Tips om uw organisatie nog snel klaar te stomen vóór de inwerkingtreding van de GDPR: Deel 2

In het vorige deel gaven we u de eerste 5 tips om uw organisatie klaar te stomen voor de inwerkingtreding van de GDPR. Hieronder vindt u de laatste 5.

Tip 6: Check of je gegevens verwerkt of laat verwerken buiten de EU!

Als je gegevens verwerkt of laat verwerken buiten de EU (bv. u maakt gebruik van een back-up server in de VS) dan gelden een aantal extra verplichtingen.

Binnen de EU is er vrij verkeer van persoonsgegevens omdat in elke lidstaat dezelfde rechten worden gegarandeerd voor de betrokkenen. Bij doorgifte aan niet EU-landen geldt dat dit slechts kan op voorwaarde dat een passend beschermingsniveau gewaarborgd wordt. Er moeten dus garanties bestaan dat de betrokkene over gelijkwaardige rechten beschikt als op de plaats van verwerking binnen de EU.

Ga dus zeker na of u al dan niet gegevens doorstuurt naar bedrijven buiten de EU. Doorsturen kan zowel rechtstreeks bv. de hoofdvestiging van uw bedrijf bevindt zich buiten de EU en alle gegevens van de filialen worden automatisch daar naartoe gestuurd, als onrechtstreeks bv. u gebruikt een cloud provider en hebt niet voor opslag in een bepaalde regio gekozen waardoor uw gegevens waarschijnlijk ook wel ergens buiten de EU zullen opgeslagen worden.

Stuurt u effectief gegevens door buiten de EU? Dan moet u nagaan of er op de plaats van bestemming voldoende garanties bestaan voor de privacy van de betrokkene. Als dat niet het geval is dan moet er eerst met het bedrijf in kwestie passende afspraken gemaakt worden vooraleer de transactie van gegevens plaats kan vinden.

Meer details over de specifieke procedures & manieren waarop die garanties moeten gewaarborgd worden, vindt u op de website van de Privacy Commissie

Tip 7: Maak werk van "privacy by design" en "privacy by default"!

"Privacy by design" en "privacy by default" zijn ongetwijfeld de meest in het oog springende buzzwoorden uit de GDPR. Maar wat betekenen ze nu eigenlijk?

Privacy by design

"Privacy by design" wil zeggen dat reeds bij de ontwikkelingsfase van nieuwe producten en diensten gekeken wordt hoe de bescherming van persoonsgegevens zo goed mogelijk gegarandeerd kan worden. Het uitgangspunt hierbij moet dataminimalisatie zijn.

Tijdens het ontwikkelingsproces dient u zich de volgende vragen te stellen: Heb ik die persoonsgegevens echt nodig voor mijn product of dienst? Zo ja, hoe kan ik die gegevens zo adequaat mogelijk beveiligen? Kan ik de bescherming verhogen door de persoonsgegevens maar gedurende een beperkte termijn te verwerken?

Privacy by default

"Privacy by default" maakt onderdeel uit van "privacy by design". De standaardinstellingen van een product of dienst dienen altijd zo ingesteld staan zodat de privacy van de betrokkenen maximaal beschermd is.

Voorbeeld

Dit kan duidelijk geïllustreerd worden met bv. de instellingen van een profiel op een sociaal netwerk. De standaard optie mag nooit zijn dat de gegevens per definitie openbaar zijn. Net omgekeerd, ze moeten zo ingesteld staan dat het profiel zo goed als mogelijk wordt afgeschermd. Enkel als de betrokkene er ondubbelzinnig mee instemt kan het profiel openbaar gemaakt worden.

Implementatie

Hoe implementeert u dit in uw onderneming? Net zoals met het algemene privacy beleid hangt alles af van de mate waarin uw medewerkers bewust zijn van deze concepten.
 
Probeer een aantal vuistregels op te lijsten en voor te stellen in een schema of flow chart. Zorg ervoor dat dit goed wordt verspreid binnen elke afdeling die instaat voor de ontwikkeling van nieuwe producten, diensten en/of interne procedures waarbij persoonsgegevens verwerkt worden.

Als voor de ontwikkeling van producten en diensten gewerkt wordt op basis van projectmanagement dan kan privacy by design/default ook ingepast worden in de project flow. Net zoals u checkt of het project financieel haalbaar is, geen juridische obstakels oplevert of haaks staat op het veiligheidsbeleid, kan u bij aanvang van elk project een privacy evaluatie maken.  

Tip 8: Check uw overeenkomsten met leveranciers!

U werkt ongetwijfeld samen met een aantal vaste leveranciers en onderaannemers wiens diensten u gebruikt. Het is belangrijk dat u onderzoekt in welke mate er sprake is van verwerking van persoonsgegevens bij deze samenwerking. Treedt u op als verwerkingsverantwoordelijke en is de leverancier een verwerker? Dan moet u een zogenaamde verwerkingsovereenkomst afsluiten met deze leverancier.

Grotere bedrijven kunnen zich moeilijk veroorloven om niet in orde te zijn met de verplichtingen van de GDPR en zullen wellicht ook zelf de nodige maatregelen nemen. Bij kleinere partijen die u gebruikt als leverancier of onderaannemer zijn de risico's groter. Daar doet u dus best aan om zelf het nodige initiatief te nemen.

Als u nood hebt aan een model voor de verwerkingsovereenkomst, check dan het nieuwe addendum van uw registrarovereenkomst met DNS Belgium.

Tip 9: Bereid u voor op een datalek!

Eerst het slechte nieuws. De kans dat u ooit geconfronteerd wordt met een datalek in uw bedrijf is vele malen groter dan de kans dat dit nooit gebeurt. Als een datalek het gevolg is van een te lakse houding of te onvoorzichtig omgaan met persoonsgegevens dan kan dit nog een bijzonder kwalijk staartje krijgen.

In tegenstelling tot individuele klachten van betrokkenen, gaat het hier vaak om onvrijwillige blootstelling van een groot aantal persoonsgegevens. De schade voor de betrokkenen is hier dan ook veel groter.  De verwachting is dat de DPA's hier zeer alert voor zullen zijn.

Maak dus zeer zeker werk van een "rampenplan" met betrekking tot datalekken. Dat rampenplan is zowel preventief als curatief en heeft als doel dat uw medewerkers weten wat te doen in geval van een datalek.

In tegenstelling tot de regels inzake privacy by design/default zijn de regels inzake datalekken niet enkel van toepassing op de verwerkingsverantwoordelijke maar ook op de verwerker.

Bedrijven die voldoende aandacht besteden aan de concepten van privacy by design/default, zullen automatisch reeds een preventief beleid voeren met betrekking tot datalekken. Daarnaast is het ook belangrijk om te weten wat te doen wanneer er zich toch een incident voordoet.

Hou er ook rekening mee dat het begrip datalek zeer strak werd gedefinieerd. Het versturen van een email naar de verkeerde respondent of het verliezen van een USB-stick waar persoonsgegevens op staan, zijn reeds voldoende om van een datalek te spreken.

Wat te doen in geval van een datalek?

Gelukkig moet niet voor elk incident een hele reeks aan maatregelen getroffen worden. Enkel wanneer de inbreuk een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen moet een bepaald stramien gevolgd worden.

Dit stramien omvat het volgende:

  • Melding van het datalek binnen 72 uur na detectie;
  • Melding aan de Privacy commissie wanneer er risico's zijn voor de betrokken natuurlijke personen;
  • Melding aan de betrokkenen zelf wanneer er hoog risico is met betrekking tot hun rechten en vrijheden inzake privacy;
  • Beschrijving van de aard van de inbreuk en de categorie van persoonsgegevens die werden gelekt;
  • Contactgegevens van de verwerkinsgverantwoordelijke/verwerker (bv. gegevens van de DPO);
  • De gevolgen of te verwachten gevolgen van het datalek;
  • De genomen of voorgestelde maatregelen om nieuwe inbreuken te vermijden en/of de gevolgen van de inbreuk te beperken.

Tip 10: Hou rekening met de rechten van de betrokkenen!

De natuurlijke personen wiens gegevens u verzamelt, hebben een aantal fundamentele rechten die ze in het kader van de GDPR makkelijker kunnen opeisen dan vroeger.

Veel van die rechten bestaan reeds onder de huidige wetgeving maar werden tot voor kort wat stiefmoederlijk behandeld. De GDPR zal deze balans stevig doen omslaan in het voordeel van de betrokkene wiens gegevens worden verwerkt.

Om het kort en krachtig in beeld te brengen: de gegevens die u verzamelt, worden niet "uw" eigendom maar blijven steeds onder de controle van de betrokkene. Deze bepaalt of u de gegevens nog mag blijven gebruiken, heeft recht van inzage en verbetering, kan u vragen om deze gegevens te verwijderen enz.

Zorg er voor dat u bent voorbereid om te reageren op specifieke verzoeken vanwege de personen wiens gegevens u verwerkt. De kans dat uw nationale DPA zomaar een onderzoek opstart naar aanleiding van uw verwerkingsactiviteiten is zeer klein. Dergelijk onderzoek zal veel waarschijnlijker het gevolg zijn van een specifieke klacht bij de DPA vanwege iemand wiens gegevens u verwerkt. Stel dat iemand u verzoekt de gegevens mee te delen die u van deze persoon verwerkt en u laat na om op dit verzoek in te gaan. De kans is bestaat dat die persoon hier in de toekomst geen genoegen mee neemt en de zaak aankaart bij uw nationale DPA. Deze kan dan een onderzoek instellen. 

Welke zijn de fundamentele rechten waarmee u rekening moet houden?

De voornaamste zijn de volgende:

  • Recht op inzage en mededeling: de betrokkene mag u steeds vragen welke gegevens u van hem/haar verwerkt, met welke doeleinden, hoe lang die gegevens bewaard worden, aan wie die gegevens doorgestuurd worden, enz.
  • Recht op verbetering: de betrokkene mag u steeds verzoeken om onvolledige of onjuiste gegevens te corrigeren.
  • Recht op vergetelheid (right to be forgotten): de betrokkene mag u verzoeken om zijn gegevens te wissen indien deze niet langer nodig zijn voor de doeleinden van de verwerking. Dit geldt ook wanneer de betrokkene zijn toestemming voor de verwerking intrekt of wanneer de gegevens onrechtmatig werden verkregen.
  • Recht op overdraagbaarheid van gegevens: de betrokkene heeft in bepaalde omstandigheden recht om zijn persoonsgegevens te verkrijgen in een vorm die toelaat om die door te geven aan een andere verwerkingsverantwoordelijke.
  • Recht van bezwaar: betrokkene kan bezwaar aantekenen tegen het gebruik van zijn gegevens voor bepaalde doeleinden, vooral direct marketing.   

De betrokkene kan deze rechten inroepen tegen de verwerkingsverantwoordelijke (data controller) niet tegen de verwerker (data processor). Voor meer info over het onderscheid tussen controller en processor verwijs ik graag naar het vorige artikel uit deze reeks.
      

 

server

Een programma of computer die diensten verleent aan andere computerprogramma’s en hun gebruikers.

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.