Info over GDPR door technische partners BSAE 1

GDPR voor ledenorganisaties

-

Info door de technische partners

van BSAE

Info over GDPR door technische partners BSAE 2

Meer info aanvragen kan via de volgende contactgegevens:

Cegeka https://www.cegeka.com/ Contact: Glenn.gielens@cegeka.com Sven.vanoirbeek@cegeka.com Telefoon: +32 11 24 02 34

Dropsolid https://dropsolid.com/nl Contact: Dominique@dropsolid.com Telefoon: 09 395 02 90

Livits.be https://www.livits.be Contact: elien.averhals@livits.be Telefoon: +32 (0)2 402 35 81

Nucleus https://dropsolid.com/nl Contact: Davy.vandevinne@nucleus.be Telefoon: +32 (0)3 275 01 60

© BSAE vzw

Kerkstraat 108 – 9050 Gentbrugge – Tel. 09 233 48 66 – info@bsae.be – http://www.bsae.be

Coördinatie: Marc Mestdagh – Josefien D’Haene

Disclaimer en copyright:

De inhoud van deze publicatie werd met de grootste zorg samengesteld. BSAE kan niet aansprakelijk gesteld

worden voor eventuele tekortkomingen of fouten. Niets uit deze uitgave mag openbaar worden gemaakt of

worden gereproduceerd door middel van druk, fotokopie, film, internet of op welke andere wijze dan ook

zonder voorafgaande toestemming van de uitgever.

Info over GDPR door technische partners BSAE 3

Inhoudstafel

Cegeka: Hoe beschermt u uw data tegen verlies, aantasting of cybercriminaliteit?

p. 4-5

Dropsolid: GDPR – basic guidelines for clients p. 6 - 17

Livits.be: GDPR voor verenigingen: hoe maak je van een bijkomende verplichting een ‘call-to-action’?

p. 18-19

Nucleus: Ebook ‘Hoe maak je jouw bedrijf GDPR compliant?’

p. 20-28

Cegeka België, info@cegeka.com, +32 11 24 02 34

Hoe beschermt u uw data tegen verlies,

aantasting of cybercriminaliteit?

Uw organisatie genereert en ontvangt 24 uur per dag data en heeft die gegevens ook 24/7 nodig. U mag er niet aan denken dat uw data tijdelijk onbeschikbaar zijn, dat ermee geknoeid wordt of dat ze in handen vallen van derden. Security wordt echter complexer naarmate de datavolumes groeien en u meer verschillende opslagtechnieken combineert. Bovendien zetten cybercriminelen steeds geavanceerdere technieken in. De recent goedgekeurde ‘General Data Protection Regulation (GDPR)’, de privacyverordening van de EU, legt de lat hoog en eist in Europa een hoger niveau van databescherming. Voldoet u eraan?

Redundantie, encryptie en snapshotting zijn drie veelgebruikte opties om data te beschermen:

Redundantie:

Redundantie betekent zorgen voor een dubbel – of driedubbel – opslagsysteem. Met andere woorden: als het primaire storageplatform uitvalt, vindt u de data nog op een ander systeem terug. De mogelijkheden zijn uitgebreid. U kunt opslagplatformen geografisch spreiden maar ook kiezen voor specifieke media met erg lange houdbaarheid, zoals back-uptapes of WORM (Write Once Read Many)-tapes. Deze laatste worden vaak gebruikt als databescherming cruciaal is (vaak vanuit een wettelijk kader): omdat de tapes maar eenmaal beschreven kunnen worden, zijn de data perfect beveiligd.

Encryptie:

Door encryptie of het versleutelen van uw opslagsysteem (disk, tape, enz.) beperkt u de impact van dataverlies. Wanneer iemand zonder rechten toch toegang krijgt tot uw – verloren of gestolen – systeem, dan kan hij de inhoud niet lezen. Er zijn veel verschillende applicaties in omloop voor versleuteling. Sommige versleutelen alleen specifieke informatie op de drager (gedeeltelijke versleuteling), andere versleutelen het medium (volledige versleuteling). Let wel, versleutelde data zijn maar net zo veilig en beschikbaar als de sleutels die u gebruikt om uw data op slot te doen!

Snapshotting:

Snapshotting is een manier om heel snel een back-up te nemen van data: u neemt als het ware een foto of momentopname van een dataset. De geavanceerde, high-speed snapshottingtechnieken, zoals het veelgebruikte ‘previous versions’ in Windows, winnen de laatste jaren aan populariteit.

Mix and match

Er zijn veel meer mogelijkheden voor databescherming dan in het lijstje hierboven. Van oplossingen om data heel passief te beschermen tot totaaloplossingen waar bescherming een geïntegreerd onderdeel van is. En uiteraard is er geen ‘one size fits all’-oplossing. Met de vele beschikbare opslagmogelijkheden kunt u probleemloos twee of meer methoden combineren om een specifieke oplossing op maat te ontwikkelen. Uw budget voor beveiliging zal uiteraard sterk afhangen van de keuzes die u maakt.

Cegeka België, info@cegeka.com, +32 11 24 02 34

Het volledige plaatje

Hoe u kiest? Back to the basics: ook hier is dataclassificatie een goed vertrekpunt. U lijst alle data op en geeft aan welke mate van beveiliging voor elk type data nodig is. Verlies daarbij de levenscyclus van uw data niet uit het oog. Uw storagetechnieken evolueren in de loop van die levenscyclus, bijvoorbeeld van fysieke over digitale drager naar opslag in de cloud. Bij elke migratie naar een nieuw opslagmedium moet u de databeveiliging weer onder de loep nemen. Roep zeker ook de hulp van de juridische dienst in. Zij kennen de wetgeving rond databescherming immers het best.

Wilt u meer weten rond dataretentie en privacy, een domein dat nauw gelinkt is aan dataprotectie, mis dan zeker onze blog niet rond dit onderwerp.

Cegeka kan u met raad en daad bijstaan bij het uitwerken en versterken van integraal databeheer. We bieden oplossingen voor opslag, archivering en back-up: van behoefteanalyse over architectuur, implementatie, optimalisatie, enz.? Aarzel niet om ons te contacteren.

Uiteraard zijn ook uw opmerkingen rond of ervaringen met databeheer meer dan welkom.

https://insights.cegeka.com/data-management-ebook?hsCtaTracking=fdcfdc93-3281-4875-bb81-c6a45c0a5277%7Cffc376f4-3bfd-43eb-af0c-17a4449c5651

Auteur: Tom Provost is System Engineer bij Cegeka.

GDPR

GDPRBasic guidelines for clients

2

GDPR?

General Data Protection RegulationEuropese Regelgeving, met lokale toepassing door Privacy Commissie.

Je moet compliant zijn tegen 25 mei 2018

Doel: Betere regulering van Privacy & Gegevensbescherming.

GDPRBasic guidelines for clients

3

GDPR?

Voor elk bedrijf dat persoonsgegevens gestructureerd verwerkt.

Persoonsgegevens =

Alle gegevens van natuurlijke personen die die geïdentifceerd zijn (bv. een naam) of die

identifceerbaar zijn (bv. een klantennummer).

Daarnaast zijn ook online herkenningsgegevens zoals IP-adressen en genetische en biometrische

gegevens ook persoonsgegevens.

GDPRBasic guidelines for clients

4

Algemene bepalingen

1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en

verwerkt, en dat op een begrijpelijke manier.

2. Data-overdracht of dataportabiliteit: Burgers zullen hun gegevens kunnen overdragen van de

ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.

3. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens wissen als de persoon in

kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden waarom die

zouden moeten blijven. Ook wanneer de data inmiddels gedeeld is met derde partijen.

4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij

kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

GDPRBasic guidelines for clients

5

Stappenplan voor GDPR

1. BEWUSTMAKING

Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan.

Zorg ervoor dat beslissingsmakers weten wat er moet gebeuren om volledig in orde te zijn met de

wetgeving.

GDPRBasic guidelines for clients

6

Stappenplan voor GDPR

2. REGISTER VAN VERWERKINGSACTIVITEITEN

Breng duidelijk in kaart welke persoonsgegevens je verwerkt, waarom je die verwerkt, waar je die

bewaart, met welke partijen je deze persoonsgegevens deelt, enz. Je kan hiervoor een

informatie-audit organiseren.

Model via Privacy Commissie:

https://www.privacycommission.be/nl/register-van-de-verwerkingsactiviteiten-0

GDPRBasic guidelines for clients

7

Stappenplan voor GDPR

3. PRIVACYVERKLARING

Controleer of je privacyverklaring nog up-to-date is. Om in orde te zijn met de GDPR moet je de

privacyverklaring aanvullen met extra informatie. Je moet onder meer de wettelijke basis voor de

gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens

ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en

begrijpelijk mogelijk moet zijn.

GDPRBasic guidelines for clients

8

Stappenplan voor GDPR

4. WETTELIJKE BASIS

Net zoals de Belgische Privacywet, vereist de GDPR een wettelijke basis voor gegevensverwerking.

De bepaling van die wettelijke basis is zeer belangrijk omdat die ook deels bepaalt welke rechten de

gebruiker heeft. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn

gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de

Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens

verduidelijken bij een verzoek tot toegang tot persoonsgegevens.

GDPRBasic guidelines for clients

9

Stappenplan voor GDPR

5. RECHTEN VAN DE BETROKKENE

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld,

enkele bijkomende rechten en worden bestaande rechten verruimd.

• toegang vragen tot persoonsgegevens

• vragen om gegevens te verbeteren of te verwijderen

• vragen om de gegevensverwerking te beperken

• zich verzetten tegen een verwerking voor direct marketing

• niet onderworpen te worden aan geautomatiseerde besluitvorming en profilering

• gegevens in een gestructureerd, gangbaar en machineleesbaar formaat overdragen naar andere

leveranciers/ bedrijven

GDPRBasic guidelines for clients

10

Belangrijk:

● Privacy by design & by default

○ Toestemming: specifiek en expliciet met inzagerecht

● Recht op dataportabiliteit

● Herkomst van de data (log)

● Data register op persoonsniveau (welke data waar)

● Internationale context: hoofdzetel en/of zetel die instaat voor dataverwerking is bepalend voor

autoriteit

● Data Protection Officer: nodig in sommige gevallen

GDPRBasic guidelines for clients

11

Verantwoordelijkheden:

● Jij bent verantwoordelijk t.o.v. de betrokkene.

● Werk je samen met verwerkers? Spreek verwerkerscontracten af.

● Werk je samen met cloudproviders? Controleer compliancy.

● Gebruik je social media? Bewaak compliancy. (bv. retargetting, custom audiences)

Jij bent eindverantwoordelijke en jij hebt de bewijslast.

Niet compliant? Stop op datacollectie, risico op boetes (tot 4% op wereldwijde omzet), ...

Patrick De Sutterpatrick.de.sutter@dropsolid.com

Bd. A. Reyers 80, 1030 Brussels +32 (0)2 402 35 80 info@livits.be www.livits.be

GDPR voor verenigingen: hoe maak je van een bijkomende verplichting een ‘call-to-action’? GDPR, u heeft er vast al van gehoord?! Sedert begin dit jaar worden we vanuit verschillende hoeken immers bewust gemaakt van deze nieuwe verplichting. Één ding is zeker… Er blijft verwarring bestaan over de precieze inhoud van deze maatregel. Daarom proberen we in wat volgt deze regelgeving bevattelijker te maken en aan te geven hoe jij GDPR positief kan inzetten op jullie verenigingsmanagement. We starten met enkele logische vragen: Wat is GDPR precies? GDPR staat voor ‘General Data Protection Regulation’, ook wel ‘Algemene Verordening Gegevensbescherming’ genoemd of kortweg AVG. Dit juridisch voorschrift omvat vooral richtlijnen over hoe er omgegaan dient te worden met vertrouwelijke gegevens. Op iedereen van toepassing?

JA! Vooral deze vraagstelling heeft al veel verwarring doen rijzen. Alhoewel er voor verenigingen enkele aanpassingen in de wet staan, is het basisbeginsel voor iedereen identiek. De te doorlopen stappen hangen vooral af van de vertrouwelijkheidsvorm van de data. Dus niet van het type organisatie en al helemaal niet van de organisatiegrootte. Wat zal er veranderen? Ten opzichte van de huidige privacy wetgeving zal er weinig drastisch wijzigen. Het grootste verschil stelt zich vooral in het erkennen van de verantwoordelijkheid die je als vereniging hebt bij het verwerken van gegevens. Wanneer kunnen sancties volgen? Deze Europese verordening wordt op 25 mei 2018 van toepassing en zal meteen gevolgen hebben voor alle organisaties die persoonsgegevens verwerken. Moeten we ons als vereniging zorgen maken? Hoe diep je in de wetgeving dien te duiken, hangt af van hoe je momenteel omgaat met het proces van data verzamelen en verwerken. Als er vandaag reeds een intern proces bestaat dat duidelijk en ondubbelzinnig omschrijft hoe en welke data je verzamelt, weergeeft welke data flows er zijn (intern en extern) en de verantwoordelijkheid duidt bij het verwerken van de gegevens, zal het extra werk zich vooral toespitsen op het documenteren van de processen en het maken van goede afspraken met externe verwerkers. Als je vandaag eerder over een ‘open’ data proces beschikt, is er wel wat werk aan de winkel. Wanneer zijn gegevens vertrouwelijk? Als we kijken naar de omschrijving van ‘vertrouwelijke’ gegevens, is dit voor verenigingen vooral van toepassing op:

Etnische afkomst

Politieke/religieuze opvattingen

Medische gegevens

Seksuele geaardheid

Salaris

Strafrechtelijke feiten

Foto’s

Informatie over kinderen < 16 jaar Bovenstaande data mogen slechts onder zeer strikte voorwaarden verwerkt worden. Een DPO aannemen, is dat echt nodig? GDPR houdt in dat er een proces dient opgezet te worden, wat tijdelijk extra werk vraagt. Echter moet het toch vooral gedragen worden door iedereen binnen de organisatie. Het is dus geen bijkomende opdracht maar wel een manier van werken. Aan te raden is dat je de kanalisering en opvolging door een intern aanspreekpunt laat uitvoeren. In de meeste gevallen kan een huidige werknemer dit vertegenwoordigen. Hoe meer informatie, en in het

Bd. A. Reyers 80, 1030 Brussels +32 (0)2 402 35 80 info@livits.be www.livits.be

bijzonder van vertrouwelijke aard, er verwerkt moet worden, des te meer kan je de inzet van een dedicated persoon, een ‘Data Protection Officer’ (DPO), verantwoorden. De aanwezigheid van een DPO is enkel verplicht onder bepaalde voorwaarden. GDPR, grijp het vast en de voordelen volgen wel Noodzakelijk maar vaak vergeten, is zich samen met de interne medewerkers in de materie te verdiepen. Het is immers een nieuwe werkwijze; eerst nadenken over eventuele risico’s, dan verantwoord handelen, om het nadien op te volgen. Een goede begeleiding is dus essentieel. Daarom zal deze verordening, en zeker in een eerste fase, extra denkwerk binnen jouw organisatie vereisen. Het best kan men de processen documenteren aan de hand van hiervoor ontwikkelde tools of in samenspraak met ervaren mensen. Van zodra alle data flow processen in kaart zijn gebracht en een verantwoorde werkwijze in de organisatie geïmplementeerd is, heeft de verordening enkel voordelen voor jouw vereniging.

Bij aanwerving van extra medewerkers is er reeds een correct en up-to-date draaiboek van de verenigingswerking voorhanden. De procedures staan dus reeds neergeschreven, wat maakt dat hij/zij zich vlotter zal kunnen inwerken.

De beheerde data zullen kritisch bekeken moeten worden waardoor alle oude, niet relevante of overbodige informatie weggehaald kan worden.

Er is een duidelijke en gekende data processtroom binnen de organisatie wat zal zorgen voor een snellere verwerking en een betere samenwerking tussen verschillende diensten.

Door de verplichte actieve goedkeuring op verwerking van data, heb je als organisatie een extra controle op de correctheid van de verzamelde data.

Het geeft een extra reden om te communiceren met jouw leden. Door zeer expliciet de verwerking te omschrijven, geef je hen een gevoel van veiligheid.

Een vereniging die dit proces op een goede manier opneemt, zal haar imago bij andere organisaties kunnen versterken.

Een vlot intern proces en efficiënt datagebruik zullen de werkingskost van de vereniging zeker doen dalen. ‘GDPR for associations’ pakt uit met tool voor GDPR compliancy proces verenigingen Wat we bovenstaand schetsten, is uiteraard slechts een beknopt overzicht van de verwachtingen binnen de gehele GDPR regelgeving. We merken dat er nog behoorlijk wat onduidelijkheden bestaan. Om jullie als vereniging te helpen, hebben we bij Livits.be zelf reeds veel denkwerk verricht en dat blijven we ook doen. Samen met een aantal Belgische en Nederlandse instanties lieten we ‘GDPR for associations’ tot leven komen, een unit van Livits.be. Zo werd een tool ontwikkeld die jou probleemloos door het ‘GDPR readiness proces’ kan loodsen. Alle actiepunten die specifiek voor een vereniging van belang zijn, worden er aangehaald. Instructievideo’s leiden je stap voor stap doorheen alle vereisten. Aan de hand van eenvoudige vragen vink je aan wat voor jouw data van toepassing is, wat zal resulteren in documentatie die GDPR compliant is en dus voldoet aan de verwachtingen van de privacy commissie. Verstaanbaar voor iedereen, gebruiksvriendelijk en specifiek voor verenigingen. Daar helpen we jou graag bij. Meer informatie over deze GDPR tool voor verenigingen kan je vinden op www.gdprforassociations.be. Laat er ook al jouw vragen en bezorgdheden omtrent GDPR voor jouw vereniging na.

www.livits.be

+32 (0)2 402 35 81

elien.averhals@livits.be

80 Bd. A. Reyers - 1030 Brussels

North Trade BuildingNoorderlaan 133/8B-2030 Antwerpen

T +32 (0) 3 275 01 60F +32 (0) 3 275 01 69www.nucleus.be

NUCLEUS Uptime-as-a-Service 1

HOE MAAK JE JOUW BEDRIJF

GDPR COMPLIANT?

NUCLEUS Uptime-as-a-Service 2North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

GDPR UITGELEGD IN 5 VRAGEN

1. WAT IS DE GDPR?

GDPR is de afkorting van General Data Protection Regulation, de nieuwe Europese wetgeving over het beschermen van persoonsgegevens, die op 25 mei 2018 van kracht wordt in alle Europese lidstaten.

2. WAAROM KOMT DE GDPR ER?

De GDPR is ontworpen om persoonsgegevens beter te beschermen in een digitaliserende wereld. De GDPR omvat bijna 100 artikels. Ze bevestigt bestaande beginselen van gegevensbescherming (bv. gegevensbeveiliging en minimalisatie), legt meer en meer vergaande verplichtingen op aan bedrijven die persoonsgegevens verwerken en geeft in essentie datasubjecten meer rechten ten aanzien van hun persoonsgegevens. Op die manier hebben ze meer controle

over of, wanneer, hoe en aan wie persoonsgegevens worden verstrekt en waarvoor die gegevens mogen worden gebruikt. De GDPR tracht ook een betere harmonisatie te bereiken van wetgeving inzake gegevensbescherming, omdat die wetgeving per lidstaat op vandaag zeer sterk kan verschillen.

3. VOOR WIE GELDT DE GDPR?

De GDPR geldt voor alle bedrijven die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken. Persoonsgegevens zijn alle gegevens van natuurlijke personen die geïdentificeerd zijn (bv. een naam) of die identificeerbaar zijn (bv. een klantennummer). Bovendien verduidelijkt de GDPR dat gegevens zoals bijvoorbeeld online identificatoren (bv. IP-adressen) en genetische en biometrische gegevens eveneens persoonsgegevens zijn. Simpel gezegd: wanneer je ergens gegevens van natuurlijke personen, zoals (contactpersonen bij) klanten bijhoudt, moet je in regel zijn met de GDPR. De GDPR geldt dus voor alle Europese bedrijven - groot én klein - die met gegevens van natuurlijke personen omgaan.

4. WAT STAAT ER IN DE GDPR?

De GDPR breidt de verplichtingen voor bedrijven en de rechten voor datasubjecten aanzienlijk uit. Een greep uit het nieuwe assortiment:

Verantwoordelijkheid: De GDPR voert een aantal nieuwe verplichtingen voor bedrijven in, waarvan het overkoepelende beginsel van verantwoordelijkheid (accountability) het belangrijkste is. Het betekent dat je als bedrijf de GDPR niet alleen moet respecteren, maar ook zelf moet kunnen aantonen dat je dat doet. Dit principe verplicht bedrijven dus om de nodige policies in te voeren en hun beleid en initiatieven rond de verwerking van persoonsgegevens goed te documenteren.

“Data Protection by Design & Default”: Een aantal nieuwe verplichtingen en beginselen kunnen bedrijven helpen bij het nakomen van die verantwoordelijkheidsplicht. Zo zijn er de nieuwe beginselen van “Data Protection by Design & Default”. Deze beginselen verplichten bedrijven om te bezinnen vooraleer ze met een gegevensverwerking beginnen. Bedrijven moeten reeds van bij de start van een project met verwerking van persoonsgegevens nadenken over hoe die gegevens kunnen worden beschermd (data protection by design). Wanneer bedrijven verschillende opties aanbieden in hun producten of diensten, moeten zij standaard de meest privacyvriendelijke optie instellen (data protection by default). Daarnaast houdt de GDPR voor sommige bedrijven ook een verplichting in om een register bij te houden van alle gegevens die zij verwerken. Bij gevoelige gegevensverwerkingen moeten ze ook een voorafgaande risicobeoordeling (een data protection impact assessment) uitvoeren.

Transparantie: De GDPR zet ook in op een betere transparantie rond gegevensverwerking. Bedrijven moeten datasubjecten op begrijpelijke en op zeer uitgebreide manier informeren over de gegevens die ze over hen verwerken. Zo moet je als bedrijf onder meer informatie geven over de doeleinden waarvoor je de gegevens zal gebruiken, de bedrijven die de gegevens zullen ontvangen, de bewaarduur van de gegevens, enz. Nieuwe en of meer uitgebreide rechten zoals het recht op overdraagbaarheid van gegevens en het recht op gegevenswissing: onder bepaalde voorwaarden kunnen datasubjecten hun persoonsgegevens opvragen bij dienstverleners en zelfs vragen om de gegevens rechtstreeks aan een andere dienstverlener te bezorgen. Verder wordt ook het

bestaande recht om het verwijderen van gegevens te vragen (right to be forgotten) versterkt. Bedrijven zijn dus in bepaalde gevallen verplicht gegevens te wissen als de persoon in kwestie daarom vraagt en als er geen andere motief voor verwerking bestaat. Meldplicht bij datalekken: Ook op het vlak van beveiliging, breidt de GDPR de verplichtingen voor bedrijven uit, door onder meer een verplichting in te voeren om datalekken te melden. Bedrijven moeten een datalek melden binnen de 72 uur, tenzij het niet waarschijnlijk is dat het lek een risico inhoudt voor de verzamelde persoonsgegevens.

5. WAT ALS IK NIET VOLDOE AAN DE GDPR?

Wie de GDPR overtreedt, riskeert boetes die kunnen oplopen tot 20 miljoen euro of vier procent van de globale jaarlijkse omzet.

NUCLEUS Uptime-as-a-Service 3North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

NUCLEUS Uptime-as-a-Service 4North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

STAPPENPLAN VOOR GDPR COMPLIANCE

Hoe zorg je ervoor dat jouw bedrijf of organisatie voldoet aan de GDPR? Wat moet je allemaal doen om helemaal in orde te zijn? De Belgische privacycommissie zorgde voor een uitgebreid stappenplan. Wij namen dit als basis voor dit hoofdstuk en vatten de belangrijkste dingen daaruit even samen.

Het is vooraf goed om te weten dat veel van de basisprincipes en concepten uit de GDPR nu ook al terug te vinden zijn in de actuele Belgische Privacywet (wet van 8 december 1992). Dus als je vandaag al voldoet aan de huidige wetgeving, kan je dat als uitgangspunt nemen voor de implementatie van de GDPR. Toch zijn er nog veel nieuwigheden die jouw extra aandacht verdienen. We overlopen 13 stappen die de Privacycommissie aanbeveelt om volledig GDPR-compliant te worden.

1. BEWUSTMAKING

Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan. Zorg ervoor dat beslissingsmakers weten wat er moet gebeuren om volledig in orde te zijn met de wetgeving.

2. REGISTER VAN VERWERKINGSACTIVITEITEN

Breng duidelijk in kaart welke persoonsgegevens je verwerkt, waarom je die verwerkt, waar je die bewaart, met welke partijen je deze persoonsgegevens deelt, enz. Je kan hiervoor een informatie-audit organiseren.

3. PRIVACYVERKLARING

Controleer of je privacyverklaring nog up-to-date is. Om in orde te zijn met de GDPR moet je de privacyverklaring aanvullen met extra informatie. Je moet onder meer de wettelijke basis voor de gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en begrijpelijk mogelijk moet zijn.

4. WETTELIJKE BASIS

Net zoals de Belgische Privacywet, vereist de GDPR een wettelijke basis voor gegevensverwerking. De bepaling van die wettelijke basis is zeer belangrijk omdat die ook deels bepaalt welke rechten de gebruiker heeft. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens verduidelijken bij een verzoek tot toegang tot persoonsgegevens.

5. RECHTEN VAN DE BETROKKENE

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten en worden bestaande rechten verruimd. Je moet zorgen dat je die rechten kan vervullen. Deze rechten stonden ook al in de eerdere Belgische wetgeving, maar controleer toch best of een gebruiker de volgende acties kan ondernemen:• toegang vragen tot persoonsgegevens• vragen om gegevens te verbeteren of te verwijderen• vragen om de gegevensverwerking te beperken• zich verzetten tegen een verwerking voor direct marketing• niet onderworpen te worden aan geautomatiseerde

besluitvorming en profilering • gegevens in een gestructureerd, gangbaar en machine-

leesbaar formaat overdragen naar andere leveranciers/bedrijven

6. VERZOEK TOT TOEGANG

De gebruiker heeft het recht om zijn of haar gegevens en informatie over de verwerking van zijn gegevens in te kijken. Dat is nu ook al het geval, maar door de GDPR zal je sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen voordien.

7. TOESTEMMING

Als toestemming de wettelijke basis is voor een gegevensverwerking, controleer dan op welke manier je toestemming vraagt om gegevens te verwerken en hoe je die toestemming bewaart. Je moet op elk moment kunnen bewijzen dat er een ondubbelzinnige toestemming is gegeven voor de verwerking van persoonsgegevens die je uitvoert. De gebruiker moet – in tegenstelling tot voorheen - actief akkoord gaan (een positieve handeling stellen), bv. via het aanvinken van een vakje.

8. MINDERJARIGEN

Je moet nagaan of gebruikers al dan niet meerderjarig zijn. Wanneer je gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Bovendien moet de privacyverklaring zo geschreven zijn dat ook minderjarigen hem kunnen begrijpen.

9. DATALEKKEN

De GDPR omvat een verplichte meldplicht voor datalekken. Je moet dus procedures ontwikkelen om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Wanneer bepaalde persoonsgegevens met een hoog risico – zoals bankgegevens bijvoorbeeld – gecompromiteerd worden, moet je de gebruiker zelf waarschuwen.

10. DATA PROTECTION BY DESIGN EN DATA

PROTECTION IMPACT ASSESSMENT

Twee zeer belangrijke begrippen van de GDPR zijn “Data Protection by Design” en “Protection Impact Assessment”. Data Protection by Design draait om het inbouwen van privacy vanaf het prille begin: elk proces binnen je bedrijf moet vanaf nu rekening houden met gegevensbescherming. Het houden van Data Protection Impact Assessments – waarbij de risico’s van elk nieuwe systeem of proces met gegevensverwerking

NUCLEUS Uptime-as-a-Service 5North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

wordt geanalyseerd - is een voorbeeld van hoe je Data Protection by Design in praktijk kan omzetten. Zorg ervoor dat je organisatie klaar is om beide concepten effectief te implementeren.

11. DATA PROTECTION OFFICER

In tegenstelling tot wat je vaak leest of hoort, heeft niet elk bedrijf een Data Protection Officer (DPO) nodig. Bekijk dus eerst of jouw bedrijf verplicht is om een DPO aan te stellen, al is het idee dat één persoon de opvolging van gegevensbescherming in zijn takenpakket heeft wellicht nuttig voor elk bedrijf. De regels rond het aanstellen van Data Protection Officers, behandelen we in onze hoofdstuk “Heeft jouw bedrijf een Data Protection Officer nodig?”. Als je er een nodig hebt, weet dan dat dat niet noodzakelijk iemand hoeft te zijn die vast in dienst is of daar fulltime mee bezig is. Je kan ook kiezen voor een consultant of een medewerker die de functie naast zijn bestaande job opneemt.

12. INTERNATIONAAL

Als je in verschillende landen persoonsgegevens verzamelt, moet je weten welke autoriteit toezicht houdt over jouw activiteiten. Over het algemeen wordt daarbij naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel maar een afdeling in een ander land beslist over de gegevensverwerking, valt het bedrijf onder de autoriteit in dat specifieke land. Hou er ook rekening mee dat er strenge regels bestaan wanneer persoonsgegevens over de Europese landsgrenzen reizen of van buiten Europa toegankelijk zijn.

13. BESTAANDE CONTRACTEN

De GDPR heeft ook een impact op de diensten en oplossingen waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een CRM of marketing automation oplossing, dan moet ook die GDPR-compliant zijn. Ook cloud providers vallen onder de regels. De GDPR legt de verantwoordelijkheid om te controleren of alle diensten en oplossingen compliant zijn bij jou. Controleer dus bestaande contracten en maak de nodige aanpassingen.

Het volledige stappenplan van de Belgische Privacycommissie kan je hier downloaden.

NUCLEUS Uptime-as-a-Service 6North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

HEEFT JOUW BEDRIJF EEN DATA PROTECTION OFFICER NODIG?

In ons stappenplan richting GDPR hebben we het in stap 11 over de Data Protection Officer (DPO). Maar in tegenstelling tot wat je vaak leest of hoort, moet niet elk bedrijf een Data Protection Officer aanwerven. Hoe zit dat voor jouw bedrijf?

WELKE BEDRIJVEN MOETEN VERPLICHT EEN

DATA PROTECTION OFFICER HEBBEN?

Of je al dan niet een DPO moet aannemen heeft niks te maken met de omvang van je bedrijf. Wél met het feit of jouw bedrijf één van de onderstaande drie activiteiten uitoefent. • Is jouw bedrijf of organisatie een overheidsinstantie of

-orgaan?• Is jouw bedrijf hoofdzakelijk belast met gegevens-

verwerking die regelmatige en stelselmatige observatie van betrokkenen op grote schaal eist?

• Is jouw bedrijf hoofdzakelijk belast met de verwerking van bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religieuze overtuiging, gezondheidsgegevens of gegevens over strafrechtelijke feiten?

Indien je op alle bovenstaande vragen “nee” antwoordde, is de kans groot dat jouw bedrijf niet verplicht is om een Data Protection Officer aan te stellen. Het is evenwel voor elk bedrijf nuttig om de opvolging van de gegevensbescherming binnen het bedrijf aan één of meerdere personen toe te wijzen.

De bovenstaande omschrijvingen vragen nogal wat interpretatie. Recent heeft een Europese groep van privacycommissies duiding verschaft rond enkele begrippen.

“Hoofdzakelijk” betekent dat gegevensverwerking tot de kernactiviteiten van het bedrijf behoort. Dus wanneer de kernactiviteiten van een bedrijf onlosmakelijk de verwerking van persoonsgegevens vereisen, zoals bijvoorbeeld het geval is voor een ziekenhuis. Een ziekenhuis kan nu eenmaal geen gezondheidszorg aanbieden zonder het verwerken van patiëntengegevens.

Aan de andere kant worden activiteiten zoals IT-support van een bedrijf eerder als bijkomstige activiteiten dan kernactiviteiten beschouwd, terwijl net deze afdelingen vaak wél op regelmatige en stelselmatige manier observatie vereisen.

“Op grote schaal” kan op verschillende zaken betrekking hebben, zoals het aantal datasubjecten dat betrokken is, het volume van de data, de duur van de verwerkingsactiviteit, de geografische reikwijdte enz. Een voorbeeld van een gegevensverwerking op grote schaal is opnieuw het ziekenhuis dat om gezondheidszorg te kunnen aanbieden grote hoeveelheden patiëntengegevens moet verwerken.

WAT DOET DE DATA PROTECTION OFFICER?

Simpel gezegd, controleert de DPO of alle persoonsgegevens correct worden bewaard, gebruikt en gedeeld. Hij of zij moet toezien dat de Europese en nationale regels inzake gegevensbescherming en de privacy en data protection policies van het bedrijf worden nageleefd. Daarnaast is de DPO het contactpunt voor de gegevensbeschermingsautoriteiten. Als jouw bedrijf bijvoorbeeld te maken krijgt met een gegevenslek, is de DPO de contactpersoon voor de privacycommissie. De DPO informeert en adviseert je bedrijf ook omtrent de GDPR-verplichtingen en staat in voor het trainen van werknemers en het uitvoeren van eventuele audits. Tenslotte is het de DPO die antwoordt op alle vragen over de gegevensverwerking en de rechten van de betrokkenen van wie de gegevens verwerkt worden.

WIE KAN DATA PROTECTION OFFICER WORDEN?

In de GDPR wordt niet beschreven welke specificaties gelden voor een DPO. Er staat nergens welk diploma hij of zij moet hebben. De GDPR stelt wel dat de DPO moet beschikken over onder meer “deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming”. De Data Protection Officer hoeft bovendien niet per se een eigen werknemer te zijn. Ook experts van buiten jouw bedrijf kunnen de rol van DPO vervullen.

NUCLEUS Uptime-as-a-Service 7North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

3. BEZORG JE CLOUD PROVIDER ALLEEN

NOODZAKELIJKE GEGEVENS

Verzamel alleen gegevens die je ook effectief gebruikt. Minimalisatie van gegevens is immers één van de beginselen van de GDPR. Let ook op met het verzamelen of verwerken van speciale gegevens, zoals gezondheidsgegevens, gerechtelijke gegevens enz. Voor deze gegevens gelden er nog strengere regels dan voor gewone persoonsgegevens.

5. SLUIT VERWERKERSCONTRACTEN AF MET JE

CLOUD PROVIDER

Sluit een contract af met je cloud provider dat duidelijk aflijnt wat er kan op vlak van gegevensverwerking. De GDPR vermeldt een aantal bepalingen die je verplicht in jouw contract moet opnemen, bv. rond het gebruik van de gegevens, de vertrouwelijkheidsverplichting van het personeel van de cloud provider, enz.

6. VERBIED JE CLOUD PROVIDER GEGEVENS

VOOR ANDERE DOELEINDEN TE GEBRUIKEN

Sta niet toe dat je cloud provider persoonsgegevens gebruikt voor andere doeleinden en zet dit duidelijk in je verwerkerscontract. Controleer in de gebruiksvoorwaarden van de cloud provider of er vermeld wordt dat de klant eigenaar is van de gegevens en dat de cloud provider gegevens niet zal delen met andere partijen of voor eigen doeleinden kan gebruiken.

Het is duidelijk dat dit één van de moeilijkste aspecten zal worden op het vlak van GDPR-compliance met cloud providers. Er is een zeer groot aanbod aan cloudtoepassingen en de opkomst van ‘shadow IT’ helpt ook niet. Heel wat cloud providers zijn bovendien internationale (lees: niet-Europese) spelers die niet staan te springen voor de strenge regelgeving van de GDPR. Lokale hosting van gegevens en lokale (lees: Europese) cloudtoepassingen zouden dus mogelijk een flinke boost kunnen krijgen eens de GDPR van kracht wordt.

IS JOUW CLOUD PROVIDER KLAAR VOOR GDPR?

Een belangrijk en complex aspect van GDPR is dat je niet alleen moet zorgen dat je zelf compliant bent, maar dat ook oplossingen en diensten die je gebruikt voor gegevensverwerking dat zijn. De eindverantwoordelijkheid wat betreft compliance ligt op dat vlak bij jou. Niet evident in een tijd waar heel wat van onze gegevens zich in de cloud bevinden. Welk bedrijf kan vandaag nog zeggen dat het niets in de cloud heeft staan of geen cloudtoepassingen gebruikt? Denk maar aan oplossingen als Microsoft Office 365, Salesforce, SuccessFactors, Dropbox, Evernote, WeTransfer, enz. Heel wat van die toepassingen worden vaak bovendien oogluikend of zelfs zonder medeweten van IT gebruikt. De vraag is dus: kan je wel helemaal GDPR-compliant zijn met zoveel tools – waarvan je van sommige niet eens weet dat ze gebruikt worden – in de cloud?

Wij hebben alvast een aantal vereisten opgelijst om toch met cloud providers te kunnen blijven werken.

De eerste vereiste is uiteraard aan je cloud provider vragen of hij GDPR-compliant is. Is dat het geval, heb je weinig zorgen. Maar toch zijn er een aantal vereisten waar je best ook aan voldoet.

1. WEET WAAR JE CLOUD PROVIDER JE

GEGEVENS VERWERKT EN BEWAART

De eerste vereiste is meteen een hele belangrijke. Je moet weten waar je cloud provider jouw gegevens verwerkt en bewaart en welke wetgeving er op van toepassing is. Op elk moment. Want de kans is reëel – zeker bij grotere toepassingen – dat je gegevens al eens naar datacenters buiten Europa reizen.

2. WEET HOE JE CLOUD PROVIDER JE GEGEVENS

BEVEILIGT

Daarnaast moet je ook weten hoe de cloud provider jouw gegevens zal beveiligen rekening houdend met de specifieke risico’s die met de business van jouw bedrijf gepaard gaan. Vraag deze informatie op bij de cloud provider en neem deze informatie eventueel als een annex bij een verwerkerscontract op.

NUCLEUS Uptime-as-a-Service 8North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

MEER, MEER, MEER?

Dit ebook maakt deel uit van een reeks ebooks & blogs over hosting, cloud, business continuity, security en e-commerce die Nucleus uitbrengt.

Wil je op de hoogte blijven van nieuwe blogposts of eBooks? Schrijf je dan nu in.

Wij beloven plechtig dat we niet meer dan één update per week zullen sturen. Geen verpakte promotie, maar relevante en kwalitatieve inhoud.

IK SCHRIJF ME IN

NUCLEUS Uptime-as-a-Service 9North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be

CUSTOMER FIRST

De klant staat bij ons centraal. Dat zegt toch elk bedrijf? Klopt, maar wij zetten het in de praktijk. De tevredenheid van onze klanten is onze grootste KPI.

CONSULTANCY

Adviseren zit in het DNA van onze organisatie: eerst luisteren, dan overleggen en daarna pas actie ondernemen.

KWALITEIT

Kwaliteit staat altijd voorop. In de diensten en oplossingen die we aanbieden, maar ook in de dienstverlening die erbij hoort.

TRANSPARANTIE

We geloven in open en eerlijke communicatie. Als alles op rolletjes loopt, maar ook als er iets mis gaat.

GEEKS

We zijn geeks en we zijn er trots op. We zijn dol op technologie. En pizza. En science fiction.

OVER ONSWat er ook gebeurt, bij ons zijn je websites, applicaties en servers maximaal beschikbaar. Dat garanderen we. Onze focus ligt op hosting en alles wat daarbij komt kijken, zoals cloud, security, business continuity, managed services, DevOps, enz.

We bestaan sinds 2000 en zijn intussen een absolute expert in hosting. Dankzij een gezonde groei en een verstandig beleid zijn we uitgegroeid tot een Belgische hosting-expert.

Onze kracht zit in de expertise van een groeiend team van gedreven mensen. Dat zijn stuk voor stuk specialisten in hun vakgebied, die elkaar aanvullen en perfect als team functioneren.

Wat ons anders maakt dan anderen? Onze eigenheid. We zijn helemaal onszelf op vijf verschillende manieren.