Duw op enter om te zoeken

De 10 essentiële GDPR-vereisten - Deel 2

Author Avatar
Geert Van de Steen
Chief Information Security Officer , EASI

De autoriteiten beginnen stilaan klachten en inbreuken te behandelen en ze leggen wel degelijk boetes op. Dit is jouw checklist, in mensentaal, om optimaal aan de GDPR-verordening te voldoen.

Bedankt om opnieuw in te pikken na deel 1. Heb je deel 1 toch gemist, neem dan snel hier een kijkje. In dit artikel bespreek ik de volgende vijf belangrijke punten op jouw checklist.

Privacy by design

Bedrijven moeten over mechanismen beschikken om persoonsgegevens te beschermen bij het ontwerpen van nieuwe systemen en processen. Privacy- en beschermingsaspecten moeten standaard in aanmerking worden genomen.

Dus als je bedrijf een webpagina maakt waar gebruikers zich kunnen abonneren op een nieuwsbrief, kun je best ook een knop voorzien waardoor ze zich kunnen uitschrijven (opt-out). Klaar om een nieuwe HR-applicatie te installeren? Zorg er dan voor dat de applicatie verschillende bevoegdheidsniveaus ondersteunt om je persoonsgegevens te beschermen.

Data Protection impact Assessment

Om de impact van veranderingen of nieuwe acties in te schatten, moet bij de start van een nieuw project, een verandering of nieuw product een Gegevensbeschermingseffectbeoordeling worden uitgevoerd. Dat is een procedure die moet worden uitgevoerd wanneer een belangrijke wijziging wordt doorgevoerd in de verwerking van persoonsgegevens. Deze wijziging kan een nieuw proces zijn, of een wijziging in een bestaand proces dat de manier verandert waarop persoonlijke gegevens worden verwerkt.

En uiteraard is een zo'n GEB verplicht als je speciale categorieën van persoonsgegevens of met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt. Klinkt dit toch wel wat ingewikkeld? Geef ons een seintje, EASI kan je altijd helpen.

Gegevensoverdracht

De verwerkingsverantwoordelijke (= beter bekend als jijzelf) moet ervoor te zorgen dat de persoonsgegevens ook worden beschermd als ze door een derde partij worden verwerkt. Organisaties zijn dus verplicht de bescherming en privacy van persoonsgegevens te garanderen wanneer ze buiten het bedrijf worden doorgegeven. Hoe doe je dat? Om te beginnen is het een goed idee om een Data Processor Agreement (verwerkingsovereenkomst) af te sluiten met al je verwerkers.

En als je persoonsgegevens doorgeeft buiten de EU? Wel, als je persoonsgegevens doorgeeft naar Andorra, Argentinië, Canada, de Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay of de VS (beperkt tot het Privacy Shield kader), is er geen probleem. De meest recente lijst van landen met voldoende bescherming vind je via deze link.

Als je persoonsgegevens doorgeeft aan andere dan de bovenvermelde landen, zijn extra garanties nodig voor de doorgifte kan plaatsvinden.

Data Protection Officer (functionaris voor gegevensbescherming)

De Data Protection Officer moet het bedrijf adviseren over de naleving van de GDPR-vereisten. Bedrijven vragen zich vaak af of ze wel een DPO nodig hebben. Dat hangt ervan af... In deze gevallen is een DPO verplicht:

De meeste van deze termen zijn nogal vaag (regelmatig, systematisch, grote schaal, hoofdactiviteit,....), maar dit wordt uitgelegd in een artikel van het Europees Comité voor gegevensbescherming: "Regelmatige en systematische monitoring"

Bewustmaking en opleiding

Een organisatie moet bewustmakingsopleidingen organiseren onder haar werknemers over de bescherming van persoonsgegevens. Afhankelijk van de aard van de persoonsgegevens die worden verwerkt, of de risico's van datalekken, kan het een uitgebreid of beperkt opleidingsprogramma zijn. In principe moeten de werknemers worden geïnformeerd over wat ze moeten weten en hoe ze de GDPR-verplichtingen van de organisatie moeten nakomen. Hou het simpel, concreet en herhaal deze opleiding regelmatig. En ... vergeet niet je nieuwe medewerkers op te leiden.

NIS2 whitepaper

Current job openings

Sign up to our newsletter

Follow us

  

Share this article