More Cases

GDPR: An introduction

Caution Desk Solutions will help your business  and GDPR

WHAT IS GDPR


On 25 May 2018, the General Data Protection Regulation (AVG), also known as the General Data Protection Regulation (GDPR), came into effect. These are a set of rules that should better protect personal data. This can be telephone number, names, e-mail addresses, political preferences, but also IP addresses 
For example, all organizations that collect personal data must make clear what they do with it and how they store it. All companies that process data from Europeans must comply with this new regulation.

WHAT HAS CHANGED

In Belgium, extensive privacy legislation has been in place to protect personal data since 1992, which you must comply with. The GDPR goes a little further and people are better informed and protected from May 2018. For example, every company must provide insight into what data they are collecting, how they do this and how they are stored. It is mandatory to indicate how someone can file a complaint if you break the GDPR rules.

light bulb
1. BEWUSTMAKING

Zorg dat alle medewerkers ingelicht zijn over de General Data Protection Regulation. Dit kan door infosessies te organiseren, artikels aan te reiken, of deze brochure rond te sturen.
De General Data Protection Regulation lijkt een zeer ingewikkelde materie, maar wanneer je je erin verdiept, zal je merken dat het best meevalt. 

2. DATAREGISTER OPSTELLEN

Het is belangrijk dat je alle bedrijfsprocessen in kaart brengt. Welke informatie houdt u bij, waar komt deze informatie vandaan, wat doet u met de informatie, met wie deelt u deze en hoelang houdt u deze bij. Dit kan je zelf registreren of door het uitvoeren van een audit. 
Een goed dataregister kan erg handig zijn wanneer  een persoon zijn gegevens opvraagt om correcties uit te voeren, geanonimiseerd wenst te worden of wanneer er een eventueel lek wordt vastgesteld.  Zo kan je alles snel en eenvoudig terugvinden. Dankzij het dataregister kan je ook makkelijk aantonen dat je GDPR erg serieus neemt. 


3. COMMUNICATIE

Het is een ideaal moment om je privacyverklaring eens onderhanden te nemen. In deze privacyverklaring licht je toe welke gegevens je bewaart, waarom je deze verzamelt en bewaart, hoe je de verzamelde 
gegevens verwerkt en wie dat voor zijn rekening neemt.  Daarnaast is het noodzakelijk ook de wettelijke grondslag voor de gegevensverwerking mee te delen. Wanneer je gegevens uitwisselt met andere bedrijven binnen of buiten de Europese Unie, moet je dit ook meedelen.  Als laatste moet je vermelden hoe er een klacht ingediend kan worden bij de privacycommissie wanneer de eigenaar van de gegevens overtuigd is dat zijn gegevens foutief verwerkt of bewaard worden. 
De privacyverklaring moet in een duidelijke en begrijpbare taal geschreven worden voor jouw doelgroep.


4. RECHTEN VAN BETROKKENE

De GDPR geeft betrokkenen veel meer rechten. Daarom is het belangrijk dat je nagaat of je al deze rechten kan waarborgen. Zo heeft de betrokken recht op:
Informatie over en toegang tot zijn persoonsgegevens
Correctie en verwijdering van gegevens 
 Bezwaar te uiten tegen direct marketingpraktijken
 Bezwaar te uiten tegen geautomatiseerde besluitvorming en profilering 
De overdraagbaarheid van de gegevens

Ga na of je voldoende snel kan reageren op een vraag van een klant en breng de verschillende processen in kaart: 
Wie neemt de beslissing?
Zijn je systemen hiertoe uitgerust?

Ga ook na waar je klanteninformatie bewaart want papieren print-outs kunnen persoonsgegevens bevatten. GDPR is niet uitsluitend een ICT-gegeven.

5. VERZOEK TOT TOEGANG

Met de komst van de GDPR, zullen ook de toegangsprocedures aangepast worden. Meestal zal je gratis toegang moeten verlenen en dit binnen de 30 dagen. Zorg dus dat je bedrijf in staat is alle verzoeken tijdig af te werken. Wanneer een toegangsverzoek onredelijk, ongegrond of te vaak wordt ingediend, kan dit geweigerd of aangerekend worden. 
Wanneer iemand toegang vraagt, dien je verschillende informatie te geven: 
Hoelang bewaar je informatie
Welke rechten heeft de persoon om bepaalde gegevens te wijzigen

Tip: het kan interessant zijn om een systeem te voorzien waarbij klanten zelf hun gegevens kunnen raadplegen. 

6. WETTELIJKE GRONDSLAGEN VOOR DE VERWERKING VAN DE PERSOONSGEGEVEN

Neem je tijd om alle verschillende soorten verwerkingen die je doet te bekijken en de wettelijke grondslag ervan in kaart te brengen. De rechten van de betrokkene zijn afhankelijk van deze grondslag; moet u deze gegevens bewaren bij wet of moet u deze contractueel bewaren. Indien geen van de bovenstaande voorwaarden voldoende zijn, zal u toestemming moeten vragen. 

slot
7. PERMISSIONS

If there is no legal or contractual basis why you may collect or store certain data, you must request permission. When permission is requested, the customer may not be bothered under any circumstances if he does not provide this information. For example, normal support may not depend on this permission. In addition, permission must be denied at any time, and may not result from a "non-response", a previously ticked box is no longer allowed.A clear opt-in is required.

8. CHILDREN

If you process or store the personal data of children, develop a system whereby a parent or guardian can give permission for this. You are also required to offer your privacy statement also for children.

9. DATA LAKES & DPO

"There are two types of companies," James Comey, former head of the FBI, once said, "those who have been hacked and those who do not yet know that they have been hacked." Every organization or company will ever have to deal with it. The AVG obliges companies to develop procedures to detect, report and investigate personal data breaches. In the light of this, it is interesting to document the various forms of data that are collected and see which data would fall under the obligation to report, because not all data breaches must be reported to the privacy commission. 
It is interesting for every organization or company to develop a policy and procedure to manage data breaches. It is important to work this out properly, because if the reporting obligation is not observed, fines can be issued on top of the fine for the leak itself. 
Public authorities or companies that systematically process and observe large chunks of personal data must appoint a Data Protection Officer, yet it is also interesting for other organizations to appoint a controller who checks whether the data protection rules are being observed within your organization. In this way, you can avoid large fines as an organization if a leak occurs. This can be someone from your organization or an external party.

10. DATA PROTECTION BY DESIGN AND IMPACT ASSESSMENT

This is better known as Privacy by design and Privacy impact assessment (PIA). These procedures can be linked to organizational processes such as risk management or project management. Data security and protection thus become an important part of all companies and projects. 
Find out when you should perform this analysis. 
Determine who will perform this. 
View whether they are implemented globally or regionally.

It is mandatory to perform an impact assessment in risk situations such as when implementing or developing a new technology or when a profiling operation can have a significant impact on those involved. If the PIA indicates that the data processing involves a "high risk", you are required to seek advice from the Privacy Commission on the legality of the processing.

11. INTERNATIONAL

If you are active internationally, you must determine under which supervisory authority you fall. This usually corresponds to the location of the headquarters of your organization.

12. EXISTING CONTRACTS

Take a closer look at all your existing contracts with processors, Cloud providers and software suppliers and check whether the current contracts comply with the rules.

Tips & Tricks

MORE THAN IT

Do not forget that GDPR includes more than just IT; Paper handouts, a notebook with names or telephone lists also contain personal data and must be kept properly and securely.

SECURE YOUR PASSWORDS

Passwords are an excellent protection for sensitive data, but then you have to maintain good password hygiene. Never share your password with other people, do not write them on paper, in mail or sms. Your password is only for you. If you are forgetful, install a password management program. 
Do you still need to communicate your password for a technical intervention? Then make sure you know and trust these people or the company.Emphasize that they are not allowed to record or keep track of your password and if you want to be very sure, change your password after the intervention. 
Make sure your passwords are not too predictable. A good password must meet various conditions: do not take anything out of your privacy, this information can often be found on social media. Combine capital letters, small letters, special characters and numbers without falling into the clichés of @ for a and € or 3 for e. Sometimes it is a good idea to use a random sentence as a password.

hersenen
DO NOT GIVE INDRINGERS A CHANCE

Secure your networks and make it difficult for intruders. A good firewall and antivirus are essential. Every day all kinds of intruders try to infect your network and computers. Sometimes to steal information, sometimes to steal money and occasionally they also block your devices. 
An antivirus primarily protects your computers and is installed locally and protects you against (...). A firewall is a protection on your network and above all protects you against (...). 
Will you soon be buying new scanners, printers or laptops? Then definitely choose a safe model. Every device on your network is a path within your network. 
If you have security from Desk Solutions, and are you curious about how many threats were stopped, ask for your report.

BACKUP PLAN

Always take a backup. If something ever goes wrong, you immediately have all the information back. In addition, you immediately know which information can be at risk in the event of a leak or after the visit of an unwanted intruder. 
Desk Solutions offers an easy automatic system of backups.

THE SAFETY OF CLOUD

About ClearMedia with office 365. (is in the cloud, M manages this, M has put a lot of time and effort into it.) 
Cloud seems like the magic word of recent years. This is not without reason. The advantages of the cloud outweigh the disadvantages. In addition to an easy method and good security of your data, your data is always available. Desk Solutions always works with ClearMedia. A reliable Belgian cloud provider. Your data is always stored within the Belgian borders. 
A ClearMedia subscription is always accompanied by various licenses with Office365. Microsoft invested a lot of time to develop easy and intuitive applications that are completely GDPR-proof.