Twitter icon
Facebook icon
LinkedIn icon
Home > Blog / Nieuws > GDPR in 6 stappen.

GDPR in 6 stappen.

6 september, 2017 - 14:40 -- Desk Solutions

De laatste rechte lijn naar de vernieuwde Europese privacywetgeving is ingezet. Vanaf 25 mei 2018 zal iedere organisatie die op een geautomatiseerde manier persoonsgegevens verzamelt hieraan moeten voldoen.
Deze nieuwe regelgeving zal een impact hebben op bedrijven en organisaties. Toch is er geen reden tot paniek wanneer je je goed voorbereidt.

De privacy commissie heeft een stappenplan opgesteld die organisaties helpt om zich voor te bereiden op de nieuwe privacywetgeving. Desk Solutions vat alles voor u samen in zes stappen.
Wanneer je toch met vragen blijft zitten, kan je contact opnemen met uw ICT-professional of een advocaat gespecialiseerd in internetrecht.

 
 

  1. Wat is de GDPR

De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) zijn een verzameling van regels die de gegevens van Europese Burgers beter beschermen. Kort samengevat heeft iedereen wiens gegevens in een database verzameld zijn, recht op openheid, informatie en veiligheid. Als organisatie is het belangrijk stil te staan welke gegevens je verzamelt en waarom je deze bijhoudt. Want vanaf mei 2018 kan een Europese Burger vragen om “vergeten te worden”. Dan moet je erin slagen om alle gegevens van deze persoon te anonimiseren in je database en organisatie zonder dat het de werking ervan verstoort. 
Een andere nieuwigheid is dat organisaties uit de publieke sector en organisaties die bijzonder persoonsgegevens zoals geaardheid of politieke voorkeur verwerken of zij die bij dataverwerking regelmatig en stelselmatig observaties nodig hebben, een data protection officer moeten aanstellen.
Wanneer je deze nieuwe privacywetgeving overtreedt, kunnen er hoge boetes worden uitgeschreven die oplopen tot €20 miljoen of 4% van de totale jaaromzet. Toch is er geen reden tot paniek. De privacy commissie heeft een stappenplan opgesteld dat organisaties helpt om zich voor te bereiden op de nieuwe privacywetgeving. 
 

  1. Inlezen, inschatten, inlichten

Eerst en vooral is het noodzakelijk dat de sleutelfiguren binnen een bedrijf of organisatie kennis maken met de nieuwe regels zodat zij kunnen inschatten wat de gevolgen en uitdagingen zijn binnen hun bedrijf en hun medewerkers optimaal kunnen informeren. De eerste stap draait volledig rond inlezen, inschatten en inlichten.
Na de bewustmaking is het tijd om na te gaan welke persoonsgegevens worden bijgehouden, waar deze worden bewaard, Hoe je deze hebt bekomen en met wie ze gedeeld zijn. Dit is erg belangrijke want indien je organisatie onnauwkeurig persoonsgegevens bijhoudt en deelt, ben je verplicht iedere organisatie met wie je deze uitwisselde hierover in te lichten. Het is ook handig om alle gegevensverwerkingen die je bedrijf uitvoert te documenteren en voor iedere soort bewerking de wettelijke grondslag te bepalen. Afhankelijk van de wettelijke basis van de gegevensverwerking, kunnen de rechten van de betrokkenen variëren. Want als organisatie moet je steeds kunnen bewijzen dat je in overeenstemming met de databeschermingsprincipes handelt.
 

  1. Privacyverklaring en toegangsverzoeken

Zet je privacyverklaring op punt. In je privacyverklaring deel je mee wie er verantwoordelijk is voor de verwerking van de persoonsgegevens, hoe deze gegevens verwerkt worden, met wie ze gedeeld kunnen worden en hoe lang ze bewaard blijven. Daarnaast kan je best uit de doeken doen waarom je gegevens verzamelt en bewaart. Als kers op de taart moet je ook uitleggen hoe er een klacht kan worden ingediend bij de privacy commissie wanneer er niet akkoord wordt gegaan met de wijze waarop jouw organisatie gegevens verwerkt.  
Eigenaars van gegevens kunnen niet meer genegeerd worden. De AVG geeft Iedere persoon van wie informatie wordt verzameld het recht om gratis informatie en toegang te krijgen tot deze gegevens, correcties te laten doorvoeren, af te zien van direct marketing, geautomatiseerde besluitvorming, profilering en de overdraagbaarheid van gegevens. Als organisatie moet je zorgen dat je logistiek in staat bent om deze verzoeken binnen de afgesproken tijd in te willigen.
 
 

  1. Toestemmingen

Evalueer ook de wijze waarop er je toestemming vraagt om gegevens te verwerken. Iedere vraag tot toestemming moet vanaf 28 mei 2018 ondubbelzinnig, specifiek en geïnformeerd gebeuren en een actieve toestemming uitlokken. Het is niet meer toegestaan om via een vooraf aangevinkt vakje toestemming te vragen. Om gegevens van kinderen en jongeren te mogen verzamelen, moet er toestemming zijn verleend door een ouder of voogd. In die gevallen moet de privacyverklaring verstaanbaar voor kinderen zijn. Je organisatie moet ook bijhouden wie zijn of haar toestemming wanneer en voor welke handeling gaf.
 

  1. Datalekken

“Er zijn twee soorten bedrijven,” zei James Comey, voormalig hoofd van de FBI, ooit, “zij die gehackt zijn en zij die het nog niet weten dat ze gehackt zijn”. Iedere organisatie of bedrijf zal er ooit te maken krijgen. De AVG verplicht bedrijven om procedures te ontwikkelen om persoonlijke datalekken te detecteren, rapporteren en onderzoeken. In het licht hiervan is het interessant om de verschillende vormen van data die verzameld worden te documenteren en bekijk eens welke gegevens binnen de meldingsplicht zouden vallen, want niet alle datalekken moeten worden gemeld aan de privacy commissie.
Voor grotere organisaties en bedrijven is het interessant om een beleid en procedure te ontwikkelen om datalekken te beheren. Het is belangrijk om dit goed uit te werken, want bij het niet naleven van de meldingsplicht kunnen er geldboetes worden uitgeschreven bovenop de boete voor het lek zelf. Openbare overheden of bedrijven die stelselmatig grote brokken persoonsgegevens verwerken en observeren moeten een Data Protection Officer aanstellen, toch is het ook voor andere organisaties interessant om een verantwoordelijke aan te stellen die controleert of de databeschermingsregels worden nageleefd binnen jouw organisatie. Zo kan je als organisatie grote geldboetes vermijden indien er zich toch eens een lek voordoet. Dit kan gedaan worden door iemand uit de onderneming of een externe partij.
 

  1. Vlotte overgang

De veiligheid en bescherming van gegevens worden dus een belangrijk onderdeel in alle ondernemingen en projecten.  Neem dus zeker opnieuw alle contracten die je afsloot met verwerkers, onderaannemers en databanken door en breng waar nodig veranderingen aan.  Nieuwe projecten moeten steeds opgezet worden met de AVG in het achterhoofd en voldoen aan alle opgelegde voorwaarden rond veiligheid en openheid.
Vele bedrijven en organisaties kijken op tegen de komst van deze nieuwe wetgeving, maar wanneer je organisatie zich tijdig hierop voorbereid en het stappenplan doorloopt zal de overgang zeer vlot verlopen. Wanneer je toch met vragen blijft zitten, kan je contact opnemen met een ICT-professional of een gespecialiseerde advocaat.