GDPR – Checklist voor compliance – 10 essentiële stappen

Checklist GDPR-conformiteit.

1. Bewustmaking van de onderneming over verwerking van (persoons)gegevens

TO DO;

Sleutelfiguren en beleidsmakers van de onderneming informeren over de nieuwe regelgeving.

Het opmaken van uw verwerkings- of dataregister.

Personeel op de hoogte brengen van hoe zij persoonsgegevens mogen verwerken, op welke manier en wat te doen bij incidenten (zie intern beleid).

U kan hiervoor een workshop inplannen.

De GDPR wil personen (u en ik) beschermen tegen eventuele misbruiken door overheden en ondernemingen. In principe dient elke persoon controle te hebben over waar zijn of haar persoonsgegevens heen gaan en moet elke onderneming zich aan de privacyregels houden. Iedereen moet dus op de hoogte zijn wat er met zijn/of haar gegevens kan gebeuren. Opgelet deze rechten zijn niet absoluut.

De GDPR heeft een enorme omkering van bewijslast ingevoerd. Elke onderneming dient aan te tonen dat de persoonsgegevens op een behoorlijke manier worden verwerkt.

Wie niet voldoet aan de voorwaarden van de GDPR kan een boete worden opgelegd.

Er zijn binnen elke onderneming verschillende dimensies die moeten worden aangepakt om conform de verordening te zijn:

Welke (soort) persoonsgegevens verwerken wij als onderneming en waarvoor? (dataregister)

Naar wie gaan onze gegevens en zijn deze voldoende beschermd? (EU/derde -landen)

Wat gebeurt intern met onze gegevens? (Hoe gaat het personeel om met deze gegevens, in hoeverre kunnen we incidenten voorkomen (beveiliging), wat doen we wanneer iemand zijn rechten wil uitoefenen, wat bij nieuwe verwerkingsactiviteiten)

Hoe gaan we met gegevens om in onze Marketing praktijken?

2. Verwerkingsverantwoordelijke of Verwerker (Wat met gezamenlijk verwerkingsverantwoordelijke)?”]

TO DO:

Welke persoonsgegevens heeft de onderneming. Het opmaken van een verwerkingsregister. (Punt 3)
Rol bepalen ten aanzien van de verwerking van de persoonsgegevens

Om te weten aan welke verplichtingen je moet voldoen moet u natuurlijk weten in welke hoedanigheid u als onderneming ten aanzien van de verwerking van persoonsgegevens optreedt.

Er dient eerst onderscheid te worden gemaakt tussen de rol van verwerkingsverantwoordelijke en de rol van verwerker.

„verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

Het kan gerust zijn dat een onderneming zowel Verwerkingsverantwoordelijke als Verwerker is:

Zo verwerkt een onderneming enerzijds personeelsgegevens van hun personeel als verantwoordelijke;

Anderzijds kan het zijn dat persoonsgegevens ten behoeve van een andere onderneming (een klant) worden verwerkt in de activiteit van de onderneming.

Factoren om de hoedanigheid te bepalen zijn; onder meer wie bepaalt er het doel, hanteert de middelen en welke mate is de andere partij onafhankelijk ten opzichte van de verwerkingsverantwoordelijke.

Over deze hoedanigheden kan er al de nodige discussie bestaan, indien u met een probleem zit kan u ons kantoor de overeenkomst /situatie sturen.

Bent u Verwerker:

Artikel 28 van de GDPR bepaalt de verplichtingen van de verwerker.

Het sluiten van de verwerkingsovereenkomst heeft een risico ingevolge de algemene overeenkomsten die tussen leverancier en verantwoordelijke wordt gesloten. Laat verwerkersovereenkomsten zeker nalezen door ons kantoor.

Gezamenlijke verwerkingsverantwoordelijke (opletten!)

Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

Hier is het belangrijk om na te gaan in hoeverre de aansprakelijkheid voor de gegevensverwerking tussen de partijen wordt behandeld. Laat u hierin zeker bijstaan.
“3. Het aanleggen van een dataregister en opstellen van een extern privacybeleid “] TO DO:

Elke onderneming dient in principe een verwerkingsregister aan te leggen.

Het verwerkingsregister is immers het kader om alle verplichtingen te kunnen nagaan.

Het in kaart brengen van uw verwerkingen, de grondslagen,… zijn essentieel om aan de verplichtingen te kunnen voldoen.

TO DO:

Het opstellen van een document waarin u de nodige informatie levert aan personen die gebruik maken van uw diensten conform de verplichtingen van de GDPR

Het externe privacybeleid of privacybeleid bepaalt hoe u gegevens verwerkt conform de GDPR naar gebruikers van uw diensten en klanten (meestal vanaf uw website)

Dit kan het paradepaardje van uw conformiteit van de GDPR vormen. Het is ook aan te raden steeds in overeenkomsten te verwijzen naar dit privacybeleid en mensen te laten accepteren dat zij akkoord gaan met de werkwijze conform deze verklaring.

“4. Opstellen van een intern beleid”] TO DO:

Bepalen van veiligheidsbeleid : securitymaatregelen

Personeelsbeleid

Incidenten-procedures

Verantwoordelijken

Procedures bij het uitoefenen van de rechten van de betrokkenen

5. Rechten van betrokkenen”]
TO DO:

Procedures binnen de onderneming aanpassen op rechten van de betrokkene.

Inzage;

Correctie en uitwissing van de gegevens;

Recht op beperking van de verwerking ;

Overdraagbaarheid van de gegevens ;

Bezwaar tegen geautomatiseerde besluitvorming en profilering;

6. Datalekken en incidenten (Herstellingsmaatregelen)”] TO DO:

Invoeren procedure datalekken/incidenten

Bijhouden register datalekken (template)

Beoordeling van de ernst van datalekken (casestudie zie: datalekken )

Identificatie van een datalek

Een datalek (of een vermoeden ervan) kan op verschillende wijzen worden geïdentificeerd.: automatisch door computersystemen, door een werknemer binnen de eigen onderneming of door melding van buitenaf.

Van zodra iemand binnen de onderneming kennis heeft van een datalek maakt deze hiervan onmiddellijk melding bij de DPO of in geval geen DPO is aangesteld de bevoegde persoon voor privacygegevens binnen de onderneming (voor de duidelijkheid wordt de term DPO hierna steeds gehanteerd).

De melding houdt volgende informatie in – voor zover deze onmiddellijk te achterhalen valt:

– de aard van het datalek:

(1) verlies of beschadiging van data,

(2) vermindering of wegvallen van toegankelijkheid, en/of

(3) inbreuk op de vertrouwelijkheid van data;

– de identificatie van data;

– de impact op de organisatie; en

– de vermoede oorzaak.

Melding van datalekken dient te gebeuren bij ontdekking ervan. Eenieder die datalekken opmerkt, houdt zich ter beschikking van de DPO voor verdere opvolging.

Melding aan privacyautoriteiten

De meldingsplicht geldt niet voor elk beveiligingsincident – d.w.z. een “inbreuk (in de zin van incident) in verband met persoonsgegevens” zoals gedefinieerd in artikel 4.12 AVG.”, maar enkel voor deze die een risico inhouden voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).

Een beveiligingsincident is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Het gaat bijvoorbeeld om beveiligingsincidenten die een impact hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van persoonsgegevens (art. 32 AVG).

Indien de DPO of het Crisis Team een risico detecteren op schending van de rechten en vrijheden van de betrokkene, melden zij dit aan de privacyautoriteiten.

Bij deze melding wordt minstens een opgave gedaan van de wettelijk verplichte informatie ingevolge artikel 33 Gdpr:

– de aard van het datalek;

– indien mogelijk, de categorieën en aantal betrokkenen in het incident;

– indien mogelijk, de categorieën en aantal gegevens in het incident;

– de naam en contactgegevens van de Functionaris (of DPO indien deze aangesteld werd)

– eventuele gevolgen van het datalek; en

– maatregelen die het datalek moeten verhelpen en de gevolgen van het datalek moeten vermijden of verminderen.

De wettelijke termijn is 72 uur volgend op de ontdekking van het datalek.

Melding aan betrokkenen

Indien de Functionaris of het Crisis Team een hoog risico detecteren op schending van de rechten en vrijheden van de betrokkene, dient de betrokkene te worden ingelicht.

7. Evalueren van bestaande overeenkomsten met externe ontvangers (leveranciers)”]TO DO :

Bepalen van de hoedanigheid in de samenwerking.

Bij Verwerker: Overeenkomst laten nazien

Bij Verantwoordelijk: modaliteiten van de samenwerking vastleggen.

Indien u de overeenkomst wil laten evalueren, stuur deze dan door naar ons kantoor (Email: jents@advocaatdebruyne.be) of (onder constructie:)

8. De verhouding tussen de GDPR en Belgische kaderwet”]
Soms zijn er lichte nuance verschillen tussen de verordening en de Belgische wetgeving, let dus op dat u deze op de juiste manier gaat aanwenden.

9. Preventieve Maatregelen”]
TO DO:

Beveiligingsmaatregelen worden geïmplementeerd in de werking van de onderneming;

Security – maatregelen

Privacy by design

Privacy by default (data-minimalisatie)

Door het identificeren van verwerkingen die een hoog risico vormen waarvoor een Gegevensbeschermingseffectenbeoordeling opgesteld.

De overeenkomsten met externe verwerkers en externe overeenkomsten worden gecontroleerd op hun overeenstemming met de GDPR (opvolgen)

Vragen? Aarzel niet en laat ons u helpen.

Advocaat Debruyne

Advocaat Debruyne
Kattestraat 83
Kuurne 8520

jents@advocaatdebruyne.be
+32 (0) 479 50 46 35

BTW nr.: (BE)0716.662.823
Kantoorrekening: BE05 6301 3053 4575
Derdenrekening: BE30 6301 3508 7111

Laatste berichten

Cybercriminelen zijn actiever dan ooit, kan je ontslagen worden als ransomware via jouw computer binnenkomt? 19 juni 2023

Whatsapp-groepen met collega’s: wat mag en wat niet? 1 juni 2023

De digitale klokkenluider – Meer bescherming voor ethische hackers (vanaf 15 februari 2023) 10 februari 2023

Menu
Bekijk hier jouw trainingen

Dataprotection & GDPR

Trainingen

Contact

Disclaimer

Algemene voorwaarden

© Copyright Advocaat Debruyne - Website creation by pacemakers

Juridisch advies

Dataprotection ( GDPR )

AI compliance: Assessments and policies

Overeenkomsten & contracten op maat ( en procedure wanneer noodzakelijk)

Blockchain & Crypto

Digital Single Market

Academy & Tools

Mijn opleidingen

Blog

Contact

Team