De GDPR binnen mijn onderneming: geen reden tot paniek

Hoe weet ik met welk soort persoonsgegevens ik te maken heb binnen mijn onderneming?
De GDPR schrijft een Data Privacy Impact Assessment (Gegevensbeschermingseffectbeoordeling) voor om structuur en overzicht te brengen met betrekking tot eventuele privacyrisico’s. Deze verplichting is voornamelijk van toepassing op ondernemingen die op grote schaal aan profiling en direct marketing doen.

Men dient het bedrijfsmodel en de bronnen van inkomsten te vergelijken om uit te maken waar men overal gevoelige persoons­gegevens verzamelt en hoe men ze hanteert. Een Data Privacy Impact Assessment is als het ware een formele analyse van de graad van risico die kleeft aan bepaalde persoonsgegevens. Men kan een Data Privacy Impact Assessment best laten uitvoeren door een derde (audit) om zo onafhankelijkheid te bewaren. Eenmaal men weet waar de privacyrisico’s zich bevinden, dient men een plan om te stellen hoe men deze kan elimineren of aanpassen en dit in samenspraak met de functionaris voor gegevensbescherming (DPO).

Indien u over gegevens beschikt die noodzakelijk zijn voor facturatie, BTW archivering of op basis van enig ander wettelijke verplichting, dan vallen deze gegevens uiteraard niet onder het doel van de GDPR.

Kan ik mijn onderneming zelf al eens snel doorlichten op enige zwaktes?
Veel ondernemingen gebruiken heden het Microsoft Office 365 pakket. Microsoft heeft verklaard om tegen 2018 met haar gehele pakket in overeenstemming te zijn met de GDPR. Dit is een krachtig signaal daar men door gebruik te maken van het Microsoft Office 365 pakket al een hoop last van de schouders neemt inzake e-mailverkeer en datagebruik (Outlook, Azure etc). Microsoft zal de gebruiker eveneens leiden door het proces en genoeg aanwijzingen geven van instellingen die kunnen verbeterd worden in het licht van de GDPR. Indien u de Microsoft Office 365 van uw onderneming reeds wenst door te lichten dan kan dat via Office 365 Secure Score. Op deze wijze kan u de gewenste instellingen eveneens laten doortrekken naar alle e-mailboxen binnen uw onderneming.

Hoe kan ik mijn onderneming in een eerste fase reeds voorbereiden?
Eenmaal men weet welke persoonsgegevens men bezit, dient men zich af te vragen waar al deze persoonsgegevens staan gelokaliseerd en hoe deze worden geraadpleegd. We kunnen hierbij direct denken aan verschillende locaties van opslag. Waar worden alle gegevens opgeslagen? Heb ik een centrale database / interface waarin mijn personeelsleden kunnen werken? Worden gegevens ook niet op andere plaatsen opgeslagen zoals ondermeer in de Cloud, in externe e-mailbox, op Dropbox, op Wetransfer, enz? Al deze locaties kunnen eveneens persoonsgegevens bevatten die gelinkt kunnen worden aan uw organisatie.

Het is van belang over te schakelen naar een centralisatie in uw onderneming, meer bepaald de werkomgeving van uw personeel en aangestelden. Indien een personeelslid of werknemer niet langer actief is in uw onderneming dan dient deze persoon op geen enkele wijze nog toegang te krijgen tot uw werkomgeving en de daarin vervatte persoonsgegevens. Het gebruik van externe harde schijven, usb’s, andere externe opslaglocaties die ten alle tijden kunnen worden geraadpleegd dienen te worden geminimaliseerd of zelfs te worden verboden.

Voorts dient men stil te staan bij het feit dat persoonsgegevens niet noodzakelijk enkel digitaal kunnen worden geraadpleegd. Hoe zit het met uw printpolicy? Heeft u een papierversnipperaar naast uw printers staan? Mag eender welk document afgedrukt worden of dient hiervoor een speciale toestemming of machtiging voor te worden verkregen? Het zou niet de eerste keer zijn dat gevoelige informatie op de achterzijde van een ‘kladblad’ in de verkeerde handen terecht komt.

Een meer verregaande en ingrijpende handeling is het controleren van bijlagen en inhoud van uitgaand e-mailverkeer. Er is software voorhanden die het mogelijk maakt om uitgaand e-mailverkeer te controleren op bepaalde gevoelige gegevens die normaliter de onderneming niet zondermeer zouden mogen verlaten. Indien men dit toch tracht te versturen, krijgt men een melding dat de e-mail gevoelige informatie bevat die eerst dient te worden verwijderd of te worden geanonimiseerd.

Dit alles kan eveneens gelinkt worden aan een ‘clean screen, clean desk policy’ wat in het licht van de GDPR niet eens zo een slecht idee is.

Dien ik alles aan te geven wat ik doe?
De GDPR schaft de verplichte aanmelding van verwerkingsactiviteiten aan de Privacycommissie af. Men dient echter wel een register voor verwerkingsactiviteiten bij te houden waarin een overzicht zit van de verwerkingsactiviteiten, welk soort persoonsgegevens men heeft, voor welke doeleinden men deze hanteert, de oorsprong van de persoonsgegevens, alsook wie toegang heeft tot deze persoonsgegevens. Men legt de verantwoordelijkheid volledig bij de onderneming.

Dit register kan een eenvoudig maar leesbaar Excelbestand zijn. Men kan hierin zelfs nog verder gaan door het mogelijk te maken om te filteren in dit register. Op die manier kan u eenvoudig aan een individu een afschrift bezorgen van de persoonsgegevens die u heeft over die persoon en hoe deze worden verwerkt alsook kan u deze persoonsgegevens op deze wijze makkelijk overdragen. Een gangbare en leesbare vorm op ieder (mobiel) apparaat blijft .pdf formaat, men kan dit eenvoudig exporteren uit een rekenblad zoals bv. Excel.

Voorts is het aan te raden van alle handelingen binnen uw onderneming een logbestand bij te houden. Er is allerhande logsoftware voorhanden die u de mogelijkheid geeft voorgaande stappen na te gaan om zo de zwakke link te lokaliseren. Dit vormt eveneens een sterk argument naar de Privacycommissie bij vaststelling van enige vermeende overtreding of inbreuk.

Hoelang mag/moet ik persoonsgegevens bewaren?
De GDPR stelt dat men enkel die gegevens mag bijhouden die noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt. Dit is een vaag begrip doch men dient hier niet licht mee om te springen. Indien u enkel mailings uitstuurt dient u, bij wijze van voorbeeld, niet te beschikken over het geslacht, de voor- en achternaam, de leeftijd, de woonplaats etc. U dient eveneens een termijn te kleven op het bewaren van de persoonsgegevens, er staat geen exacte termijn voorgeschreven doch mag deze termijn niet langer dan nodig zijn. Na verloop van deze termijn dienen de persoonsgegevens ontoegankelijk te zijn. Het jarenlang bijhouden van, vaak verouderde, persoonsgegevens is uit den boze. Mocht u na het verstrijken van deze termijn alsnog de persoonsgegevens nodig hebben, kan u best opnieuw toestemming vragen.

Niet onbelangrijk is het feit dat ieder individu het recht heeft om verwijderd te worden uit uw systeem indien deze daarom vraagt. Het verwijderen van persoonsgegevens betekent dan ook echt finaal verwijderen, er mag nergens nog enig spoor nablijven.

Op welke wijze kan ik nieuwe en bestaande gebruikers informeren?
De GDPR is van toepassing op nieuwe persoonsgegevens maar ook op persoonsgegevens die men vroeger reeds heeft verzameld. Als men de toestemming van bestaande contacten om hen te contacteren niet kan aantonen, zal men hen opnieuw toestemming moeten vragen. Dit kan eenvoudig weg door een mailing uit te sturen waarin eenieder door een klik op een knop zijn bevestiging geeft. U dient ervoor te zorgen dat u ten allen tijden een bewijs heeft van deze toestemming. Men dient te voorzien in een digitale vorm van bewijs van toestemming. Als marketeer wordt het verhandelen van persoonsgegevens dus strikt aan regels onderworpen, zo zal men binnen één maand na het verkrijgen van persoonsgegevens de gebruiker hieromtrent dienen te informeren zodat deze weet waar de persoonsgegevens vandaan komen. Men tracht op deze wijze de deur voor spam en irrelevante aanbevelingen dicht te houden.

Alle informatie over de verwerking van persoonsgegevens kan men opnemen in een Privacyverklaring. Deze Privacyverklaring dient toegankelijk te zijn op de website alsook als in een afzonderlijk document (.pdf). Het is dan ook van uitermate belang dat de Privacyverklaring alle elementen bevat. U kan deze Privacyverklaring van tijd tot tijd zelfs aanpassen. De Privacyverklaring dient ondermeer te bevatten op welke wijze u de persoonsgegevens hanteert, de gebruiker informeren dat men de mogelijkheid heeft om de persoonsgegevens ten allentijde te raadplegen, te wijzigen of zelfs volledig te laten verwijderen. U dient te bepalen hoe lang u de persoonsgegevens bewaart en u dient een direct contactpunt aan te reiken dat men kan contacteren bij een eventuele inbreuk. Deze laatste is de DPO (De functionaris voor gegevensbescherming) en dit kan door een simpele vermelding van bv. het e-mailadres ‘dpo@mijnonderneming.be’. De DPO dient niet bij naam genoemd te worden. Al deze elementen mogen eveneens niet worden weggestoken in een warboel van woorden zodat er geen duidelijkheid heerst voor de gebruiker. Men dient de verwerking van persoonsgegevens expliciet te vermelden onder een aparte regelkop.

Hetzelfde gaat op indien u gebruikt maak van cookies om gerichte advertentie aan te bieden aan bezoekers van de website. Men verzamelt op deze wijze eveneens persoonsgegevens om de advertenties te personaliseren naar de gebruiker toe daar men het surfgedrag analyseert. Dit alles dient dan ook te worden opgenomen in een Cookieverklaring waarvoor dezelfde regels gelden als de Privacyverklaring.

Wat betekent “privacy by design” en “privacy by default” voor mijn onderneming?
De meeste ondernemingen zullen geconfronteerd worden met privacy by default daar men reeds over een bepaald interface of verwerkingssyteem beschikt. Concreet betekent dit dat niets meer automatisch mag gebeuren en dat de gebruiker voor iedere handeling expliciet toestemming moet geven met betrekking tot de verwerking van zijn persoonsgegevens. Dit betekent dan ook het einde van vooraf aangevinkte vakjes voor het zich inschrijven voor bepaalde nieuwsbrieven of enig andere vorm van reclame bij het opgeven van persoonsgegevens. De onderneming dient als basis de hoogste vorm van privacy instellingen te bieden en het individu kan deze bescherming “matigen” door zelf deze instellingen te wijzigen. De controle van het individu over het gebruik van zijn gegevens staat centraal.

Privacy by design richt zich op de ontwikkelaar die een bepaald interface of verwerkingssyteem voor de onderneming opzet. Men dient zich voortdurend te evalueren in het licht van de GDPR wat betekent dan men vanaf de ontwikkeling van een programma, app, enz., zich bewust moet zijn/maken van feit dat de persoonsgegevens en privacy gerespecteerd dienen te worden. Men dient zich te vraag te stellen als alle vergaarde gegevens wel noodzakelijk zijn, kan er gefilterd worden, kunnen bepaalde aspecten verborgen worden, is het wel mogelijk om alle persoonsgegevens te verwijderen indien de betrokken persoon daar om vraagt, wie heeft toegang tot deze gegevens, enz. Het is gemakkelijker om een systeem op te bouwen, gebaseerd op deze gedachtegang, dan een bestaand systeem aan te passen. Dit is dan ook de grote kost en uitdaging voor de meeste ondernemingen. Voorts kan men opteren voor een firewall die internetverkeer controleert of een twee-staps authenticatie bij het aanmaken en inloggen op een account. Bewustmaking van privacy en gevoelige informatie is hier de achterliggende gedachte.

Wat betekent anonimisering en pseudonimisering voor mijn onderneming?
Zoals reeds eerder aangehaald dient men enkel over de noodzakelijk informatie te beschikken die men op een andere manier niet zou kunnen gebruiken voor hetzelfde doeleinde. Er mag slechts een minimum aan data vergaard worden. Dit minimum is voor iedere onderneming anders. Hiermee hangt het anonimiseren en pseudonimiseren van persoonsgegevens samen. Zo kan men de naam en voornaam van een bepaald persoon eenvoudig vervangen door een klantennummer of iets gelijkaardig, zo kan men bepaalde persoonsgegevens indelen in groepen zodat deze worden veralgemeend en niet meteen leiden naar een specifiek individu. Men kan bepaalde persoonsgegevens opsplitsen zodat ze enkel gelinkt kunnen worden aan een specifiek individu als deze gekoppeld worden aan een andere groep van gegevens, men kan de toegang tot gegevens beperken door slechts beperkte rechten te verlenen aan personeel, enz.

Wat dient er te gebeuren als er een inbreuk wordt gemeld of vastgesteld?
De GDPR schrijft voor dat men inbreuken en datalekken dient te melden aan de Privacycommissie en dit binnen de 72u (3 dagen) na vaststelling, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens. Men dient inbreuken op persoonsgegevens met een hoog privacyrisico eveneens te melden aan de betrokken personen zelf zodat deze ook op de hoogte zijn. Het is van dus van uitermate belang uw werkomgeving en data te voorzien van de nodige beveiliging om de kans op inbreuken zo klein mogelijk te houden. De GDPR wenst tot slot dat een onderneming voorziet in een actieplan bij eventuele inbreuken en lekken zodat een gestructureerd protocol gevolgd kan worden. 

Wat als mijn onderneming bestraft wordt voor het niet naleven van de GDPR?
De boetes voor het niet in overeenstemming zijn met de GDPR zijn niet te onderschatten. Wanneer persoonsgegevens niet correct worden beheerd, serieuze datalekken niet worden gemeld of de onderneming geen risico-assessment hanteert, dan kan een boete oplopen tot twee procent van de jaarlijkse omzet. Voor ernstige inbreuken kan de boete zelfs oplopen tot vier procent van de omzet, met een maximum van twintig miljoen EUR. Door het opleggen van dergelijke bedragen laat de Europese Commissie duidelijk de impact voelen.

Samengevat
Uit het voorgaande kan men afleiden dat de onderneming zelf de verantwoordelijkheid draagt om in overeenstemming te zijn met de GDPR. Het is van uitermate belang om uw huidige contracten en verklaringen te actualiseren, een eventuele doorlichting van uw onderneming bij twijfel is aan te raden. Eenmaal er enige vorm van verwerking van persoonsgegevens gebeurt, is het aan u als onderneming om het gehele gebeuren zorgvuldig op te volgen, te documenteren en een digitaal archief aan te leggen zodat men steeds verantwoording kan afleggen bij een controle. Het in overeenstemming zijn met de GDPR is een manier van werken met gevoelige informatie en niet een eenmalige handeling die men dient uit te voeren. Zolang er geen rechtspraak voor handen is valt het af te wachten in hoeverre de Privacycommissie zich zal laten gelden. Voorkomen is echter beter dan genezen. Ondernemingen staan hier voor een uitdaging.