Op 14 maart werd Lebon IT services samen met 15 geïnteresseerde gasten ontvangen in de fantastische kantoren van Soenen Golfkarton voor een ronde tafel gesprek over GDPR.

Het werd een interactieve voormiddag waarbij we met verschillende betrokkenen en DPO's deelden hoe we tot op vandaag aan de slag zijn gegaan om tegemoet te komen aan de GDPR richtlijnen. De eerste boetes zijn uitgeschreven en het bewustzijn groeit dat GDPR elk bedrijf aanbelangt.

Friede en Ivo, beide geëngageerde DPO's, gaven als moderator waardevolle info en stelden interessante vragen om de discussie en interactie tussen de deelnemers aan te wakkeren.

We delen graag wat stellingen die aan bod kwamen. U kan er binnen uw organisatie zeker ook mee aan de slag!

Algemeen

De General Data Protection Regulation werd in het leven geroepen om persoonlijke data beter te beschermen in een digitale omgeving. Het is de belangrijkste verandering in dataverzameling en -opslag van persoonlijke gegevens sinds 20 jaar.

De richtlijnen die sinds 30 jaar bestaan worden sinds de GDPR geconcretiseerd, de naleving van de richtlijnen wordt voortaan afgedwongen en bestrafbaar gemaakt. Concreet blijkt echter dat de Belgische overheid op vandaag nog niet klaar is om op te volgen en zo nodig te sanctioneren.

We hebben hieronder kort enkele vragen/stellingen opgelijst die aan bod zijn gekomen.

• We hadden het in het kader van verantwoordelijkheden uiteraard over de rol van de verwerkersverantwoordelijke en waarin zijn rol verschilt van de gegevensverwerker. Welke rol spelen externe (IT) dienstverleners?
• Hoe kunnen een Clean desk policy of secure printing bijdragen aan de naleving?

Over de meldplicht bij datalekken

• Bedrijven zijn verplicht een data lek te melden binnen de 72 uur, dit zelfs bij onverwachte onbeschikbaarheid van informatie infrastructuur.
• Wist u dat er zelfs meldingsplicht is bij een crypto attack of effectieve hacking van de IT infrastructuur?

"Transparantie is het sleutelwoord bij de verwerking van persoonsgegevens"
Bij informatie waar toestemming van medewerkers is vereist, moet ook worden bijgehouden wanneer deze is gegeven. Werknemers hebben het recht om te weten wie er toegang heeft tot welke gegevens, en ze hebben het recht om hun toestemming weer in te trekken. Ook hebben ze recht op correctie van data. Helemaal nieuw is het recht om vergeten te worden. Bijvoorbeeld, wanneer een werknemer je bedrijf verlaat, mag hij je vragen om zijn persoonlijke data te verwijderen.

• Aanwezigen getuigden dat het niet altijd even gemakkelijk is om hun management te overtuigen van de noden en de impact van GDPR verwerking.
• Er werden reeds meer dan 95.000 klachten rond GDPR geregistreerd.
• Uw IT dienst en externe partner kan ondersteunend optreden. Reken uiteraard ook op Lebon IT services over advies rond technische mogelijkheden.

1. GDPR-inspanningen bewijzen. De privacy van personen moet gegarandeerd worden. Je moet kunnen aantonen dat je de nodige maatregelen nam om persoonsgegevens op een afdoende manier te beschermen.
2. Expliciete toestemming gebruik data. Je hebt in de meeste gevallen uitdrukkelijke toestemming nodig om persoonsgegevens op te slaan en te verwerken.
3. Voorzichtig met gevoelige gegevens. Voor sensitieve data (gezondheid, politieke overtuiging, geloof, ras enzovoort) gelden nog strengere regels.
4. PIA: zijn je systemen privacy-proof? Privacy Impact Assessments (PIA) of privacy-effectbeoordelingen moeten standaard voorzien zijn bij het bouwen van informatiesystemen of aanleggen van databestanden. Het komt erop neer dat je bij de ontwikkeling van nieuwe producten meteen de kernwaarden van privacy in acht neemt. (security by design)
5. Te allen tijde transparant. Je moet op een begrijpelijke manier meedelen welke data je verzamelt, wat je ermee doet en hoelang je ze bewaart.
6. Personen recht op eigenaarschap. Je dient rekening te houden met bijkomende rechten: recht op inzage, recht om vergeten te worden, recht op rectificatie.
7. Compliance bewijzen. Je moet op elk moment compliance kunnen aantonen, onder andere via een dataregister.
8. Datalekken meteen melden. Je dient een datalek binnen de 72 uur te melden aan de Europese instantie. Daarna moet je onmiddellijk in actie te schieten om het probleem te verhelpen.
9. DPO aanstellen. Een openbare instelling of een bedrijf dat zich bezighoudt met monitoring en/of verwerking van een grote hoeveelheid sensitieve data, dient een Data Protection Officer (DPO) aan te stellen.
10. Universeel geldende wetgeving. De GDPR-wet is van toepassing op elke organisatie die persoonlijke gegevens van EU-burgers verwerkt, waar ook ter wereld.

Op de website van de Gegevensbeschermingsautoriteit (www.gegevensbeschermingsautoriteit.be) vind je meer informatie. De 'brochure Wegwijs in de AVG' voor kmo’s helpt je alvast op weg in de reglementering en verplichtingen die specifiek voor kmo’s gelden.