GDPR, vanaf 25 mei 2018
GDPR, Wat betekent dit voor mijn bedrijf?
De General Data Protection Regulation, in het Nederlands de Algemene Verordening Gegevensbescherming, kortweg GDPR treedt op 25 mei 2018 in werking. Je kunt de volledige tekst die verschenen is in het Publicatieblad van de Europese Unie lezen via onderstaande link.
http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&rid=1
De tekst leest niet echt als een spannend verhaal van Hercule Poirot, daarom hieronder mijn bevindingen na enkele dagen cursus over deze materie.
Allereerst: de nieuwe regel zal vanaf 25 mei 2018 wet worden, en geldt voor iedere onderneming die persoonlijke gegevens van EU-burgers bezit. Google en Facebook kunnen deze tekst dus niet naast zich neerleggen, maar ook de allerkleinste éénmanszaak moet er zich aan houden.
Wat zijn persoonlijke gegevens?
Dat naam, adres, telefoonnummer en e-mail adres bij de persoonlijke gegevens horen, is logisch. Maar ook zaken zoals een foto, een kopie van het paspoort, en uiteraard medische gegevens, labo-uitslagen, enz. horen hierbij.
De nieuwe wetgeving vereist om de ‘datasubjecten’, de personen waarvan je gegevens bijhoudt dus, inzage te geven in zijn of haar gegevens, hen recht te geven om deze gegevens te corrigeren, alle gegevens te laten verwijderen, enz. Stel dat Mevrouw Janssens vraagt om al haar gegevens te verwijderen, dan moet je dus in de eerste plaats in staat zijn om die gegevens allemaal op te zoeken. Want, naast haar mailadres in uw mailprogramma, hebt U misschien nog een ingescand document van haar verbouwing staan, met foto’s die je nam van de voorgevel van haar huis. Hoe vindt je al die gegevens terug?
Gegevensbescherming ‘by design’ en ‘by default’
Nieuwe termen die geïntroduceerd worden, en die betekenen dat software ontwikkeld moet worden met de nieuwe privacy-regels als basis. Als je bijvoorbeeld op je website een contactformulier plaatst, dan moet de meest privacy-vriendelijke instelling als standaard worden gebruikt, dus bijvoorbeeld enkel het mailadres vragen, en de optie om ook telefoonnummer en adres in te geven als ‘niet verplicht’ in te stellen. Bij het contactformulier mag je ook het vinkje bij ‘ik ontvang graag uw nieuwsbrief’ standaard niet meer aan zetten, dit is het ‘opt-in’-systeem
Oeps, datalek
Stel: één van je medewerkers verliest een USB-stick waar persoonlijke gegevens van klanten op staan. Als bedrijf bent U verplicht om dit datalek te melden aan de Privacycommissie, ten laatste 72 uur nadat het datalek is ontdekt. Als het datalek een hoog risico inhoudt moeten bovendien de betrokkenen zo snel mogelijk zelf verwittigd worden.
Een tweede voorbeeld: je merkt dat er ingebroken is in het computernetwerk, en dat persoonlijke gegevens ontvreemd zijn. Ook hier moet de Privacycommissie op de hoogte worden gebracht.
Mag ik de persoonlijke gegevens aan een ander bedrijf doorgeven
Dat mag, maar onder strikte voorwaarden. Zo moet je met het andere bedrijf een sluitende overeenkomst hebben over bijvoorbeeld hoelang de data zal bewaard worden, voor welke doeleinden, welke beveiligingsmaatregelen er genomen zullen worden, enz. Ook moet U in staat zijn om de gegevens te laten verwijderen indien de persoon dit vraagt.
Sanctie, Sanctie, Sanctie
Een overtreding van de GDPR kan U duur te staan komen. Een boete van 2% of 4% van uw totale jaaromzet is niet niks.
En nu ?
De Europese commissie heeft een flinke lap tekst geproduceerd, maar heeft er niet aan gedacht om een eenvoudige handleiding op te maken zodat bedrijven zich in regel kunnen stellen, en da’s jammer. Om toch een beetje structuur te creëren, hieronder het stappenplan dat we zelf zullen volgen. Dit is niet heiligmakend, en bijlange niet volledig, maar het is een eerste stap.
1. Medewerkers op de hoogte brengen van de nieuwe GDPR regels.
2. Inventariseren van alle data. Waar wordt het bewaard, hoe wordt het verzameld, wie kan de gegevens bewerken en op welke manier, waar zijn de ‘exit-points’ (USB-stick, printer, …). Waar en hoe wordt data vernietigd.
3. Procedure opstellen om klachten te verwerken, hoe gaan we data verwijderen als daarom wordt gevraagd, moeten we oude data wel blijven bewaren
4. Procedure opstellen om om te gaan met datalekken, hoe reageren
5. Interne veiligheidsaudit, ervoor zorgen dat de basis in orde is (backup, firewall)
6. Eventuele technische oplossingen toevoegen
- a. Data encryptie
- b. Versleutelde backup in de cloud
- c. Data op harddisks in notebooks versleutelen
- d. Werken met versleutelde USB sticks
GDPR is een ‘work in progress’ . Het is niet iets die éénmaal geïmplementeerd en daarna vergeten moet worden. De beveiliging van persoonlijke gegevens zal in alles wat we doen permanent in de gaten moeten gehouden worden.
Wij kunnen u helpen met het zich in regel stellen van de GDPR verordeningen. Contacteer ons voor meer inlichtingen.
#Vanhinsberg #gdpr