Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (GDPR) van kracht. Deze nieuwe Europese ‘privacywet’ moest ervoor zorgen dat de wetgeving aangepast werd aan de nieuwe uitdagingen bij het verwerken van persoonsgegevens. Sinds kort draait de gegevensbeschermingsautoriteit (GBA) – de vroegere ‘privacycommissie’ – op volle kracht. Zij toont meteen haar tanden door verschillende boetes uit te schrijven. Deze vormen nog maar het begin en gaan als een schokgolf door het privacylandschap. Hoe je ze vermijdt, lees je in dit artikel:
Juist persoonsgegevens verwerken: de basis
Idealiter verwerk je gewoon geen persoonsgegevens dus ga eerst na of het absoluut noodzakelijk is. Zo ja, beperk je dan tot het minimum en hou ze niet langer bij dan nodig (tenzij wettelijk verplicht). Beveilig deze data bovendien gepast: gevoelige gegevens zoals medische dossiers beveilig je grondiger (duurder) dan eenvoudige persoonsgegevens (namen, adressen…) van je lokale vereniging. De recent uitgeschreven boetes vielen over de rechtmatige verwerking van gegevens dus dat verdient zeker ook de aandacht.
De betrokkenen waarvan je persoonsgegevens verwerkt moeten namelijk op voorhand weten wat je met hun data gaat doen zodat ze gepaste keuzes kunnen maken. Bespreek dit transparant in je privacy policy of specifieke delen van een overeenkomst. Vergeet ook niet dat jij verantwoordelijk bent voor andere organisaties die persoonsgegevens verwerken voor jou (in de GDPR-definities zijn dit “verwerkers”).
Inspectie van de GBA? Wat moet je kunnen voorleggen?
Meestal vereist de GDPR een register van verwerkingsactiviteiten. Dat is een actueel en volledig overzicht van alle verwerkingen van persoonsgegevens, zoals het inzamelen, sorteren en berekenen. Dat vergt veel tijd aangezien je het hoe en waarom van elke verwerking in vraag dient te stellen. Je kan hiervoor beroep doen op bepaalde tools of consultancybedrijven om dit proces te versnellen en te verbeteren. Daarnaast dien je per verwerkingsactiviteit een aantal metadata bij te houden zoals de verwerkingsdoeleinden en bewaartermijnen én moet dit register waarheidsgetrouw zijn. Bij onvolmaaktheden maak je een verbeterplan op. De GBA verkiest goede intenties en proactiviteit boven vast te stellen dat de realiteit niet overeenstemt met je register.
Je moet verder ook te allen tijde kunnen tonen dat je transparant bent en hoe je dit doet, omschrijf je best op je website, in de algemene voorwaarden, overeenkomsten, een inschrijvingsdocument … Kom deze beloftes zeker na.
Nieuw in de GDPRis de gegevensbeschermingseffectbeoordelingof DPIA (Data Protection Impact Assessment) die je moet opstellen bij bepaalde verwerkingen met een hoger risico voor de betrokkene. Dit document motiveert en documenteert de zo klein mogelijke impact op de privacy van de betrokkenen voor de beoogde verwerking alsook de maatregelen die je hiervoor neemt. De GBA kan dit ook opvragen. Je kan altijd een beroep doen op gespecialiseerde bureaus om zulke DPIA’s op te stellen of na te lezen.
Doe de GBA een plezier
Scoren bij de GBA doe je vooral door het hebben van richtlijnen rond volgende topics:
- Rechten van de betrokkenen: Hoe organiseer ik me als betrokkenen mij vragen hoe ik omga met het recht van inzage, rectificatie, wissen van gegevens, overdraagbaarheid …? De termijnen waarbinnen je antwoordt en hoe je hieraan praktisch tegemoet komt zijn essentieel.
- Inbreuken met persoonsgegevens (data breaches): Houd de medewerking door het personeel gescheiden van het beheer van een effectieve inbreuk. Motiveer je medewerkers om vroegtijdig incidenten die mogelijk tot een inbreuk leiden meteen te melden. In een lijst hou je dan alle incidenten met persoonsgegevens bij en waarom deze al dan niet tot een effectieve inbreuk hebben geleid.
Informeer je medewerkers
Elke schakel in je organisatie die met persoonsgegevens in aanraking komt, moet zijn rol kennen. Geef iedereen (dus ook jobstudenten en stagiairs) een vorming met de juiste richtlijnen. Dit kan in groep maar ook via e-learning of bijvoorbeeld een quiz op het intranet. Hou bovendien bij wie die deze vorming kreeg, herhaal ze periodiek en toon deze lijst spontaan aan de GBA. Bij een bezoek hebben ze het recht om te polsen naar de kennis van je medewerkers.
Nog niets gedaan? Minimumvereisten voor een GBA-bezoek
Als het snel moet gaan, huur je best een specialist in om een minimale goede indruk te maken op de GBA. Zij helpen je met volgende zaken die absoluut vereist zijn:
- Volledig en waarheidsgetrouw register + verbeterplan
- De nodige DPIA’s (Data Protection Impact Assessment)
- Lijst van opgeleide medewerkers
- Lijst van vragen van betrokkenen + antwoorden
- Lijst van alle incidenten + mogelijke inbreuken
- Lijst van verwerkers + hun contracten
- Een privacy policy
Privacybewust werken vraagt constante aandacht
Aandacht hebben voor het voorgaande in de maanden voor of na mei 2018, betekent niet dat je op je lauweren mag rusten. Alle moeite kan tevergeefs zijn als documenten verouderd of niet meer waarheidsgetrouw zijn. Het register vereist dus constante aanpassingen aan de reële situatie, bijvoorbeeld na nieuwe beveiligingsmaatregelingen of een mogelijke inbreuk. Je monitort best alle eerder genoemde documenten en zorgt dat de organisatie doordrenkt is van de keuzes rond een correcte verwerking van persoonsgegevens.
Gezien de GBA met zijn inspectiedienst een versnelling hoger is geschakeld, zijn inspanningen zeker aan de orde. Deed je nog niets, is het mogelijk te laat. Voor zij die al redelijk in orde zijn is permanent updaten en onderhouden van register, lijsten en policies de sleutel tot het vermijden van klachten en boetes. Veel succes!
Dit is een ingezonden bijdrage van Bavo Van den Heuvel, Chief Knowledge Officer bij CRANIUM Belgium NV. Via deze link vind je meer informatie over de diensten van het bedrijf.