Wat is GDPR?

De Europese privacy verordening ‘Algemene verordening gegevens-bescherming’ (AVG of GDPR in het Engels) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. De GDPR is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG/GDPR in overeenstemming brengen. Zij krijgen daarvoor tot mei 2018 de tijd. Daarna mag iedereen (overheid, klanten, particulieren) organisaties (zoals bedrijven, social profit enz.) op de naleving van de GDPR aanspreken. Een onderneming kan een maximale boete krijgen van 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, waarbij de hoogste variant zal gelden.

Omgaan met GDPR in een firma of organisatie

Firma’s en organisaties houden persoonlijke gegevens bij van personen. Zij zullen verplicht zijn om die personen zo goed mogelijk te kunnen informeren over welke gegevens zij bijhouden, b.v. adres, geboorte- datum, interesse voor producten enz.

Iedere firma of organisatie moet een plan opstellen waarin wordt bijgehouden waar de informatie over personen is opgeslagen. Belangrijk hierbij is dat er een duidelijke procedure moet bestaan om informatie over een persoon volledig te wissen indien hij/zij dit wenst.

Er moet een proactief plan (een plan voor bescherming van data, het voorkomen van aanvallen en incidenten enz.) worden opgemaakt dat aantoont welke stappen ondernomen worden om de veiligheid van de data te garanderen. Hier moet ook worden beschreven welke de termijn is dat data en mails worden bijgehouden, procedures voor het melden van onregelmatigheden en spam, toegangsrechten en niveaus van toegang tot de bestanden. Dit moet verder aangevuld worden met een ‘disaster scenario’ indien er zich toch een inbreuk voordoet. Dit houdt onder andere in:

  • Preventie: men moet zo goed mogelijk aanvallen voorkomen.
  • Proactief werken: men moet op voorhand veiligheidsmaatregelen nemen tegen mogelijke aanvallen.
  • Retroactief: de aanvallen die gebeurden moeten aan de privacy-commissie gemeld worden. Alle dataverkeer moet opgeslagen worden om gebruikt te kunnen worden voor controle.

Ook informatie die wordt bijgehouden van medewerkers m.b.t. tot persoonlijke informatie, bankrekeningen, lonen, etc. moet volledig in kaart worden gebracht en opgenomen worden in de arbeidsovereenkomst. Derde partijen die over deze informatie beschikken zullen ook moeten worden genoemd (sociaal secretariaat, kinderbijslagfonds enz. Er zal ook moeten bepaald worden wat het beleid is voor gebruik van smartphones, tablets en computers die eigendom zijn van de medewerker zelf.

Er moet nagegaan worden of de tot nog toe gebruikte procedure alle rechten voorziet waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld. De GDPR voorziet volgende rechten voor de betrokkene:

  • Informatie van zijn bijgehouden persoonsgegevens.
  • Heeft deze persoon een bezwaar geuit of zijn toestemming gegeven voor directe marketingpraktijken.
  • Er zal een recht zijn op overdraagbaarheid van de gegevens. Hoe zullen de gegevens van de klant worden meegedeeld aan de klant, b.v. in XLSX- of Pdf-formaat enz.?

Het is nu nog een goede periode om de procedures om dit te verwezenlijken op te stellen en toe te passen. De procedures zullen moeten conform zijn met de normen van de GDPR-wetgeving. Daarbij zullen toegangsverzoeken tot gegevens en een antwoord aan de betrokken persoon binnen de 30 dagen na het verzoek moeten beantwoord worden.

Wanneer een betrokkene zijn gegevens opvraagt zal ook bijkomende informatie moeten verschaft worden, zoals de termijn gedurende dewelke de informatie bijgehouden wordt. Ongegronde of overmatige verzoeken kunnen aan de klant worden aangerekend of kunnen geweigerd worden, de procedure moet daarop voorzien zijn.

De verantwoordelijke van een organisatie, b.v. een bestuurder, moet op de hoogte zijn van deze nieuwe belangrijke wetgeving. Hij of zij moet de gevolgen hiervan kunnen inschatten en aanwijzen welke domeinen vandaag een probleem kunnen zijn in functie van de wetgeving. Zij moeten de nodige maatregelen treffen om de GDPR-richtlijnen te implementeren. Het is belangrijk om de medewerkers zo snel mogelijk te informeren aangezien de nieuwe wetgeving snel haar intrede zal doen, in mei 2018.

Wat te doen?

NetworkX voorziet een opleiding van 3 uur voor verantwoordelijken van bedrijven en/of organisaties. Na deze opleiding wordt een GDPR-traject gestart met een sessie waarin alle problemen i.v.m. GDPR worden in kaart gebracht en de problemen worden aangeduid. Vooraleer een organisatie persoonsgegevens verzamelt, moet men aan de rechten van de gebruiker (zo staat het in de GDPR) voldoen. Er moet toestemming gevraagd worden aan de gebruiker om zijn of haar gegevens bij te houden. De gebruiker moet het recht hebben om zich te verzetten tegen het verwerken van zijn of haar gegevens voor doeleinden als businessprospectie en de promotie van producten of diensten. De gebruiker moet zijn of haar gegevens kunnen verbeteren, verwijderen en zelfs kunnen vragen de gegevensverwerking te beperken.

In het GDPR-traject wordt ook een sessie van 8 uur voorzien, al dan niet gespreid over meerdere dagen, waarin de stroom van gegevens geanalyseerd wordt en tot een dataregister wordt verwerkt. In dit register moet kunnen aangetoond worden welke persoonsgegevens worden bijgehouden en met welke partijen deze gedeeld worden. In dit traject wordt ook een procedure en protocol opgesteld om het ter beschikking stellen van persoonlijke gegevens indien een gebruiker deze opvraagt. In deze sessie worden de rechten van de betrokkene telkens afgewogen met de procedures en protocollen die worden opgesteld.