclusie
Het is enorm belangrijk dat je een actueel zicht behoudt op je datastromen en data-opslaglocaties, hoe je data verwerkt en beschermd wordt. Organiseer daarom een interne GDPR audit waarbij je alle activiteiten en verwerkingsdoeleinden van persoonsgegevens gedetailleerd in kaart brengt. Deze houd je bij in een dataregister dat bij een controle kan worden opgevraagd. Het dataregister kan je samen met je IT partner opstellen.
Focus in het verzamelen en verwerken van persoonsgegevens enkel op de informatie die je écht nodig hebt. Je zal kritisch moeten onderzoeken waarom je bepaalde data hebt (doelbinding) en mag ze ook niet onnodig lang bewaren (dataminimalisatie). Wis alle overbodige data.
Check je organisatie op alle overige GDPR-vereisten, al dan niet met behulp van een Data Protection Officer (DPO). Zorg er ook voor dat al je overeenkomsten en voorwaarden GDPR compliant zijn en beroep je hiervoor op een gespecialiseerde advocaat. Je kan de volledige GDPR-wetgeving hier terugvinden.
Is jouw kmo klaar voor de GDPR regelgeving?
Plan vandaag nog je GDPR traject of je GDPR controleaudit in. Of stel gerust je vraag via ons contactformulier. Onze DPO & GDPR adviseurs staan voor je klaar.