SpearIT editor
5/06/2019
De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die dezelfde waarde heeft als een Belgische wet. Ze legt regels op voor de bescherming van persoonlijke gegevens en privacy van EU-inwoners.
Alle bedrijven die persoonlijke gegevens verwerken en bewaren, moet zorg dragen voor de beveiliging van die gegevens.
In elke lidstaat is er een Gegevensbeschermingsautoriteit (GBA, de vroegere Privacycommissie) die toeziet op de naleving van de AVG. Bij inbreuken kan de GBA boetes opleggen. En dat gebeurt ook effectief:
Onder persoonsgegevens vallen alle gegevens waarmee natuurlijke personen geïdentificeerd kunnen worden zoals naam, geboortedatum, telefoonnummer,…
In een bedrijf zal het vooral gaan om gegevens van klanten en medewerkers, maar ook toegangsbeveiliging met badges of nummerplaatherkenning of camerabewaking vallen onder de GDPR.
Een bedrijf mag dergelijke gegevens verzamelen, maar de betrokkene moet daarvoor toestemming geven.
De gegevens mogen bovendien alleen gebruikt worden voor het doel waarvoor ze verzameld werden, en mogen niet langer worden bewaard dan noodzakelijk.
De GDPR verplicht bedrijven om een register van verwerkingsactiviteiten bij te houden. In principe moeten bedrijven met minder dan 250 werknemers dat niet, tenzij de verwerking regelmatig gebeurt. Dat is bijvoorbeeld het geval voor een klantenbestand, personeelsgegevens… Ook voor kleinere ondernemingen is een register van verwerkingsactiviteiten dus nodig.
Het register bevat een overzicht van de verwerkingsactiviteiten en moet onder meer de volgende informatie vermelden: de naam en contactinformatie van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de soorten van persoonsgegevens, de ontvangers van de persoonsgegevens, de bewaartermijn en indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen.
Het register mag op papier of elektronisch bijgehouden worden. Op de website van de GBA vindt u een model.
De volgende stap is om na gaan welke ICT-infrastructuur gebruikt wordt voor de gegevensverwerking.
Het spreekt vanzelf dat gegevens zo beveiligd moeten worden dat ze niet in verkeerde handen vallen.
Dat geldt zowel voor externe partijen – u wil niet dat hackers met je klantenbestand aan de haal gaan – als intern: alleen bevoegde personen mogen toegang hebben tot persoonsgegevens.
Kijk ook uit voor ‘Shadow IT’, dat zijn IT-systemen en toepassingen die door gebruikers zelf binnengebracht worden. Denk aan het gebruik van messenger-apps in plaats van e-mail, of aan een salesmedewerker die ‘voor het gemak’ de gegevens van zijn klanten op een onbeveiligde usb-stick meeneemt.
Een bedrijf moet ook een procedure hebben om inbreuken in verband met persoonsgegevens (een datalek of data breach genoemd) te melden.
Een datalek kan vele vormen aannemen. Denk bijvoorbeeld aan een verloren of gestolen laptop of usb-stick, een hacker die klantengegevens onderschept, …
Het bedrijf moet elk datalek registreren in een intern logboek. De oorzaak, de getroffen gegevens en de genomen maatregelen moeten daarin vermeld zijn.
Als het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkene, moet binnen 72 uur ook de GBA verwittigd worden. Is er een hoog risico voor de betrokkene, dan moet ook deze verwittigd worden. Dat is onder meer het geval als er gevoelige informatie gelekt is (zoals financiële situatie, gezondheid, officiële documenten, wachtwoorden).
U moet daarbij ook melden welke maatregelen u heeft genomen om dit gegevenslek te verhelpen en in de toekomst te vermijden, en welke maatregelen u aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.
Leer meer over hoe je bedrijf te beschermen