FAQ

De GDPR, General Data Protection Regulation, of de AVG, Algemene Verordening Gegevensbescherming, is een Europese wet die de verwerking van de persoonsgegevens door bedrijven en overheden uniformiseert. De bescherming tegen cybercriminaliteit en onzorgvuldig gedrag is een belangrijk onderdeel.

Om te voldoen aan de privacywetgeving, de GDPR, doe je de volgende stappen:

  • Bescherming van je gegevens door passende technische en operationele maatregelen.
  • Een verwerkingsregister opstellen.
  • De verwerkingsovereenkomsten afsluiten met de externe partijen die je gegevens verwerken.
  • Een privacy beleid opstellen
  • Een cookie verklaring en banner installeren.
  • Een privacy policy voor de medewerkers invoeren.
  • Een procedure opmaken om de aanvragen van de burgers tijdig en correct te behandelen.
  • Een data lek register en procedure invoeren om een tijdige en juiste melding en afhandeling mogelijk te maken.
  • Een Data Protection Officer aanstellen (indien nodig) en melden bij de Gegevensbeschermingsautoriteit.
  • Sensibilisering en training van personeel.
Een informatie is een persoonsgegeven als het iets zegt over één specifiek persoon (rechtstreeks) of als deze data in combinatie met andere gegevens naar een persoon kan leiden (onrechtstreeks). Gegevens van overleden personen en van rechtspersonen (bijvoorbeeld NV, BV, …) vallen volgens de GDPR buiten deze definitie.
Voorbeelden van rechtstreekse persoonsgegevens zijn voornaam, naam, adres, geslacht, telefoonnummer, e-mailadres. Nummerplaat, IP-adres daarentegen vallen onder de rubriek onrechtstreeks.

Van zodra je persoonsgegevens verwerkt in een professioneel kader dien je de GDPR-regels toe te passen. Elk bedrijf heeft klanten en leveranciers, heeft namen van de contactpersonen. Kortom alle firma’s dienen te voldoen aan de GDPR. Dit geldt eveneens voor de Vzw’s, de lokale sportclub of een andere vereniging.
De persoonsgegevens die je bewaart in je privé adressenlijst voor huishoudelijk gebruik vallen hier niet onder.

Dit is zeer ruim. Een verwerking start op het ogenblik dat je start met de verzameling van de persoonsgegevens en eindigt bij de vernietigen. Hierbij alvast een mooie lijst: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
De uitvoering kan manueel en geautomatiseerd verlopen maar altijd binnen een gestructureerd bestand
De maatregelen die je moet nemen om jouw gegevens te beveiligen tegen hackers, verlies, onvrijwillige wijziging en plotselinge onbeschikbaarheid dienen in verhouding te staan met het risico die je loopt bij de verwerking van jouw persoonsgegevens. Laten we dit concreet maken met een voorbeeld: een lokale voedingswinkel die enkel de naam van zijn klanten bijhoudt heeft een veel lager risico dan een ziekenhuis. Deze laatste zal veel strengere beveiligingsmaatregelen dienen te nemen dan de voedingswinkel.
De technische beschermingen hebben betrekking op jouw IT-infrastructuur zoals firewall, virusscanner, anti-malware software, vpn verbinding, back up systemen, …
Hoe je omgaat met de beveiligingen valt eerder onder de operationele veiligheden: paswoorden, sluiten van bedrijfsruimtes, verlies van toestellen, BYOD, …

Een bedrijf of organisatie is een verwerkersverantwoordelijke wanneer hij of zij het ’waarom’ en het ‘hoe’ van de verwerking bepaalt. Binnen de GDPR wordt dit omschreven als de doelstellingen en de middelen.
Voorbeelden van doelstelling, het ‘waarom’ zijn: direct marketing, personeelsbeheer, loonadministratie, camerabewaking, …
De middelen, het hoe, dient ruimer dan de technische modaliteiten geïnterpreteerd te worden. Bijvoorbeeld de persoonsgegevens je wenst te verwerken en het bepalen van de bewaartermijnen dien je ook hieronder te catalogeren.
Een mooi voorbeeld van een verwerkersverantwoordelijke is een werkgever.

Een bedrijf of organisatie die de persoonsgegevens in opdracht van een verwerkersverantwoordelijke verwerkt is een verwerker. Mooie voorbeelden hiervan zijn cloud providers, internetproviders, sociaal secretariaat, …Deze bedrijven ontvangen de persoonsgegevens van hun klant, de verwerkersverantwoordelijke, en verwerken die voor de doeleinden die hun klant heeft bepaald.
Is de situatie minder duidelijk dan dien je er naar de feitelijke omstandigheden te kijken.
Heb je hier over vragen rond dan kan je Ubora hierover contacteren.

De verwerkersverantwoordelijke is de hoofdverantwoordelijke voor de verwerking. Daarom zal hij instaan voor het bekomen van de geldige toestemming van de betrokkenen (bijvoorbeeld zijn klanten), zorgen dat de rechten van de burgers gerespecteerd worden en tijdig aan de hun vragen kan beantwoorden, …Vergeet ook niet dat de verwerkersverantwoordelijke moet toezien of de verwerker de GDPR ook na leeft. Hiervoor heeft hij een audit recht met andere woorden kan en mag hij zijn verwerker ter plaatse (laten) controleren.
De verwerker kan enkel de gegevens verwerken in overeenstemming met de doelstellingen die door zijn klant, de verwerkersverantwoordelijke zijn bepaald. Daarnaast dient hij hem bijstand te verlenen bij een data lek, behandelen van de aanvragen van de betrokkenen, …

Een verwerkersovereenkomst wordt gesloten tussen de verwerkersverantwoordelijke en de door hem/haar aangestelde verwerker. Het afsluiten van dergelijke overeenkomst is een verplichting die in de GDPR opgenomen is. De grote verwerkers, zoals Microsoft, Google, sociale secretariaten, hebben hun eigen verwerkersovereenkomst die ze aan hun klanten voorleggen/opleggen. Maar het is als verwerkersverantwoordelijke om jouw verwerkersovereenkomst aan deze leveranciers voor te leggen.
Heb je nood aan een verwerkersovereenkomst voor je klanten? Ubora kan je hier zeker bij helpen.

De GDPR beschrijft wat er minimaal in een verwerkersovereenkomst dient opgenomen te worden:

  • Verwerking
    • De omschrijving van de verwerking
    • Hoelang de verwerking duurt
    • De aard en het doel van de verwerking
    • De categorie van de persoonsgegevens
    • De categorie van betrokkenen
  • De verwerker mag enkel handelen volgens de schriftelijke, gedocumenteerde instructies van de verwerkersverantwoordelijke
  • De verwerker dient de passende technische en operationele beveiligingsmaatregelen te nemen
  • De verwerkers dien te zorgen voor geheimhouding van zijn medewerkers
  • Bijstandsverlening. De verwerker dient bijstand te verlenen bij een data lek, een onderzoek van de autoriteiten, een aanvraag van een betrokkene en bij het opmaken van een risicoanalyse.
  • Wat dient er met de persoonsgegevens te gebeuren nadat de samenwerking is gestopt.
  • De verwerkersverantwoordelijke heeft het recht om zijn verwerker te auditeren.
  • Sub verwerkers
    • Toestemming om gebruik te maken van sub verwerkers
    • Mogelijkheid om bezwaar aan te tekenen
    • De sub verwerkers dienen dezelfde verplichtingen aan te gaan als de verwerker

Heb je een verwerkersovereenkomst ontvangen en je weet er geen raad mee? Ubora helpt je hier graag mee.

Maar Ieder bedrijf of organisatie dat persoonsgegevens verwerkt, heeft een informatieplicht. Je dient aan de bezoekers van de website, de klanten, de leveranciers, jouw medewerkers te melden wie je bent en wat je met hun persoonsgegevens allemaal doet. Deze ‘verklaring’ is dus jouw privacy beleid. De term privacy beleid, privacy policy, privacyverklaring of privacy statement wordt binnen de GDPR niet vermeld en is dus niet verplicht te gebruiken. Je kan evengoed de titel “wat doen we met jouw gegevens?” gebruiken.
Zorg er wel voor dat je een duidelijk begrijpbare taal gebruikt. Hiermee bedoelen we een tekst die duidelijk is voor wie die bedoeld is: de taal op zich (Nederlands, Frans, Engels…) is belangrijk maar ook de woorden die je gebruikt. Een privacy policy die bestemd is voor juristen zal er waarschijnlijk anders uitzien dan een verklaring die voor de doorsnee consument bedoeld is.
Vergeet ook niet dat jouw privacy statement gemakkelijk vindbaar moet zijn. De website is natuurlijk een handig hulpmiddel maar je mag deze evengoed via de post of mail bezorgen. Vergeet in jouw keuze zeker niet de updates mee te nemen die je ook telkens moet bezorgen.

De onderstaande lijst van punten is het minimum:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke
  • Als u een Data Protection Officer hebt aangesteld zijn de contactgegevens ook verplicht op te nemen: een adres en/of e-mailadres is voldoende. De naam is helemaal niet verplicht.
  • De wettelijke basisgrond voor de verwerking
  • Wat zijn de rechten van de betrokkenen
  • Hoe lang je de persoonsgegevens bewaart.
  • De coördinaten van de Gegevensbeschermingsautoriteit waar de betrokkenen klacht kunnen indienen.
  • Of je de gegevens deelt met derde partijen
  • Of je de gegevens buiten de EER doorgeeft
  • Of je de gegevens ontvangen hebt van een andere organisatie
  • Of je gebruik maakt van een geautomatiseerde besluitvorming.
Wanneer je een website bezoekt, kijken heel wat bedrijven over je schouder mee om je ‘relevante’ informatie te bezorgen, wil de eigenaar van de website graag weten welke pagina’s je bezocht hebt, hoelang je op pagina bent gebleven, …De cookies bewaren al jouw surfgedrag.
Cookies zijn kleine tekstbestandjes die een website op jouw harde schijf van je computer plaatst op het ogenblik dat je de site bezoekt. In het cookie landschap kan je een drietal smaken onderscheiden:
Functionele cookies zijn noodzakelijk om de website die je bezoekt goed te laten functioneren. Ze kunnen bijvoorbeeld je voorkeursinstellingen zoals de taal onthouden, de inhoud van het winkelmandje bijhouden, of er toestemming werd gegeven voor het plaatsen van cookies, …Voor deze cookies moet je geen toestemming geven maar de website eigenaar mag deze cookies enkel gebruiken om zijn website te verbeteren.
Analytische cookies dienen om het website bezoek te meten. Denk hiervoor bijvoorbeeld aan het aantal bezoekers, welke pagina’s bezocht werden, …Google Analytics is een tool die door veel bedrijven wordt gebruikt. Voor het plaatsen van de analytische cookies is er wel toestemming vereist.
Tracking cookies of marketing cookies volgen je surfgedrag op het internet met de bedoeling om jouw online profiel op te maken. Aan de hand van dit profiel krijg je gepersonaliseerde publiciteit. In vele gevallen worden er ook cookies van derde partijen (dit zijn bedrijven die geen eigenaar zijn van de website) geplaatst tijdens jouw bezoek van een website. Zonder jouw toestemming mogen deze cookies niet worden geplaatst.
De toestemmingen die je nodig hebt, kan je via een cookiebanner bekomen.

Het opstellen van een cookie verklaring is een complex materie. Daarom raden we in de eerste plaats aan samen met jouw websitebouwer de cookies die je plaatst te inventariseren. Onze ervaring leert ons dat er bijvoorbeeld marketing cookies worden geplaatst terwijl het bedrijf geen online marketingactiviteiten uitvoert. Onze raad is dan ook om deze cookies niet langer te plaatsen. Je bent daar trouwens toe verplicht door de GDPR die toelaat dat je enkel de gegevens mag verwerken die je nodig hebt. Maak gebruik van een Cookie Consent Manager (Cookiebot, Iubenda, Cookiepro, ,…) om de toestemmingen te bekomen en te registreren. Met deze informatie kan je aan de slag om een passende cookie verklaring op te zetten.

Ieder persoon die met een bedrijf in contact komt, heeft bepaalde rechten. Voorbeelden hiervan zijn het recht op inzage, het recht op verbetering, het recht om alle of een gedeelte van de persoonsgegevens te schrappen, …
Om zijn rechten uit te oefenen dient de betrokkene een aanvraag te richten. De contactgegevens vindt hij terug in het privacy beleid. Na ontvangst van de aanvraag heeft een organisatie 30 dagen de tijd om aan het verzoek te voldoen. Weigeren mag natuurlijk mits een motivatie. Het niet respecteren van deze timing kan leiden tot sancties en boetes. In het verleden is dit al meermaals voorgevallen.
Vandaar dat vooraf een procedure opstellen je helpt in de afhandeling van de vraag. Neem hier zeker in op: wie intern de aanvraag verwerkt, wie de back up is, de verschillende stappen die moeten gevolgd worden, type antwoorden die mogelijks kunnen gegeven worden.

Iedere organisatie en bedrijf is verplicht om een data lek register bij te houden. Naar vorm zijn er geen vereisten. Een Excel file kan voldoende zijn. Naar inhoud dien je wel rekening te houden met enkele elementen:

  • De naam, adres, ondernemersnummer van de verwerkersverantwoordelijke
  • De naam en contactgegevens van de DPO (indien van toepassing)
  • Datum van de vaststelling.
  • Beschrijving van het data lek – de feiten – wat is er gebeurd?
  • Welke persoonsgegevens en welke betrokkenen zijn betrokken?
  • Raming van het aantal betrokkenen per categorie
  • Raming van het aantal persoonsgegevens per categorie
  • Waarschijnlijke gevolgen
  • Voorgestelde maatregelen om de inbreuk aan te pakken
  • Voorgestelde maatregelen om nadelige gevolgen in te perken

Vergeet ook niet dat je als bedrijf 72 u de tijd hebt om eventueel een data lek te melden aan de Gegevensbeschermingsautoriteit en eventueel de betrokkenen. De 72 u begint te lopen op het ogenblik dat je op de hoogte bent van het data lek en zijn kalenderdagen. Daarom raden we aan om een data lek procedure op te stellen die je zal helpen om deze stresserende periode door te komen.