Gegevensbescherming door een gdpr-dossier op ontwerp, of Privacy by Design, is de basis voor een optimale bescherming van Persoonsgegevens.
Als DPO of Privacy specialisten zorgen wij voor een GDPR-Dossier, een dossier die u online aangeboden wordt want “DATA LEVEN”. Er is wel steeds een verschuiving van personeelsverantwoordelijkheden of er wordt een nieuwe applicatie in gebruik genomen. Dit zijn zaken die door de privacyregels steeds goed moeten opgevolgd worden.
Wat is dat, een GDPR-Dossier?
Als u wenst dat uw organisatie GDPR proof wordt, dan stellen wij van DPO Associates het GDPR-Dossier voor.
DPO Associates werkt volgens dit schema;
-
1 De bewustmaking
Zowel de sleutelfiguren als het personeel worden juist geïnformeerd rond de verwerking van persoonsgegevens. Zij gaan leren inschatten welke de gevolgen de GDPR implementatie zal teweegbrengen voor de organisatie.
-
2 Het register van verwerkingsactiviteiten
Na een grondige studie van de verwerkingsactiviteiten en de interne processen worden de persoonsgegevens die verwerkt worden in kaart gebracht, waar deze vandaan komen en wie je deze hebt gedeeld.
-
3 De DPO
De DPO controleert of de organisatie handelt volgens de eisen beschreven inde AVG-wetgeving en staat bij waar nodig.
-
4 Rechten van betrokkenen
Er wordt nagegaan of de organisatie voorziet in alle rechten van betrokkenen en waar deze zich op kunnen beroepen, hoe persoonsgegevens kunnen verwijderd worden en hoe dat gegevens elektronisch zullen worden medegedeeld.
-
5 Communicatie
Het opstellen van een privacy beleid en een privacyverklaring op maat van de organisatie, de instellingen van uitgaande mails, de controle op klantenlijsten en hoe omgaan met de verwerking van persoonsgegevens op het gebied van marketing.
-
6 Verzoek tot toegang
Wie heeft toegang tot welke applicatie en in hoe verre kan een bepaalde persoon gegevens inzien binnen de organisatie? Het bewaren van inlogcodes of wachtwoorden en de vernietigingsprocedure hiervoor opmaken.
-
7 Wettelijke grondslag bepalen
Voor elke verwerking worden de wettelijke grondslagen bepaald en gedocumenteerd. Deze grondslagen publiceren via verschillende kanalen zodat klanten of patiënten zich kunnen informeren.
-
8 Toestemming
Evaluatie van de wijze waarop toestemming wordt gevraagd, wordt verkregen of wordt geregistreerd. De toestemmingsverklaringen worden vrij, specifiek, geïnformeerd en ondubbelzinnig opgemaakt.
-
9 Persoonsgegevens van Kinderen
De ontwikkeling van systemen om de leeftijd van betrokkenen te kunnen nagaan en of er toestemming moet gevraagd worden bij de ouders of een voogd voor de verwerking van de persoonsgegevens van minderjarige kinderen.
-
10 Datalekken
Adequate procedures opstellen om persoonlijke gegevenslekken op te sporen, te rapporteren en te onderzoeken. De niet naleving van de meldplicht kan resulteren in een geldboete, bovenop de boete voor het gegevenslek zelf.
-
11 Privacy by Design
Gegevensbescherming door ontwerp en begrippen zoals een gegevensbeschermingseffectenbeoordeling worden in werking gesteld en geïmplementeerd in de werking van de organisatie.
-
12 Internationaal
Bepalen onder welke toezichthoudende autoriteit de organisatie valt indien deze internationaal actief is.
-
13 Bestaande contracten
Het beoordelen van de bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers en waar nodig worden veranderingen aangebracht.
Hoe GDPR in orde maken?
Stap 1: Analyse van de organisatie
Bij het eerste gesprek gaan wij na welke persoonsgegevens de organisatie verwerkt, hoe en hoe lang deze worden opgeslagen en wie er toegang heeft tot deze persoonsgegevens.
Hierbij worden alle processen in kaart gebracht die gekoppeld zijn aan de verwerking van gegevens. Deze processen gebeuren volgens het protocol dat geschreven staat in de ISO27001 normen waarbij er een overzicht kan verkregen worden over de gebruikte hardware en software.
Om de beveiliging van persoonsgegevens te optimaliseren worden systematisch de volgende acties ondernomen;
- De brandveiligheid van de kantoren
- Kan er waterschade optreden?
- Zijn er klimaat beschermingsmaatregelen?
- Hoe zit het met de stroomvoorziening?
- Is er een detectie tegen veiligheidsinbreuken?
- Herkennen de werknemers malware?
- Zijn er back-ups en hoe wordt dit beveiligd?
- Is het netwerk in orde?
- Welke gegevens bevinden zich op mobiele toestellen?
- Werd er gedacht aan incident- en continuïteitsbeheer?
Stap 2: Het ontwikkelen van een privacy plan
Het privacy plan of het privacy management stellen wij samen met de verantwoordelijke van een organisatie op.
Hier gaan wij na of er wachtwoorden worden gebruikt, wie daar toegang toe heeft en stellen wij een verantwoordelijke aan binnen de organisatie voor het beheer van alle wachtwoorden.
Deze verantwoordelijke draagt zorg voor het bewaren van én verandert volgens een nieuwe procedure de wachtwoorden op vastgestelde tijdstippen of zorgt voor het verwijderen van inlogcodes bij het vertrek van personeel om misbruiken te voorkomen.
Tijdens de opmaak van het Privacy Plan, onderzoekt iReto of er verwerkingen zijn die in aanmerking komen voor het uitvoeren van een DPIA, een Data Protection Impact Assesment of in het Nederlands, een gegevensbeschermingseffectenbeoordeling.
Volgens IT-Tips worden zaken onder de loep genomen zoals;
- Gebruik van een Firewall en of deze hardware matig of software matig wordt gebruikt.
- Geconfigureerde settings bij devices geleverd door fabrikanten
- Instellingen van firmware
- Instellen van wachtwoorden op laptops, computers, tablets en smartphones
- Het gebruik van 2FA of MFA
- De Cloudomgeving: Wie heeft hier toegang toe?
- Scannen op virussen en het gebruik van USB-sticks
- Gebruik van (openbare) netwerken
- Verhinderen van de installatie van niet goedgekeurde software
- Sandboxing: Het uitvoeren in een afgeschermde omgeving
- Up-to-date beleid van alle devices, besturingssystemen en software
Stap 3: Uitrollen binnen de organisatie
Het opstellen van een verwerkingsregister waar het doel van de verwerking gespecifieerd wordt, de categorieën van betrokkenen worden geregistreerd, de aard van persoonsgegevens en of er meerdere verwerkers, sub verwerkers of gezamenlijke verwerkers bestaan.
Registers bestaan ook op bij de installatie van bewakingscamera’s en bij het vaststellen van een datalek.
Via en flowchart kan er in één opzicht bepaald worden van waar de te verwerken persoonsgegevens binnen komen in de organisatie, wie deze verwerkt en hoe deze weer verder verwerkt worden bij het verlaten van de verantwoordelijke verwerker.
Verwerkers en verantwoordelijken worden geregistreerd en vervolgens gecontacteerd voor het opstellen en ondertekenen van een op maat gemaakte verwerkersovereenkomst.
Omdat de betrokkene, de patiënt of de klant juist moet geïnformeerd worden, wordt de bestaande website onder de loep genomen op de volgende zaken;
- Privacy verklaring
- Cookie beleid
- Veilige verbinding: SSL
- Gebruik van reCAPTCHA
- Algemene voorwaarden
- Website Disclaimer
Verder worden de arbeidscontracten doorgenomen en eventueel aangepast aan de privacy wetgeving, want ook arbeiders en bedienden moeten op de hoogte zijn van het privacy beleid van de onderneming, de organisatie of de praktijk waar zij tewerkgesteld zijn.
Stap 4: Controle & opvolging
Na het opstellen van het GDPR-Dossier volgt er een systematische opvolging. Het dossier kan alleen maar optimaal worden bij een controle en bijsturing van 3 jaar. Data leven waardoor er continu veranderingen zijn in een organisatie en wetgeving kan aangepast worden door het coherentiemechanisme tussen de Europese lidstaten.
