GDPR stappenplan

General Data Protection Regulation: volg dit stappenplan om te voldoen aan de wetgeving

De Algemene Verordening gegevens-bescherming (GDPR, General Data Protection Regulation) is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners. Met ‘persoonlijke data’ wordt alle informatie bedoeld die betrekking heeft op een individu. Dat kan alles zijn, zoals een naam, foto, camerabeelden, email-adres, social media bericht, medische informatie of een IP-adres.

Deze wetgeving is van kracht in alle EU landen, en bedrijven en organisaties krijgen tijd tot mei 2018 om zich met deze regelgeving in orde te stellen. Deze wetgeving is ook van toepassing op uw organisatie en heeft meer dan waarschijnlijk een grote impact op uw bedrijfsvoering.

Het grote verschil met alle vorige wetgevingen op het vlak van bescherming van privacy is dat er nu omvangrijke boetes kunnen opgelegd worden om de naleving ervan af te dwingen.

Los van de verplichte administratieve formaliteiten, dien je bewust te gaan nadenken over data veiligheid, risico beheersing en vooral over hoe je conflicten met je businessmodel oplost. Het zal vanaf mei 2018 een stuk moeilijker zijn om e-mail campagnes te voeren, gegevens op te slaan of te verwerken van (contact) personen zonder dat je hier expliciet de toestemming hebt voor verkregen. Zeker als het gevoelige gegevens betreft zoals rijksregisternummers, minderjarigen, geloof, ras, medische gegevens of afgeleiden hiervan…,

Uit gesprekken met verschillende van onze klanten blijkt dat er nog maar weinig duidelijkheid is over de nakende GDPR verordening.  Het doel van de GDPR, zijnde het beter beschermen van data om privacy-inbreuken en misbruiken te voorkomen, kunnen we zeker onderschrijven in een tijd waar het ene datalek en/of cyberaanval na de andere de media haalt. Het is echter wel spijtig dat de verplichtingen voor zowel kleine en middelgrote organisaties quasi gelijk zijn met deze van multinationals en dat kmo’s en non-profits vaak nog onvoldoende geïnformeerd zijn.

Dure GDPR consultants of opportunistische verkopers van ICT infrastructuur bieden vandaag voor deze groep van bedrijven geen oplossing.
Techne liet zich het afgelopen half jaar begeleiden door implementatie experten in de GDPR wetgeving. Gelijktijdig ontwikkelden we samen met onze partners een
praktisch GDPR stappenplan dat meer dan 70% van de kleine en/of middelgrote organisaties in staat moet stellen om zelfstandig of met beperkte hulp zich zo goed mogelijk in orde te stellen met de wetgeving. En dit zowel op administratief als operationeel vlak.

Ik deel graag dit stappenplan en alle templates en werkdocumenten met zodat je voor de deadline van mei 2018 alle nodige stappen kan ondernemen. Zoals hierboven gemeld is dit helaas geen optie, maar een vereiste.

GDPR stappenplan

STAP 1: : Bepaal of je een Data Protection Officer (DPO) dient aan te stellen

Er zijn drie soorten bedrijven die verplicht zijn om een DPO aan te nemen:

  • Alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties
  • Bedrijven die bij de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben, bijvoorbeeld vanwege “aard, omvang of doeleinden” van de verwerking. (Wat de wetgeving voor ogen heeft met de “aard, omvang of doeleinden”, wordt daarnaast niet concreet verduidelijkt)
  • Bedrijven die persoonsgegevens verwerken uit een “bijzondere categorie“, zoals informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.

Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel
welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.

STAP 2: Stel je dataregister samen

Breng zorgvuldig in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Je doet er goed aan al je verwerkingen te registreren. Mogelijks dien je hiervoor een informatie-audit te organiseren. Dit kan dan van het volledige bedrijf of enkel van welbepaalde afdelingen.

De Algemene Verordening Gegevensbescherming (AVG) introduceert enkele vernieuwde rechten, specifiek op maat van de netwerkwereld. Wanneer jouw bedrijf bijv. onnauwkeurige persoonsgegevens bijhoudt, en heeft gedeeld met andere organisaties, zal je deze laatste moeten inlichten over de onnauwkeurigheid zodat deze een correctie kan aanbrengen in haar eigen register.

Deze documentatieplicht helpt je bovendien de verantwoordelijkheidsvereiste uit de AVG na te leven. Volgens dit principe dient een bedrijf of organisatie te bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt.

<< Download de dataregister controller template >>
<< Download de dataregister verwerker template >>

STAP 3: Stel een risicoregister samen

Zorg dat de sleutelfiguren en beleidsmakers in jouw bedrijf of organisatie op de hoogte zijn van de nieuwe regelgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke domeinen vandaag mogelijks problematisch kunnen zijn in het licht van de AVG.

Indien jouw bedrijf of organisatie over een risicoregister beschikt, kan dit een werkbaar vertrekpunt zijn.
Het implementeren van de AVG kan een behoorlijke invloed hebben op de beschikbare middelen, zeker voor wat betreft grote en meer complexe bedrijven of organisatiestructuren.

<< Download de risicoregister template >>

STAP 4: Stel een gegevensbeschermingsbeleid op

Het gegevensbeschermingsbeleid wordt ook weleens privacybeleid genoemd.
Je kan laten zien hoe je voldoet aan de AVG door onder andere deze informatie op te nemen:

  • Een omschrijving van de categorieën persoonsgegevens die je verwerkt
  • Een beschrijving van de doeleinden waarvoor je persoonsgegevens verwerkt en wat de juridische grondslag daarvan is
  • Hoe je voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk
  • Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens
  • Welke organisatorische en technische maatregelen je genomen hebt om de persoonsgegevens te beveiligen
  • Hoe lang je de persoonsgegevens bewaart
STAP 5: Procedure verzoek tot toegang en rechten betrokkenen

Je dient na te gaan of de huidige procedures in je bedrijf of organisatie alle rechten voorzien waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens
kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld. De AVG voorziet o.a. in de volgende rechten voor de betrokkene:

  • Informatie en toegang tot persoonsgegevens
  • Correctie en uitwissing van de gegevens
  • Bezwaar tegen direct marketingpraktijken
  • Bezwaar tegen geautomatiseerde besluitvorming en profilering
  • Overdraagbaarheid van de gegevens

Meer algemeen, geniet de betrokkene onder de AVG dezelfde rechten als onder de huidige Belgische Privacywet, mits enkele aanzienlijke verbeteringen. Indien jouw bedrijf of organisatie nu reeds voldoende is uitgerust om in deze individuele rechten te voorzien, dan zal de overgang naar de AVG relatief vlot verlopen.

Het is nu een goed moment om jouw bestaande procedures te evalueren en na te gaan hoe je voortaan te werk zal gaan wanneer iemand zijn of haar recht wil uitoefenen.
Wie neemt de beslissing? Zijn je systemen hiertoe uitgerust? Het recht op overdraagbaarheid van de gegevens is een nieuwigheid. Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft de persoonsgegevens die op hem van toepassing zijn in een gestructureerde, gangbare en elektronische vorm te verkrijgen. De meeste bedrijven en organisaties doen dit al, maar indien je nog steeds gebruik maakt van papieren print-outs of een ongebruikelijke elektronische vorm, dan is het nu een goed moment om dit te herzien.

Voorzie een update van je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de
AVG. De AVG voorziet nieuwe regels over hoe met toegangsverzoeken om te gaan. In de meeste gevallen zal gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg moeten worden gegeven aan het verzoek tot toegang. Manifest ongegronde of overmatige verzoeken kunnen worden aangerekend of worden geweigerd.

Indien jouw bedrijf of organisatie in staat wil zijn om toegangsverzoeken te weigeren, dien je het beleid en de procedures dusdanig aan te passen. Je dient de betrokkene die om toegang verzoekt bepaalde bijkomstige informatie te verschaffen, zoals de termijnen gedurende dewelke je informatie bijhoudt en het recht om onnauwkeurige gegevens te laten verbeteren. Indien jouw bedrijf of organisatie een groot aantal toegangsverzoeken behandelt zullen de wijzigingen die de AVG voorziet een aanzienlijke impact teweeg brengen. Het moet logistiek mogelijk zijn om alle verzoeken binnen de voorziene tijdspanne te verwerken en de betrokkene van de noodzakelijke informatie te voorzien. Hierover moet zorgvuldig worden nagedacht.

Op termijn kan het kostenbesparend zijn een systeem te ontwikkelen dat de betrokkene in staat stelt de gegevens zelf online te raadplegen. Bedrijven en organisaties
worden aangespoord een kosten/baten analyse uit te voeren van een dergelijk online toegangssysteem.

STAP 6: Stel een verwerkersovereenkomst op met je verwerkers

Documenteer de verscheidene types van gegevensverwerkingen die je uitvoert en identificeer de wettelijke grondslag voor elk van hen. Veel bedrijven en organisaties hebben destijds wellicht geen wettelijke grondslag bepaald voor de gegevensverwerkingen die ze uitvoeren.

Onder de huidige wetgeving heeft dit weinig of geen praktische gevolgen. Dit verandert evenwel onder de AVG omdat de rechten van de betrokkene kunnen variëren naargelang de wettelijke basis van de gegevensverwerking. Het meest voor de hand liggende voorbeeld is dat de betrokkene een sterker recht heeft om de verwijdering
van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking.

Het is belangrijk om de gekozen wettelijke grondslag voor de gegevensverwerking te verduidelijken in de privacyverklaring en telkens wanneer je een toegangsverzoek beantwoordt. De wettelijke grondslagen in de AVG zijn quasi identiek aan deze in de huidige Privacywet. Kijk dus na welke gegevensverwerkingen je uitvoert, bepaal de wettelijke basis en documenteer dit zorgvuldig in het licht van de verantwoordelijkheidsvereiste.

STAP 7: Procedures datalekken/inbreuken en meldingsplicht

Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. Beoordeel hiervoor de verscheidene types van persoonsgegevens die je bijhoudt en documenteer welke binnen de meldingsplicht zouden vallen, ingeval zich een datalek zou voordoen. In sommige gevallen moet je de betrokkene die het voorwerp uitmaakt van het datalek rechtstreeks verwittigen, bv. wanneer het lek aanleiding kan geven tot persoonlijke financiële verliezen. Grotere bedrijven of organisaties zullen een beleid en procedures moeten ontwikkelen om datalekken te beheren – hetzij op centraal, hetzij op lokaal niveau.

Niet alle datalekken zullen moeten worden gemeld aan de Privacycommissie – enkel deze waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht. Noteer dat de niet naleving van de meldplicht kan resulteren in een geldboete, bovenop de boete voor het datalek zelf.

STAP 8: Stem je contracten, overeenkomsten en personeelsbeleid af

Evalueer je bestaande privacyverklaring en plan noodzakelijke wijzigingen hieraan in het licht van de AVG. Wanneer jouw bedrijf of organisatie nu reeds persoonsgegevens verwerkt, dien je aan de betrokkene bepaalde informatie te verschaffen, zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt deze informatie verstrekt in de vorm van een privacyverklaring.

De AVG vereist dat deze privacyverklaring wordt aangevuld met nieuwe informatietypes. Zo zal je voortaan de wettelijke grondslag voor de gegevensverwerking moeten meedelen, de termijnen gedurende dewelke je de informatie zal bijhouden, of je de gegevens uitwisselt buiten de Europese Unie en de mogelijkheid voor de betrokkene om
een klacht in te dienen bij de Privacycommissie indien deze meent dat zijn persoonsgegevens foutief worden verwerkt.
De AVG vereist dat deze informatie wordt verschaft in beknopte, begrijpbare en duidelijke taal.

  • Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.
STAP 9: Privacy by default en design. Stel een Data Protection Impact Assessment op.

Maak je nu reeds vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling”, beter gekend als Privacy by design en Privacy impact assessment (PIA). Ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. Deze kunnen worden gelinkt aan andere organisatorische processen zoals risicobeheer en projectbeheer. Beoordeel nu reeds die situaties waarin het nodig zal zijn dergelijke analyses uit te voeren. Wie zal dit doen? Wie moet hierbij worden betrokken? Gebeurt de analyse centraal of lokaal?

Het behoort tot de “good practices” van een bedrijf of organisatie om gegevensbescherming van bij de start in te bouwen en als onderdeel hiervan een effectbeoordeling uit te voeren. Dit was voordien slechts een impliciete vereiste van de databeschermingsprincipes. De AVG maakt hiervan een duidelijke wettelijke vereiste. Noteer dat je niet steeds een effectbeoordeling moet uitvoeren. Deze is enkel vereist in hoge risicosituaties, bijv. wanneer een nieuwe technologie wordt geïmplementeerd of wanneer een profileringsoperatie een aanzienlijk effect kan teweegbrengen voor de betrokkenen. Wanneer de PIA aangeeft dat de gegevensverwerking een “hoog risico” inhoudt, is het noodzakelijk het advies in te winnen van de Privacycommissie omtrent de wetmatigheid van de verwerking in het licht van de AVG.

STAP 10: Begin vandaag het veiligstellen van je businessmodel

Kijk op welke vlakken je businessplan GDPR wijzigingen nodig heeft

  • Zorg voor alternatieven voor prospectie op contactlijsten zonder toestemming
  • Zorg dat je procedures voor toestemming te verkrijgen voldoen aan de GDPR wetgeving en zorg dat je de toestemming kan bewijzen
  • Schat je risico’s correct met betrekking tot verwerking van persoonlijke data correct in en neem preventieve maatregelen

GDPR ondersteuning

Wil je ondersteuning van een GDPR expert van Techne? Maak je keuze uit de volgende pakketten.

Standaard
eenmalig, excl BTW
4560
Samenstellen dataregister
Samenstellen risicoregister
Opstellen beleid gegevensberscherming
Opstellen procedure verzoek tot toegang en rechten
Opstellen verwerkersovereenkomst
Opstellen procedure meldingsplicht
Nu aanvragen
Start
eenmalig, excl BTW
1425
Samenstellen dataregister
Samenstellen risicoregister
Opstellen beleid gegevensberscherming
Opstellen procedure verzoek tot toegang en rechten
Opstellen verwerkersovereenkomst
Opstellen procedure meldingsplicht
Nu aanvragen