GDPR solutions

Wat is de GDPR

De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de persoonlijke gegevens van Europese burgers beter te beschermen. De wetgeving werd eind april 2016 goedgekeurd, en bestaat uit twee delen: de Regulation, die van toepassing is op de bedrijfswereld, en de Directive, voor
overheidsdiensten zoals politie en justitie. Beiden treden ze op 25 mei 2018 officieel in werking.

Waarom werd de Europese wetgeving rond databescherming veranderd

De GDPR is in feite het resultaat van een herziening van de Europese wetgeving uit 1995; de Data Protection Directive. Die wetgeving werd door elke lidstaat op een andere manier geïnterpreteerd, wat uiteindelijk leidde tot fragmentatie en onduidelijkheid. Daarnaast had de wetgeving nood aan modernisering om ontwikkelingen zoals de cloud en sociale media – en de enorme hoeveelheden data die daarmee gepaard gaan – het hoofd te bieden.

Wat betekent de GDPR voor bedrijven

Op 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe set regels van de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden: een naam, adres, telefoonnummer, e-mailadres, foto en vele andere factoren. 

De voornaamste vernieuwingen in de GDPR draaien rond 4 pijlers:

  1. Transparantie: bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
  2. Data-overdracht: burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen. 
  3. Recht om vergeten te worden: bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden – ook als de data inmiddels gedeeld is met derde partijen.
  4. Meldplicht bij datalekken: bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Om die regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen alsook hoe deze beschermd en verwerkt worden. Daarom is het voor bepaalde bedrijven verplicht iemand aan te stellen die instaat voor de handhaving van de GDPR binnen het bedrijf, dit is de taak van een Data Protection Officer (DPO).

Of uw bedrijf verplicht een DPO moet aannemen, hangt af van een onderstaande criteria:

  1. Wat zijn de kernactiviteiten: In het Engels luidt de omschrijving van bedrijven die een DPO nodig hebben iets anders. Daar draait de omschrijving om de ‘kernactiviteiten’ van een bedrijf; iets waar de Nederlandse beschrijving enkel naar verwijst met het woord ‘hoofdzakelijk’. Kortweg: er wordt gekeken naar hoe belangrijk de dataverwerking is in het bedrijf. De WP29  (https://www.privacycommission.be/nl/groep-29) geeft het voorbeeld van een ziekenhuis. Om patiënten te helpen, moet het ziekenhuis hun dossiers verwerken. De kernactiviteit is gezondheidszorg maar die activiteit zou onmogelijk worden zonder de verwerking van gevoelige persoonsgegevens. Binnen het ziekenhuis moet de dataverwerking dus bekeken worden als een deel van de kernactiviteit en daarom is de aanstelling van een DPO verplicht. Belangrijk is dat elk bedrijf wel persoonsgegevens moet verwerken om te functioneren, bijvoorbeeld de bankgegevens van werknemers om hun loon te storten of inloggegevens op het bedrijfsnet om IT-support te kunnen bieden. De verwerking van zulke data is wel noodzakelijk maar wordt niet gezien als een kernactiviteit.
     
  2. Wordt data op “grote schaal” verwerkt: Misschien wel een van de vaagste omschrijvingen: dataverwerking op “grote schaal”. In de wettekst zelf wordt uitgelegd wat zeker wél en zeker niet tot die grootteorde behoort. Zo is dataverwerking op grote schaal in elk geval verwerking van gegevens op “regionaal, nationaal of supranationaal niveau” en behoort een dokter of advocaat die de gegevens van klanten verwerkt niet tot die categorie.

    Alles wat daartussen zit, blijft een grijze zone. WP29 geeft enkele meer genuanceerde voorbeelden van dataverwerking op grote schaal:

    • verwerken van patiëntendata door ziekenhuizen
    • verzamelen van reisdata van burgers op de bus
    • verwerken van klantendata door een verzekeraar of bank
    • verwerken van persoonlijke data voor 'behavioural advertising'

    Om te beslissen of een organisatie al dan niet data verwerkt op grote schaal, moet worden gekeken naar het aantal datasubjecten, het volume van de data, de tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken, geeft WP29 nog mee.

  3. Doet het bedrijf aan “regelmatige en stelselmatige observatie”
    Het regelmatig en stelselmatig observeren van gebruikers is een andere mogelijke indicatie dat je best een DPO aanneemt. Onder regelmatig en stelselmatig begrijpt WP29 gebruikers herhaaldelijk of constant in het oog houden, en op een georganiseerde manier. Elke vorm van volgen (“tracking”) en profileren op het internet valt onder deze noemer, waarschuwt de werkgroep. Voorbeelden zijn een telecomnetwerk beheren, e-mail retargeting, locatiegegevens tracken door mobiele apps, het monitoren van data via wearables en meer.

    Dit wil niet zeggen dat het aanstellen van zo een functionaris overbodig is. Ook als men als onderneming niet in
    bovengenoemde categorieën past, kan een DPO een slimme zet zijn. Dit kan ook een externe DPO zijn zoals een advocaat.
    Dit zorgt voor extra toezicht en meer zekerheid bij eventuele geschillen.

Wat zijn de voordelen

De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming. Binnenkort zorgt de GDPR voor één legaal kader dat in heel Europa geldt. Zo wordt het gemakkelijker voor KMO’s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving. Bovendien kan de GDPR bedrijven op die manier collectief zo’n 2,3 miljard euro per jaar kunnen besparen; geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen. 

Wat gebeurd er als de GDPR niet wordt nageleefd

Bedrijven die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Zo wordt er in de GDPR gewag gemaakt van verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus data lek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.

Conclusie

  1. GDPR is van toepassing voor elke KMO welke persoonsgegevens bezit.
  2. een DPO is enkel en alleen in specifieke gevallen verplicht, doch is het raadzaam een (externe) DPO aan te stellen.
  3. GDPR compliance is een noodzaak, Willux.be NV kan helpen:
    • zoeken naar een externe DPO (dewelke op reguliere basis security audits zal uitvoeren, GDPR compliance moet kunnen aantonen en rapporteert aan de nationale (Supervising Authority) en aan zijn directie).
    • technische implementatie

Technische implementatie

  • NETWORK & APPLICATION SECURITY
  • END POINT SECURITY
  • END POINT ENCRYPTION
  • MOBILE SECURITY (DEVICE MANAGEMENT)
  • STRONG AUTHENTICATION (ONE TIME PASSWORD)
  • DATA BACKUP
  • SECURE WIFI
  • SECURE PRINTING
  • SECURE CLOUD
  • MANAGEMENT & REPORTING SOFTWARE

Willux.be kan u helpen bij de technische implementatie.

Contacteer ons voor meer informatie.