Techniek

Wat is GDPR en hoe wordt je GDPR compliant.

General Data Protection Regulation (GDPR) (ook wel bekend in Nederland als AVG). Je hoort er veel over, maar er is ook veel onduidelijkheid. In dit artikel zetten we uiteen wat GRPR is. Daarnaast vind je een globale checklist die je helpt om GDPR compliant te worden en leggen we het belang uit voor uw organisatie om GDPR complaint te worden.

Wat is GDPR

GDPR is een nieuwe europese privacyregelgeving die op 25 mei 2018 ingaat. Het is een vervanging van de oude privacywetgeving.

Bondig samengevat komt het er op neer dat de GDPR de rechten versterkt van de inwoners van de Europese Unie. Hierdoor dienen bedrijven en instellingen transparanter te worden hoe zij met persoonsgegevens omgaan en waarvoor deze worden gebruikt. De GDPR eist dat bedrijven beveiligingsmaatregelen neemt en de procedures en processen hiervan dusdanig inricht dat data goed beschermt is.

De belangrijkste punten van de GDPR

  • Verbeterde privacyrechten van burgers
  • Organisaties moeten een goede reden hebben om data te verwerken
  • Organisaties blijven verantwoordelijk voor wat uw leveranciers en partners doen
  • Het vergroot verplichtingen voor bescherming van data
  • Het verplicht rapportage van datalekken
  • Het voorkomt hoge boetes bij non-compliance

GDPR Compliant worden; een checklist

  • Leg een privacy register aan – Inventariseer welke type persoonsgegevens jouw organisatie allemaal verzameld en voor welke doeleinden deze gebruikt worden. Persoonsgegevens mogen vanaf heden namelijk enkel verzameld worden indien hier een gegronde reden voor aanwezig is. Zo heb je waarschijnlijk niet de leeftijd van je bezoeker nodig om een product te kunnen leveren, waar het bezorgadres juist een vereiste is om de bezorging goed te laten verlopen.

 

  • Let op bijzondere persoonsgegevens – Sommige gegevens worden als bijzondere persoonsgegevens beschouwd. Hierbij gaat het om extra privacy-gevoelige gegevens welke wettelijk extra beschermd dienen te worden. Denk hierbij onder andere aan gegevens over gezondheid, religie, strafrecht en politieke voorkeur; zie hier voor meer informatie. Voor het verzamelen van bijzondere persoonsgegevens dient expliciet goedkeuring gevraagd te worden bij het Autoriteit Persoonsgegevens.

 

  • Weet waar de data opgeslagen staat – Persoonsgegevens mogen binnen de wetgeving enkel binnen de EU, of veilig aangemerkte landen, worden opgeslagen/gedeeld tenzij je anders vermeld binnen je privacy statement. Maak je gebruik van hosting via OrangeValley dan staan deze gegevens enkel opgeslagen binnen de EU; check!

 

  • Stel een Privacy Impact Assessment op – Om de privacyrisico’s van het project in kaart te brengen kan het verstandig zijn om een Privacy Impact Assessment (PIA) uit te voeren. Hierin wordt in kaart gebracht wat de risico’s zijn voor de betrokkenen, wat de impact is van het beoogde project en een beoordeling of het risico omlaag kan worden gebracht door het project eventueel anders aan te pakken.Het opstellen van een PIA is echter veel werk en we adviseren dan ook enkel om dit op te stellen indien er twijfels zijn ( of je het zeker weet dat het hoog is ) over de impact risico’s voor de betrokkenen. Indien er sprake is van een hoog risico op basis van het uitgevoerde PIA dient men expliciete toestemming te vragen bij het AP om het project door te mogen zetten; de kansen dat zij toestemming geven is echter vrij laag.

 

  • Stem verwerkingsovereenkomsten af – Naast de opslag van de gegevens is het natuurlijk ook belangrijk wie er allemaal buiten jouw organisatie toegang heeft tot deze gegevens en deze eventueel voor jullie verwerkt. Hoewel jouw organisatie ten allen tijde eindverantwoordelijk bent voor de waarborging van de persoonsgegevens kan het vaak geen kwaad om toch afspraken te hebben met deze `verwerkers`.In een verwerkings overeenkomst staat dan ook afspraken tussen jouw organisatie ( verantwoordelijke ) en de verwerker ( de derde partij ) over hoe omgegaan wordt met, en welke persoonsgegevens er allemaal verwerkt worden. Het aanleggen van een verwerkings-register met dergelijke overeenkomsten is overigens enkel verplicht indien je aan één van onderstaande voorwaarden voldoet.
    • Je organisatie heeft meer dan 250 medewerkers in dienst
    • Er sprake is van verwerking van bijzondere persoonsgegevens
    • Er sprake is van verwerking met een hoog risico

OrangeValley heeft voor haar klanten een standaard verwerkingsovereenkomst beschikbaar.

 

  • Stel een functionaris persoonsgegevens aan – In de GDPR is de verplichting opgenomen dat bedrijven in specifieke gevallen een functionaris persoonsgegevens (FG) moeten aanstellen. Over het algemeen geldt dit bij overheden en bedrijven die op grote schaal profiling uitvoeren, maar het kan sowieso geen kwaad om uit te zoeken of dit ook het geval is voor jouw organisatie.

 

  • Controleer je privacy statement – De hele wet richt zich op transparantie tussen de bezoeker en jouw organisatie; je privacy statement dient dan ook informatie te verschaffen over deze transparantie. Deze dient dan ook informatie te verschaffen over de volgende punten:
    • De type persoonsgegevens welke jouw organisatie verwerkt
    • Juridische grondslag voor het verwerken van deze persoonsgegevens
    • Periode dat de persoonsgegevens opgeslagen worden ( let op dat veel partijen backups bijhouden en dat sommige informatie juridische limieten heeft, denk bijvoorbeeld aan ingezonden CV’s voor vacatures )
    • De rechten van betrokkene, informatievoorziening over hoe iemand een klacht kan indien en zijn persoonsgegevens kan inzien, rectificeren, verwijderen.
    • Eventuele andere partijen welke toegang hebben tot de persoonsgegevens ( dit mag in categorieën, Zo mag je neerzetten dat de webbouwer toegang heeft tot de persoonsgegevens in plaats van expliciet de naam van de webbouwer )
    • Indien van toepassing: of de gegevens gedeeld worden met landen buiten de EU

De wetgeving adviseert om de tekst simpel en begrijpelijk te houden voor de bezoeker. Zo kan je bijvoorbeeld de rechten van de betrokkenen heel simpel af vangen door de volgende enkele zin: Voor klachten, inzage, rectificatie of het verwijderen van uw persoonsgegevens kunt u contact opnemen met [email protected].

 

  • Houd een incidentenlog bij – Hoe goed men ook z’n best doet het is uiteindelijk niet onoverkomelijk dat er alsnog persoonsgegevens lekken, denk hierbij aan hackers welke slagen om toegang te eigenen, of een laptop / usb stick welke in de trein blijft liggen.Elk datalek welke plaats vindt dient bijgehouden te worden in een incidentenlog waarin de onderstaande zaken zijn opgenomen. Aanvankelijk van het type datalek, de betrokken personen en de mogelijke gevolgen kan besloten worden om het wel / niet aan de Autoriteit Persoonsgegevens en/of de betrokkenen te melden; de meldplicht hiervan ligt echter bij jouw organisatie als verantwoordelijke van de persoonsgegevens.
  •  
    • De aard van het datalek
    • De categorieën van de getroffen personen; waar mogelijk het specifieke aantal
    • De ( waarschijnlijke ) gevolgen van het datalek
    • De ondernomen maatregelen om het datalek aan te pakken
    • Is het datalek gemeld aan de Autoriteit Persoonsgegevens?
    • Is het datalek gemeld aan de betrokken? ( zo ja; tekst van kennisgeving opnemen )

 

  • Toestemming vragen waar nodig – Er is veel gedoe over wanneer toestemming gevraagd dient te worden of niet. Het is uiteindelijk relatief simpel, zijn de persoonsgegevens nodig voor het leveren van een dienstverlening dan is er geen extra toestemming noodzakelijk. Voor eigenlijk alles wat met marketing doeleinden te maken heeft is wel expliciete toestemming nodig. Gegeven toestemming dient daarna expliciet geregistreerd en bijgehouden te worden.Hierin zit echter een bijzondere bepaling, indien er sprake is van jongeren ( personen onder de 16 ) dient er tevens toestemming van de verzorger gegeven te worden.

Belang om GDPR compliant te zijn

Zoals aangeven kan het niet compliant zijn aan de GDPR leiden tot hoge boetes voor uw organisatie. Dit zou niet de belangrijkste reden moet zijn om GDPR compliante te willen zijn.

GDPR is namelijk niet meer dan een update van verouderde privacywetgeving en je wilt ook op dit gebied je organisatie naar de huidige tijd brengen. Daarnaast verwacht je van elke organisatie dat er belang gehecht wordt aan de privacy van hun klanten.

Vragen over GDPR en hoe u GDPR compliant wordt? Neem contact met een van onze experts op.