De “General Data Protection Regulation” (GDPR), de Europese privacy-verordening, onderwerpt het gebruik van persoonsgegevens aan strenge voorwaarden, die ook gelden voor jouw KMO.
Moet je als KMO dan zelf deze 99 artikels, bijhorende toelichtingen, interpretatienota’s, andere toepasselijke regels, enz. analyseren?
Neen, dankzij ons GDPR model met templates voor KMO’s.
Dit model is opgebouwd rond jouw relaties als ondernemer met de klant/prospect, de leverancier, de werknemer en de Gegevensbescherminsgautoriteit. Voor elke relatie zijn er specifieke documenten nodig.
RELATIE MET KLANTEN EN PROSPECTEN
Als onderneming ben je verplicht om klanten, websitebezoekers, prospecten, enz. vooraf te informeren over hoe je hun gegevens zal gebruiken en beschermen.
Je dient een privacy policy te maken, die een nuttig overzicht geeft van de verwerkingen die je uitvoert, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, bij voorkeur met visuele hulpmiddelen, zoals iconen.
Wanneer iemand zich op je website inschrijft voor een nieuwsbrief dan moet je die persoon correct en duidelijk informeren over hoe je zijn gegevens gaat gebruiken.
Indien je de gegevens voor meerdere doeleinden gaat gebruiken, moet hij de mogelijkheid krijgen om zich voor elk doeleinde afzonderlijk in te schrijven. Aan te vinken vakjes mogen daarbij nooit vooraf aangevinkt zijn.
Verwerk jij als dienstverlener persoonsgegevens voor je opdrachtgever(s)?
Dan verwerk je die gegevens “namens je opdrachtgever” waarmee je duidelijk in de verwerkersovereenkomst voor ontvangen gegevens moet afspreken wat je wel en niet mag doen met die gegevens en of je onderaannemers mag inschakelen. Je mag die gegevens niet gebruiken voor andere doeleinden en niet langer bewaren dan nodig.
Ons GDPR model bevat gebruiksvriendelijke templates voor deze documenten waarin je stapsgewijs uitgelegd wordt welke informatie je waar moet invullen.
INTERACTIE MET LEVERANCIERS
Laat je persoonsgegevens van jouw klanten, je personeel of andere contacten verwerken of bewaren door onderaannemers/dienstverleners?
Jouw dienstverlener verwerkt die gegevens dan “in jouw naam”. Je moet met je opdrachtnemer duidelijke schriftelijke afspraken maken (verwerkersovereenkomst voor overgedragen persoonsgegevens) over wat hij wel en niet mag doen met die data, hoe hij die data moet beveiligen, en hoe lang hij de data mag bewaren.
Persoonsgegevens mogen enkel buiten de Europese Unie verwerkt worden indien ze daar een voldoende bescherming genieten.
Aangezien “verwerken” elke vorm van gebruiken, structureren, analyseren en zelf opslag omvat, is de kans groot dat je persoonsgegevens verwerkt buiten de EU (bijv. omdat je Dropbox gebruikt als fileshare- of backup-tool of omdat je nieuwsbrieven verstuurt via Mailchimp aangezien de datacenters van beide diensten in de Verenigde Staten staan).
Je mag enkel dienstverleners buiten de EU gebruiken die een voldoende bescherming van de persoonsgegevens kunnen garanderen (Non-EU processing check).
RECHTEN EN PLICHTEN WERKNEMERS
Je bent verplicht om ook je personeel vooraf te informeren van het gebruik dat je van hun gegevens zal maken en hoe je ze zal beschermen. Dit doe je via een privacy policy voor werknemers. De werknemers privacy policy geeft een nuttig overzicht van de verwerkingen die je uitvoert, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm.
De Data-Policy reikt je werknemers de nodige informatie, rechten en plichten aan over de GDPR en over hoe zij praktisch met persoonsgegevens moeten omgaan die zij als deel van hun job moeten verwerken.
Je personeel moet op een veilige manier met ICT omgaan. Dat is zowel belangrijk voor de veiligheid van je bedrijf (bescherming tegen besmetting, virussen, enz) als voor de veiligheid van de verwerkte persoonsgegevens.
De ICT-Policy reikt de werknemers de nodige informatie, rechten en plichten aan over hoe ze praktisch met ICT moeten omgaan.
Opdat de ICT-Policy, de Data-Policy en de Werknemers Privacy Policy bindend zouden zijn, kan vereist zijn dat je arbeidsreglement hieraan aangepast wordt en/of dat enkele vermeldingen in alle nieuwe arbeidsovereenkomsten opgenomen worden. In welke gevallen dit nodig is en wat je dan moet aanpassen, vind je duidelijk in onze fiche daarover.
Wanneer iemand op een vacature reageert dan deelt die kandidaat zijn persoonsgegevens met jou als potentiële werkgever. Daarnaast zal je waarschijnlijk nog bijkomende informatie opzoeken aangaande de kandidaat en een verslag maken van het gesprek.
Ook indien je de kandidaat niet aanwerft, kan je die gegevens willen bijhouden voor het geval de kandidaat in de toekomst nogmaals solliciteert of om hem op te nemen in uw wervingsreserve. Er dienen in de vacature bepalingen hiervoor opgenomen te worden.
GEGEVENSBESCHERMINGSAUTORITEIT (VROEGERE “PRIVACYCOMMISSIE”)
Een belangrijke doelstelling van de GDPR is om persoonsgegevens te beschermen tegen bekendmaking aan derden, verlies, wijziging of (onbedoelde) vernietiging. Gebeurt dit toch, dan is er sprake van een datalek.
Een datalek betekent een groot risico voor de personen wiens persoonsgegevens gelekt werden: derden krijgen toegang tot hun persoonsgegevens, krijgen inkijk in hun privéleven en kunnen die gegevens misbruiken.
Bovendien betekent een datalek ook dat er binnen jouw organisatie iets misgegaan is bij de bescherming van de persoonsgegevens wat kan wijzen op de niet-naleving van de GDPR. Om die redenen moet je een datalek:
- binnen de 72u melden aan de Gegevensbeschermingsautoriteit, tenzij er “waarschijnlijk” geen risico bestaat voor de schending van de privacy, veiligheid of andere rechten,
- onmiddellijk melden aan de betrokkenen wanneer een groot risico bestaat voor de schending van hun privacy, veiligheid of andere rechten.
INTERNE ORGANISATIE
De verwerkingen van persoonsgegevens moeten opgelijst worden in een DataRegister. Wat moet je daaronder verstaan?
- “Verwerken” betekent het verzamelen, opslaan, wijzigen, raadplegen, verspreiden, wissen, enz.
- “Persoonsgegevens” betekent alle informatie waarmee je een natuurlijke persoon (dus geen vennootschap) kan identificeren én alle informatie over identificeerbare natuurlijke personen. Bijv. naam, contactgegevens, locatie, foto, online account,… maar ook (tenzij wanneer anoniem) werkemailadres, uitgevoerde aankopen, locatiegegevens, geslacht, opgegeven voorkeuren en interesses, websitebezoeken, aankoopgeschiedenis, enz.
Je hebt een Data Protection Officer (DPO) nodig, wanneer je kernactiviteiten vereisen dat je regelmatig en stelselmatig en op grote schaal gebruikers (of het gebruik) van je dienst of product observeert, of op grote schaal gevoelige persoonsgegevens verwerkt.
Wanneer je een nieuwe verwerking van persoonsgegevens wil opstarten of een bestaande aanpast, dan dien je te evalueren of die verwerking een grote impact kan hebben op de privacy van de personen wiens gegevens verwerkt worden.
Indien dat het geval is, moet je voorafgaand een “Data Protection Impact Assessment” ( “DPIA” of “Gegevensbeschermingseffectbeoordeling”) uitvoeren. In een DPIA zal je evalueren en documenteren:
- of de geplande verwerking een privacyrisico inhoudt,
- of en hoe de risico’s voldoende afgedekt zullen worden.
Je dient de verwerking van gegevens te beveiligen (Gegevensveiligheidsbeleid). Rekening houdend met het risico en de kost, dien je gepaste technische en organisatorische maatregelen te nemen:
- VERSLEUTELING EN PSEUDONIMISERING: je versleutelt gegevens om zo onleesbaar te zijn als data dragers (USB, harde schijven, …) in onbevoegde handen vallen.
- CONFIDENTIALITEIT: eerst beslis je wat de confidentialiteitsniveaus zijn binnen de onderneming. Daarna zet je de gepaste toegangscontrole op.
- INTEGRITEIT versus FOUTEN: je vermijdt dat er per ongeluk fouten sluipen in gegevens. (bvb. door typfout of door fout in de software).
- INTEGRITEIT versus OPZET: je vermijdt dat kwaadwilligen data vernietigen of aanpassen.
- REDUNDANTIE versus RAMPEN: bij rampen kunnen hele structuren (servers, laptops, gebouwen, … ) verloren gaan. Je zet reservestructuren op in ‘stand-by’ om dit risico tegen te gaan.
- INCIDENT RESOLUTIE: gezien de complexiteit van IT en gezien mensen fouten maken, zijn incidenten nooit volledig uit te sluiten.
- EVALUATIE: je leert uit fouten en oefeningen, en doet een continue verbetering.
Je moet aan elke persoon wiens persoonsgegevens je geautomatiseerd verwerkt op basis van toestemming of op basis van een overeenkomst, een integrale kopie kunnen bezorgen van alle data in jouw bezit die die persoon (actief of passief) aan jou “verstrekt” heeft, en wanneer die data verzameld werd (workflow gegevens opvragen).
Buiten deze gevallen hebben personen wiens gegevens je verwerkt ook steeds recht op inzage in alle gegevens die je van hen verwerkt.
De bedoeling van deze verplichting is om je klanten gemakkelijker naar een concurrent te laten switchen; zonder dataverlies en zonder daar opnieuw te moeten beginnen. Personen wiens gegevens je verwerkt, hebben tevens het recht om hun gegevens aan te passen, en om ze (onder bepaalde voorwaarden) te laten verwijderen.
Gebruik het dataregister als basis om informatie aan personen te kunnen geven.
GDPR MODEL TEMPLATES en TOOLS
Van alle bovenstaande documenten in het GDPR model zijn templates en tools opgebouwd. Eke template bevat een toelichting, de nodige juridische en technische informatie en voorbeelden om je stap voor stap te begeleiden bij het aanpassen va de template aan jouw onderneming.
We hebben de templates didactisch opgebouwd. De juridische en technische terminologie zijn weggelaten om zo duidelijk mogelijk te zijn.
We horen van onze klanten dat ze zeer tevreden zijn over de bruikbaarheid en toepasbaarheid van onze templates en tools en verschillende klanten verwezen hun eigen klanten naar ons door.
CONCLUSIE
De GDPR legt vast hoe je met mensen hun gegevens omgaat. Je spits je toe op prospecten, klanten, leveranciers en je werknemers. Je geeft datalekken door aan de Gegevensbeschermingsautoriteit. Je organiseert je onderneming met het dataregister, Data Protection Impact Assessment, Gegevensveiligheidsbeleid en de workflow gegevens opvragen.
Voor elk van deze relaties vind je bij ons zeer toegankelijke templates en tools, die je het zo gemakkelijk als mogelijk maken om aan de GDPR te voldoen.
Om te weten welke documenten op jou van toepassing zijn, doe je onze gratis zelftest . De test duurt 15 minuten, waarna je de voor jou nuttige GDPR model templates kan bestellen, aan KMO-vriendelijke prijzen.
Meer informatie?
Nog vragen over hoe je je bedrijf GDPR-compliant maakt of op zoek naar gebruiksvriendelijke templates?
Word nu lid van My Privacy Specialist en gebruik de GDPR adviezen en templates opgesteld door onze privacy-expert.