GDPR: bereid je bedrijf voor op de Algemene Verordening Gegevensbescherming

Posted by media on 3-mei-2018 9:00:00

 

tips_ter_voorbereiding_gdpr.png

De Algemene Verordening Gegevensbescherming (GDPR) bevat grote veranderingen voor de positie van de verwerkingsverantwoordelijken van persoonsgegevens die vanaf 25 mei 2018 een proactieve verantwoordelijkheid hebben bij die verwerking.

Het is echter geen eenvoudige taak om aan alle noodzakelijke maatregelen van deze strenge wetgeving te voldoen en dit ook te kunnen bewijzen wanneer het nodig is.

In deze post geven we enkele tips en hulpmiddelen om deze taak gemakkelijker te maken voordat de verordening van kracht is op 25 mei.

Deze post is ook beschikbaar in het Engels.

    Inhoudsopgave

  • GDPR: bedrijven voldoen nog altijd niet aan de nieuwe verordening

  • Waar te beginnen om te voldoen aan de GDPR?

     1. De benoeming van een afgevaardigde

2. Beveiligingsmaatregelen

3. Gegevensaudits

4. De manieren voor gegevensverwerking aanpassen aan de GDPR

5. Nieuwe rechten voor burgers

6. Vermelding van inbreuken op de veiligheid

7. Herzie privacy kennisgeving

  • Conclusie

 

GDPR: bedrijven voldoen nog altijd niet aan de nieuwe verordening

Ondanks dat de verordening in april 2016 al is goedgekeurd en iedereen dus de tijd had om zich aan te passen, denkt slechts 46% van de wereldwijd ondervraagden dat ze voor 25 mei zullen voldoen volgens een onderzoek van SAS. In Europa ligt dit percentage niet veel hoger, daar verwacht 53% van de ondervraagde bedrijven de deadline te halen.

Deze cijfers zijn niet buitensporig aangezien er veel belangrijke wijzigingen zijn vastgelegd in de verordening voor leidinggevenden en managers die persoonsgegevens verwerken als onderdeel van hun processen.

 

Waar begint het voldoen aan de GDPR?

De leidende beginselen van deze hervorming zijn verantwoordelijkheid, preventie en transparantie. Met deze principes in ons achterhoofd geven we de volgende adviezen om aan deze verordening te voldoen:


1. De benoeming van een afgevaardigde

Bepaalde bedrijven worden door de GDPR verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Deze persoon zal verantwoordelijk zijn voor het adviseren, beheren en controleren van alles dat gerelateerd is aan de verordening voor gegevensbescherming in een bedrijf, alsook het fungeren als schakel tussen het bedrijf en de AP (Autoriteit Persoonsgegevens).

Wanneer de benoeming van een FG niet vereist is zouden wij aanbevelen om een interne manager aan te stellen om de rest van het team te trainen en een gespecialiseerde juridisch-technische dienst in te huren voor het oplossen van bepaalde kwesties.

 

2. Beveiligingsmaatregelen

Zorg dat er beveiligingsmaatregelen worden ontwikkeld en geïmplementeerd in de gehele infrastructuur om mogelijke inbreuken op de gegevensbeveiliging te voorkomen. Een goed preventief systeem minimaliseert de mogelijke risico's.

Bescherm bijvoorbeeld naast de netwerken en de cloud ook alle apparatuur en smartphones. Deze apparaten worden voor veel verwerking en creatie van nieuwe informatie gebruikt en zijn daarom de belangrijkste doelwitten voor cybercriminelen.

Controleer bovendien ook of leveranciers net zo verantwoordelijk omgaan met hun systemen en procedures, aangezien de uitbesteding van diensten geen vrijstelling is voor de verantwoordelijkheden.


Gerelateerde post > De nieuwe Algemene Verordening Gegevensbescherming (GDPR): wat moet je weten?


 

3. Gegevensaudits

Je moet precies weten welke persoonsgegevens je verwerkt, hoe je deze verzamelt en hoe deze worden overgedragen, opgeslagen en verwerkt. Je moet ook weten wie er toegang heeft tot dergelijke gegevens, inclusief derden en medewerkers en of er een risico bestaat op misbruik of ongeoorloofde toegang.

Zodra dit alles is geïdentificeerd moet alle onnodige informatie worden verwijderd om de principes van gegevensminimalisatie te respecteren, waardoor er alleen persoonsgegevens worden verwerkt die voor het aangegeven doel zijn verzameld (artikel 5.1.c)

 

                                                           Download GDPR Gids

 

4. De manieren voor gegevensverwerking aanpassen aan de GDPR

Hoe kunnen mensen legaal hun toestemming geven? Dit is de tweede vraag die je moet kunnen beantwoorden. Zodra de GDPR van kracht wordt moeten alle individuen hun toestemming op een vrije, geïnformeerde, specifieke en ondubbelzinnige wijze kunnen geven wanneer de rechtmatige verwerking hierop gebaseerd wordt.  

Volgens de GDPR is toestemming pas ondubbelzinnig wanneer het wordt verleend door middel van een "actieve bevestigende handeling" die getuigt van de instemming van de belanghebbende. Daarom moeten bedrijven de manier waarop zij toestemming verkrijgen herzien en de toestemmingen ook registreren zodat die kunnen worden gecontroleerd voorafgaand aan een audit.


Meer informatie > GDPR: welke oplossingen bieden we voor het rechtmatig verkrijgen van toestemming?

5. Nieuwe rechten voor burgers

Een ander aspect dat in orde moet zijn is welke procedure er gevolgd wordt wanneer een persoon wil dat zijn gegevens worden verwijderd of overgedragen. Deze rechten zijn onderdeel van de GDPR: het recht op gegevensoverdracht en het zogenaamde recht op gegevenswissing (vergetelheid).

Vanaf 25 mei hebben betrokkenen het recht om hun persoonsgegevens rechtstreeks over te dragen, bijvoorbeeld aan andere dienstverleners waarmee de betrokkene een relatie heeft. Ze kunnen ook voorkomen dat hun persoonsgegevens via internet worden verspreid wanneer de publicatie ervan niet aan de vereisten voldoet.

 

6. Vermelding van inbreuken op de veiligheid

De nieuwe verordening stelt de verplichting om na het bekend worden van een inbreuk op de gegevensbeveiliging dat binnen 72 uur aan de bevoegde autoriteit van het betreffende land te vermelden.

Daarom is het van groot belang om een communicatieplan voor het bedrijf op te stellen en te zorgen dat alle professionals op de hoogte zijn wanneer zich een storing in het beveiligingssysteem voordoet.

 


7. Herzie de privacykennisgeving

De verordening versterkt de informatie die bedrijven aan belanghebbende partijen moeten verstrekken. Daarom moeten bedrijven hun privacykennisgeving herzien.

Die kennisgeving moet bijvoorbeeld de rechtsgrondslag bevatten waarop zij de verwerking van de gegevens baseren, de bewaartermijnen daarvan, alsook de beschikbare mechanismen voor de uitoefening van het recht van vergetelheid.

Daarbij is het belangrijk om te onthouden dat de verordening vereist dat de aangeboden informatie gemakkelijk te begrijpen is en dus in beknopte en duidelijke taal gepresenteerd moet worden.

 

Conclusie

We hopen dat wanneer de verordening definitief van toepassing zal zijn de meeste bedrijven overeenkoming kunnen aantonen, zowel aan hun eigen klanten als aan de nationale en Europese toezichthoudende autoriteiten.

Om dit te bereiken is het belangrijk dat bedrijven in deze laatste fase alle nodige middelen inzetten om zich aan te passen aan de nodige wettelijke, technische en organisatorische maatregelen voor de rechtmatige verwerking van persoonsgegevens.

Als u vragen heeft over hoe u toestemming van uw klanten kunt krijgen voor het verzamelen en verwerken van hun gegevens, kunt u hieronder de gids downloaden waarin we in meer detail onze oplossingen uitleggen om te voldoen aan deze verordening. Voor meer informatie kunt u ook contact opnemen via info@signaturit.com of ons bellen op +31 208 086 203.

Deze post is ook beschikbaar in het Engels.


Basisgids Algemene Verordening Gegevensbescherming (GDPR) 

Topics: GDPR

Blog Inschrijving

Recente Posts