Wat elke bedrijfsleider moet weten over de GDPR
De Algemene Verordening Gegevensbescherming, beter bekend als GDPR, stelt strenge eisen voor het verwerken en bewaren van persoonsgegevens in bedrijven. Hoe zorgt u ervoor dat uw organisatie voldoet aan de GDPR?
De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening met dezelfde kracht als een Belgische wet. Ze legt regels op voor de bescherming van persoonlijke gegevens en privacy van EU-inwoners.
Bedrijven die persoonlijke gegevens verwerken en bewaren, moeten zorg dragen voor de beveiliging van die gegevens. De AVG is in mei 2016 in werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming brengen.
In elke lidstaat is er een Gegevensbeschermingsautoriteit (GBA, de vroegere Privacycommissie) die toeziet op de naleving van de AVG.
Bij inbreuken kan de GBA boetes opleggen. En dat gebeurt ook effectief: in Frankrijk kreeg internetgigant Google een boete van 50 miljoen euro omdat het belangrijke persoonsgegevens over te veel pagina’s verspreidde, zodat ze moeilijk vindbaar zijn voor gebruikers.
Ook kmo’s worden geviseerd: een Duitse website kreeg een boete van 20.000 euro nadat hackers wachtwoorden hadden kunnen stelen wegens een ontoereikende beveiliging.
Wat zijn persoonsgegevens?
Onder persoonsgegevens vallen alle gegevens waarmee natuurlijke personen geïdentificeerd kunnen worden, zoals naam, geboortedatum of telefoonnummer.
In een bedrijf zal het vooral gaan om gegevens van klanten en medewerkers. Uw bedrijf mag dergelijke gegevens verzamelen, maar de betrokkene moet daarvoor toestemming geven.
De gegevens mogen alleen gebruikt worden voor het doel waarvoor ze verzameld werden: u mag iemand die online een bestelling plaatste dus niet automatisch inschrijven op een mailinglijst. De gegevens mogen niet langer worden bewaard dan noodzakelijk.
Wat weet uw bedrijf?
Om na te gaan of uw bedrijf correct omgaat met persoonsgegevens, brengt u eerst:
- In kaart welke gegevens u verzamelt en hoe deze verwerkt en bewaard worden;
- Controleer of elke verwerking van persoonsgegevens een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel heeft;
- Ga na of u die gegevens echt wel nodig heeft en of u ze niet langer dan noodzakelijk bijhoudt.
Als u bijvoorbeeld een vacature hebt ingevuld, moet u de persoonsgegevens van de niet-aangeworven sollicitanten verwijderen, tenzij u hun toestemming hebt om deze langer bij te houden.
Bedrijven met meer dan 250 werknemers dienen een register bij te houden van hun verwerkingsactiviteiten.
Kmo’s met minder dan 250 werknemers moeten dat ook doen als de verwerking niet incidenteel gebeurt – wat het geval is voor bijvoorbeeld een klantendatabank of een persoonsregister. Bij de GBA zijn er modellen voor een register te vinden.
Hoe veilig zijn uw gegevens?
Een bedrijf dient ook alle nodige maatregelen te nemen om persoonsgegevens te beveiligen.
Daaronder vallen enerzijds technische maatregelen, zoals een goed beveiligd IT-systeem en een systeem dat ervoor zorgt dat alleen bevoegde personen toegang hebben tot de gegevens.
Anderzijds dient u ook uw personeel te wijzen op de principes van de GDPR, en procedures voor incidenten zoals een gegevenslek (data breach). Een kmo moet elk gegevenslek noteren in een intern logboek. In bepaalde gevallen moeten ook de GBA en de betrokken personen verwittigd worden.
Leer meer over hoe je bedrijf te beschermen
Interesse om vrijblijvend met ons van gedachten te wisselen hoe u een meer pro-actieve en geïntegreerde ICT Security aanpak in uw organisatie te implementeren?