Meer Cases

GDPR: Een kennismaking

Caution Desk Solutions will help your business  and GDPR

WAT IS GDPR


Op 25 mei 2018 ging de Algemene verordening gegevensbescherming (AVG), ook wel de General Data Protection Regulation (GDPR) genoemd, in zijn werking. Dit zijn een stel van regels die gegevens van personen beter moeten beschermen. Dit kunnen telefoonnummer, namen, e-mailadressen, politieke voorkeuren, maar ook IP-adressen  zijn 
Zo moeten alle organisaties die persoonsgegevens verzamelen, duidelijk maken wat ze daarmee doen en hoe ze deze bewaren. Alle bedrijven die gegevens van Europeanen verwerken, moeten voldoen aan deze nieuwe regelgeving.

WAT IS ER VERANDERD

In België bestaat al een uitgebreide privacywetgeving ter bescherming van de persoonsgegevens sinds 1992, waaraan je moet voldoen. De GDPR gaat nog iets verder en personen worden vanaf mei 2018 beter ingelicht en beschermd. Zo moet ieder bedrijf inzage geven in welke gegevens ze verzamelen, de wijze waarop ze dit doen en hoe deze bewaard worden.  Het wordt zelf verplicht aan te geven hoe iemand een klacht kan neerleggen wanneer je de GDPR-regels overtreedt.

light bulb
1. BEWUSTMAKING

Zorg dat alle medewerkers ingelicht zijn over de General Data Protection Regulation. Dit kan door infosessies te organiseren, artikels aan te reiken, of deze brochure rond te sturen.
De General Data Protection Regulation lijkt een zeer ingewikkelde materie, maar wanneer je je erin verdiept, zal je merken dat het best meevalt. 

2. DATAREGISTER OPSTELLEN

Het is belangrijk dat je alle bedrijfsprocessen in kaart brengt. Welke informatie houdt u bij, waar komt deze informatie vandaan, wat doet u met de informatie, met wie deelt u deze en hoelang houdt u deze bij. Dit kan je zelf registreren of door het uitvoeren van een audit. 
Een goed dataregister kan erg handig zijn wanneer  een persoon zijn gegevens opvraagt om correcties uit te voeren, geanonimiseerd wenst te worden of wanneer er een eventueel lek wordt vastgesteld.  Zo kan je alles snel en eenvoudig terugvinden. Dankzij het dataregister kan je ook makkelijk aantonen dat je GDPR erg serieus neemt. 


3. COMMUNICATIE

Het is een ideaal moment om je privacyverklaring eens onderhanden te nemen. In deze privacyverklaring licht je toe welke gegevens je bewaart, waarom je deze verzamelt en bewaart, hoe je de verzamelde 
gegevens verwerkt en wie dat voor zijn rekening neemt.  Daarnaast is het noodzakelijk ook de wettelijke grondslag voor de gegevensverwerking mee te delen. Wanneer je gegevens uitwisselt met andere bedrijven binnen of buiten de Europese Unie, moet je dit ook meedelen.  Als laatste moet je vermelden hoe er een klacht ingediend kan worden bij de privacycommissie wanneer de eigenaar van de gegevens overtuigd is dat zijn gegevens foutief verwerkt of bewaard worden. 
De privacyverklaring moet in een duidelijke en begrijpbare taal geschreven worden voor jouw doelgroep.


4. RECHTEN VAN BETROKKENE

De GDPR geeft betrokkenen veel meer rechten. Daarom is het belangrijk dat je nagaat of je al deze rechten kan waarborgen. Zo heeft de betrokken recht op:
Informatie over en toegang tot zijn persoonsgegevens
Correctie en verwijdering van gegevens 
 Bezwaar te uiten tegen direct marketingpraktijken
 Bezwaar te uiten tegen geautomatiseerde besluitvorming en profilering 
De overdraagbaarheid van de gegevens

Ga na of je voldoende snel kan reageren op een vraag van een klant en breng de verschillende processen in kaart: 
Wie neemt de beslissing?
Zijn je systemen hiertoe uitgerust?

Ga ook na waar je klanteninformatie bewaart want papieren print-outs kunnen persoonsgegevens bevatten. GDPR is niet uitsluitend een ICT-gegeven.

5. VERZOEK TOT TOEGANG

Met de komst van de GDPR, zullen ook de toegangsprocedures aangepast worden. Meestal zal je gratis toegang moeten verlenen en dit binnen de 30 dagen. Zorg dus dat je bedrijf in staat is alle verzoeken tijdig af te werken. Wanneer een toegangsverzoek onredelijk, ongegrond of te vaak wordt ingediend, kan dit geweigerd of aangerekend worden. 
Wanneer iemand toegang vraagt, dien je verschillende informatie te geven: 
Hoelang bewaar je informatie
Welke rechten heeft de persoon om bepaalde gegevens te wijzigen

Tip: het kan interessant zijn om een systeem te voorzien waarbij klanten zelf hun gegevens kunnen raadplegen. 

6. WETTELIJKE GRONDSLAGEN VOOR DE VERWERKING VAN DE PERSOONSGEGEVEN

Neem je tijd om alle verschillende soorten verwerkingen die je doet te bekijken en de wettelijke grondslag ervan in kaart te brengen. De rechten van de betrokkene zijn afhankelijk van deze grondslag; moet u deze gegevens bewaren bij wet of moet u deze contractueel bewaren. Indien geen van de bovenstaande voorwaarden voldoende zijn, zal u toestemming moeten vragen. 

slot
7. TOESTEMMINGEN

Is er geen wettelijke of contractuele basis waarom je bepaalde gegevens mag verzamelen of bewaren, dan moet je een toestemming vragen. Wanneer er toestemming gevraagd wordt, mag er onder geen beding hinder ondervonden mag worden voor de klant indien hij deze gegevens niet voorziet. Zo mag de normale ondersteuning niet afhankelijk zijn van deze toestemming. Daarnaast moet een toestemming op elk moment geweigerd worden, en mag deze niet vanuit een “niet-reageren” voortvloeien, een vooraf aangevinkt vakje is niet meer toegelaten. Een duidelijke opt-in is vereist.

8. KINDEREN

Verwerk of bewaar je persoonsgegevens van kinderen, ontwikkel dan een systeem waarbij een ouder of voogd toestemming kan geven hiervoor. Verder ben je verplicht om je privacyverklaring ook op kindermaat aan te bieden.

9. DATALEKKEN & DPO

“Er zijn twee soorten bedrijven,” zei James Comey, voormalig hoofd van de FBI, ooit, “zij die gehackt zijn en zij die het nog niet weten dat ze gehackt zijn”. Iedere organisatie of bedrijf zal er ooit mee te maken krijgen. De AVG verplicht bedrijven om procedures te ontwikkelen om persoonlijke datalekken te detecteren, rapporteren en onderzoeken. In het licht hiervan is het interessant om de verschillende vormen van data die verzameld worden te documenteren en bekijk eens welke gegevens binnen de meldingsplicht zouden vallen, want niet alle datalekken moeten worden gemeld aan de privacy commissie.
Het is voor iedere organisaties of bedrijven interessant om een beleid en procedure te ontwikkelen om datalekken te beheren. Het is belangrijk om dit goed uit te werken, want bij het niet naleven van de meldingsplicht kunnen er geldboetes worden uitgeschreven bovenop de boete voor het lek zelf. 
Openbare overheden of bedrijven die stelselmatig grote brokken persoonsgegevens verwerken en observeren moeten een Data Protection Officer aanstellen, toch is het ook voor andere organisaties interessant om een verantwoordelijke aan te stellen die controleert of de databeschermingsregels worden nageleefd binnen jouw organisatie. Zo kan je als organisatie grote geldboetes vermijden indien er zich toch eens een lek voordoet. Dit kan iemand uit je organisatie of een externe partij zijn.

10. GEGEVENSBESCHERMING DOOR ONTWERP EN EFFECTENBEOORDELING

Dit is beter gekend als Privacy by design en Privacy impact assessment (PIA). Deze procedures kunnen gelinkt worden aan organisatorische processen zoals risicobeheer of projectbeheer. De veiligheid en bescherming van gegevens worden dus een belangrijk onderdeel in alle ondernemingen en projecten.  
Ga na wanneer je deze analyse moet uitvoeren.
Bepaal wie deze zal uitvoeren.
Bekijk of ze globaal of regionaal uitgevoerd worden.

Het is verplicht om een effectenbeoordeling uit te voeren in risicosituaties zoals bij de implementatie of ontwikkeling van een nieuwe technologie of wanneer een profileringsoperatie een aanzienlijk effect kan teweegbrengen voor de betrokkenen. Wanneer de PIA aangeeft dat de gegevensverwerking een “hoog risico” inhoudt, ben je genoodzaakt advies in te winnen bij de Privacycommissie omtrent de wetmatigheid van de verwerking. 

11. INTERNATIONAAL

Indien je internationaal actief bent, dien je te bepalen onder welke toezichthoudende autoriteit je valt. Meestal komt dit overeen met locatie van de hoofdzetel van je organisatie. 

12. BESTAANDE CONTRACTEN

Neem al je bestaande contracten met verwerkers, Cloud providers en softwareleveranciers onder de loep en ga na of de huidige contracten voldoen aan de regels. 

Tips & Tricks

MEER DAN ICT

Vergeet zeker niet dat GDPR, meer dan enkel ICT omvat; ook papieren hand-outs, een schriftje met namen of telefoonlijsten bevatten persoonsgegevens en moeten goed en veilig bewaard worden. 

BEVEILIG JE WACHTWOORDEN

Wachtwoorden zijn een uitstekende beveiliging voor gevoelige gegevens, maar dan moet je wel een goede wachtwoordenhygiëne erop na houden. Deel je wachtwoord nooit met andere mensen, schrijf ze niet op papier, in mail of sms.  Jouw wachtwoord is voor jou alleen. Ben je vergeetachtig, installeer dan een wachtwoordbeheerprogramma.
Moet je toch je wachtwoord eens meedelen voor een technische interventie? Zorg dan dat je deze personen of het bedrijf kent en vertrouwt. Benadruk dat zij jouw wachtwoord niet mogen noteren of bijhouden en als je heel zeker wilt zijn, verander je wachtwoord na de interventie.
Zorg ervoor dat je wachtwoorden niet te voorspelbaar zijn. Een goed wachtwoord moet aan verschillende voorwaarden voldoen: neem niets uit je persoonlijke leefsfeer, deze informatie is vaak terug te vinden op sociale media. Combineer hoofdletter, kleine letters, speciale tekens en cijfers zonder in de clichés van @ voor a en € of 3 voor e te trappen. Soms is het een goed idee om een willekeurige zin als wachtwoord te gebruiken.

hersenen
GEEF INDRINGERS GEEN KANS

Beveilig je netwerken en maak het moeilijk voor indringers. Een goede firewall en antivirus zijn onmisbaar. Dagelijks proberen allerlei indringers uw netwerk en computers te infecteren. Soms om informatie te ontvreemden, soms om geld te stelen en af en toe blokkeren zij ook je devices.
Een antivirus beschermd vooral je computers en zijn lokaal geïnstalleerd en beschermt je tegen (…). Een firewall is een bescherming op je netwerk en beschermt je vooral tegen (…).
Koop je binnenkort nieuwe scanners, printers of laptops? Kies dan zeker voor een veilig model. Ieder toestel op je netwerk is een weg binnenin je netwerk. 
Heb je beveiliging van Desk Solutions, en ben je nieuwsgierig hoeveel dreigingen er tegen werden gehouden, vraag dan naar jouw rapport.

BACK-UP PLAN

Neem altijd een back-up. Indien ooit iets misloopt, hebt je onmiddellijk alle informatie terug. Daarnaast weet je onmiddellijk welke informatie in gevaar kan zijn bij een lek of na het bezoek van een ongewenste indringer.
Desk Solutions biedt een makkelijk automatisch systeem van back-ups aan.

DE VEILIGHEID VAN CLOUD

Over ClearMedia met office 365. (zit in de cloud, M beheert dit, M heeft veel tijd en moeite hierin gestoken.) 
Cloud lijkt wel het magische woord van de laatste jaren. Dit is niet zonder reden. De voordelen van de cloud wegen enorm op tegenover de nadelen. Naast een makkelijke werkwijze en een goede beveiliging van uw gegevens, zijn uw gegevens altijd bereikbaar. Desk Solutions werkt steeds samen met ClearMedia. Een betrouwbare Belgische cloudprovider. Uw gegevens worden altijd binnen de Belgische landsgrenzen bewaard. 
Een abonnement op ClearMedia gaat steeds gepaard met verschillende licenties met Office365. Microsoft investeerde veel tijd om makkelijke en intuïtieve applicaties te ontwikkelen die overigs helemaal GDPR-proof zijn.