Volg ons

Friede, certified data protection officer

deel dit verhaal via

Friede volgde een doorgedreven GDPR opleiding en behaalde het Certificaat van DPO-Data Protection Officer, bij het Data Protection Institute. Als DPO geeft ze advies en opleiding aan klanten. Ze zorgt er momenteel voor, samen met een team, dat ook Titeca Accountancy voldoet aan de GDPR regelgeving tegen 25 mei 2018. 

Friede beseft het heel goed: “Geen enkele ondernemer zat te wachten op deze wetgeving. Je bedrijf aanpassen aan de GDPR regelgeving vergt een extra inspanning en investering van alle organisaties en ondernemingen in de EU. Het is dus vaak geen dankbaar onderwerp!”

“In essentie is GDPR een zeer ingrijpende, nieuwe manier van ondernemen. We moeten dus met z’n allen terug naar de schoolbanken.”

_84A9295.jpg

Beware! Begin eraan

 

Friede windt er geen doekjes om en haalt meteen een belangrijk misverstand uit de wereld.

“Vergis je niet, de GDPR regelgeving is eigenlijk reeds in voege sinds eind april 2016. Ondernemers hebben bijgevolg reeds ruim de tijd gehad om zich voor te bereiden. Hoewel deze regelgeving reeds bindend is, dringt het bestaan ervan nu pas geleidelijk aan door.

Niet genoeg tijd gehad? Wanneer de controles op de naleving van de GDPR wetgeving zullen starten, volgend jaar vanaf 25 mei 2018, hebben ondernemers geen excuus meer.

 

“In essentie is GDPR een zeer ingrijpende, nieuwe manier van ondernemen. We moeten dus met z’n allen terug naar de schoolbanken.”

 

 

Wat is dat nu, GDPR?!

 

GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonsgegevens van burgers binnen de EU-lidstaten.

 

Als organisatie/onderneming moet je vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens je verzamelt, hoe je deze data gebruikt, hoe lang je ze bewaart, wie in je bedrijf toegang heeft tot welke data, hoe je ze beveiligt, bv. in je eigen datacenter of in de cloud of op een server binnen of buiten de EU. Kan je dat niet aantonen, dan kan je gesanctioneerd worden voor de niet-naleving van deze regelgeving.

 

 

Wat is het verschil met de regelgeving die nu al in voege is?

 

Friede antwoordt resoluut: “De sancties, hele zware sancties, tot wel 4% van je jaaromzet! Maar volgens mij zullen de administratieve sancties de zwaarste zijn.

 

De Privacy Commissie kan een bedrijf, dat niet voldoet aan de GDPR wetgeving, bijvoorbeeld 4 weken stilleggen tot wanneer aan GDPR voldaan wordt.

Vergis je niet, alle organisaties en ondernemingen binnen de EU vallen onder GDPR, en dat van zodra je op een systematische manier persoonsgegevens verzamelt, ook al is dat gewoon in mappen in een archiefkast bijvoorbeeld.”

 

“Het is een misverstand dat GDPR over privacy gaat. GDPR is in essentie een verordening over gegevensverwerking. Dit heeft natuurlijk een weerslag op privacy. Privacy en gegevensverwerking zijn enorm verweven met elkaar.”

 

“Een persoonsgegeven kan namelijk heel veel zijn.

Het gaat niet enkel over databases met gegevens van klanten, maar evengoed gegevens van je leveranciers in je onlineboekhoudpakket, gegevens van medewerkers in je loonadministratie, … Het gaat heel ver.”

 

 

De GDPR wetgeving, een begrip

 

Een andere belangrijk element binnen GDPR zijn de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’.

 

De verwerkingsverantwoordelijke is de opdrachtgever, de verwerker is diegene die ten behoeve van de verwerkingsverantwoordelijke de opdracht uitvoert.  “Kort gezegd: Ga je met iemand samenwerken die toegang krijgt tot de persoonsgegevens van je onderneming, dan laat je die best een verwerkingsovereenkomst ondertekenen.

 

De verwerkingsverantwoordelijke en verwerker zijn door de GDPR regelgeving hoofdelijk aansprakelijk voor inbreuken op de verwerking van persoonsgegevens, hoewel de verwerkingsverantwoordelijke steeds de eindverantwoordelijke is. Het is dan ook van belang dat goede onderlinge afspraken omtrent de verantwoordelijkheid voor inbreuken via een verwerkersovereenkomst vastgelegd worden. ”

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

De 7 GDPR geboden 

 

De 7 beginselen van GDPR zijn de volgende:

  1. Rechtmatigheid, behoorlijkheid, transparantie
  2. Doelbinding
  3. Minimale gegevensverwerking
  4. Juistheid
  5. Opslagbeperking
  6. Integriteit en vertrouwelijkheid
  7. Verantwoording

“Dat zegt ondernemers uiteraard niks,” begrijpt Friede.

“Het komt hierop neer: Je moet aangeven dat je persoonsgegevens voor een bepaald doel verwerkt, dat ze juist zijn, dat je je klanten voldoende info gegeven hebt en dat je transparant bent in de gegevens die je verwerkt.

 

Je dient te bewijzen dat deze data ook slechts opgeslagen worden voor de tijd die het nodig is. En weet dat, als je dat allemaal niet doet, je als verwerkingsverantwoordelijke daarvoor verantwoordelijk bent.

 

Je moet bovendien ook kunnen aanduiden dat je voor voldoende beveiliging zorgt en dat je enkel de gegevens verwerkt die strikt noodzakelijk nodig zijn voor je ondernemingsdoel.

 

Daaruit vloeien een aantal rechten voort, zoals het basisrecht op informatie, recht op inzage, recht op de correctie van gegevens, … noem maar op. Een hele boterham dus. De plicht om elk van deze rechten te voorzien binnen je onderneming is niet vanzelfsprekend.

 

Veel ondernemingen hebben dan ook een heel DP-team (Data Protection), intern of extern, nodig om ‘GDPR-proof’ te worden”

 

 

Wat moet je nu als ondernemer doen om te voldoen aan GDPR?

 

Friede licht toe: “Het allerbelangrijkste lijkt me het intern register.

 

Dit is een document waarin, op basis van de 7 beginselen, overzichtelijk weergegeven wordt welke persoonsgegevens binnen je onderneming verwerkt worden, met wie ze gedeeld worden en hoe ze in al deze processen beveiligd worden.

 

Veel bedrijven maken bijvoorbeeld gebruik van het online e-mailsysteem Mailchimp uit de USA. Deze software voldoet echter niet aan de Europese GDPR wetgeving. Je moet dan aangeven dat je je hiervan op de hoogte bent, hoe je de risico’s op datalekken inschat en welke oplossingen je voorziet bij problemen.

 

In het intern register beschrijf je dus eigenlijk de hele werking van je bedrijf en contracten met derden, bv. binnen je personeelsbeheer, leveranciersbeheer, boekhouding, klantenbeheer, …”

 

Praktische tips?

“Jazeker!” zegt Friede. “Begin bij jezelf, vergrendel je scherm en berg je documenten op als je niet aan je bureau zit.”

 

 

Gene GDPR paniek

 

“Het is waar”, zegt Friede, “De GDPR wetgeving veronderstelt een zeer grote maturiteit over de kennis van de GDPR bij de bedrijven. En net daar wringt het schoentje terwijl de klok intussen ongenadig verder tikt.

Het is niet dat je onderneming tegen 25 mei 2018 volledig GDPR-proof moet zijn, maar het loont de moeite om er alvast aan te beginnen!”

“Pas je contracten aan. Maak een intern register, beschrijf je processen, zorg dat je procedures uitschrijft. Als je een datalek hebt, hoe ga je reageren? …

 

Heb je een kleine onderneming, dan heb je niet zoveel werk. Voor grote ondernemingen kan dit echter een titanenwerk zijn. Toon alvast je goede wil. Dan zal de Privacy Commissie je bedrijf vermoedelijk gunstig(er) gezind zijn tijdens een controle.”

 

 

Titeca Accountancy neemt je GDPR zorgen weg :

 

Heb jij als ondernemer heel wat GDPR stress? Contacteer Friede: dpo@titeca.be.

 

Friede brengt haar GDPR adviezen zo praktijkgericht mogelijk. Ze komt bij je langs voor een interne opleiding en biedt je uitgebreid no-nonsense advies.

 

De laatste gouden tip van Friede: “Gene paniek, maar begin, begin, begin, … eraan!”