gdpr consulent

GDPR – Consulent – iReto

Laat u begeleiden door een GDPR consulent

Omwille van de operationele maatregelen die eraan verbonden zijn, is de GDPR sterk gelinkt aan ICT. Toch gaat het hier in wezen ook om een traject waarbij governance (Bestuur) een  cruciale rol speelt. “De regulering vraagt een bedrijf om maatregelen te nemen in functie van risico’s.” Europa schrijft daarbij geen concrete stappen voor, maar verplicht een onderneming wel om risico’s correct in te schatten en af te dekken.

Net daarom zitten heel wat bedrijven nog met vragen rond de GDPR. Eigenlijk komt het erop neer dat het topmanagement van de onderneming de risico’s moet kennen. In het  kader daarvan moet het topmanagement de organisatie de middelen geven die nodig zijn om de data te beschermen.

Hieruit volgt automatisch dat ook het operationele management van de onderneming de risico’s moet kunnen inschatten. Een nauwe samenwerking tussen ict en de juridische dienst van de onderneming dringt zich daarbij op. Die samenwerking zal nodig zijn. De ict-afdeling op operationeel niveau is doorgaans niet altijd vertrouwd met de juridische aspecten van het gebruik en de beveiliging van data.

Tegelijk is er meer bewustzijn nodig op het niveau van de eindgebruikers. Dat zijn uiteindelijk de mensen die met de data aan de slag gaan. Zij moeten meer weten over mogelijke bedreigingen en de kwetsbaarheid van data. Met andere woorden: ook voor de hr-afdeling en onder meer via de opleiding van medewerkers is hier een rol weggelegd.

ireto GDPR audit ISO27001

Wettelijke basis voor verwerking volgens de GDPR wetgeving

De GDPR hecht veel belang aan legaliteit, proportionaliteit en transparantie met betrekking tot de verzameling en verwerking van persoonsgegevens en de rechten van de betrokkenen.

Legaliteitsvereiste

De GDPR bepaalt da de verantwoordelijke, vooraleer hij de persoonsgegevens verwerkt, duidelijk het doel moet bepalen en aangeven waar hij de gegevens voor gebruikt.

Het is dus van belang dat je goed inventariseert en omschrijft voor welke doeleinden je bijvoorbeeld leden- en gebruikersgegevens gaat verzamelen en verwerken. Je mag de doeleinden tijdens het verwerkingsproces immer niet zonder meer veranderen of uitbreiden.

De GDPR somt ook enkele wettelijke doeleinden op die verwerking rechtvaardigen:

* Contractuele basis (noodzakelijk voor de uitvoering van een overeenkomst , bvb een arbeidsovereenkomst)

* Wettelijke verplichting (noodzakelijk voor uitvoering wettelijke plicht, bvb opgelegd in een decreet)

* Algemeen belang of openbaar gezag (door de wet opgedragen, bvb aan de politie)

* Vitaal belang (bvb om dringende medische redenen)

* Gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacy verwachtingen van de betrokkenen

* Ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van betrokkenen)

Per wettelijke basis moet er over gewaakt dat de gegevens tot een minimum beperkt worden om te kunnen voldoen aan de verwerking. Bvb bij een arbeidsovereenkomst heeft de sexuele geaardheid meestal geen doel of reden van bestaan.

Gerechtvaardigd belang en de ondubbelzinnige toestemming kan best enkel als toepassing worden gebruikt als de overige wettelijke doestellingen niet van toepassing zijn. Bvb werkgevers moeten zich eerst baseren op een wettelijke of contractuele verplichting en dan pas in laatste instantie en uitzonderlijk (zelfs dat is voor betwisting vatbaar) kunnen ze zich op toestemming of gerechtvaardigd belang baseren. (bvb bij e-mail controle)

 

Proportionaliteitstoets

Zorg ervoor dat elke beslissing en maatregel die je neemt de proportionaliteitstoets doorstaat of maw stel altijd de volgende vraag bij de verwerking;

“Is het wel echt noodzakelijk in functie van onze doelstelling om:”

  • deze gegevens te verzamelen en verder te verwerken?
  • Zijn er misschien andere manieren?
  • deze gegevens zo lang te bewaren?
  • al deze personen toegang te geven tot de gegevens?
  • deze gegevens aan een specifieke persoon te blijven koppelen, of kunnen we ze pseudonimiseren of beter anonimiseren?

Transparantie (voor natuurlijke personen)

Overeenkomstig het transparantiebeginsel moeten informatie en communicatie met betrokkenen in verband met de verwerking van persoonsgegevens:

  • Beknopt, eenvoudig, toegankelijk en begrijpelijk zijn;
  • Moet duidelijke en eenvoudige taal gebruikt worden.

Bij communicatie met de betrokkenen over:

  • de identiteit van de verwerkingsverantwoordelijke;
  • bij het vragen van toestemming tot verwerkingen;
  • alsook bij de doelomschrijvingen;
  • bij bewustmaking van risico’s, regels en waarborgen;
  • bestaan van profilering en de gevolgen daarvan;
  • het toelichten van hun rechten

Bij specifieke verwerking van gegevens van kinderen, in zodanige duidelijk en eenvoudige taal dat het kind deze makkelijk kan begrijpen.

 Wat kost een GDPR Consultant?

Bereken vrijblijvend de kosten om uw organisatie compliant te maken met de Privacywetgeving