GDPR algemeen

Banner

GDPR, iedereen spreekt erover maar hoe passen we dit toe binnen Level27? In dit eerste deel proberen we op een eenvoudige manier GDPR samen te vatten.

Ondertussen heeft iedereen de term GDPR al wel een keertje gehoord en merken we dat meer en meer bedrijven zich hiermee bezighouden. GDPR staat voor General Data Protection Regulation en wordt in het Nederlands vertaald naar AVG, Algemene Verordening Gegevensbescherming. Zoals we reeds hebben opgemerkt is dit een grote oefening met verregaande gevolgen. Maar hoe passen we dit nu toe binnen Level27 en vooral, hoe passen we dit toe voor onze klanten? In dit eerste deel proberen we op een eenvoudige manier GDPR samen te vatten.

GDPR overzicht

 

Algemeen

Elke organisatie binnen de Europese Unie moet vanaf 25 mei 2018 voldoen aan de regels die werden opgesteld binnen GDPR/AVG. Kort door de bocht betekent dit dat wij als organisatie moeten kunnen aantonen welke persoonsgegevens we verzamelen, hoe we deze data gebruiken en hoe we deze beveiligen, en dit ongeacht of we het in een datacenter of in de cloud binnen of buiten de EU beheren. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden zoals een naam, adres, telefoonnummer, e-mailadres, foto, en vele andere factoren.

Daarnaast is het belangrijk dat wij als bedrijf kunnen aantonen dat we voorbereid zijn op een eventueel datalek en dat wij met 'veilige' bedrijven werken.


GDPR in een notendop

  • Van toepassing vanaf 25 mei 2018
  • Bescherming van persoonlijke data van de Europese burger
    • Procedure voor dataverzameling en -opslag van persoonlijke gegevens
    • Toestemming vragen om gegevens te verzamelen en gebruiken
    • Individu heeft het recht om ‘vergeten te worden’
  • Maatregelen tegen hackers en datalekken
  • Verhoogde security maatregelen zijn nodig
  • Datalek moet binnen 72 uur worden gemeld
  • In grote organisaties moet een DPO (Data Protection Officer) aangesteld worden
  • Bij niet naleving worden zware boetes opgelegd

 

4 pijlers

Om de voornaamste vernieuwingen binnen GDPR goed onder de knie te hebben, is het belangrijk dat volgende 4 pijlers gekend zijn:

  • Transparantie: als bedrijf zijn wij verplicht burgers te informeren over hoe de data wordt verzameld en verwerkt en dit natuurlijk op een verstaanbare manier.
  • Data-overdracht: als burger heb je de mogelijkheid om je gegevens over te dragen van de ene dienstverlener naar de andere, bv. als je van hostingpartner wil wisselen.
  • Recht om vergeten te worden: als bedrijf moeten wij persoonsgegevens verwijderen wanneer de persoon in kwestie hierom vraagt EN wanneer er geen geldig tegenargument gegeven kan worden, dit geldt eveneens wanneer de data reeds gedeeld is met derde partijen.
  • Meldplicht bij datalekken: als bedrijf moeten wij een datalek binnen de 72 uur melden, behalve wanneer kan aangetoond worden dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

 

Sleutelfiguren

Verwerkingsverantwoordelijke (“Data controller”)

Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt. De verwerkingsverantwoordelijke heeft als verplichtingen:

  • al zijn activiteiten aangaande verwerking van persoonsgegevens na te kijken en er controleerbare documentatie van bij te houden;
  • zich ervan te verzekeren dat hij de gepaste technische en organisatorische maatregelen heeft getroffen om de nodige veiligheid van persoonsgegevens te garanderen;
  • zich ervan te verzekeren dat hij de genomen maatregelen kan aantonen met documentatie en samenwerk met de Privacy-commissie indien nodig;
  • zich ervan verzekeren dat hij de gepaste processen en projectbrieven heeft om bij inbreuk i.v.m. persoonsgegevens (data breach) deze snel te kunnen opmerken, identificeren en aangifte te kunnen doen aan de Privacy-commissie.

 

Verwerker (“Data processor”)

Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker heeft als verplichtingen:

  • zijn bestaande overeenkomsten m.b.t. verwerking van persoonsgegevens na te kijken en te zorgen voor de noodzakelijke veiligheid en vertrouwelijkheid van de gegevens die hij verwerkt;
  • enkel gegevens op basis van instructies van de verantwoordelijke  te verwerken;
  • zich ervan te verzekeren dat hij de gepaste processen en projectbrieven heeft om bij inbreuk i.v.m. persoonsgegevens (data breach) deze snel te kunnen opmerken, identificeren en aangifte te kunnen doen aan de betrokken verantwoordelijke;
  • weten dat hij enkel een sub-verwerker mag aanstellen mits akkoord van de verantwoordelijke.

 

Betrokkenen ("Data subjects")

Dankzij de GDPR wordt de beveiliging van persoonsgegevens flink opgeschroefd. De personen waarvan gegevens worden verwerkt noemt men ook wel eens ‘data subjects’. Deze krijgen dankzij de GDPR dus meer rechten. Of je nu zelf datagegevens verwerkt, of er worden gegevens van jou verwerkt, je bent best op de hoogte. De betrokkene heeft recht:

  • op informatie,
  • op inzage,
  • op correctie,
  • van verzet,
  • om vergeten te worden,
  • op portabiliteit en datamigratie,
  • op waarschuwing bij hacking.

 

In ons tweede artikel leggen we je graag uit hoe we GDPR toepassen binnen ons hostingbedrijf.

Vragen of opmerkingen?

Laat het ons zeker weten via onze chatbox!
We helpen je graag verder.

Deel deze blog via