GDPR

  • GDPR2
  • KeepCalm
  • Rollen2
  • Model gedeelde verantwoordelijkheid
  • Aanpak GDPR
  • Risk matrix
  • Overzicht

GDPR - RGDP - AVG

U kan er niet naast kijken : de Europese privacy wetgeving treedt in voege op 25 mei 2018. Hier geven we achtergrondinformatie, tips en aanbevelingen. Zo heeft u een perfect zicht op de impact van GDPR op uw KMO.

U kan bij ons terecht voor een gratis inleidende training. Klik hier voor de beschikbare data. Nadien kunnen we ook een assessment organiseren (klik hier om te boeken) en u zo verder begeleiden naar compliancy via een overzichtelijk stappenplan. Wacht niet tot de laatste dag want het beperkt zich niet tot het opnieuw opstellen van uw algemene voorwaarden en privacyverklaring, het heeft ook een impact op uw bedrijfsprocessen

Privacy wetgeving is niet nieuw. Vandaag al wil de privacywet de burger beschermen tegen misbruik van zijn persoonlijke gegevens en legt ze de rechten van de burger en de plichten van de verwerker vast. Die plichten worden echter zelden afgedwongen. Slechts in enkele sectoren (ziekenzorg bijvoorbeeld) moet het bedrijf of de organisatie een veiligheidsconsulent aanstellen en voldoen aan de ISO27001-norm.

De wetgeving die in mei 2018 in voege treedt is beter gekend als de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Ondernemingen en organisaties die persoonlijke gegevens van burgers van de Europese Unie verwerken, moeten kunnen aantonen dat ze al de mogelijke technische en organisatorische maatregelen genomen hebben om deze data te beschermen.

Korte inleiding :

 

Uitgebreid overzicht met achtergrond en hulpmiddelen :

 

1) DE BASIS

1.1) Van directieve naar wetgeving

  • 24 oktober 1995: niet dwingende Directieve 95/46/EC wordt gevolgd door een aantal EU lidstaten.
  • 25 mei 2018: de Algemene Verordening Gegevensverwerking wordt wet in elke EU lidstaat. Boetes tot 4 % van de jaarlijkse omzet of 20 miljoen euro.

1.2) Het handelt over

  • Persoonsgegevens en het vrij verkeer hiervan
  • Verwerken van persoonlijke data
  • Rechtmatige verwerking
  • Verantwoordingsplicht voor uw rechtmatigheid

1.3) Enkele definities

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon "de betrokkene"
  • Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens
  • Verwerkingsverantwoordelijke: een partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
  • Verwerker: een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt

Een partij: natuurlijk of rechtspersoon, overheidsinstantie, een dienst of ander orgaan

1.4) Rollen en relaties

Rollen en Relaties

1.5) Het gaat verder dan de Europese Unie

De verwerkingsverantwoordelijke of de verwerker heeft een kantoor gevestigd in de Europese Unie
OF
De dienstverlening vindt plaats op persoonsgegevens van residenten van de Europese Unie

1.6) Principes opgelegd aan de verwerkingsverantwoordelijke

  • Rechtmatigheid, behoorlijkheid en transparantie
  • Doelbinding
  • Minimale gegevensverwerking
  • Juistheid
  • Opslagbeperking
  • Integriteit en vertrouwelijkheid
  • Verantwoordingsplicht

1.7) Wettige verwerking

  • OF Toestemming
  • OF Overeenkomst
  • OF Wettelijke verplichting
  • OF Algemeen belang
  • OF Gerechtvaardigd belang
  • OF Vitaal belang

1.8) Rechten van de betrokkene

  • Recht op transparantie informatie
  • Recht van inzage
  • Recht op rectificatie
  • Recht op gegevenswissing / vergetelheid
  • Recht op beperking van de verwerking
  • Recht op overdraagbaarheid / dataportibiliteit
  • Recht van bezwaar
  • Recht niet worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

 

2) VERANTWOORDELIJKHEDEN

2.1) Verantwoordelijkheid van de Verwerkingsverantwoordelijke

  • Rekening houdend met de aard, omvang en context van de verwerking:
    > Neem passende technische en organisatorische maatregelen
    > Gebruik alleen verwerkers die voldoende garanties bieden
  • Melding van een inbreuk van persoonsgegevens binnen de 72 uur aan de bevoegde authoriteit (privacycommissie)
  • Gegevensbescherming door ontwerp (design) en door standaardinstellingen (default)
  • Gegevensbeschermingseffectbeoordeling (indien nodig)

2.2) Verantwoordelijkheid van de Verwerker

  • Neem passende technische en organisatorische maatregelen
  • Meld een inbreuk ivm persoonsgegevens z.s.m. aan de Verwerkingsverantwoordelijke
  • Stel een bewerkersovereenkomst op met de Verwerkingsverantwoordelijke beschrijvend:
    > onderwerp en duur
    > de aard en het doel
    > het type persoonlijke gegevens
    > verplichtingen en rechten van de verwerkingsverantwoordelijke voor de verwerking
    > gebruik / verandering sub-verwerkers na schriftelijke goedkeuring
    > alleen toegankelijk voor vertrouwelijke medewerkers
    > assistentie aan de gegevensverantwoordelijke om passende maatregelen te bepalen en naleving te waarborgen
    > het gebruik van passende technische en organisatorische maatregelen
    > beschikbaarheid voor de gegevensverantwoordelijke van alle informatie die nodig is om naleving te bewijzen

2.3) Wederzijdse verantwoordelijkheid

  • Beveiliging van de verwerking: gebruik rekening houdend met de aard, omvang en context van de verwerking:
    > de pseudonimisering en versleuteling van persoonsgegevens
    > verzeker vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht
    > regelmatig testen van de genomen maatregelen
  • Bijhouden van een register van de verwerkingsactiviteiten (indien nodig)
  • Functionaris voor Gegevensbescherming aanstellen (DPO) (indien nodig)
  • Optioneel: naleving van een goedgekeurde gedragscode voor de sector
  • Optioneel: eventuele certifiëring tegen GDRP

2.4) Model gedeelde verantwoordelijkheid

Model gedeelde verantwoordelijkheid

3) AANPAK

Aanpak GDPR

3.1) Risicoanalyse

Risico gebaseerde aanpak
Risk matrix

3.2) Actieplan

3.3) Compliancy

3.4) Voorbeeld

    • CDM ICT als Verwerkingsverantwoordelijke
      1. Inventoriseren waar persoonsgegevens verwerkt worden:
        > Bepalen verwerking van persoonlijke gegevens per departement
        > Controleren of verwerkingsactiviteiten wettig zijn
        > Identificatie van GDPR inconsistenties en mogelijke oplossingen (technisch en organisatorisch)
        > Bepalen welke oplossingen genomen worden in 2018 (technisch en organisatorisch)
      2. Mogelijk maken uitvoering rechten van betrokkene:
        > Opstellen register als Verwerkingsverantwoordelijke
        > Uitvoeren technisch en organisationele oplossingen
        > Bestaande interne processen/richtlijnen updaten naar GDPR Compliancy
      3. Herbekijken contracten met leveranciers
        > Bekijken welke leveranciers persoonsgegevens verwerken
        > Vragen om een geupdate versie van het contract met de leverancier

 

  • CDM ICT als Verwerker
    1. Bewerkersovereenkomst
      > Definiëren aanpassing aan huidige overeenkomsten / algemene voorwaarden
      > Aanpassen bestaande overeenkomsten / algemene voorwaarden
      > Oplijsten van standaard organisatorische en technische beveiligingsmaatregelen
    2. Updaten processen
      > Bestaande processen m.b.t. dienstverlening updaten naar GDPR Compliancy
      > Opstellen register als Verwerker
    3. Naleven en certificatie
      > Analyse GDPR Certificatie
      > Onderzoek aansluiting bij IT Cloud Code of Conduct
    4. Security portfolio
      > Ontwerpen / aanbieden extra beveiligingsdiensten