Data protectie (GDPR): nieuwe regels & praktische tips

Vakartikels

Er komen nieuwe regels op ons af om persoonsgegevens van Europese onderdanen beter te beschermen in een steeds verder digitaliserende wereld. De nieuwe datarechten en verplichtingen staan uitvoerig beschreven in de Algemene Verordening Gegevensbescherming (AVG), beter gekend onder zijn Engelstalige benaming “the General Data Protection Regulation” (GDPR).

Alle organisaties in zowel de private als publieke sector, zonder uitzondering, zullen zich hier op moeten voorbereiden en dit minimaal voor de contactgegevens van hun zakenpartners en medewerkers. Organisaties die over gevoelige data beschikken zoals bijvoorbeeld medische gegevens of die geavanceerde marketingtechnieken zoals profilering gebruiken zullen onderworpen zijn aan strengere regels. In bepaalde gevallen is de aanstelling van een “functionaris voor gegevensbescherming” - “Data Protection Officer” verplicht, minstens sterk aan te raden. 

Data protection

De doorlooptijd voor het documenteren van de dataprocessen conform de nieuwe regels inzake gegevensbescherming bedraagt gemiddeld 6 maanden. Naast het documenteren zal ook de concrete implementatie van de nieuwe maatregelen en ondersteunende technologieën in de organisatie enige tijd vergen. Aangezien de nieuwe regels in voege treden op 25 mei 2018 heeft iedere organisatie er baat bij om op onderstaande vragen zo snel mogelijk een antwoord te formuleren: 

  • Over welke persoonsgegevens beschik ik en waar bevinden deze zich ? 
  • Hoe zorg ik ervoor dat onbevoegden geen toegang hebben tot die gegevens? 
  • Voor welke doeleinden wil ik deze gegevens in de toekomst gaan gebruiken? 
  • Gebruik ik deze gegevens op basis van de toestemming van de betrokkene, of is er een andere rechtsgrond om deze te gebruiken?
  • Indien ik voor de verwerking van de gegevens de toestemming van het datasubject nodig heb, hoe organiseer ik het bekomen van een geldige toestemming? 
  • Hoe organiseer ik het antwoorden op vragen vanwege datasubjecten rond het historisch datagebruik ? 
  • Hoe organiseer ik het recht op data-overdracht of data-verwijdering vanwege datasubjecten ? 
  • Hoe organiseer ik de meldingen rond eventuele datalekken? 
  • Voldoen mijn huidige privacy-policies?
  • Moeten mijn contracten worden aangepast?
  • Hoe documenteer ik alles zodat ik mij kan verdedigen naar aanleiding van eventuele klachten om boetes/reputatieschade te vermijden?

Onze praktische tips:

  • Zelfs al is de deadline moeilijk haalbaar, ieder begin is beter dan niets doen
  • Documenteer alles, want “not documented is not done”
  • Ga voor het laaghangend fruit bv bijkomende beveiliging personal computers via 2 stap verificatie en encryptie
  • Probeer niet om de data mapping over al uw datasystemen heen te doen zonder software, deze zal per definitie onvolledig zijn
  • Denk niet alleen aan interne gegevens maar ook aan gegevens die extern verspreid worden via de internet footprint
  • Vermijd het forwarden van persoonsgegevens per mail en werk eerder met server linken
  • Verwijder nutteloze persoonsgegevens waarvan de bewaring niet langer wettelijk verplicht is
  • Bepaal wie tot welke persoonsgegevens toegang moet krijgen en waarom, scherm deze af voor onbevoegden
  • Registreer de verwerking en activeer de logging van de toegang tot de persoonsgegevens 
  • Ook al hebben de bevoegde autoriteiten in België geen agressieve instelling, onderschat het risico op klachten vanwege misnoegde zakenpartners of personeelsleden niet en anticipeer hierop
  • Bekijk de contracten met alle externe dataverwerkers en probeer dataverwerking buiten Europa zo veel mogelijk te vermijden 
  • Laat u bijstaan door een praktische jurist 
  • Laat de veiligheid van uw netwerk controleren en beoordeel of een continue monitoring van het netwerkverkeer op cyber dreigingen nuttig is
  • Laat u verzekeren tegen data protectie risico’s 

Wenst u over dit alles meer te weten, neem dan contact op met Frank Staelens (Advisory Partner) of uw dossierverantwoordelijke.