Hoe pak ik GDPR aan?
Wellicht wordt u -net als wij- ook overrompeld door de massa’s informatie rond GDPR of AVG en bestaat de kans dat u nu nóg minder weet hoe u hiermee nu dient om te gaan.
Gaat het eigenlijk om een storm in een glas water of zijn er toch wel wat angels te vrezen ? We zijn zeker geen juristen of GDPR consultants (en al evenmin verantwoordelijk omtrent de accuraatheid van onze informatie). Toch voelen we ons niet te beroerd om de inspanningen die we hebben gedaan om een en ander correct te begrijpen en toe te passen voor onszelf, ook te delen met onze klanten.
Daarom hebben we bovenop een korte introductie ook een 8 stappen plan (dat we voor onszelf hebben toegepast) met duidelijke templates op onze website beschikbaar gemaakt. Het staat u vrij om deze richtlijnen zelf ook toe te passen. Mochten er nog vragen zijn, staan we bovendien graag ter beschikking voor verdere toelichting. Want zo leren we samen bij en een goed beheer van persoonsgegevens belangt ons uiteraard allemaal erg aan.
GDPR 8-stappen plan
TIP 1: is er voldoende bewustzijn in je bedrijf or organisatie rond GDPR
Alles start bij bewustwording van jezelf of je medewerkers. Hier vind je een eenvoudige test die je kan uitvoeren : https://www.dmsuser.com/gdpr/ida.dll?ar&sid=018273
Een handige en leesbare brochure voor je medewerkers is deze van het VBO : http://www.vbo.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf
TIP 2 : Leg een verwerkingsregister aan
Het opmaken van een soort data inventaris is een cruciale eerste stap !! Een dergelijk register geeft een overzicht van alle verwerkingen van persoonsgegevens binnen uw organisatie. Hierin dienen o.a. het doel van de verwerking, het type persoonsgegevens, de bewaartermijn, de rechtsgrond, de verwerker, … te worden vermeld.
In principe is dit register enkel verplicht vanaf 250 medewerkers, maar we raden aan om dit voor alle organisaties uit te voeren en best voor 25 mei 2018 (de startdatum van de GDPR regulering). Hierbij het schema dat de privacy commissie aanbiedt inzake de verplichting tot aanhouden register (https://www.privacycommission.be/sites/privacycommission/files/documents/Register%20NL.pdf)
Pas vooral op met het aanhouden van persoonsgegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, verwerking van genetische gegevens, biometrische gegevens …
Hieronder vindt u een voorbeeld van excel file door de Privacy Commissie wordt aangeboden:
https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten
Deze is echter vrij complex met zijn verschillende tabbladen en 50-tal kolommen (als we correct hebben geteld…)
Hieronder vindt u een voorbeeld van een (tja) eenvoudiger excel file, die ons werd aangeraden, van de firma white wire :
Tip 3: Vraag toestemming aan de betrokkenen
De verwerking van persoonsgegevens vereist in de GDPR of AVG regulering vereist een toestemming van de betrokkene (behoudens contractuele of wettelijke verplichtingen). Het versturen van een factuur kan, maar een goedbedoeld nieuwjaarskaartje aan uw klanten zou u zelfs in problemen kunnen brengen.
Onze tip is daarom om volgende acties te ondernemen :
- Ga na of u als bedrijf mailings verstuurt naar fysieke personen
- Ga na of u expliciet en ondubbelzinnig de toestemming hebt verkregen. De vroegere impliciete toestemming is hierbij onvoldoende.
- Stuur een mailing met de vraag ter bevestiging van de inschrijving van je contacten.
Tip 4: Maak werk van een Privacy Policy
Een privacy policy of privacy verklaring geeft best een overzicht van alle informatie betreffende de verwerking van persoonsgegevens. Ok, toegegeven dat klinkt niet zo bevattelijk…
Zorg er alleszins voor dat de eventuele regels niet worden ‘begraven’ in weinig bevattelijke juridische teksten. Maak ze transparant, beknopt, eenvoudig toegankelijk in duidelijke taal ! Deze verklaring plaatst u best op uw website (dit is overigens het enige formele document dat u publiek dient te plaatsen).
Wat neemt u best op in de privacy verklaring?
- Identiteit en contactgegevens van de verwerkingsverantwoordelijke (dat bent u dus in de eerste plaats en uitleggen wat u met de gegevens doet)
- Uw rol bij de verwerking van de persoonsgegevens
- Verwerking van gegevens al verwerkingsverantwoordelijke
- Verwerking van gegevens als verwerker (dus ten behoeve van de opdrachtgever)
- Cookies
- De rechten van de betrokkene
- Klachten
Op basis van een opleiding kregen we onderstaande voorbeeld als basis om zelf te verwerken.
Ok, het maken van zo een privacy verklaring is nog relatief eenvoudig. Belangrijk is echter dat u ook effectief doet wat u er in opneemt ! Communiceer deze dus zeker met uw medewerkers.
Naast een privacy policy is het eveneens nuttig een cookie policy op uw website te vermelden. Hieronder vindt u het voorbeeld dat we zelf hanteren op basis van een opleiding.
Tip 5: Controleer of u verplicht een DPO moet aanstellen
De DPO of Data Protection Officer is een functie in uw bedrijf voor een persoon die zich moet bezig houden met alles rond de GDPR. De meerderheid van de bedrijven of organisaties zal het zonder kunnen doen.
Verplicht voor :
- Overheidsbedrijven
- Verwerkers van bijzondere persoonsgegevens (info over etnische afkomst, politieke voorkeuren, gegevens rond strafrechtelijke feiten…)
- Verwerkers van gegevens die regelmatig en stelselmatig de observatie van de betrokkenen vereist (profiling)
Tip 6: Check of je bepaalde gegevens verwerkt of laat verwerken buiten de EU
Binnen de EU is er vrij verkeer van persoonsgegevens omdat door de GDPR in elke lidstaat minstens deze regels gelden. Indien bepaalde gegevens worden gestuurd buiten de EU, kan u best nagaan of hier voldoende garanties worden geboden.
Tip 7: Maak verwerkersovereenkomsten waar nodig
Een derde type document dat u dient aan te maken zijn de bewuste verwerkersovereenkomsten. Deze maakt u doorgaans op met uw leveranciers die voor u bepaalde data verwerken.
In een dergelijke overeenkomst neemt u best onderstaande op :
- Onderwerp en duur van de verwerking
- Aard en doel van de verwerking
- Soort persoonsgegevens
- Categorieën van betrokkenen
- Rechten en plichten van de verantwoordelijke
- Passend beveiligen van de gegevens
- Na afloop vernietigen of terug leveren van de gegevens aan de verantwoordelijke
- Uitvoeren van audits
- Enkel verwerking op basis van schriftelijke instructies van de verantwoordelijke
Maak de procedure voor het formaliseren van dergelijk overeenkomst zo eenvoudig mogelijk.
Een echte template maken voor een overeenkomst is relatief moeilijk. Wel vonden we bij White Wire deze template ‘checklist voor een verwerkersovereenkomst’. Een reeks vragen begeleidt je naar het opstellen van een dergelijke overeenkomst.
https://whitewire.be/wp-content/uploads/2017/02/20170411_verwerkersovereenkomst_checklist.xlsx
Puur ter info geven we je ook een template overeenkomst mee als voorbeeld :
Tip 8: Hoe ga je om met datalekken ?
Het draait allemaal rond risico beheersing. We telden in de GDPR wetgeving niet minder dan 71 keer het woord risico !!
De boodschap is om je optimaal voor te bereiden. De kans dat je ooit te maken krijgt met een datalek is immers veel groter dan dat je hiermee nooit geconfronteerd wordt. Als een datalek het gevolg is van een te lakse houding of onvoorzichtig omgaan, kan dit zelfs ook een kwalijk staartje krijgen. Zelf zijn we daarom aan de slag gegaan op zoek naar de grotere risico dragers van data lekken. Het niet upgraden van een CMS systeem onder de website is zo een gevaar. We vragen onze klanten dan ook om dit regelmatig uit te voeren.
Indien u verkiest om dit zelf niet op te volgen, kunnen we dit ook voor u doen. Recent hebben we het Sio_care programma uitgewerkt dat uw website regelmatig in het oog houdt en opvolgt.
Opgelet: het begrip datalek is ruim gedefinieerd. Het versturen van een mail naar een foutieve respondent of verliezen van een USB stick zijn al voldoende.
Gelukkig hoef je niet voor elk datalek meteen een reeks maatregelen te treffen. Enkel indien de inbreuk een hoog risico vormt voor de rechten en vrijheden van natuulrijke personen moeten onderstaande maatregelen genomen worden :
- Melding van het datalek binnen 72 uur na detectie;
- Melding aan de Privacy commissie wanneer er risico's zijn voor de betrokken natuurlijke personen;
- Melding aan de betrokkenen zelf wanneer er hoog risico is met betrekking tot hun rechten en vrijheden inzake privacy;
- Beschrijving van de aard van de inbreuk en de categorie van persoonsgegevens die werden gelekt;
- Contactgegevens van de verwerkinsgverantwoordelijke/verwerker (bv. gegevens van de DPO);
- De gevolgen of te verwachten gevolgen van het datalek;
- De genomen of voorgestelde maatregelen om nieuwe inbreuken te vermijden en/of de gevolgen van de inbreuk te beperken.