GDPR uitdagingen anno 2022

Meer dan vier jaar na het in werking treden van de nieuwe GDPR-wetgeving of Algemene Verordening Gegevensbescherming (AVG) worstelen nog heel wat bedrijven met het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. De GDPR blijft voor velen een complexe materie waarvan de regels in sommige gevallen niet of slechts ad hoc wordt toegepast.

Mogelijk heeft u reeds een aantal stappen ondernomen, maar bent u niet zeker of de genomen maatregelen voldoende én GDPR compliant zijn? Of ervaart u moeilijkheden om de nodige wijzigingen effectief binnen uw organisatie door te voeren?

Geen nood, op onze website vindt u alle informatie over hoe wij u hierbij eventueel kunnen helpen. Onze GDPR en DPO expert, Yves Carlier, licht op basis van zijn recente ervaringen en inzichten enkele GDPR uitdagingen toe waarmee bedrijven vandaag geconfronteerd worden.

1. Regelgeving

Omdat elke EU lidstaat een eigen wetgevend kader kan opzetten, is het voor sommige bedrijven een uitdaging om up to date te blijven met de regionale en nationale wetgevingen die werden uitgewerkt ter ondersteuning van de algemene GDPR verordening en hun scope: de nationale gegevensbeschermingsautoriteit (GBA), de vlaamse toezichtscommissie (voor de Vlaamse bestuursinstanties) etc.

Sinds het EU-VS Privacy Shield als basis voor het verwerken van persoonsgegevens door niet-Europese organisaties zoals Google, Amazon, Microsoft, Barracuda, MailChimp, … ongeldig werd verklaard, dient men terug te vallen op de Standard Contractual Clauses (SCC). Ook voor de minder bekende dienstverleners dient men er zich van te vergewissen dat deze SCC’s aanwezig zijn en dat een versie wordt bijgehouden in het eigen dossier.

Het toezicht van de afgelopen jaren van nationale toezichthouders en uitspraken en arresten van binnenlandse en buitenlandse rechtbanken, schept langzamerhand meer klaarheid in de soms vage formulering van de regelgeving. Een meer duidelijke, en in de praktijk vaak striktere, interpretatie van de regels kan aanleiding geven tot noodzakelijke aanpassingen aan of het nemen van bijkomende maatregelen. Om een voorbeeld te geven: volgend op één van de recente uitspraken van het EHJ, kunnen organisaties bij het gebruik van Cloud Service Providers niet enkel en alleen steunen op de SCC van de Europese Commissie, maar dient tevens een case-by-case risk assessment te worden uitgevoerd en gedocumenteerd.

2. Middelen: beperkte resources

Door de krappe arbeidsmarkt wordt het voor bedrijven nog moeilijker om de nodige expertise aan te trekken ter ondersteuning bij het uitvoeren, opvolgen en bijsturen van de processen voor de verwerking van persoonsgegevens, inclusief de review van procedures, de review van de registratie van records en de evaluatie van technische beveiligingen zoals toegangscontrole.

3. Marketing: beperkt gebruik persoonsgegevens

Samen met een (verwachte) vertraagde economische groei wordt tevens de druk verhoogd om meer marketing gerelateerde initiatieven op te zetten (evenementen, nieuwsbrieven,..). De verzameling van persoonsgegevens werd bij de start echter niet altijd opgezet met het doel om aan marketing te doen. Dit betekent dan ook dat de nodige formele toestemming niet altijd werd bekomen om deze personen aan te schrijven binnen de marketingcampagnes. Organisaties kunnen daarom genoodzaakt worden om processen bij te sturen en nieuwe procedures en controlemaatregelen te voorzien.

4. DPO: Aantonen van de meerwaarde van de functie van DPO voor de organisatie

Als verwerkingsverantwoordelijke of als verwerker zal u pas een DPO moeten aanstellen indien u hoofdzakelijk belast bent met verwerkingen die, vanwege hun aard, hun omvang en/of doeleinden, regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.

De DPO wordt echter soms gezien als een noodzakelijke compliance functie, of er worden slechts beperkte resources (tijd, middelen) ter beschikking gesteld. Het vormt vaak een uitdaging om in de rol van DPO ook een “challenger” te kunnen zijn bij de uitrol/uitwerking van nieuwe toepassingen, processen, procedures, outsourcing, …

Zelfs wanneer een Data Protection Officer (DPO) geen verplichting is, stellen sommige bedrijven een DPO aan. De DPO zal zelden een full time functie zijn en vraagt ook de nodige expertise; bedrijven kiezen er daarom ook vaak voor om deze functie uit te besteden.

De 6 basisprincipes van GDPR

Ter herinnering, de zes basisprincipes kort geschetst:

1. Rechtmatigheid, eerlijkheid en transparantie
Persoonsgegevens worden verwerkt in functie van een bepaald (verwerkings)doel. Deze verwerkingsdoelen (vb. om een nieuwsbrief uit te sturen) worden gelinkt aan één van de zes grondslagen (toestemming, wettelijke verplichting, uitvoering van de overeenkomst, etc.) voor een wettelijke verwerking van persoonsgegevens. Dit slaat op de ‘rechtmatigheid’.

Transparantie en eerlijkheid zijn nauw aan elkaar verbonden: van zodra u gegevens verzamelt, dienen de betrokkenen hierover op een transparante wijze te worden geïnformeerd. Communiceer beknopt, transparant en begrijpelijk over welke persoonsgegeven worden verzameld, voor welke doelstellingen deze persoonsgegevens zullen worden verwerkt, hoe lang deze persoonsgegevens bewaard worden, wie er toegang tot heeft en wat de rechten van de betrokkene zijn alsook hoe deze rechten kunnen worden uitgeoefend.

2. Integriteit en vertrouwelijkheid
“Persoonsgegevens moeten, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer ook beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, of beschadiging.”

Kortom, neem de gepaste technische (vb. tweestapsverificatie, encryptie,…) en organisatorische maatregelen (beveilig de toegang tot de serverruimte).

3. Verantwoordelijkheid
De verwerkingsverantwoordelijke draagt de belangrijkste verantwoordelijkheden. Dit is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.

Verantwoordelijkheden moeten duidelijk zijn en de genomen beslissingen en maatregelen dienen ook te worden aangetoond.

4. Accuraatheid
Rekening houdend met verwerkingsdoeleinden dienen persoonsgegevens accuraat en actueel te zijn, m.a.w. er dienen maatregelen te worden voorzien om indien nodig de data te corrigeren.

5. Data minimalisatie
Dit houdt in dat je als organisatie niet méér gegevens mag verzamelen dan strikt noodzakelijk voor het beoogde doel.

6. Retentie
Volgens de AVG mogen persoonsgegevens niet langer bewaard worden dan nodig voor het bereiken van de doeleinden waarvoor ze worden verwerkt.

Voor meer informatie, klik hier

Of contacteer ons vrijblijvend: info@callens.be

Yves Carlier
Senior IT Auditor and GDPR expert

Gorik Van den Bergh
IT Audit Director

Bereik je doelstelling dankzij onze diensten

Audit

Tax

Accounting and Reporting

IT Services

q

Risk Management

Corporate Finance

Uw expert

gorik van den bergh

Gorik Van den Bergh