Vorige maandag kon je op halfjaarlijkse Big Refresh van Voka van onze experte Justine Simal alles te weten komen over wat nu echt belangrijk is wanneer je als onderneming de GDPR wil implementeren. Het was een geslaagde infosessie met interessante vragen en gesprekken achteraf. Deelnemers deelden hun eigen GDPR ervaringen en vraagstukken met elkaar onder de moderatie van onze GDPR experte.

De GDPR blijft brandend actueel: de hype lijkt voorbij te zijn, maar vele praktische vraagstukken duiken nu pas op. Ondernemingen zien in dat de implementatie van de GDPR het ideale moment is om ook op andere punten orde op zaken te stellen en structuur te integreren en willen graag weten hoe ze dit moeten aanpakken.

De presentatie die Justine gaf kan je hier terugvinden. Deze biedt je informatie en inzichten en reikt je de handvaten aan om zelf aan de slag te gaan.

Wanneer je denkt dat een duwtje in de rug toch nuttig kan zijn en je bent geïnteresseerd in een persoonlijk gesprek om te kijken hoe iFORi jouw onderneming kan ondersteunen in het GDPR traject, neem dan gerust rechtstreeks contact op met Justine Simal via justine.simal@ifori.be.

De volgende editie van de Voka Big Refresh vindt plaats op maandag 16 oktober.

 

Nog niet helemaal mee met de GPDR? Op zoek naar praktische informatie? Kritisch en op zoek naar objectieve cijfers… wordt de GDPR soep wel zo heet gedronken als ze geserveerd wordt? Of wilt u uw eigen GDPR ervaringen en vraagstukken delen met andere ondernemers onder de moderatie van een GDPR experte? Dat kan op amper 2 uur tijd tijdens de ‘The Big Refresh’ van VOKA Oost-Vlaanderen

Tweemaal per jaar organiseert VOKA Oost-Vlaanderen ‘The Big Refresh’, een dag vol actua shots en sessies. Hun voorjaarseditie van 2019 gaat door op 4 februari en focust zich ook op de GDPR die nog steeds actueel blijft. VOKA wil naast informeren ook inspireren en daarom koppelt het ook een rondetafelgesprek aan deze sessie. De bedoeling is dat de deelnemers tijdens deze sessies hun eigen ervaringen delen met andere collega ondernemers.

IFORI verzorgt net zoals in 2017 de infosessie en GDPR experte Justine Simal zal ook het rondetafelgesprek modereren.

Interesse? Meer info kan je vinden op www.voka.be/bigrefresh en schrijf je gratis in!

Kan je niet aanwezig zijn op de infosessie maar heb je wel interesse om de presentatie te ontvangen of wens je een persoonlijk gesprek, neem gerust rechtstreeks contact op Justine Simal: justine.simal@ifori.be

De presentatie kan je ook hier vinden.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

Apple heeft onlangs bekend gemaakt dat vanaf 3 oktober 2018 iedereen die een nieuwe App wil lanceren of een bestaande App wil updaten, verplicht een privacy policy moet opnemen in zijn App, alsook in de metadata van de App Store. Apps die niet voldoen aan deze vereiste zullen vanaf dan geweerd worden uit de App Store.

Nieuwe App Store Review Guidelines

Wie dus een App wil lanceren of updaten zal vanaf 3 oktober een privacy policy moeten opstellen. Deze privacy policy zal moeten voldoen aan de nieuwe App store review guidelines. Deze guidelines lijken heel wat van hun mosterd gehaald te hebben bij de GDPR. Apple heeft echter de bepalingen geconcretiseerd voor mobiele applicaties en is soms strenger dan de GDPR.

Zo heeft Apple bijvoorbeeld concrete regels opgesteld voor gezondheidsapps. Ook heeft ze een aantal toepassingen waarvoor locatiegegevens gebruikt kunnen worden uitgesloten. In haar best practices geeft Apple mee hoe purpose strings gebruikt kunnen worden om gebruikers toestemming te laten geven voor het gebruiken van systeemtoepassingen zoals de camera of microfoon.

Google Play

Niet enkel Apple is bezig geweest met haar guidelines te updaten. Google verplicht het opnemen van een privacy policy al langer voor Apps die persoonsgegevens verzamelen. Is uw privacy policy niet in orde, dan zal Google uw App weren uit de Play store. Google vereist ook de naleving van de GDPR door ontwikkelaars die via hun Apps gegevens van personen in de EU verwerken.

GDPR Conform

Ontwikkelaars van Apps moeten naast het naleven van Googles en Apples guidelines vooral ook de GDPR naleven. Wie denkt dat het ergste dat kan gebeuren een exclusie van de Apple App store of Google Play store is, zal mogelijks voor een onaangename verrassing komen te staan.

In Frankrijk heeft de gegevensbeschermingsautoriteit (CNIL) recent nog maar bekend gemaakt dat ze twee ontwikkelaars van marketing-software development kits voor Apps in gebreke heeft gesteld voor het niet-naleven van de verplichtingen die voortvloeien uit de GDPR. Volgens de CNIL waren de gebruikers van de Apps noch op de hoogte dat in de gedownloade App een software development kit geïntegreerd was die hun gegevens verzamelde, noch waarvoor de gegevens zouden gebruikt worden. Er kon dan ook geen rechtmatige toestemming gegeven zijn voor het verwerken van de gegevens. De gebruikers waren daarnaast ook niet op de hoogte van de identiteit van de verwerkingsverantwoordelijke voor hun gegevens.

CONCLUSIE

Zorg voor een geüpdatet privacy policy die in overeenstemming is met de vereisten van de platform-providers en de GDPR. Maar zorg er ook voor dat de inhoud van deze policy is aangepast aan jouw realiteit. Geef informatie over de verwerking die jouw organisatie doet, al dan niet via haar website, bijvoorbeeld: direct marketing, klantenadministratie, leveranciersbeheer, …

Denk ten slotte ook aan de verdere compliance met GDPR waaronder:

  • Heb ik een verwerkingsgrond en pas ik die correct toe? (bv. toestemming, uitvoering overeenkomst, …);
  • Heb ik specifiek overeenkomsten met mijn onderaannemers die ten behoeve van mijn organisatie persoonsgegevens verwerken?
  • Beveilig ik de persoonsgegevens wel voldoende?

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

Vaak vragen organisaties om een kopie van uw elektronische identiteitskaart (eID) om uw identiteit te verifiëren. Maar door gegevensbeschermingswetgeving, waaronder de GDPR, is dit in het merendeel van de gevallen niet zonder meer toegestaan. Organisaties staan voor een praktisch vraagstuk: hoe de identiteit van iemand controleren zonder de regelgeving te overtreden?

Rechten van betrokkenen onder GDPR

De GDPR geeft de burger een hele resem rechten waaronder het recht om aan een organisatie inzage te vragen in de persoonsgegevens die de organisatie van de betrokkene verwerkt en heeft men in bepaalde gevallen een recht op gegevenswissing.

Verificatie identiteit?

Om als organisatie in te gaan op de uitoefening van deze rechten door betrokkenen is het noodzakelijk dat u hun identiteit controleert. M.a.w. hoe weet u of de persoon die zijn rechten inroept weldegelijk is wie hij beweert te zijn? De gangbare praktijk is hier om een kopie van de identiteitskaart van de persoon in kwestie te vragen.

Maar de verwerking van kopieën van identiteitskaarten is verboden, behoudens uitzonderingen. De Gegevensbeschermingsautoriteit (GBA) stelt duidelijk enkel de noodzakelijke persoonsgegevens mogen worden verwerkt. Gelet op het risico van identiteitsdiefstal zijn dit soort kopieën van een eID niet proportioneel.

Ironisch genoeg stelt de GBA een modelbrief ter beschikking voor de uitoefening van de rechten van een betrokkene die om een kopie van de identiteitskaart vraagt.

In een andere aanbeveling raadt de GBA wel aan om de niet-relevante gegevens op de kopie te doorstrepen. Hiermee legt ze eigenlijk de verantwoordelijkheid bij de burger. Als organisatie was het ook aangewezen in uw privacyverklaring eveneens deze verplichting op te nemen, om zelf geen onrechtmatige verwerking te doen.

Gierig met persoonsgegevens

Dat er nood is aan een handige tool om deze rompslomp te vermijden besefte ook de Nederlandse overheid en zij ging dan ook over tot het ontwikkelen van de KopieID app. Deze app maakt het mogelijk een foto te nemen van uw identiteitskaart met uw smartphone en onmiddellijk de persoonsgegevens te doorstrepen die niet relevant zijn. De app voorziet de kopie ook van een watermerk om fraude tegen te gaan. Ze vormt een eenvoudig te gebruiken tool die de toepassing van de GDPR in de praktijk heel gemakkelijk maakt (ook wel een Privacy-enhancing Technology of kortweg ‘PET’ genaamd).

Deze app is gratis te downloaden in de Apple App Store, de Google Play Store en voor Windows Phone.

Als verwerkingsverantwoordelijke kan je een verwijzing naar deze tool dan ook gebruiken om de personen van wie u persoonsgegevens verwerkt het makkelijk te maken hun identiteit te bewijzen op een correcte manier.

Neem gerust contact met ons op indien u uw privacyverklaring hierop wil voorzien.

Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs

De Genereral Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), is een Europese ‘wet’ die gaat over bescherming van persoonsgegevens het is een nieuwe ‘wet’ waar vrijwel iedere onderneming of overheid mee zal worden geconfronteerd.

Op wie is de GPPR van toepassing?

De GDPR is van toepassing op bedrijven en overheden, die persoonsgegevens verwerken in het kader van de activiteiten van een vestiging in de EU. Dit wil zeggen dat zij bepaalde gegevens die betrekking hebben op natuurlijke personen gebruiken. Bijvoorbeeld het opslaan, wissen, doorsturen van die gegevens. Denk bijvoorbeeld aan de HR-gegevens van je eigen personeel of de contactgegevens van je klanten.

Bv. Jouw werknemers verplaatsen zich via een wagen waarvan de geo-locatie door jullie of een derde worden bijgehouden. Wordt er bijgehouden of het is minstens mogelijk te achterhalen wie op welk moment met welke wagen rijdt dan is de GDPR op jou van toepassing.

Maar de GDPR is ook van toepassing op bedrijven die niet in de EU zijn gevestigd indien zij aan personen die zich in de EU bevinden goederen of diensten aanbieden (bv. een Chinees bedrijf via hun webshop) of hun gedrag monitoren (bv. een Amerikaans sociaal netwerk).

Waarom is de GPDR ingevoerd?

Het doel van de GDPR is enerzijds om de betrokkenen terug (meer) controle te geven over die data die op hen betrekking hebben. Hierbij spelen hun fundamentele rechten, zoals het recht op privacy, een belangrijke rol.

Het feit dat deze materie voor de Europese wetgever prioritair is blijkt uit de monsterboetes: tot € 20.000.000 of 4% van de wereldwijde jaaromzet.

Anderzijds maakt de GPDR het ook eenvoudiger voor bedrijven, doordat van een uniform wettelijk kader werd uitgewerkt dat geldt voor heel de Europese Unie.

Wanneer wordt de GDPR van kracht?

De GDPR treedt in werking op 25 mei 2018. Op die datum moet je in overeenstemming zijn met de nieuwe verplichtingen van de wet, of je stelt je bloot aan sancties.

Hoe kan ik voldoen aan de nieuwe verplichtingen van de GDPR?

De belangrijkste nieuwe verplichten van de GDPR kan je vinden in onze blog.

Twijfels of vragen over de toepassing van de GDPR?

Neem vrijblijvend contact op en we kunnen je snel duidelijkheid geven over toepassing en/of betekenis van de General  Data Protection Regulation voor jouw bedrijf of organisatie.

De GDPR en de Privacywet hebben beide betrekking op de verwerking van persoonsgegevens. Op termijn komt de Europese ‘wet’ die de GDPR is, de verouderde Belgische wet te vervangen.

Hieronder vind je de 5 belangrijkste verschillen tussen de beide:

1.    Het toepassingsgebied van de GDPR is veel ruimer

Op territoriaal vlak geldt de GDPR als verordening binnen de hele Europese Unie (hierna ‘EU’). Bovendien kunnen zelfs niet Europese bedrijven onder het toepassingsgebied vallen indien zij producten of diensten aanbieden aan Europese onderdanen. Ook inhoudelijk is dezelfde tekst (inclusief de vertaling in de 24 talen van de EU) de enige geldende regel voor de hele EU. Er is nog amper marge voor de lidstaten om af te wijken van de Europese norm.

De Privacywet daarentegen is zoals de naam het zelf zegt een wet, en geldt uitsluitend in België. De Privacywet is wel het gevolg van een Europese Richtlijn van 1995, die ervoor zorgt dat de grote lijnen van gegevensbeschermingswetgeving binnen de EU inhoudelijk hetzelfde zijn. Maar de verschillen waar toch groot genoeg om de Europese wetgever ertoe aan te zetten in te grijpen met het oog op het vrij verkeer van gegevens binnen de EU.

2.    Hogere sancties

De toezichthoudende autoriteit (in België de Privacy Commissie) is onder de Privacywet maar een papieren tijger. Middels de GDPR zal zij administratieve monsterboetes tot € 20.000.000 of 4% van de wereldwijde jaaromzet kunnen opleggen. Daarnaast verkrijgt zij nu ook meer middelen om effectief situaties te onderzoeken en corrigeren, zoals de mogelijkheid tot onderzoek ter plaatse.

Betrokkenen kunnen 25 mei 2018 ook eenvoudiger klacht neerleggen tegen de verwerkingsverantwoordelijke en verwerker, zo kan dat vanaf dan ook via een soort ‘class action’.

3.    Gegevenslekken

Tenzij je een telecomoperator bent bestaat er in België onder het huidige regime geen verplichting om gegevenslekken te melden aan de Privacy Commissie. Dit verandert fundamenteel met de komst van de GDPR: bij een gegevenslek moet je dit binnen de 72 uur melden en in sommige gevallen moet je de betrokkenen zelf ook inlichten dat er een lek van hun gegevens heeft plaatsgevonden.

4.    De GDPR viseert nu ook loutere leveranciers (verwerkers)

Waar de Privacywet enkel verplichtingen oplegt aan verwerkingsverantwoordelijken, worden nu ook loutere verwerkers geviseerd. Verzamelt bijvoorbeeld een bedrijf jouw contactgegevens jou nieuwsbrieven te versturen, gebeurt het vaak dat het bedrijf de eigenlijke verzending hiervan uitbesteedt aan een marketing of communicatiebureau. Dit bureau zal onder de GDPR zich ook aan bepaalde regels moeten houden, bv. het garanderen van informatieveiligheid.

5.    Het aanstellen van een DPO

De GDPR roept een nieuwe functie in het leven, namelijk die van Data Protection Officer (‘DPO’, of in het Nederlands iets wat onhandig functionaris gegevensbescherming). Dit is een persoon die verantwoordelijk zal zijn voor de compliance met de GDPR binnen een bepaald bedrijf of overheid. Wil je weten of je een verplicht een DPO moet aanstellen? Maak gebruik van onze handige DPO-checker.

De General Data Protection Regulation (GDPR) is een Europese “wet” die op 25 mei 2018 in werking treedt. De GDPR (Algemene Verordening Gegevensbescherming) geldt voor bedrijven en overheden. De wet gaat over bescherming en beheer van persoonsgegevens van websitebezoekerss, prospects, klanten, medewerkers ... Als je niet aan de GDPR voldoet, riskeer je een monsterboete.

Dit zijn de 5 belangrijkste verplichtingen om die boetes te ontlopen.

1 GDPR legt nieuwe verplichten op aan bedrijven en overheden

Als de General Data Protection Regulation op 25 mei 2018 in werking treedt en je als bedrijf aan deze wet moet voldoen, moet je een register bijhouden van verwerkingsactiviteiten. Dit register vervangt de aangifteplicht bij de Privacy Commissie (Meer over Verschil tussen Data Protection Reguslation (GDPR) en de Privacywet).

Daarnaast is het als onderdeel van de verantwoordingsplicht vereist om bij risicovolle projecten gegevensbeschermingseffectbeoordelingen (Privacy Impact Assessment of PIA) uit te voeren. Het gaat om activiteiten die een risico inhouden voor de rechten en vrijheden van personen, denk aan stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, de verwerking op grote schaal van gezondheidsgegevens, etc.

Zijn er incidenten, bv. jouw databank met gegevens wordt gehacked of je zet die databank per ongeluk zelf online, dan ben je verplicht die binnen 72 uur te melden bij de Privacycommissie en in sommige gevallen aan de betrokkenen zelf.

Bedrijven moeten privacy by design & default implementeren. Dit wil zeggen dat enerzijds databeschermingsprincipes moeten worden ingebakken bij nieuwe verwerkingsprojecten en anderzijds dat de standaardinstellingen slechts de minimum hoeveelheid persoonsgegevens mogen verwerken.

Om dit in goede banen te leiden kun je verplicht worden een Data Protection Officer (DPO) aan te stellen: check hier of je verplicht een DPO moet aanstellen.

2 GDPR geeft de betrokkenen nieuwe rechten

Betrokken zijn jij en ik, namelijk elke geïdentificeerde of identificeerbare natuurlijke persoon op wie persoonsgegevens betrekking hebben. Gebruik je bijvoorbeeld facebook, dan ben jij een betrokkene.

Als betrokkene heb je o.a. recht op Dataportabiliteit, namelijk het recht om al jouw persoonsgegevens van één verwerker te laten overdragen naar een andere, net zoals je dat zou doen met jouw telefoonnummer. En het ‘recht om vergeten te worden’, hierbij heb je als betrokkene het recht om jouw persoonsgegevens te laten verwijderen indien de verwerking niet meer gerechtvaardigd is. Dit is o.m. het geval indien men jouw gegevens niet meer nodig heeft voor hun originele doelstelling. (Meer weten over de andere rechten van betrokkenen)

3 GDPR stelt strengere voorwaarden voor bekomen van ‘Consent’

In vele gevallen is het noodzakelijk dat aan de betrokkene zijn toestemming wordt gevraagd om zijn persoonsgegevens te verwerken. Deze toestemming moet gebeuren door middel van een verklaring of een ondubbelzinnige actieve handeling, een checkbox aanduiden, handtekenen, etc.

4 GDPR stelt strengere transparantieregels

Wanneer je persoonsgegevens verwerkt moet je de betrokkene inlichten over die verwerking, je moet hem of haar meedelen waarom je zijn of haar gegevens nodig hebt, aan wie je die gaat doorgeven, etc. Vormelijk moet de privacypolicy op jouw website beschikbaar zijn in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal worden meegedeeld.

5 GDPR verduidelijkt informatieveiligheidsverplichtingen

Informatieveiligheid staat meer dan ooit op de agenda van bedrijven, zeker indien het gaat om persoonsgegevens kan de imagoschade enorm groot zij. Maar ook de GDPR verplicht bedrijven om persoonsgegevens te beveiligen met passende technische en organisatorische maatregelen. Hierbij kan worden gedacht aan encryptie & pseudonimisering, het uitvoeren van audits, het zorgen voor back-ups & redundantie.

 

Twijfels of vragen over toepassing GDPR?

Neem vrijblijvend contact op en we kunnen je snel duidelijkheid geven over toepassing en/of betekenis van de General  Data Protection Regulation voor jouw bedrijf of organisatie.