FAQ
Om te voldoen aan de privacywetgeving, de GDPR, doe je de volgende stappen:
- Bescherming van je gegevens door passende technische en operationele maatregelen.
- Een verwerkingsregister opstellen.
- De verwerkingsovereenkomsten afsluiten met de externe partijen die je gegevens verwerken.
- Een privacy beleid opstellen
- Een cookie verklaring en banner installeren.
- Een privacy policy voor de medewerkers invoeren.
- Een procedure opmaken om de aanvragen van de burgers tijdig en correct te behandelen.
- Een data lek register en procedure invoeren om een tijdige en juiste melding en afhandeling mogelijk te maken.
- Een Data Protection Officer aanstellen (indien nodig) en melden bij de Gegevensbeschermingsautoriteit.
- Sensibilisering en training van personeel.
Voorbeelden van rechtstreekse persoonsgegevens zijn voornaam, naam, adres, geslacht, telefoonnummer, e-mailadres. Nummerplaat, IP-adres daarentegen vallen onder de rubriek onrechtstreeks.
Van zodra je persoonsgegevens verwerkt in een professioneel kader dien je de GDPR-regels toe te passen. Elk bedrijf heeft klanten en leveranciers, heeft namen van de contactpersonen. Kortom alle firma’s dienen te voldoen aan de GDPR. Dit geldt eveneens voor de Vzw’s, de lokale sportclub of een andere vereniging.
De persoonsgegevens die je bewaart in je privé adressenlijst voor huishoudelijk gebruik vallen hier niet onder.
De uitvoering kan manueel en geautomatiseerd verlopen maar altijd binnen een gestructureerd bestand
De technische beschermingen hebben betrekking op jouw IT-infrastructuur zoals firewall, virusscanner, anti-malware software, vpn verbinding, back up systemen, …
Hoe je omgaat met de beveiligingen valt eerder onder de operationele veiligheden: paswoorden, sluiten van bedrijfsruimtes, verlies van toestellen, BYOD, …
Een bedrijf of organisatie is een verwerkersverantwoordelijke wanneer hij of zij het ’waarom’ en het ‘hoe’ van de verwerking bepaalt. Binnen de GDPR wordt dit omschreven als de doelstellingen en de middelen.
Voorbeelden van doelstelling, het ‘waarom’ zijn: direct marketing, personeelsbeheer, loonadministratie, camerabewaking, …
De middelen, het hoe, dient ruimer dan de technische modaliteiten geïnterpreteerd te worden. Bijvoorbeeld de persoonsgegevens je wenst te verwerken en het bepalen van de bewaartermijnen dien je ook hieronder te catalogeren.
Een mooi voorbeeld van een verwerkersverantwoordelijke is een werkgever.
Is de situatie minder duidelijk dan dien je er naar de feitelijke omstandigheden te kijken.
Heb je hier over vragen rond dan kan je Ubora hierover contacteren.
De verwerkersverantwoordelijke is de hoofdverantwoordelijke voor de verwerking. Daarom zal hij instaan voor het bekomen van de geldige toestemming van de betrokkenen (bijvoorbeeld zijn klanten), zorgen dat de rechten van de burgers gerespecteerd worden en tijdig aan de hun vragen kan beantwoorden, …Vergeet ook niet dat de verwerkersverantwoordelijke moet toezien of de verwerker de GDPR ook na leeft. Hiervoor heeft hij een audit recht met andere woorden kan en mag hij zijn verwerker ter plaatse (laten) controleren.
De verwerker kan enkel de gegevens verwerken in overeenstemming met de doelstellingen die door zijn klant, de verwerkersverantwoordelijke zijn bepaald. Daarnaast dient hij hem bijstand te verlenen bij een data lek, behandelen van de aanvragen van de betrokkenen, …
Heb je nood aan een verwerkersovereenkomst voor je klanten? Ubora kan je hier zeker bij helpen.
De GDPR beschrijft wat er minimaal in een verwerkersovereenkomst dient opgenomen te worden:
- Verwerking
- De omschrijving van de verwerking
- Hoelang de verwerking duurt
- De aard en het doel van de verwerking
- De categorie van de persoonsgegevens
- De categorie van betrokkenen
- De verwerker mag enkel handelen volgens de schriftelijke, gedocumenteerde instructies van de verwerkersverantwoordelijke
- De verwerker dient de passende technische en operationele beveiligingsmaatregelen te nemen
- De verwerkers dien te zorgen voor geheimhouding van zijn medewerkers
- Bijstandsverlening. De verwerker dient bijstand te verlenen bij een data lek, een onderzoek van de autoriteiten, een aanvraag van een betrokkene en bij het opmaken van een risicoanalyse.
- Wat dient er met de persoonsgegevens te gebeuren nadat de samenwerking is gestopt.
- De verwerkersverantwoordelijke heeft het recht om zijn verwerker te auditeren.
- Sub verwerkers
- Toestemming om gebruik te maken van sub verwerkers
- Mogelijkheid om bezwaar aan te tekenen
- De sub verwerkers dienen dezelfde verplichtingen aan te gaan als de verwerker
Heb je een verwerkersovereenkomst ontvangen en je weet er geen raad mee? Ubora helpt je hier graag mee.
Zorg er wel voor dat je een duidelijk begrijpbare taal gebruikt. Hiermee bedoelen we een tekst die duidelijk is voor wie die bedoeld is: de taal op zich (Nederlands, Frans, Engels…) is belangrijk maar ook de woorden die je gebruikt. Een privacy policy die bestemd is voor juristen zal er waarschijnlijk anders uitzien dan een verklaring die voor de doorsnee consument bedoeld is.
Vergeet ook niet dat jouw privacy statement gemakkelijk vindbaar moet zijn. De website is natuurlijk een handig hulpmiddel maar je mag deze evengoed via de post of mail bezorgen. Vergeet in jouw keuze zeker niet de updates mee te nemen die je ook telkens moet bezorgen.
De onderstaande lijst van punten is het minimum:
- De naam en de contactgegevens van de verwerkingsverantwoordelijke
- Als u een Data Protection Officer hebt aangesteld zijn de contactgegevens ook verplicht op te nemen: een adres en/of e-mailadres is voldoende. De naam is helemaal niet verplicht.
- De wettelijke basisgrond voor de verwerking
- Wat zijn de rechten van de betrokkenen
- Hoe lang je de persoonsgegevens bewaart.
- De coördinaten van de Gegevensbeschermingsautoriteit waar de betrokkenen klacht kunnen indienen.
- Of je de gegevens deelt met derde partijen
- Of je de gegevens buiten de EER doorgeeft
- Of je de gegevens ontvangen hebt van een andere organisatie
- Of je gebruik maakt van een geautomatiseerde besluitvorming.
Cookies zijn kleine tekstbestandjes die een website op jouw harde schijf van je computer plaatst op het ogenblik dat je de site bezoekt. In het cookie landschap kan je een drietal smaken onderscheiden:
Functionele cookies zijn noodzakelijk om de website die je bezoekt goed te laten functioneren. Ze kunnen bijvoorbeeld je voorkeursinstellingen zoals de taal onthouden, de inhoud van het winkelmandje bijhouden, of er toestemming werd gegeven voor het plaatsen van cookies, …Voor deze cookies moet je geen toestemming geven maar de website eigenaar mag deze cookies enkel gebruiken om zijn website te verbeteren.
Analytische cookies dienen om het website bezoek te meten. Denk hiervoor bijvoorbeeld aan het aantal bezoekers, welke pagina’s bezocht werden, …Google Analytics is een tool die door veel bedrijven wordt gebruikt. Voor het plaatsen van de analytische cookies is er wel toestemming vereist.
Tracking cookies of marketing cookies volgen je surfgedrag op het internet met de bedoeling om jouw online profiel op te maken. Aan de hand van dit profiel krijg je gepersonaliseerde publiciteit. In vele gevallen worden er ook cookies van derde partijen (dit zijn bedrijven die geen eigenaar zijn van de website) geplaatst tijdens jouw bezoek van een website. Zonder jouw toestemming mogen deze cookies niet worden geplaatst.
De toestemmingen die je nodig hebt, kan je via een cookiebanner bekomen.
Het opstellen van een cookie verklaring is een complex materie. Daarom raden we in de eerste plaats aan samen met jouw websitebouwer de cookies die je plaatst te inventariseren. Onze ervaring leert ons dat er bijvoorbeeld marketing cookies worden geplaatst terwijl het bedrijf geen online marketingactiviteiten uitvoert. Onze raad is dan ook om deze cookies niet langer te plaatsen. Je bent daar trouwens toe verplicht door de GDPR die toelaat dat je enkel de gegevens mag verwerken die je nodig hebt. Maak gebruik van een Cookie Consent Manager (Cookiebot, Iubenda, Cookiepro, ,…) om de toestemmingen te bekomen en te registreren. Met deze informatie kan je aan de slag om een passende cookie verklaring op te zetten.
Om zijn rechten uit te oefenen dient de betrokkene een aanvraag te richten. De contactgegevens vindt hij terug in het privacy beleid. Na ontvangst van de aanvraag heeft een organisatie 30 dagen de tijd om aan het verzoek te voldoen. Weigeren mag natuurlijk mits een motivatie. Het niet respecteren van deze timing kan leiden tot sancties en boetes. In het verleden is dit al meermaals voorgevallen.
Vandaar dat vooraf een procedure opstellen je helpt in de afhandeling van de vraag. Neem hier zeker in op: wie intern de aanvraag verwerkt, wie de back up is, de verschillende stappen die moeten gevolgd worden, type antwoorden die mogelijks kunnen gegeven worden.
Iedere organisatie en bedrijf is verplicht om een data lek register bij te houden. Naar vorm zijn er geen vereisten. Een Excel file kan voldoende zijn. Naar inhoud dien je wel rekening te houden met enkele elementen:
- De naam, adres, ondernemersnummer van de verwerkersverantwoordelijke
- De naam en contactgegevens van de DPO (indien van toepassing)
- Datum van de vaststelling.
- Beschrijving van het data lek – de feiten – wat is er gebeurd?
- Welke persoonsgegevens en welke betrokkenen zijn betrokken?
- Raming van het aantal betrokkenen per categorie
- Raming van het aantal persoonsgegevens per categorie
- Waarschijnlijke gevolgen
- Voorgestelde maatregelen om de inbreuk aan te pakken
- Voorgestelde maatregelen om nadelige gevolgen in te perken
Vergeet ook niet dat je als bedrijf 72 u de tijd hebt om eventueel een data lek te melden aan de Gegevensbeschermingsautoriteit en eventueel de betrokkenen. De 72 u begint te lopen op het ogenblik dat je op de hoogte bent van het data lek en zijn kalenderdagen. Daarom raden we aan om een data lek procedure op te stellen die je zal helpen om deze stresserende periode door te komen.