Choisir mon agence
En me connectant, j’ai accès :
logo agence koesio Aux informations
de mon agence
logo espace client À mon espace client
Nous trouver
Icone de Koesio pour Nous trouver
Être rappelé
Icone de Koesio pour le Télépéhone
Nous rejoindre
Icone de Koesio pour Nous Rejoindre
Icone de Koesio pour le métier de Sécurité
Icone de Koesio pour la RGPD - GDPR | Sécurité

Veiligheid

AVG (GDPR) – Algemene Verordening Gegevensbescherming

Deze verordening is geen nieuwigheid inzake gegevensbescherming.

Op Europees niveau zijn er immers meerdere richtlijnen geweest, die per definitie niet noodzakelijkerwijze van toepassing zijn. Deze verordening is dus de eerste tekst met betrekking tot gegevensbescherming die verplicht moet worden toegepast in de lidstaten. In Frankrijk waren er voor de AVG al verschillende teksten sinds 1978 de de loi Informatique et Libertés. De Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) omkadert de verwerking van persoonsgegevens en heeft op alle organisaties betrekking.

Inleiding tot de AVG

Het antwoord op de AVG is veel meer dan technologisch, het volstaat niet om een « AVG-conforme » of « GDPR compliant » oplossing aan te kopen. De conformiteit van uw onderneming vereist een herziening van alle processen en van uw organisatie. De AVG-conformiteit berust op 4 luiken: juridisch, organisatorisch, proces en technologie.

1- Een piloot aanduiden

Zoals voor elk project moet u een piloot aanduiden, die later de DPO van de onderneming kan worden.
Deze persoon is gelast met het definiëren van alle processen voor het verzamelen en verwerken van gegevens in de onderneming. Nadien zal hij van de gebruikers vragen ontvangen of verzoeken om gegevens te wissen.

2- Uw verwerkingen van persoonsgegevens in kaart brengen

Alvorens acties te ondernemen om u conform te stellen, moet u eerst uw processen in kaart brengen. Hiertoe documenteert u uw verwerkingen van persoonsgegevens, de categorieën van de verwerkte persoonsgegevens, de doeleinden van elke verwerking, de actoren (intern of extern) die aan deze verwerkingen deelnemen en de gegevensstromen, om de oorsprong en de plaats ervan te bepalen (EU / buiten EU).

3- De prioriteit van de te ondernemen acties bepalen

Eens u de aan uw processen verbonden risico’s heeft geïdentificeerd, kan u de prioriteit van de te ondernemen acties bepalen. Vervolgens creëert u een actieplan, met als grondvraag : « Zamel ik enkel de gegevens in die nodig zijn voor mijn verwerkingen? ». U moet eveneens de juridische grondslag voor elke verwerking aanduiden, uw informatiemeldingen herzien, contact opnemen met uw sub-verwerkers, de modaliteiten voor de uitoefening van de rechten van de betrokken personen voorzien en tot slot nagaan of uw veiligheidsmaatregelen correct zijn uitgevoerd.

4- De risico’s beheren

Deze stap vereist een « Privacyeffectbeoordeling » (PEB). Het doel van deze beoordeling is om verwerkingen te voorzien die het privéleven eerbiedigen en dus AVG-conform zijn. Om de risico’s en vastgestelde potentiële dreigingen te anticiperen moeten veiligheidsmaatregelen worden genomen.

5- De interne processen organiseren

In de eerste plaats moet vanaf het begin van een project worden nagedacht over gegevensbescherming, men spreekt van « Privacy by design ». Hiertoe moet u uw medewerkers sensibiliseren omtrent de processen die u vooraf heeft opgesteld. U moet ook in staat zijn de modaliteiten voor uitoefening van de rechten van personen te behandelen, zoals bijvoorbeeld het recht van inzage, het recht op rectificatie en het recht op gegevenswissing.

6- De conformiteit documenteren

Na uw actieplan te hebben toegepast, moet u al uw stappen documenteren in een dossier met onder andere: het verwerkingsregister, het PEB, de informatiemeldingen, alle veiligheidsprocedures en -maatregelen, de sub-verwerkersovereenkomsten, de bewijzen van toestemming voor het bewaren van persoonsgegevens.

Ontdek de oplossing ISI RGPD

De DPO – Data Protection Officer – of in het Nederlands FGB – Funtionaris voor Gegevensbescherming

Is een DPO verplicht?

Hij heeft als taak om de medewerkers te informeren en te adviseren, maar ook en bovenal om de conformiteit van de verwerkingen goed te keuren en een continue controle uit te voeren. Men kan niet systematisch een beroep doen op een DPO. Hij is echter wel verplicht in 3 gevallen:
– De openbare instellingen
– De organisaties met als hoofdactiviteit de massale verwerking van gegevens
– De organisaties waarvan de hoofdactiviteit betrekking heeft op gevoelige gegevens.

In tegenstelling tot wat algemeen wordt aangenomen, is de aanduiding van een DPO niet verplicht voor ondernemingen met 250+ medewerkers (tenzij ze tot een van de 3 categorieën hierboven behoren) maar wordt deze wel sterk aangeraden, in functie van uw activiteitensector.

Moet de DPO intern of extern zijn?

Of hij nu verplicht is of niet, de Data Protection Officer kan zowel een medewerker van uw onderneming als een externe dienstverlener zijn. Als uw DPO intern is, moet u zich ervan verzekeren dat hij zich ten volste van zijn rechten en plichten bewust is. Als verwerkingsverantwoordelijke van de persoonsgegevens moet hij immers in staat zijn om zijn oversten aan te geven bij niet-naleving van de conformiteit.

De DPO staat ook garant voor het bijhouden van het verwerkingsregister en voor de naleving van de conformiteit in de praktijken van de onderneming ten opzichte van persoonsgegevens. De DPO is de opvolger van de Correspondant Informatique et Libertés (CIL).

nous gérons les aspects reglementaires de nos solutions numériques

Welke sancties voor niet-conforme ondernemingen?

In Frankrijk is de CNIL gelast met de controle van de conformiteit van de ondernemingen. En de straffen in geval van niet-naleving van de AVG zijn bijzonder hoog:

> Tot 10M€ of 2% van de wereldwijde jaaromzet voor inbreuken op (Bron CNIL):
– Verplichtingen van de verwerkingsverantwoordelijke en de sub-verwerker krachtens artikels 8, 11, 25 tot 39, 42 en 43
– Verplichtingen van het certificeringsorgaan krachtens artikels 42 en 43
– Verplichtingen van het orgaan dat toezicht houdt op de gedragscodes krachtens artikel 41, lid 4.
> Tot 20M€ of 4% van de wereldwijde jaaromzet voor de zwaarste inbreuken op (Bron CNIL):
– Basisbeginselen inzake de verwerking, hierin begrepen de toepasselijke voorwaarden voor toestemming krachtens artikels 5, 6, 7 en 9
– Rechten van de betrokkenen krachtens artikels 12 tot 22
– Doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie krachtens artikels 44 tot 49
– Verplichtingen voortvloeiend uit de rechten van de lidstaten vastgesteld krachtens hoofdstuk IX
– Niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1.

Wij hebben echter vastgesteld dat u bovenop een geldboete, ook een commercieel risico loopt! Als u immers geen gunstig gevolg kan geven aan het verzoek van uw lead, dan zal hij klant worden bij uw concurrentie.

Wat is een persoonsgegeven?

Worden beschouwd als persoonsgegeven, de informatie met betrekking tot een geïdentificeerd of identificeerbaar levend natuurlijk persoon die, samengenomen, deze persoon in het bijzonder rechtstreeks of onrechtstreeks kunnen identificeren.
Er zijn 7 categorieën persoonsgegevens:

– Gegevens met betrekking tot de identiteit (naam, voornaam, adres, foto, geboortedatum en -plaats, etc.)
– Gegevens met betrekking tot het persoonlijk leven (leefgewoonten, verbruik, vrijetijd, gezinssituatie, etc.)
– Gegevens met betrekking tot het beroepsleven (CV, diploma’s, opleiding, functie, werk, etc.)
Economische informatie (inkomsten, belastingen, bankgegevens, sociale rechten, financiële situatie, etc.)
Localisatiegegevens (GPS-gegevens, geolocalisatie van voertuig of telefoon, gebouwenbadges, elektronische tolheffing, etc.)
Gerechtelijke gegevens (strafblad)
Gevoelige gegevens.

De CNIL definieert een gevoelig gegeven als « informatie met betrekking tot ras of etnische afkomst, politieke, filosofische of godsdienstige meningen, lidmaatschap van een vakbond, gezondheid of seksleven. In beginsel mogen gevoelige gegevens enkel worden verzameld en verwerkt met de uitdrukkelijke toestemming van de personen ». Hieraan kunnen worden toegevoegd de gegevens met betrekking tot de strafrechtelijke veroordelingen of de inbreuken, biometrische en genetische gegevens of nog het socialezekerheidsnummer (INSZ).

koesio vous apporte des solutions numériques

Ons team van experts begeleidt u in al uw stappen om AVG-conform te worden

Audit van de blootstelling van de onderneming

Projectleiding

Beheer van de conformiteit

Wat is een verwerking en een verwerkingsregister? Volgens welk proces moet de conformiteit van de verwerkingen worden goedgekeurd?

De CNIL definieert een verwerking van persoonsgegevens als « een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés (het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, etc.) ».

Een verwerking omvat een doeleinde, is verbonden aan actoren (intern of extern) die eraan deelnemen en identificeert de gegevensstromen om de oorsprong en de plaats ervan te bepalen (EU / buiten EU).

Voorbeelden van verwerkingen (niet uitputtende lijst): loonbeheer, online verkoop, videobewaking, factuurbeheer, beheer van een klantenbestand – leveranciers beheer van een werknemersbestand, beheer van een aangekocht – gehuurd - uitgewisseld leadsbestand, facturatie en beheer van reglementen, opslag in een databank, opslag onder de vorm van bestanden (Excel, tekst, csv,…) / Opslag op papier (facturen, loonfiches, etc…), website – extranet voor mijn klanten of leveranciers, logbestanden van servers, ERP’s, professionele software, beheer van toegang tot lokalen (badges, prikklok, etc.), etc.

De verwerkingen van de onderneming worden opgenomen in een verwerkingsregister, dat een papieren of elektronisch document is. Het register vermeldt voor elke verwerking de doeleinden, de actoren (intern of extern) die eraan deelnemen en de gegevensstromen om de oorsprong en de plaats ervan te bepalen (EU / buiten EU).

Eens alle verwerkingen zijn geïdentificeerd en vermeld in het register, keurt de interne of externe DPO de conformiteit ervan goed of af. Bij afkeuring keert hij terug en controleert hij de verbeterende acties die werden ondernomen om de verwerking(en) in kwestie goed te keuren. Deze stap is cruciaal, aangezien hij bij niet-conformiteit de CNIL moet inlichten.

Wat is "Privacy by design"?

Het concept “Privacy by Design” heeft als doel te verzekeren dat het beheer van de bescherming van het privéleven van bij aanvang van een project wordt geïntegreerd. Neem bijvoorbeeld een videobewakingssysteem. Voor de installatie van het toestel, moet u maatregelen voor AVG-conformiteit voorzien: de mededeling « u wordt gefilmd » aanbrengen, de bewaringsduur van de persoonsgegevens definiëren (ter herinnering, de foto/video van een persoon is een persoonsgegeven), definiëren welke personen toegang tot deze gegevens hebben, definiëren welke procedure van toepassing is in geval van gegevensdiefstal, etc.

koesio vous apporte des solutions numériques

Neem contact op met onze GDPR consultants

Wilt u voldoen aan de GDPR? Onze experts zijn er om u te helpen bij uw aanpak. Aarzel niet om contact met ons op te nemen via dit formulier. Wij zullen samen met u de ondersteuning bepalen die is afgestemd op uw doelstellingen inzake naleving van de GDPR.

U heeft kennisgenomen van ons privacybeleid

Waar kan je ons vinden?

Vind het kantoor in uw buurt
nl_BE
le logo Koesio de la page d'accueil

Vous souhaitez être rappelé ?

Laissez nous vos coordonnées ainsi que votre demande afin que nous puissions vous faire rappeler par le bon interlocuteur
Koesio s’autorise à vous contacter de façon personnalisée à propos de votre demande. Vos données personnelles ne seront jamais vendues à des tiers. Vous pouvez prendre connaissance de notre politique de confidentialité

En me connectant, j’ai accès :