Laten we uw project bespreken

+31 (0) 20 30 12 207

HomeGDPR

Sinds 25 mei 2018, moeten alle bedrijven en professionals voldoen aan de RGPD-verordening of de Algemene Verordening Gegevensbescherming om de persoonlijke gegevens en privacy van burgers van de Europese Unie te beschermen. Ieder bedrijf of iedere professional die zich niet aan de RGPD-voorschriften houdt, riskeert kostbare sancties, variërend van waarschuwingen tot boetes. Alle bedrijven (inclusief mkb/kmo's) en professionals moeten daarom systemen en procedures implementeren om te zorgen voor naleving van de gegevensbeschermingswetten aangaande hun klanten.  

 

Volgens de RGPD-voorschriften worden de volgende soorten persoonlijke gegevens beschermd: persoonlijke basisgegevens (naam, adres, identificatienummer), webgegevens (IP-adres, locatie, cookiegegevens, enz.), medische en biometrische gegevens, raciale of etnische gegevens, politieke meningen en seksuele geaardheid.   De RGPD-verordening is niet van toepassing op gegevens die worden verwerkt voor puur persoonlijke doeleinden of voor activiteiten die in gezinsverband worden uitgevoerd. Deze gegevens mogen echter niet gerelateerd zijn aan commerciële of professionele activiteiten.  

 

De wet is niet alleen van toepassing op bedrijven en professionals die in de EU-lidstaten zijn gevestigd. Ze is ook van toepassing op elk bedrijf dat geen commerciële aanwezigheid heeft in de EU-staten, maar wiens transacties betrekking hebben op de opslag of verwerking van persoonlijke gegevens met betrekking tot EU-burgers binnen de EU-staten.  

 

Met andere woorden, zelfs vertalers, tolken, proeflezers en aanverwante professionals moeten bij het werken met bedrijven voldoen aan de vereisten van de Algemene Voorschriften voor Gegevensbescherming, aangezien zij omgaan met documenten en informatie die privégegevens bevatten met betrekking tot het bedrijf.  

 

Daarnaast moeten bedrijven en professionals er ook voor zorgen dat ze vertrouwelijkheidsovereenkomsten (geheimhoudingsovereenkomsten of NDA's) respecteren. Het doel van de RGPD-verordening is het beschermen van privégegevens, terwijl een AND de openbaarmaking van informatie van directe en indirecte klanten vermijdt. Deze overeenkomsten vullen elkaar aan en moeten worden opgenomen in het addendum van elk bedrijf om de vertrouwelijkheid en de naleving van de AVG-verordening volledig te garanderen.

Jouw GDPR-checklist

 

1/ Vraag: Beschik ik over de benodigde documentatie om mijn klant te laten zien hoe ik persoonlijke gegevens op een beknopte en eenvoudige manier verzamel, op sla en verwerk?

1/ Antwoord: Elke gegevensverzameling moet vergezeld gaan van een informatief schrijven die alle in artikel 13 gevraagde informatie bevat. Het is voor ons allemaal van groot belang om eenvoudige en duidelijke taal te gebruiken.

 

2/ Vraag: Heb ik mijn professionele activiteiten zo georganiseerd dat ik alleen de persoonsgegevens verzamel en/of verwerk die strikt noodzakelijk zijn voor mijn werk en voor de uitvoering van de overeenkomst die ik met het Bedrijf heb?

2/ Antwoord: De algemene uitgangspunten worden uiteengezet in de artikelen 5 en 11. In de basis houdt minimaliseren van gegevens in dat u alleen gegevens verzamelt die relevant zijn voor het uitvoeren van de overeengekomen werkzaamheden. Het onnodig verzamelen of verwerken van aanvullende gegevens wordt als onrechtmatig handelen beschouwd.

 

3/ Vraag: Worden de documenten op een bepaalde wijze bewaard zodat ze altijd toegankelijk zijn, maar alleen voor geautoriseerd personeel?

3/ Antwoord: Hier komen de behoefte aan beschikbaarheid en vertrouwelijkheid van de data samen. Een ordelijk beheer van gegevens en informatie – dat wil zeggen, papieren dossiers en digitale mappen – is hier gewenst. Zo wordt de data beschermd tegen nieuwsgierige blikken van onbekenden, terwijl de data wel goed toegankelijk blijft voor beheer.

 

4/ Vraag: Indien van toepassing (ik ben een agency of een verwante studie), heb ik mijn medewerkers aangesteld en goed opgeleid en heb ik ook de relaties met de professionals geformaliseerd tot wie ik mij richt voor het beheer en de ontwikkeling van de activiteiten van de studie?

4/ Antwoord: De gehele privacy-tak van het bedrijf moet worden betrokken bij het gegevensbeschermingsbeleid. Alle verantwoordelijken (managers, beoefenaars, medewerkers), maar ook externe professionals die in verschillende hoedanigheden met het Bedrijf samenwerken (advocaten, boekhouders, consultants, etc.), zijn opgenomen. Let op: verantwoordelijken dienen aangesteld te worden (artikel 29).

 

5/ Vraag: Zijn mijn PC’s beschermd tegen bedreigingen van buitenaf? Ken ik, indien nodig, de naam van een betrouwbare IT-technicus die specifieke problemen kan oplossen?

5/ Antwoord: Het gaat hier om de implementatie van adequate software om aanvallen of bedreigingen van verschillende aard en herkomst te voorkomen. In die zin kan het verstandig zijn om te vertrouwen op de expertise en ervaring van een professional.

 

6/ Vraag: Worden draagbare PC’s en andere verwijderbare IT-hulpmiddelen gebruikt bij activiteiten buiten mijn werkplek om de risico’s van onopzettelijk verlies, frauduleuze aftrekking en dergelijke tot een minimum te beperken?

6/ Antwoord: Een duidelijke voorbeeld is het gebruik van de USB-pen: bovenop een verplichte wachtwoordbeveiliging van de pen, hoeft u alleen gegevens die tijdens de externe sessie verwerkt moeten worden, in de pen te laden / te laten zitten.

 

7/ Vraag: Maak ik minstens één keer per week een volledige back-up van alle gegevens op een PC?

7/ Antwoord: Dit is echt fundamenteel voor de gegevensbescherming. Met betrekking tot de intensiteit van de dagelijkse veranderingen wordt een hogere frequentie aanbevolen.

 

8/ Vraag: Heb ik een bewaartijd voor persoonsgegevens gedefinieerd in overeenstemming met de doeleinden van de behandelingen?

8/ Antwoord: Zelfs de beroepsbeoefenaar moet, zoals elke houder van informatie, de periode van opslag van de gegevens (die niet ad libitum kan worden opgeslagen) definiëren en bovendien (nieuw in de verordening) een speciale vermelding opnemen (als alternatief voor de periode van opslag zal het voldoende zijn om de criteria aan te geven die worden gebruikt om deze periode te bepalen).

 

9/ Vraag: Wanneer ik pc’s, notebooks en andere apparaten die voor mijn professionele activiteit worden gebruikt, moet weggooien, zorg ik er dan voor dat er geen risico is op het blootstellen van persoonlijke gegevens tijdens het weggooien?

9/ Antwoord: Het zogenaamde “elektronische afval” is, wanneer deze niet wordt beheerd, een ongelukkige bron van informatie ten nadele van de betrokkenen en met risico’s voor de verantwoordelijk voor de beheerder van de data (bekijk de definitie van verantwoordelijke voor het databeheer in de verordening). Het is verplicht om te verwijzen naar de bepalingen van de verordening op dit gebied.

 

10/ Vraag: Heb ik de nodige maatregelen genomen voor de fysieke veiligheid van mijn werkplek, d.w.z. het nemen van maatregelen of voorzorgsmaatregelen die redelijkerwijs nodig zijn om ongewenste toegang te voorkomen en acties die de vertrouwelijkheid, beschikbaarheid of integriteit van databases negatief kunnen beïnvloeden?

10/ Antwoord: Het probleem is altijd de veiligheid van de dataverwerking. Dit keer wordt het echter beoordeeld aan de hand van het onderzoek van de locatie / fysieke plaatsen waar de werkzaamheden van de professional worden uitgevoerd. De “adequate” beschermingsmaatregelen kunnen variëren afhankelijk van de context (bijvoorbeeld een werkkamer in een ruimte binnen een vastgoed-unit waar zich ook andere professionals bevinden, of een werkkamer op de begane grond van een gedeeld kantoor, enz.).

Laten we uw project bespreken

Wij geven u zo snel mogelijk antwoord.