Het nieuwe Europese reglement betreffende de bescherming van persoonsgegevens, beter gekend onder het acroniem AVG (of het Engelse GDPR) is sinds mei 2018 van kracht. De verordening heeft een zekere impact op de dagelijkse werking van grote of kleine ondernemingen, waarbij sommige zich genoodzaakt zien om hun gegevensbeheer, alsook hun aanpak van de bescherming en de beveiliging van te verwerken persoonsgegevens, significant te veranderen.
Ondanks de enorme mediahype blijkt echter 12 maanden na de inwerkingtreding het reglement bij een groot aantal bedrijven nog lang niet volledig of correct is geïmplementeerd.
Ten opzichte van de complexiteit van de reglementering volstaat het voor bepaalde ondernemingen bovendien om de beperkte blootstelling tegenover risico’s aan te houden, eerder dan volledige conformiteit na te streven. Op deze manier nemen ze het risico boetes op te lopen die tot 4% van hun omzetcijfer kunnen bedragen.
De principes van de AVG
Het is niet de bedoeling van dit artikel om het nieuwe reglement opnieuw te verklaren. Over het onderwerp werd reeds zeer veel gepubliceerd. De GBA-website (Gegevensbeschermingsautoriteit) zou op al uw vragen een antwoord moeten bieden. U vindt er een groot aantal themadossiers terug, alsook het voorbereidende 13 stappenplan.
Rechten van personen
Ter herinnering, de AVG is van toepassing op iedere onderneming die persoonsgegevens van Europese burgers verwerkt. Het begrip gegevens is ruim, net als de rechten van de betrokken personen (toegang, rectificatie en verwijdering of nog, overdraagbaarheid van gegevens).
Verantwoordelijkheid van de ondernemingen
Het respecteren en beveiligen van persoonsgegevens vallen onder de verantwoordelijkheid van iedereen die er toegang toe heeft en ze verwerkt (inclusief onderaannemers). Het is dus belangrijk om controleprocedures te installeren om elke inbreuk of schending van de rechten van personen te vermijden.
A toutes fins utiles, la CNIL publie une méthodologie en 6 étapes pour se conformer au RGPD.
Impact van AVG op het IT-beheer
Uw IT-afdelingen verwerken wellicht een grote hoeveelheid persoonsgegevens (informatie over uw bezoekers, gebruikers, prospecten, klanten, werknemers, leveranciers …), in welke activiteitensector dan ook.
Om zich aan de AVG-wetgeving te conformeren, moeten bedrijven kunnen aantonen dat persoonsgegevens op een veilige manier worden verwerkt én op een transparante manier over het gebruik van deze gegevens communiceren.
Ter herinnering: de 7 kernpunten die een impact hebben op het informaticabeheer:
- Mededelingsplicht: nauwkeurig communiceren welke gegevens om welke redenen worden verzameld, wie bij de verwerking is betrokken, hoelang de gegevens worden bewaard en met welke derde partijen ze mogelijk worden gedeeld.
- Recht op gegevenswissing: identificatie zonder onredelijke vertraging van de verwerkte persoonsgegevens en op aanvraag overgaan tot rectificatie of wissing.
- Recht op overdraagbaarheid: de verplichting om het geheel van persoonsgegevens betreffende een klant aan de betreffende persoon terug te geven en dat in een gangbaar digitaal formaat.
- Het concept ‘privacy by design’: dit houdt in dat enkel noodzakelijke gegevens worden verzameld, dat deze gedurende hun hele levenscyclus beveiligd zijn en dat niet-noodzakelijke gegevens worden gewist.
- Activiteitenlogboek: iedere onderneming dient een logboek gegevensverwerking bij te houden en, in sommige gevallen, een verwerkingsverantwoordelijke (DPO) aan te stellen.
- Melding in geval van inbreuk: in geval van een beveiligingsincident, verplicht de AVG de onderneming om uiterlijk binnen de 72 uur hiervan melding te maken, maatregelen te treffen en garanties te bieden die het risico op herhaling van het incident voorkomen.
- Impactanalyse: voor de aanvang van elk nieuw project verplicht de AVG de ondernemingen om de risico’s in verband met de gegevensverwerking te evalueren.
Dit alles impliceert dat persoonsgegevens gedurende de hele levensduur moeten worden opgevolgd – vanaf de inzameling tot de bewaring, opslag en vernietiging.
Nieuwe principes voor het IT-beheer
Directies informatica dienen noodgedwongen concrete maatregelen te nemen overeenkomstig de AVG. Ter herinnering, ze dienen:
-
- Het beheer voor de gegevensverwerking te intensifiëren. Dit impliceert dat wordt aangegeven waar de persoonsgegevens zijn opgeslagen, dat de traceerbaarheid is gegarandeerd (om het gebruik op te volgen en te beheren), dat een beveiligingspolitiek is bepaald en dat de medewerkers ontvankelijk zijn voor de veilige verwerking van gegevens.
- De toegang tot de gegevenste beveiligen en controleren: zodra de gegevens worden bewerkt, dient u dit te kunnen verantwoorden. Het delen van informatie is nooit 100% veilig. De installatie van een toegangsbeveiligingssysteem gebaseerd op logboeken, volgens de behoefte en het reële gebruik is een minimale vereiste.
- Toezicht te houden op de stroom persoonsgegevens: Permanent toezicht, dat is de nieuwe regel om lekken, verdachte activiteiten of potentiële beveiligingsincidenten te vermijden. Dit impliceert het aanwenden van geschikte tools, voornamelijk op het vlak van samenwerkingen en het delen van bestanden, de vergrendeling van de toegang tot gevoelige informatie enz.
Rentys is zich bewust van de uitdaging die de beveiliging van persoonsgegevens vormt en hecht daarom groot belang aan de gelijkvormigheid met de AVG. Gelieve voor iedere vraag in verband met de verwerking van uw persoonsgegevens, ons Privacybeleid en de Bescherming van de persoonlijke levenssfeer te raadplegen.