HEEFT JOUW BEDRIJF EEN DA

Recommendations

Info

HEEFT JOUW BEDRIJF EEN DATA PROTECTION OFFICER NODIG? In ons stappenplan richting GDPR hebben we het in stap 11 over de Data Protection Officer (DPO). Maar in tegenstelling tot wat je vaak leest of hoort, moet niet elk bedrijf een Data Protection Officer aanwerven. Hoe zit dat voor jouw bedrijf? Aan de andere kant worden activiteiten zoals IT-support van een bedrijf eerder als bijkomstige activiteiten dan kernactiviteiten beschouwd, terwijl net deze afdelingen vaak wél op regelmatige en stelselmatige manier observatie vereisen. “Op grote schaal” kan op verschillende zaken betrekking hebben, zoals het aantal datasubjecten dat betrokken is, het volume van de data, de duur van de verwerkingsactiviteit, de geografische reikwijdte enz. Een voorbeeld van een gegevensverwerking op grote schaal is opnieuw het ziekenhuis dat om gezondheidszorg te kunnen aanbieden grote hoeveelheden patiëntengegevens moet verwerken. WELKE BEDRIJVEN MOETEN VERPLICHT EEN DATA PROTECTION OFFICER HEBBEN? Of je al dan niet een DPO moet aannemen heeft niks te maken met de omvang van je bedrijf. Wél met het feit of jouw bedrijf één van de onderstaande drie activiteiten uitoefent. • Is jouw bedrijf of organisatie een overheidsinstantie of -orgaan? • Is jouw bedrijf hoofdzakelijk belast met gegevensverwerking die regelmatige en stelselmatige observatie van betrokkenen op grote schaal eist? • Is jouw bedrijf hoofdzakelijk belast met de verwerking van bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religieuze overtuiging, gezondheidsgegevens of gegevens over strafrechtelijke feiten? Indien je op alle bovenstaande vragen “nee” antwoordde, is de kans groot dat jouw bedrijf niet verplicht is om een Data Protection Officer aan te stellen. Het is evenwel voor elk bedrijf nuttig om de opvolging van de gegevensbescherming binnen het bedrijf aan één of meerdere personen toe te wijzen. De bovenstaande omschrijvingen vragen nogal wat interpretatie. Recent heeft een Europese groep van privacycommissies duiding verschaft rond enkele begrippen. “Hoofdzakelijk” betekent dat gegevensverwerking tot de kernactiviteiten van het bedrijf behoort. Dus wanneer de kernactiviteiten van een bedrijf onlosmakelijk de verwerking van persoonsgegevens vereisen, zoals bijvoorbeeld het geval is voor een ziekenhuis. Een ziekenhuis kan nu eenmaal geen gezondheidszorg aanbieden zonder het verwerken van patiëntengegevens. WAT DOET DE DATA PROTECTION OFFICER? Simpel gezegd, controleert de DPO of alle persoonsgegevens correct worden bewaard, gebruikt en gedeeld. Hij of zij moet toezien dat de Europese en nationale regels inzake gegevensbescherming en de privacy en data protection policies van het bedrijf worden nageleefd. Daarnaast is de DPO het contactpunt voor de gegevensbeschermingsautoriteiten. Als jouw bedrijf bijvoorbeeld te maken krijgt met een gegevenslek, is de DPO de contactpersoon voor de privacycommissie. De DPO informeert en adviseert je bedrijf ook omtrent de GDPR-verplichtingen en staat in voor het trainen van werknemers en het uitvoeren van eventuele audits. Tenslotte is het de DPO die antwoordt op alle vragen over de gegevensverwerking en de rechten van de betrokkenen van wie de gegevens verwerkt worden. WIE KAN DATA PROTECTION OFFICER WORDEN? In de GDPR wordt niet beschreven welke specificaties gelden voor een DPO. Er staat nergens welk diploma hij of zij moet hebben. De GDPR stelt wel dat de DPO moet beschikken over onder meer “deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming”. De Data Protection Officer hoeft bovendien niet per se een eigen werknemer te zijn. Ook experts van buiten jouw bedrijf kunnen de rol van DPO vervullen. North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be NUCLEUS Uptime-as-a-Service 6
IS JOUW CLOUD PROVIDER KLAAR VOOR GDPR? Een belangrijk en complex aspect van GDPR is dat je niet alleen moet zorgen dat je zelf compliant bent, maar dat ook oplossingen en diensten die je gebruikt voor gegevensverwerking dat zijn. De eindverantwoordelijkheid wat betreft compliance ligt op dat vlak bij jou. Niet evident in een tijd waar heel wat van onze gegevens zich in de cloud bevinden. Welk bedrijf kan vandaag nog zeggen dat het niets in de cloud heeft staan of geen cloudtoepassingen gebruikt? Denk maar aan oplossingen als Microsoft Office 365, Salesforce, SuccessFactors, Dropbox, Evernote, WeTransfer, enz. Heel wat van die toepassingen worden vaak bovendien oogluikend of zelfs zonder medeweten van IT gebruikt. De vraag is dus: kan je wel helemaal GDPRcompliant zijn met zoveel tools – waarvan je van sommige niet eens weet dat ze gebruikt worden – in de cloud? Wij hebben alvast een aantal vereisten opgelijst om toch met cloud providers te kunnen blijven werken. De eerste vereiste is uiteraard aan je cloud provider vragen of hij GDPR-compliant is. Is dat het geval, heb je weinig zorgen. Maar toch zijn er een aantal vereisten waar je best ook aan voldoet. 1. WEET WAAR JE CLOUD PROVIDER JE GEGEVENS VERWERKT EN BEWAART De eerste vereiste is meteen een hele belangrijke. Je moet weten waar je cloud provider jouw gegevens verwerkt en bewaart en welke wetgeving er op van toepassing is. Op elk moment. Want de kans is reëel – zeker bij grotere toepassingen – dat je gegevens al eens naar datacenters buiten Europa reizen. 2. WEET HOE JE CLOUD PROVIDER JE GEGEVENS BEVEILIGT 3. BEZORG JE CLOUD PROVIDER ALLEEN NOODZAKELIJKE GEGEVENS Verzamel alleen gegevens die je ook effectief gebruikt. Minimalisatie van gegevens is immers één van de beginselen van de GDPR. Let ook op met het verzamelen of verwerken van speciale gegevens, zoals gezondheidsgegevens, gerechtelijke gegevens enz. Voor deze gegevens gelden er nog strengere regels dan voor gewone persoonsgegevens. 5. SLUIT VERWERKERSCONTRACTEN AF MET JE CLOUD PROVIDER Sluit een contract af met je cloud provider dat duidelijk aflijnt wat er kan op vlak van gegevensverwerking. De GDPR vermeldt een aantal bepalingen die je verplicht in jouw contract moet opnemen, bv. rond het gebruik van de gegevens, de vertrouwelijkheidsverplichting van het personeel van de cloud provider, enz. 6. VERBIED JE CLOUD PROVIDER GEGEVENS VOOR ANDERE DOELEINDEN TE GEBRUIKEN Sta niet toe dat je cloud provider persoonsgegevens gebruikt voor andere doeleinden en zet dit duidelijk in je verwerkerscontract. Controleer in de gebruiksvoorwaarden van de cloud provider of er vermeld wordt dat de klant eigenaar is van de gegevens en dat de cloud provider gegevens niet zal delen met andere partijen of voor eigen doeleinden kan gebruiken. Het is duidelijk dat dit één van de moeilijkste aspecten zal worden op het vlak van GDPR-compliance met cloud providers. Er is een zeer groot aanbod aan cloudtoepassingen en de opkomst van ‘shadow IT’ helpt ook niet. Heel wat cloud providers zijn bovendien internationale (lees: niet-Europese) spelers die niet staan te springen voor de strenge regelgeving van de GDPR. Lokale hosting van gegevens en lokale (lees: Europese) cloudtoepassingen zouden dus mogelijk een flinke boost kunnen krijgen eens de GDPR van kracht wordt. Daarnaast moet je ook weten hoe de cloud provider jouw gegevens zal beveiligen rekening houdend met de specifieke risico’s die met de business van jouw bedrijf gepaard gaan. Vraag deze informatie op bij de cloud provider en neem deze informatie eventueel als een annex bij een verwerkerscontract op. North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be NUCLEUS Uptime-as-a-Service 7
Page 1 and 2: North Trade Building Noorderlaan 13
Page 3 and 4: 4. WAT STAAT ER IN DE GDPR? De GDPR
Page 5: 6. VERZOEK TOT TOEGANG De gebruiker
Page 9: OVER ONS Wat er ook gebeurt, bij on

Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

Transform your PDFs into Flipbooks and boost your revenue!

Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?