Home > Nieuws > Wat betekent GDPR voor de IT van jouw bedrijf?
Filter nieuws op:

Nieuwsbrief

Wat betekent GDPR voor de IT van jouw bedrijf?

Wat betekent GDPR voor de IT van jouw bedrijf?

De Algemene Verordening Gegevensbescherming, beter bekend als GDPR, legt regels op voor het verwerken en bewaren van persoonsgegevens in bedrijven. De ICT-verantwoordelijke speelt bij de naleving een cruciale rol. 

 

De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die dezelfde waarde heeft als een Belgische wet. Ze legt regels op voor de bescherming van persoonlijke gegevens en privacy van EU-inwoners.

Alle bedrijven die persoonlijke gegevens verwerken en bewaren, moet zorg dragen voor de beveiliging van die gegevens

In elke lidstaat is er een Gegevensbeschermingsautoriteit (GBA, de vroegere Privacycommissie) die toeziet op de naleving van de AVG. Bij inbreuken kan de GBA boetes opleggen. En dat gebeurt ook effectief: 

 

Wat zijn persoonsgegevens?  

Onder persoonsgegevens vallen alle gegevens waarmee natuurlijke personen geïdentificeerd kunnen worden zoals naam, geboortedatum, telefoonnummer,…

In een bedrijf zal het vooral gaan om gegevens van klanten en medewerkers, maar ook toegangsbeveiliging met badges of nummerplaatherkenning of camerabewaking vallen onder de GDPR.  

Een bedrijf mag dergelijke gegevens verzamelen, maar de betrokkene moet daarvoor toestemming geven.

De gegevens mogen bovendien alleen gebruikt worden voor het doel waarvoor ze verzameld werden, en mogen niet langer worden bewaard dan noodzakelijk. 

 

Gegevens in kaart 

  1. De eerste stap is nauwkeurig nagaan welke gegevens in uw bedrijf verzameld worden en hoe die gebruikt worden.
  2. Praat met de verschillende afdelingen (sales, marketing, HR, boekhouding, …) over welke gegevens zij nodig hebben en hoe zij die verwerken. Dit is meteen de kans om na te gaan of dezelfde gegevens niet dubbel ingezameld of verwerkt worden.
  3. Spreek procedures af om de gegevens te beheren en aan te passen.  
  4. Een belangrijk principe van de GDPR is dat personen het recht hebben om inzage te krijgen in gegevens die over hen bewaard worden, en deze kunnen laten aanpassen en in bepaalde gevallen zelfs laten verwijderen.
  5. Leg ook hiervoor procedures vast.  

 

Maak een register 

De GDPR verplicht bedrijven om een register van verwerkingsactiviteiten bij te houden. In principe moeten bedrijven met minder dan 250 werknemers dat niet, tenzij de verwerking regelmatig gebeurt. Dat is bijvoorbeeld het geval voor een klantenbestand, personeelsgegevens… Ook voor kleinere ondernemingen is een register van verwerkingsactiviteiten dus nodig. 

Het register bevat een overzicht van de verwerkingsactiviteiten en moet onder meer de volgende informatie vermelden: de naam en contactinformatie van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de soorten van persoonsgegevens, de ontvangers van de persoonsgegevens, de bewaartermijn en indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen.

Het register mag op papier of elektronisch bijgehouden worden. Op de website van de GBA vindt u een model

 

Bekijk de ICT 

De volgende stap is om na gaan welke ICT-infrastructuur gebruikt wordt voor de gegevensverwerking.

  • Welke servers en systemen bevatten persoonsgegevens ?
  • Welke databanken en toepassingen worden gebruikt?
  • Hoe zijn deze beveiligd?

Het spreekt vanzelf dat gegevens zo beveiligd moeten worden dat ze niet in verkeerde handen vallen.

Dat geldt zowel voor externe partijen – u wil niet dat hackers met je klantenbestand aan de haal gaan – als intern: alleen bevoegde personen mogen toegang hebben tot persoonsgegevens. 

Kijk ook uit voor ‘Shadow IT’, dat zijn IT-systemen en toepassingen die door gebruikers zelf binnengebracht worden. Denk aan het gebruik van messenger-apps in plaats van e-mail, of aan een salesmedewerker die ‘voor het gemak’ de gegevens van zijn klanten op een onbeveiligde usb-stick meeneemt. 

 

Wat bij een datalek? 

Een bedrijf moet ook een procedure hebben om inbreuken in verband met persoonsgegevens (een datalek of data breach genoemd) te melden.

Een datalek kan vele vormen aannemen. Denk bijvoorbeeld aan een verloren of gestolen laptop of usb-stick, een hacker die klantengegevens onderschept, … 

Het bedrijf moet elk datalek registreren in een intern logboek. De oorzaak, de getroffen gegevens en de genomen maatregelen moeten daarin vermeld zijn.

Als het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkene, moet binnen 72 uur ook de GBA verwittigd worden. Is er een hoog risico voor de betrokkene, dan moet ook deze verwittigd worden. Dat is onder meer het geval als er gevoelige informatie gelekt is (zoals financiële situatie, gezondheid, officiële documenten, wachtwoorden).

U moet daarbij ook melden welke maatregelen u heeft genomen om dit gegevenslek te verhelpen en in de toekomst te vermijden, en welke maatregelen u aan de betrokken personen aanbeveelt om de mogelijke schade in te perken

 

Leer meer over hoe je bedrijf te beschermen

 


 

Interesse om vrijblijvend met ons van gedachten te wisselen hoe u een meer pro-actieve en geïntegreerde ICT Security aanpak in uw organisatie te implementeren?

Contact