DIRECTE TOEGANG
TOT ONZE OPLOSSINGEN
Op Europees niveau zijn er immers meerdere richtlijnen geweest, die per definitie niet noodzakelijkerwijze van toepassing zijn. Deze verordening is dus de eerste tekst met betrekking tot gegevensbescherming die verplicht moet worden toegepast in de lidstaten. In Frankrijk waren er voor de AVG al verschillende teksten sinds 1978 de de loi Informatique et Libertés. De Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) omkadert de verwerking van persoonsgegevens en heeft op alle organisaties betrekking.
Het antwoord op de AVG is veel meer dan technologisch, het volstaat niet om een « AVG-conforme » of « GDPR compliant » oplossing aan te kopen. De conformiteit van uw onderneming vereist een herziening van alle processen en van uw organisatie. De AVG-conformiteit berust op 4 luiken: juridisch, organisatorisch, proces en technologie.
1- Een piloot aanduiden
Zoals voor elk project moet u een piloot aanduiden, die later de DPO van de onderneming kan worden. Deze persoon is gelast met het definiëren van alle processen voor het verzamelen en verwerken van gegevens in de onderneming. Nadien zal hij van de gebruikers vragen ontvangen of verzoeken om gegevens te wissen.
2- Uw verwerkingen van persoonsgegevens in kaart brengen
Alvorens acties te ondernemen om u conform te stellen, moet u eerst uw processen in kaart brengen. Hiertoe documenteert u uw verwerkingen van persoonsgegevens, de categorieën van de verwerkte persoonsgegevens, de doeleinden van elke verwerking, de actoren (intern of extern) die aan deze verwerkingen deelnemen en de gegevensstromen, om de oorsprong en de plaats ervan te bepalen (EU / buiten EU).
3- De prioriteit van de te ondernemen acties bepalen
Eens u de aan uw processen verbonden risico’s heeft geïdentificeerd, kan u de prioriteit van de te ondernemen acties bepalen. Vervolgens creëert u een actieplan, met als grondvraag : « Zamel ik enkel de gegevens in die nodig zijn voor mijn verwerkingen? ». U moet eveneens de juridische grondslag voor elke verwerking aanduiden, uw informatiemeldingen herzien, contact opnemen met uw sub-verwerkers, de modaliteiten voor de uitoefening van de rechten van de betrokken personen voorzien en tot slot nagaan of uw veiligheidsmaatregelen correct zijn uitgevoerd.
4- De risico’s beheren
Deze stap vereist een « Privacyeffectbeoordeling » (PEB). Het doel van deze beoordeling is om verwerkingen te voorzien die het privéleven eerbiedigen en dus AVG-conform zijn. Om de risico’s en vastgestelde potentiële dreigingen te anticiperen moeten veiligheidsmaatregelen worden genomen.
5- De interne processen organiseren
In de eerste plaats moet vanaf het begin van een project worden nagedacht over gegevensbescherming, men spreekt van « Privacy by design ». Hiertoe moet u uw medewerkers sensibiliseren omtrent de processen die u vooraf heeft opgesteld. U moet ook in staat zijn de modaliteiten voor uitoefening van de rechten van personen te behandelen, zoals bijvoorbeeld het recht van inzage, het recht op rectificatie en het recht op gegevenswissing.
6- De conformiteit documenteren
Na uw actieplan te hebben toegepast, moet u al uw stappen documenteren in een dossier met onder andere: het verwerkingsregister, het PEB, de informatiemeldingen, alle veiligheidsprocedures en -maatregelen, de sub-verwerkersovereenkomsten, de bewijzen van toestemming voor het bewaren van persoonsgegevens.
Ontdek de oplossing ISI RGPD
Hij heeft als taak om de medewerkers te informeren en te adviseren, maar ook en bovenal om de conformiteit van de verwerkingen goed te keuren en een continue controle uit te voeren. Men kan niet systematisch een beroep doen op een DPO. Hij is echter wel verplicht in 3 gevallen:
– De openbare instellingen
– De organisaties met als hoofdactiviteit de massale verwerking van gegevens
– De organisaties waarvan de hoofdactiviteit betrekking heeft op gevoelige gegevens.
In tegenstelling tot wat algemeen wordt aangenomen, is de aanduiding van een DPO niet verplicht voor ondernemingen met 250+ medewerkers (tenzij ze tot een van de 3 categorieën hierboven behoren) maar wordt deze wel sterk aangeraden, in functie van uw activiteitensector.
Of hij nu verplicht is of niet, de Data Protection Officer kan zowel een medewerker van uw onderneming als een externe dienstverlener zijn. Als uw DPO intern is, moet u zich ervan verzekeren dat hij zich ten volste van zijn rechten en plichten bewust is. Als verwerkingsverantwoordelijke van de persoonsgegevens moet hij immers in staat zijn om zijn oversten aan te geven bij niet-naleving van de conformiteit.
De DPO staat ook garant voor het bijhouden van het verwerkingsregister en voor de naleving van de conformiteit in de praktijken van de onderneming ten opzichte van persoonsgegevens. De DPO is de opvolger van de Correspondant Informatique et Libertés (CIL).
In Frankrijk is de CNIL gelast met de controle van de conformiteit van de ondernemingen. En de straffen in geval van niet-naleving van de AVG zijn bijzonder hoog:
> Tot 10M€ of 2% van de wereldwijde jaaromzet voor inbreuken op (Bron CNIL):
– Verplichtingen van de verwerkingsverantwoordelijke en de sub-verwerker krachtens artikels 8, 11, 25 tot 39, 42 en 43
– Verplichtingen van het certificeringsorgaan krachtens artikels 42 en 43
– Verplichtingen van het orgaan dat toezicht houdt op de gedragscodes krachtens artikel 41, lid 4.
> Tot 20M€ of 4% van de wereldwijde jaaromzet voor de zwaarste inbreuken op (Bron CNIL):
– Basisbeginselen inzake de verwerking, hierin begrepen de toepasselijke voorwaarden voor toestemming krachtens artikels 5, 6, 7 en 9
– Rechten van de betrokkenen krachtens artikels 12 tot 22
– Doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie krachtens artikels 44 tot 49
– Verplichtingen voortvloeiend uit de rechten van de lidstaten vastgesteld krachtens hoofdstuk IX
– Niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1.
Wij hebben echter vastgesteld dat u bovenop een geldboete, ook een commercieel risico loopt! Als u immers geen gunstig gevolg kan geven aan het verzoek van uw lead, dan zal hij klant worden bij uw concurrentie.
Worden beschouwd als persoonsgegeven, de informatie met betrekking tot een geïdentificeerd of identificeerbaar levend natuurlijk persoon die, samengenomen, deze persoon in het bijzonder rechtstreeks of onrechtstreeks kunnen identificeren .
Er zijn 7 categorieën persoonsgegevens:
– Gegevens met betrekking tot de identiteit (naam, voornaam, adres, foto, geboortedatum en -plaats, etc.)
– Gegevens met betrekking tot het persoonlijk leven (leefgewoonten, verbruik, vrijetijd, gezinssituatie, etc.)
– Gegevens met betrekking tot het beroepsleven (CV, diploma’s, opleiding, functie, werk, etc.)
– Economische informatie (inkomsten, belastingen, bankgegevens, sociale rechten, financiële situatie, etc.)
– Localisatiegegevens (GPS-gegevens, geolocalisatie van voertuig of telefoon, gebouwenbadges, elektronische tolheffing, etc.)
– Gerechtelijke gegevens (strafblad)
– Gevoelige gegevens.
De CNIL definieert een gevoelig gegeven als « informatie met betrekking tot ras of etnische afkomst, politieke, filosofische of godsdienstige meningen, lidmaatschap van een vakbond, gezondheid of seksleven. In beginsel mogen gevoelige gegevens enkel worden verzameld en verwerkt met de uitdrukkelijke toestemming van de personen ». Hieraan kunnen worden toegevoegd de gegevens met betrekking tot de strafrechtelijke veroordelingen of de inbreuken, biometrische en genetische gegevens of nog het socialezekerheidsnummer (INSZ).
Audit van de blootstelling van de onderneming
Projectleiding
Beheer van de conformiteit
De CNIL definieert een verwerking van persoonsgegevens als « een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés (het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, etc.) ».
Een verwerking omvat een doeleinde, is verbonden aan actoren (intern of extern) die eraan deelnemen en identificeert de gegevensstromen om de oorsprong en de plaats ervan te bepalen (EU / buiten EU).
Voorbeelden van verwerkingen (niet uitputtende lijst): loonbeheer, online verkoop, videobewaking, factuurbeheer, beheer van een klantenbestand – leveranciers beheer van een werknemersbestand, beheer van een aangekocht – gehuurd – uitgewisseld leadsbestand, facturatie en beheer van reglementen, opslag in een databank, opslag onder de vorm van bestanden (Excel, tekst, csv,…) / Opslag op papier (facturen, loonfiches, etc…), website – extranet voor mijn klanten of leveranciers, logbestanden van servers, ERP’s, professionele software, beheer van toegang tot lokalen (badges, prikklok, etc.), etc.
De gegevensverwerkingsactiviteiten van het bedrijf worden vermeld in een register van gegevensverwerkingsactiviteiten, dat een papieren of elektronisch document is. Het register koppelt elke verwerking aan het doel, de betrokken partijen (intern of extern) en de gegevensstromen om de herkomst en locatie (EU/niet-EU) aan te geven.
Eens alle verwerkingen zijn geïdentificeerd en vermeld in het register, keurt de interne of externe DPO de conformiteit ervan goed of af. Bij afkeuring keert hij terug en controleert hij de verbeterende acties die werden ondernomen om de verwerking(en) in kwestie goed te keuren. Deze stap is cruciaal, aangezien hij bij niet-conformiteit de CNIL moet inlichten.
Het concept “Privacy by Design” heeft als doel te verzekeren dat het beheer van de bescherming van het privéleven van bij aanvang van een project wordt geïntegreerd. Neem bijvoorbeeld een videobewakingssysteem. Voor de installatie van het toestel, moet u maatregelen voor AVG-conformiteit voorzien: de mededeling « u wordt gefilmd » aanbrengen, de bewaringsduur van de persoonsgegevens definiëren (ter herinnering, de foto/video van een persoon is een persoonsgegeven), definiëren welke personen toegang tot deze gegevens hebben, definiëren welke procedure van toepassing is in geval van gegevensdiefstal, etc.
Onze experts doen er alles aan om binnen 24 uur contact met je op te nemen en staan tot je beschikking op 0800 34 040.
Abonneer
je op onze nieuwsbrief
Koesio, een Digital Services Company (DSC), is de nummer één partner voor KMO's en lokale overheden voor hun digitale projecten.
Gestion & data
Infrastructure technique
Services managés
Supporte et centre de services
Financement
🚀 Opgesteld in seKret door het webbureau Marque Digitale
Laissez nous vos coordonnées ainsi que votre demande afin que nous puissions vous faire rappeler en moins de 24h ouvrées par le bon interlocuteur