GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt.
Het grote verschil met voorgaande privacywetgeving is dat de verzamelaar van de gegevens vanaf nu meer verantwoordingsplicht heeft dan de persoon van wie de gegevens verzamelt worden. Tot op heden was het aan een ‘slachtoffer’ van wie gegevens onrechtmatig werden gedeeld of verspreid om aan te tonen dat persoon of organisatie die dienst gegevens foutief heeft verspreid onvoldoende inspanningen heeft geleverd om dit te voorkomen. Nu wordt deze taak bij de verzamelaar van de gegevens gelegd. Hij/zij zal vanaf heden moeten kunnen aantonen dat ALLE inspanningen werden geleverd om de verzamelde gegevens te beschermen.
Waar gaat het juist over?
Volgens deze nieuwe wetgeving moet je heel goed opletten met de verwerking van persoonsgegevens. Het wordt heel belangrijk dat je goed kan aantonen WELKE persoonsgegevens je verzamelt, WAAROM je dat doet en ook HOE je deze gegevens verwerkt.
Persoonsgegevens kunnen heel veel zijn. Het kan gaan over een naam, een adres, iemands geslacht, zijn/haar opleiding, beroep… maar ook beeldmateriaal of geluidsmateriaal zijn persoonsgegevens. Zo kan je heel wat foto’s of filmpjes bezitten die vol persoonsgegevens staan.
Op welke manier je die gegevens verwerkt kan ook heel uiteenlopend zijn. Het verwerken gaat over elke handeling die je met deze gegevens onderneemt: het bewaren, het gebruiken, het wijzigen, het meedelen... maar ook het verzamelen zelf.
De grote aandachtspunten
- Grotere verantwoordingsplicht. Meer transparantie over de verwerking, beheer en bewaring van persoonsgegevens
- Meer nadruk op de rechten van betrokkenen
- Bewijslast ligt vanaf heden bij de verwerkingsverantwoordelijke en de verwerker
- Sterk toezicht: de privacycommissie wordt naast informatieorgaan ook waakhond en kan boetes opleggen
Daarnaast zal het ook belangrijk zijn dat organisatie binnen onze sector goed nadenken over welke gegevens ze wel en niet verzamelen. We hebben de neiging om heel wat ‘gevoelige’ gegevens op te vragen bv medische gegevens, politieke voorkeuren, etnische afkomst…. Het verzamelen van dergelijke gevoelige gegevens kan maar onder bepaalde voorwaarden en mits de juiste legitimatie. Het wordt dus heel belangrijk dat elke organisatie goed in kaart brengt welke gegevens men verzamelt, waarom, hoe ze dit doen, of en met wie de informatie wordt gedeeld, hoe deze informatie wordt opgeslagen en beveiligd en voor hoelang….
Aan de slag
Elke organisatie moet vanaf 25 mei 2018 kunnen aantonen dat zij actief werk maken van deze regeling. Om de sector daarin te ondersteunen heeft Scwitch de nodige tools ontwikkeld. In onderstaand stappenplan sturen we je telkens door naar de daarbij passende tool.
Hier vind je alvast de 7 stappen die je dient te ondernemen. Laat het niet liggen, start NU METEEN:
- Bewustmaking
Zorg ervoor dat IEDEREEN binnen de organisatie weet dat deze wet bestaat en dat iedereen zich hieraan moet houden bij het verzamelen van gegevens. Geen foto’s dus op de jaarlijkse nieuwjaarsreceptie zonder dat de aanwezigen hier toestemming hebben gegeven, geen lijsten van deelnemers afgedrukt laten rondslingeren… iedereen komt er hoe dan ook mee in aanraking dus maak iedereen bewust. Agendeer het bijvoorbeeld op je volgende personeelsoverleg en haal heel concrete voorbeelden aan.
- Inventariseren
Maak een inventaris van alle persoonsgegevens die jullie organisatie verzamelt aan de hand van volgende vragen
- Welke gegevens verzamelen we en op welk moment?
- Waar bewaren we dit?
- Hoelang bewaren we dit?
- Wie heeft er toegang tot die gegevens?
- Waarvoor gebruiken we dit gegevens?
- Beschermen we deze gegevens en hoe doen we dit?
- Analyse en maatregelen
Nu kan je gaan analyseren of de gegevens die je verzamelt en de manier waarop etc. (alles wat in je inventaris is opgenomen) GDPR- proof is. Dit kan je doen aan de hand van deze template. Bekijk daarnaast ook of je gegevens voldoende beschermd of er een risico op verlies is etc. en probeer daarbij passende maatregelen te zoeken indien nodig.
- Register
De opmaak van een register is een verplichte stap. Eigenlijk is dit een soort van werkdocument dat automatisch voortkomt uit de vorige stappen. Je gaat in dit register aangeven welke gegevens je verzamelt, met welk doeleinde, hoe je de gegevens verwerkt en beschermt, enz. Opnieuw bestaat hiervoor een template van waaruit je kan starten. Belangrijk is ook dat dit register nooit af is. Dit register moet continue geactualiseerd en aangepast worden.
- Privacyverklaring
Elke organisatie moet over een heldere privacyverklaring beschikken. Deze moet de betrokkenen actief informeren over welke gegevens er worden verzameld, waarom, wat er met deze gegevens gebeurt… een organisatie moet de betrokkenen pro-actief gaan informeren en moet dit op een heldere en eenvoudige manier doen zodat alle betrokkenen mee zijn in het verhaal. Maak deze privacyverklaring op aan de hand van deze checklist.
- Aanstellen verantwoordelijke gegevensbescherming
De DPO (data protection officer) is een deskundige die jouw organisatie bijstaat in het toezicht op de interne naleving van GDPR. Het aanstellen van een DPO is afhankelijk van een aantal voorwaarden. Scwitch oordeelt dat dit voor vzw’s etc voorlopig niet aan de orde zal zijn en er dus geen DPO dient te worden aangesteld.
- Datalekken
Elk incident dat impact kan hebben op de veiligheid van je data (zoals diefstal van een laptop of verlies van een usb-stick) en waarschijnlijk enige vorm van schade kan veroorzaken aan de betrokkenen moet(en) binnen 72u gemeld worden aan de privacycommissie. Ook hier kan je opnieuw beroep doen op het voorbeeldformulier.
Het uitgebreide stappenplan en de daarbij horende tools vind je hier.
Lokale verenigingen
Je moet je niet alleen als koepel in orde brengen met deze wetgeving, het is ook minimum even belangrijk dat jij je eigen achterban klaarstoomt voor deze wetgeving.
Het is aan jou om ervoor te zorgen dat ook de lokale verengingen de juiste hulp en ondersteuning krijgen om de privacywetgeving in hun werking in te bedden.
Ook daarvoor kan je aan de slag met de tools die Scwitch ontwikkelde. Zij het wel dat deze tools iets meer op maat van de lokale verenigingen zijn en gerust nog een extra touch kunnen krijgen vanuit jouw organisatie. Help de lokale groepen bijvoorbeeld bij het ‘begrijpen’ van de legitimiteitstoets (op welke rechtsgrond baseert de organisatie zich om de verwerking van bepaalde gegevens te verantwoorden?).