Databeveiliging (GDPR) & DPO

Home 9 Diensten 9 IT Services 9 Databeveiliging (GDPR) & DPO

General Data Protection Regulation (GDPR).

Sinds 25 mei 2018 is de GDPR of de Algemene Verordening Gegevensbescherming (AVG) van kracht. De nieuwe privacy wetgeving heeft als voornaamste doel burgers/betrokkenen meer controle te geven over de manier waarop hun persoonsgegevens door organisaties verwerkt worden.

De wetgeving legt hiervoor heel wat spelregels op die uw organisatie moet volgen van zodra persoonsgegevens worden verzameld. Met persoonsgegevens wordt alle informatie bedoeld waardoor iemand geïdentificeerd kan worden: naam, adres, telefoonnummer, leeftijd, e-mailadres, foto, bankrekeningnummer, medisch verslag, enz.

Bovendien mogen bepaalde persoonsgegevens, meer specifiek ‘gevoelige gegevens’, enkel in bepaalde omstandigheden worden verwerkt. Indien er gevoelige gegevens worden verwerkt, dienen deze extra te worden beschermd. Het gaat dan bijvoorbeeld om gegevens m.b.t ras, etnische afkomst, politieke opvattingen, religieuze overtuiging of lidmaatschap van een vakbond. Ook gegevens over gezondheid, seksueel gedrag, seksuele gerichtheid of strafrechtelijke veroordelingen behoren tot deze categorie.

Met andere woorden, de impact van de wetgeving voor uw organisatie wordt voornamelijk bepaald door de mate waarin persoonsgegevens worden verwerkt (verzamelen, structureren, opslaan, wijzigen, raadplegen, doorsturen, verspreiden of wissen van persoonsgegevens).

DPO As-a-Service

Sommige organisaties moeten of wensen beroep te doen op een Data Protection Officer (DPO), ook wel de Functionaris Gegevensbescherming genoemd. De DPO houdt toezicht op de toepassing en naleving van de GDPR wetgeving. De DPO dient onafhankelijk te zijn en wordt om die reden vaak uitbesteed.

Wat als ik niet GDPR compliant ben?

Organisaties die niet voldoen aan de GDPR kunnen boetes krijgen tot 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro. Naast de financiële gevolgen krijgt ook de reputatie van uw organisatie een stevige deuk.

Het is de Gegevensbeschermingsautoriteit (GBA) die als onafhankelijk orgaan erop toeziet dat de grondbeginselen van de bescherming van de persoonsgegevens correct worden nageleefd.

Een organisatiebrede oplossing

Data privacy is geen uitsluitend juridisch verhaal, maar moet organisatiebreed worden aangepakt met niet enkel de nodige aandacht voor de beveiliging (Security) van uw bedrijfskritische data (en dus ook persoonsgegevens), maar ook voor de procedures rond de verwerking van deze data en de nodige bewustwording, kennis en expertise van uw medewerkers.

Hierbij vindt u een eenvoudig voorbeeld:

uw HR afdeling verzamelt persoonsgegevens en u bewaart deze gegevens op een lokale server of in een ‘Cloud’-omgeving.

De wetgeving vereist onder meer dat u op een transparante wijze communiceert waarom u bepaalde gegevens bewaart en dat u niet méér informatie mag verwerken dan nodig.

Bij het verwerken van deze gegevens dient u de nodige security maatregelen te voorzien om datalekken te voorkomen. Indien er zich toch een incident zou voordoen, moet u over de juiste procedures beschikken om de betrokkenen en de autoriteiten tijdig op de hoogte te kunnen stellen.

Medewerkers moeten zich zowel voldoende bewust zijn van het belang dat niet alle persoonsgegevens zomaar verwerkt kunnen worden, als van de procedures om adequaat te handelen in geval van een datalek.

Belangrijke stappen in databeveiliging

De eenvoud van het bovenstaande voorbeeld maakt het duidelijk waarom een organisatiebrede aanpak noodzakelijk is en welke belangrijke stappen genomen moeten worden:

1. Informeer
Informeer sleutelfiguren binnen uw organisatie over de regels rond verwerking van persoonsgegevens.

2. Inventariseer
GDPR vraagt uw onderneming om een register van verwerkingsactiviteiten op te zetten. Inventariseer uw persoonsgegevens en registreer de verwerkingsprocessen van deze gegevens:

  • Welke gegevens worden bewaard (naam, adres, leeftijd,..)?
  • Waar komen deze gegevens vandaan?
  • Waarvoor worden deze gegevens gebruikt?
  • Waar worden deze gegevens bewaard en hoe lang?
  • Met wie worden deze gegevens gedeeld?

3. Evalueer de maatregelen
Op basis van de inventaris kan u vervolgens nagaan of er voldoende veiligheidsmaatregelen worden genomen om datalekken te voorkomen.

Een belangrijk aspect hierbij zijn de IT security maatregelen die geëvalueerd moeten worden. Met andere woorden: worden de gegevens voldoende beveiligd?

Ga ook na of u verplicht bent een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is het geval indien een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen van wie de gegevens binnen uw organisatie worden verwerkt.

Andere vragen die gesteld moeten worden zijn onder meer:

  • Verwerken we enkel de noodzakelijke gegevens?
  • Hebben we een wettelijke grond om de gegevens te verwerken?
  • Worden gegevens niet te lang bewaard voor het doel waarvoor ze worden verwerkt?
  • Worden betrokkenen hierover voldoende geïnformeerd?

Identificeer vervolgens ook de nodige acties die nog genomen moeten worden om aan bepaalde veiligheidsrisico’s tegemoet te komen.

4. Procedures
GDPR vraagt uw organisatie om te voorzien in procedures die tegemoet komen aan de rechten waar de betrokkenen zich op kunnen beroepen. Dit gaat onder meer over het behandelen van verzoeken tot inzage van persoonsgegevens, het elektronisch meedelen van gegevens, het verwijderen van gegevens enzovoort, maar evengoed over procedures om datalekken te identificeren, onderzoeken en rapporteren.

Hoe kunnen wij u helpen?

Een organisatiebrede aanpak vraagt ook een multidisciplinaire aanpak. Onze teams bestaan dan ook steeds uit experten in IT-beveiliging en Data Privacy.

  • GDPR Audit: dit is eerder een ‘nulmeting’ waarbij de huidige situatie in kaart wordt gebracht en waarbij geëvalueerd wordt in welke mate u (niet) compliant bent met de GDPR wetgeving. Op basis van de audit worden concrete aanbevelingen geformuleerd om de ‘compliance gaps’ te kunnen dichten.
  • Data Protection Officer (DPO): volledig uitbesteed of in ondersteuning van de interne DPO.
  • Data Protection Impact Assessment (DPIA): wij adviseren u of een DPIA al dan niet aangeraden is en ondersteunen u bij de uitvoering hiervan.
  • GDPR implementatie: wij ondersteunen u bij het uittekenen van een roadmap met acties en projecten om conform te zijn met GDPR. Wij kunnen u eveneens ondersteunen bij het uitvoeren van de controlemaatregelen (organisatorisch, IT-technisch, juridisch).

 

Uw expert

gorik van den bergh

Gorik Van den Bergh

Nieuws

GDPR uitdagingen anno 2022

Meer dan vier jaar na het in werking treden van de nieuwe GDPR-wetgeving of Algemene Verordening Gegevensbescherming (AVG) worstelen nog heel wat bedrijven met het beheer en de...

Lees meer