U bent klant bij ons voor uw domeinnaam (of via een andere betrouwbare registrar)? Graag willen we u dan waarschuwen voor spam mails van “Domeinnaam Register” (heel vaak ondertekend door een zekere Paul Stoffels of Bart Mulder) die u er op wijzen dat er een andere partij is geïnteresseerd in de .com variant van uw domeinnaam. Deze mails pretenderen verder dat zij u eerst de kans geven om deze .com variant te registreren via hun en wel meteen voor 10 jaar.
We kunnen alleen maar aanraden om hier zeker niet op in te gaan. Deze eerder frauduleuze aanpak om domeinnamen te verlappen, kunnen we alleen maar hekelen. Uiteraard kan u steeds via ons informeren mocht u twijfels hebben omtrent bepaalde mails en kunnen we steeds elke domeinnaam van elk type extensie voor u registeren.
Wellicht wordt u -net als wij- ook overrompeld door de massa’s informatie rond GDPR of AVG en bestaat de kans dat u nu nóg minder weet hoe u hiermee nu dient om te gaan.
Gaat het eigenlijk om een storm in een glas water of zijn er toch wel wat angels te vrezen ? We zijn zeker geen juristen of GDPR consultants (en al evenmin verantwoordelijk omtrent de accuraatheid van onze informatie). Toch voelen we ons niet te beroerd om de inspanningen die we hebben gedaan om een en ander correct te begrijpen en toe te passen voor onszelf, ook te delen met onze klanten.
Daarom hebben we bovenop een korte introductie ook een 8 stappen plan (dat we voor onszelf hebben toegepast) met duidelijke templates op onze website beschikbaar gemaakt. Het staat u vrij om deze richtlijnen zelf ook toe te passen. Mochten er nog vragen zijn, staan we bovendien graag ter beschikking voor verdere toelichting. Want zo leren we samen bij en een goed beheer van persoonsgegevens belangt ons uiteraard allemaal erg aan.
Alles start bij bewustwording van jezelf of je medewerkers. Hier vind je een eenvoudige test die je kan uitvoeren : https://www.dmsuser.com/gdpr/ida.dll?ar&sid=018273
Een handige en leesbare brochure voor je medewerkers is deze van het VBO : http://www.vbo.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf
Het opmaken van een soort data inventaris is een cruciale eerste stap !! Een dergelijk register geeft een overzicht van alle verwerkingen van persoonsgegevens binnen uw organisatie. Hierin dienen o.a. het doel van de verwerking, het type persoonsgegevens, de bewaartermijn, de rechtsgrond, de verwerker, … te worden vermeld.
In principe is dit register enkel verplicht vanaf 250 medewerkers, maar we raden aan om dit voor alle organisaties uit te voeren en best voor 25 mei 2018 (de startdatum van de GDPR regulering). Hierbij het schema dat de privacy commissie aanbiedt inzake de verplichting tot aanhouden register (https://www.privacycommission.be/sites/privacycommission/files/documents/Register%20NL.pdf)
Pas vooral op met het aanhouden van persoonsgegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, verwerking van genetische gegevens, biometrische gegevens …
Hieronder vindt u een voorbeeld van excel file door de Privacy Commissie wordt aangeboden:
https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten
Deze is echter vrij complex met zijn verschillende tabbladen en 50-tal kolommen (als we correct hebben geteld…)
Hieronder vindt u een voorbeeld van een (tja) eenvoudiger excel file, die ons werd aangeraden, van de firma white wire :
De verwerking van persoonsgegevens vereist in de GDPR of AVG regulering vereist een toestemming van de betrokkene (behoudens contractuele of wettelijke verplichtingen). Het versturen van een factuur kan, maar een goedbedoeld nieuwjaarskaartje aan uw klanten zou u zelfs in problemen kunnen brengen.
Onze tip is daarom om volgende acties te ondernemen :
Een privacy policy of privacy verklaring geeft best een overzicht van alle informatie betreffende de verwerking van persoonsgegevens. Ok, toegegeven dat klinkt niet zo bevattelijk…
Zorg er alleszins voor dat de eventuele regels niet worden ‘begraven’ in weinig bevattelijke juridische teksten. Maak ze transparant, beknopt, eenvoudig toegankelijk in duidelijke taal ! Deze verklaring plaatst u best op uw website (dit is overigens het enige formele document dat u publiek dient te plaatsen).
Wat neemt u best op in de privacy verklaring?
Op basis van een opleiding kregen we onderstaande voorbeeld als basis om zelf te verwerken.
Ok, het maken van zo een privacy verklaring is nog relatief eenvoudig. Belangrijk is echter dat u ook effectief doet wat u er in opneemt ! Communiceer deze dus zeker met uw medewerkers.
Naast een privacy policy is het eveneens nuttig een cookie policy op uw website te vermelden. Hieronder vindt u het voorbeeld dat we zelf hanteren op basis van een opleiding.
De DPO of Data Protection Officer is een functie in uw bedrijf voor een persoon die zich moet bezig houden met alles rond de GDPR. De meerderheid van de bedrijven of organisaties zal het zonder kunnen doen.
Verplicht voor :
Binnen de EU is er vrij verkeer van persoonsgegevens omdat door de GDPR in elke lidstaat minstens deze regels gelden. Indien bepaalde gegevens worden gestuurd buiten de EU, kan u best nagaan of hier voldoende garanties worden geboden.
Een derde type document dat u dient aan te maken zijn de bewuste verwerkersovereenkomsten. Deze maakt u doorgaans op met uw leveranciers die voor u bepaalde data verwerken.
In een dergelijke overeenkomst neemt u best onderstaande op :
Maak de procedure voor het formaliseren van dergelijk overeenkomst zo eenvoudig mogelijk.
Een echte template maken voor een overeenkomst is relatief moeilijk. Wel vonden we bij White Wire deze template ‘checklist voor een verwerkersovereenkomst’. Een reeks vragen begeleidt je naar het opstellen van een dergelijke overeenkomst.
https://whitewire.be/wp-content/uploads/2017/02/20170411_verwerkersovereenkomst_checklist.xlsx
Puur ter info geven we je ook een template overeenkomst mee als voorbeeld :
Het draait allemaal rond risico beheersing. We telden in de GDPR wetgeving niet minder dan 71 keer het woord risico !!
De boodschap is om je optimaal voor te bereiden. De kans dat je ooit te maken krijgt met een datalek is immers veel groter dan dat je hiermee nooit geconfronteerd wordt. Als een datalek het gevolg is van een te lakse houding of onvoorzichtig omgaan, kan dit zelfs ook een kwalijk staartje krijgen. Zelf zijn we daarom aan de slag gegaan op zoek naar de grotere risico dragers van data lekken. Het niet upgraden van een CMS systeem onder de website is zo een gevaar. We vragen onze klanten dan ook om dit regelmatig uit te voeren.
Indien u verkiest om dit zelf niet op te volgen, kunnen we dit ook voor u doen. Recent hebben we het Sio_care programma uitgewerkt dat uw website regelmatig in het oog houdt en opvolgt.
Opgelet: het begrip datalek is ruim gedefinieerd. Het versturen van een mail naar een foutieve respondent of verliezen van een USB stick zijn al voldoende.
Gelukkig hoef je niet voor elk datalek meteen een reeks maatregelen te treffen. Enkel indien de inbreuk een hoog risico vormt voor de rechten en vrijheden van natuulrijke personen moeten onderstaande maatregelen genomen worden :
GDPR staat voor General Data Protection Regulation en gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie dient u vanaf 25 mei te kunnen aantonen welke gegevens van personen u bewaart, hoe u deze data gebruikt en hoe u deze beveiligt. Bent u nog niet in orde hiermee, dan mag u niet meteen wanhopen. Belangrijk is dat u nu al aantoont dat u er mee bezig bent. En daarom steken we ook graag een handje toe met deze richtlijnen.
GDPR (general data protection regulation) of AVG (algemene verordening gegevensbescherming – Nederlandse variant) betekenen hetzelfde.
De bescherming van persoonsgegevens (=alle informatie over een identificeerbaar natuurlijk persoon) - Nieuwe rechten voor burgers - Nieuwe verplichtingen voor organisaties (alle organisaties !) - Strengere naleving van de verplichtingen
De bescherming van persoonsgegevens (=alle informatie over een identificeerbaar natuurlijk persoon)
Voorbeeld : voor personeelsdata bent u als organisatie de verwerkingsverantwoordelijke en is het sociaal secretariaat de verwerker.