Hoe de GDPR implementeren?

De Europese wetgeving GDPR regelt de bescherming van de persoonsgegevens van al de natuurlijke personen die met jouw bedrijf in contact komen zoals de medewerkers, de klanten, de leveranciers, prospecten, …

Hoe zorg je er voor dat je de GDPR goed implementeert in jouw organisatie? Hiervoor neem je een aantal opeenvolgende stappen die het gebruik van de persoonsgegevens in je bedrijf in kaart brengt. We geven je alvast een overzicht.

  1. Maak een inventaris
  2. Het verwerkingsregister opmaken
  3. Stel een privacy beleid op
  4. Afsluiten van de verwerkersovereenkomsten
  5. Data lek register en procedure
  6. De passende technische en operationele beveiligingen installeren
  7. Trainingen en bewustmaking van de medewerkers

Stap 1: Maak een inventaris!

Je moet de gegevens veilig verwerken die je in je bezit hebt. Daarom is de eerste stap de inventaris maken:

  • Welke verwerkingen op persoonsgegevens voert jouw organisatie uit?
  • Welke persoonsgegevens zijn hierin betrokken?
  • Vergeet de cookies niet die je plaatst op de apparaten van de websitebezoekers. We raden je aan om hiervoor jouw websitebouwer in te schakelen.
  • Welke IT systemen gebruik je? Denk hierbij aan jouw ERP, CRM, HR tools, websites, … Maar de papieren archieven tellen eveneens.
  • Hoe zijn de verschillende IT platformen met elkaar verbonden?
  • Van welke personen verwerken we gegevens: medewerkers, sollicitanten, klanten B2B/B2C, leveranciers, prospecten, …
  • Aan welke derde partijen delen we bepaalde persoonsgegevens mee: sociaal secretariaat, toegangscontrole, marketing kantoor, IT partner, boekhouder, banken, …
  • Welke wettelijke grond baseren we ons voor verwerking?

Stap 2: Het verwerkingsregister opmaken

Dit register is een wettelijk verplicht document. Er zijn geen vormvereisten aan verbonden. Op de website van de Gegevensbeschermingsautoriteit vind je een model. Niet altijd eenvoudig om in te vullen maar op basis van jouw inventaris kom je al een heel eind. Ook Ubora kan jou hier in begeleiden.

Stap 3: Maak een privacy beleid.

De GDPR stipuleert dat iedere organisatie, groot of klein, transparant over zijn specifieke gegevensverwerking dient te communiceren met andere woorden elk bedrijf, vzw, overheidsinstantie moet zeggen wat ze doen met de persoonsgegevens van haar klanten, medewerkers, burgers, …

Daar jouw firma of instelling uniek is dient het privacy beleid aangepast te worden aan jouw realiteit. Het is daarom ten sterkste afgeraden om een standaard document op je website te publiceren.

Wat moet je zeker in jouw privacy beleid opnemen?

  • De naam en de contactgegevens van je bedrijf
  • Indien je een DPO hebt aangesteld vermeld je de contactgegevens van de DPO
  • De reden van de verwerkingen op de persoonsgegevens, de zogenaamde verwerkingsdoeleinden.
  • Welke zijn de wettelijke basisgronden voor de verwerkingen. Denk hierbij aan toestemming van de betrokkene, wettelijke verplichting die op jouw bedrijf rust, om een overeenkomst te kunnen uitvoeren, gerechtvaardigd belang, …
  • Met welke categorieën van externe bedrijven je de persoonsgegevens deelt.
  • Of jouw bedrijf van plan is om de gegevens door te geven aan een verwerker in een land buiten de Economische Europese Ruimte.
  • De geplande bewaartermijnen
  • De rechten waar de betrokkene over beschikt
  • De particulieren het recht hebben om een klacht in te dienen bij de Gegevensbeschermingsautoriteit. Ook de coördinaten van deze laatste dienen vermeld te worden.

We raden aan om twee documenten op te maken: één voor de externe contactpersonen zoals de klanten, leveranciers en een tweede verklaring bestemd voor de medewerkers.

Stap 4: Afsluiten van de “Verwerkersovereenkomsten” met jouw verwerkers

In stap 1, de inventaris, heb je al de externe partijen in kaart gebracht waar je jouw persoonsgegevens mee deelt. Sommige van deze bedrijven zijn een verwerker waar een verwerkersovereenkomst mee moet afgesloten worden. Indien je twijfelt of een bedrijf een verwerker is of niet, kan je onze blog “wat is een verwerkersverantwoordelijke of een verwerker” raadplegen.

Je bent verplicht om met de verwerkers een verwerkersovereenkomst af te sluiten. In dit document, in het Engels Data Processor Agreement, zijn minimum de volgende clausules op te nemen:

  • Welke zijn de verwerkingen die de verwerker mag uitvoeren. Dit zijn de zogenaamde schriftelijke instructies van de verwerkersverantwoordelijke.
  • Of een doorgifte aan een derde land toegelaten is, dus een transfer van jouw persoonsgegevens buiten de EER.
  • Een vertrouwelijkheidsclausule met andere woorden dat de personeelsleden van de verwerker je persoonsgegevens ten allen tijde vertrouwelijk zullen behandelen.
  • Sommige verwerkers maken gebruik van een subverwerker (bijvoorbeeld een cloud provider). Dit is perfect toegelaten, alleen dien jij hiervoor de toestemming te verlenen. De toestemming kan algemeen of specifiek per verwerker gegeven worden.
  • De verwerker legt dezelfde eisen aan zijn onderaannemers op te leggen die hij aan van jou heeft gekregen.
  • Jouw verwerker dient, net zoals je eigen organisatie, eveneens de passende technische en operationele beveiligingsmaatregelen te nemen om de persoonsgegevens afdoend te beschermen. Een bijlage aan deze verwerkersovereenkomst is hiervoor een goed instrument.
  • De verwerker dient bijstand te verlenen om bijvoorbeeld de klachten en de aanvragen van de betrokkenen te behandelen, de vragen van de Gegevensbeschermingsautoriteit te beantwoorden, jouw verplichting om de passende beschermingsmaatregelen helpen te vervullen
  • De regeling bij het einde van de overeenkomst: wat dient er te gebeuren met de persoonsgegevens die de verwerker in zijn bezit heeft?
  • De beschrijving van jouw audit recht die je hebt ten opzichte van de verwerker: je mag jouw verwerkers controleren of ze de gemaakte afspraken correct toepassen.

Stap 5: Data lek register en procedure

Wist je dat de meeste data lekken op vrijdagnamiddag en feestdagen plaatsvinden? De hackers weten maar al te goed dat op deze dagen er verslapte aandacht is en dat er minder  medewerkers aanwezig zijn. Hier maken ze dankbaar gebruik van.

Een data lek veroorzaakt een grote stress in jouw bedrijf. Het stress gehalte kan echter sterk dalen door voorafgaandelijk goed na te denken over een bestrijdingsplan anders gezegd een data lek procedure. Jammer genoeg stellen we te veel vast dat een dergelijke goed doordachte procedure bij te veel organisaties ontbreekt. Hierdoor gaat er veel tijd verloren die je nodig hebt in de eerste uren na de vaststelling van het incident. Naast het zo snel mogelijk ‘dichten’ van het data lek heb je maximaal 72u de tijd om aan je meldingsplicht bij de Gegevensbeschermingsautoriteit en/of de betrokkenen te voldoen. Daarom raden we aan om samen met je IT partner een goed plan op te maken. Het opnemen van de coördinaten van de personen die het incident moeten behandelen is een absoluut minimum. Zorg eveneens dat je weet wie hun back ups zijn voor her geval iemand afwezig is door ziekte, vakantie, …Neem deze contact gegevens dan ook mee.

Raadpleeg ook onze videotip “Hoe ga je om met een datalek

De GDPR verplicht je om ieder data lek te registeren in een data lek register. Dit staat volledig los van je meldingsplicht (zie hierboven). Wat neem je mee in het register:

  • De naam en de contactgegevens van jouw bedrijf
  • Datum van de vaststelling van het data lek.
  • Beschrijving van de feiten
  • Welke persoonsgegevens en particulieren zijn betrokken?
  • Een schatting van het volume
  • Welke zijn de gevolgen
  • Voorgestelde maatregelen om het incident te dichten en te voorkomen

Tot slot heb je de meldingsplicht bij de Gegevensbeschermingsautoriteit en eventueel de betrokkenen. Niet alle incidenten moeten gemeld worden maar alleen de inbreuken waar de kans groot is dat de rechten van de betrokken personen ernstig geschaad kunnen worden. Deze evaluatie is en blijft natuurlijk een subjectief gegeven maar waar je als bedrijf integer mee moet omspringen. Een verkeerde analyse kan immers leiden tot een boete van de Gegevensbeschermingsautoriteit.

Om het onderzoek te objectiveren, vind je een tool bij Enisa (European Union Agency for Cybersecurity) die hierover al in 2013 een methodologie heeft geschreven. Maar een betere optie is het inschakelen van een specialist.

Stap 6: Technische en operationele beveiligingsmaatregelen

De uitvoering van een risico analyse zal altijd het vertrekpunt zijn. Daarbij hou je rekening met het risicoprofiel van je organisatie. Een bank eist immers andere beveiligingen dan een buurtwinkel. De categorie van de gegevens die je verwerkt is een ander element van de studie. Verwerk je medische gegevens of enkel naam en adres? Zijn er kinderen betrokken of enkel volwassenen? Veel financiële gegevens? Al deze gegevens dien je in rekening te nemen. Hier zie je nogmaals het belang van een volledige en correcte inventaris (zie stap 1). Een onvolledige of onjuiste inventaris leidt tot een “over kill” aan maatregelen of een veel te lage graad van beveiliging.

Dit lijkt allemaal vrij logisch. Ook de wetgever volgt deze redenering en nam in de GDPR de term “passende” op. Iedere organisatie kan dus zelf zijn niveau van beveiliging bepalen. Dit kan leiden tot een vrij brede interpretatie. Het is echter sterk aangeraden om niet te lichtzinnig om te gaan met het woord “passend”. Wanneer bij een onderzoek, een data lek of een vraag van de Gegevensbeschermingsautoriteit blijkt dat je als bedrijf de persoonsgegevens onvoldoende beschermt dan staat je een sanctie te wachten én je zal dan toch de vereiste acties moeten ondernemen.

De beveiliging organiseer je zowel op het organisatorisch als technisch vlak. Een fort Knox bouwen mag zeker maar als je jouw mensen niet traint, als de maatregelen niet werkbaar zijn dan creëer je een vals gevoel van veiligheid! Je werkt met papieren tijgers! Zorg er dus zeker voor dat je de beslissingen goed doorneemt met de medewerkers!

Enkele voorbeelden van operationele beveiligingen zijn:

  • Verantwoordelijke bepalen voor de veiligheid
  • Toegangsrechten duidelijk definiëren: wie mag en heeft toegang tot de bedrijfsgegevens?
  • Paswoordenbeleid op de apparaten die aangesloten zijn op het netwerk zoals desktops, laptops, smartphones maar evenzeer ook de netwerkprinters en beveiligingscamera’s,…
  • Wie heeft en mag toegang hebben tot de gebouwen en het IT lokaal?
  • Welke alarmsystemen zijn er?
  • Mogen de medewerkers die een openbaar wifi netwerk gebruiken?

De technische kant bekijk je best met jouw IT specialist. Firewalls, virusscanner, Wifi netwerken, updates van de besturingssystemen, 2FA, … komen natuurlijk aan bod. Je kan ook van jouw Microsoft Office 365 een veiligheidsscore berekenen. Dit biedt heel wat inzichten.

Stel je kritisch op en vraag garanties aan de IT relatie! Wanneer mocht blijken na een data lek of een controle dat je toch onvoldoende beveiligd was dan zal jij aansprakelijk worden gesteld en niet jouw IT partner.

Een netwerk audit uitvoeren raden we ook aan. Hiermee test je jouw beveiligingen op aanvallen van buiten uit, wie intern een risico profiel vertoont en controleer je of de gegevens binnen Europa bewaard worden.

Stap 7: Training en sensibilisering van de medewerkers

Weet dat de Gegevensbeschermingsautoriteit al verscheidene boetes heeft uitgedeeld omdat bedrijven de rechten van de betrokkenen niet correct hebben uitgevoerd. Met de juiste opleiding was dit te vermijden.

Jouw medewerkers bewust maken van het belang van de juiste GDPR verwerkingen, wat persoonsgegevens zijn, hoe een data lek kan vermeden en aangepakt worden, de uitvoering van de rechten van de rechten van de betrokkenen, de correcte toepassing van de beschreven veiligheidsprocedures maakt een essentieel onderdeel van jouw GDPR-dossier uit.

Als het gaat om informatieveiligheid blijkt en blijft de mens de zwakste schakel in de beveiligingsketting: phishing mails, social engineering, …zonder een gedegen training kan een persoon deze gevaren niet herkennen. Je vraagt om problemen. En zegt het spreekwoord niet “wie zijn gat verbrandt moet op de blaren zitten”?. De financiële impact kan je misschien nog berekenen maar voor de imagoschade is dit al veel moeilijker.

Kortom, als je jouw medewerkers niet traint dan heb je een GDPR dossier zonder waarde. Hoe mooi je procedures ook mogen opgemaakt zijn. Vergeet ook niet dat goed geïnformeerde medewerkers ook betrokken medewerkers zijn. Ze zullen actief knelpunten signaleren en durven ook data lekken te melden. Dit komt jouw cybersecurity zeker ten goede!

Opleidingen kunnen zowel in groep als individueel worden gegeven. Beide systemen hebben hun waarde. Vergeet echter niet om de trainingen regelmatig te herhalen. Redeneer als een coach die zijn atleten klaar stoomt voor de competitie: het succes zit in de herhaling. Pas na meerdere oefeningen krijg je de noodzakelijke automatismen.

De ervaring leert ons dat de combinatie van een groepstraining met individuele opvolgingslessen het meest succesvol is. Een e-learning platform met korte herhaaldelijke trainingen bestaande uit video, tekst en vragen is een echte meerwaarde.

Lees zeker ook onze artikelsHoe bouw en behoud je een privacy bewuste organisatie?” en “Phishing: hoe te herkennen en hoe te vermijden?

Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18