Is de Vlaamse kmo klaar voor GDPR?

Is de Vlaamse kmo klaar voor GDPR?

Door: Franky Deleersnijder

In de huidige digitale wereld staan persoonlijke gegevens centraal. Zo goed als elke vlaamse kmo gebruikt en bewaart persoonlijke gegevens, groot en klein. Wist u dat er in mei 2018 een nieuwe Europese wetgeving omtrent privacy (GDPR) aankomt die gevolgen zal hebben voor iedere organisatie? Om hoge boetes te vermijden, moet u zeker zijn dat u in orde bent met deze nieuwe wetgeving. We leggen u haarfijn uit wat er van u wordt verwacht.

Wat is GDPR?

Op 25 mei 2018 wordt de “Europese General Data Protection Regulation” of kortweg “GDPR” toegepast doorheen de ganse Europese Unie. Deze Europese wetgeving vervangt de huidige nationale wetgeving omtrent privacy in iedere Europese lidstaat. De meeste van deze wetgevingen dateren uit de jaren negentig en zijn dus al lang niet meer aangepast aan de huidige digitale wereld. De Privacycommissie zal controles uitvoeren op het naleven van deze wetgeving en ondernemingen beboeten indien ze de voorgeschreven regels niet uitvoeren. Deze boetes kunnen oplopen tot €20.000.000 ofwel 4 procent van de totale jaaromzet van de onderneming indien dit hoger blijkt te zijn dan het eerder aangegeven bedrag. Hoog tijd dus om als onderneming na te gaan of u de privacyregels wel voldoende respecteert.

GDPR telt alleen voor grote ondernemingen met gevoelige data?

Niets is minder waar. De regelgeving is geldig voor iedereen die persoonsgegevens bijhoudt of verwerkt. Een kmo die een database heeft met klantengegevens, prospecten, personeelsgegevens, gegevens van toeleveranciers,… is verplicht om zich in regel te stellen. GDPR is dus van toepassing in alle sectoren en maakt geen onderscheid tussen grote en kleine bedrijven. Uiteraard is er wel een kleine nuance voor ondernemingen die ‘big data’ verwerken als core business (direct marketing, profiling,…).

Ondanks de vele inspanningen van de overheid om awareness te creëren omtrent de GDPR lijkt de Vlaamse kmo niet wakker te liggen van de wetgeving en lijkt het of ze afwachten totdat een ander bedrijf zijn vingers verbrandt aan GDPR. Pas dan in actie komen is rijkelijk te laat.

De betrokken partijen

  • Verantwoordelijke: De verantwoordelijke is de onderneming die de persoonsgegevens verzamelt. Dit kan bijvoorbeeld de werkgever zijn die iemand in dienst neemt.
  • Verwerker: De externe partij die helpt bij de uitvoering van de opdracht. Dit kan bijvoorbeeld de ICT-dienstverlener zijn die de gegevens opslaat in zijn datacenter.
  • Betrokkene: De betrokkene is de eigenaar van de gegevens

Wat wordt er van u verwacht?

Van zodra u persoonsgegevens verzamelt, bent u verantwoordelijk voor de veiligheid van persoonlijke gegevens. Dit heeft behoorlijk grote gevolgen zowel op het vlak van infrastructuur als op het vlak van organisatie.

  • Persoonsgegevens verzamelen:
    U dient explicitie toestemming te hebben van de betrokkene om zijn gegevens op te slaan en te verwerken. U dient ook duidelijk te formuleren hoe en waarvoor u zijn gegevens zult gebruiken.
  • Meldplicht bij datalekken:
    Als gegevens verloren gaan of gestolen worden, moet u de overheid binnen de 72 uur na vaststelling van het lek verwittigen.
  • Verwerkingsregister:
    Wanneer u gegevens verwerkt zal u verplicht zijn een dergelijk register bij te houden. Dit register moet de volgende informatie bevatten: verwerkingsdoeleinden, termijn waarbinnen de gegevens worden gewist, categoriëen van persoonsgegevens, categoriëen van ontvangers, beveiligingsmaatregelen.
  • DPO of Data Protection Officer:
    Sommige ondernemingen dienen een DPO aan te stellen om toezicht te houden op het naleven van GDPR binnen de onderneming. Niet iedereen is verplicht een DPO aan te stellen.
    Dit kan zowel een externe als een interne medewerker zijn. Pas wel op voor belangenvermenging.
  • Data Protection Impact Assessment (DPIA):
    Het uitvoeren van een grondige veiligheidsaudit is cruciaal. Tijdens deze audit moet u bekijken hoe u met data omgaat en welke risico’s u loopt. Op basis hiervan kan er een concreet actieplan worden opgesteld om de risico’s te minimaliseren. Een DPIA is niet voor iedereen verplicht. Voornamelijk ondernemingen die op grote schaal aan profiling en direct marketing uitvoeren zullen hiertoe verplicht worden.
  • Rechten van de betrokkene:
    Zoals eerder aangehaald dient de betrokkene expliciete toestemming te geven om zijn gegevens te verwerken. Gaat het om een minderjarige, dan is het één van de ouders die deze toestemming moet geven. Te allen tijde zal de betrokkene het recht hebben om kosteloos en binnen een bepaalde tijdspanne te vragen zijn gegevens te verwijderen, te bewerken, in te zien of over te dragen naar een derde partij. Tevens kan de betrokkene weigeren om op zijn gegevens automatische profiling uit te voeren. Uiteraard kan de betrokkene zich verzetten tegen de verwerking van zijn gegevens tenzij wettelijke bepalingen dit verbieden.
  • Gepaste technologieën:
    Er dienen gepaste technologieën te worden gebruikt zodat datalekken kunnen worden voorkomen.
  • Evaluatie:
    Er is een procedure nodig om de technische maatregelen op regelmatige tijdstippen te testen en te evalueren.

Wat is de juiste securitystrategie voor de Vlaamse kmo?

Denk na over uw privacybeleid
Het belang van privacy zal de komende jaren alleen maar toenemen. U zult geregeld de vraag krijgen of u voldoet aan de privacynormen. Bedrijven zullen enkel mogen samenwerken met bedrijven die ‘privacy compliant’ zijn. U heeft er dus alle belang bij om uw huidig privacybeleid onder de loep te nemen en een eerste denkoefening te doen.

Handel nu!
25 mei 2018 lijkt veraf maar dat is het niet. Vanaf die datum is GDPR van toepassing zonder uitzondering. Boetes kunnen hoog oplopen.

Voer een audit uit op het vlak van gebruik van data en persoonlijke gegevens
De GDPR schrijft de regels voor, maar welke onderdelen voor u van toepassing zullen zijn en welke niet hangt af van verschillende factoren.
Breng tijdens de audit in kaart welke data u gebruikt binnen uw onderneming, waar die vandaan komt, wie er toegang tot heeft, waarom u die bijhoudt, welke onderaannemers (bv. online marketing bedrijf) die gegevens in hand krijgen, hoe lang u de data bijhoudt,… Hou deze bevindingen ook bij. Enerzijds is dit de eerste stap naar een omgeving die voldoet aan de nieuwe regelgeving, anderzijds kan dit dienen om te bewijzen dat u deze oefening heeft gemaakt.

Doe de nodige aanpassingen
Na het uitvoeren van de audit en deze te hebben afgetoetst aan de nieuwe wetgeving heeft u een correct beeld van de aanpassingen die noodzakelijk zijn binnen uw organisatie. De aanpassingen zijn meestal onder te verdelen in 3 categorieën:

  • Technische en/of fysieke beveiliging
  • Procesmatige aanpassingen in uw onderneming
  • Contractaanpassingen met uw leveranciers, klanten, medewerkers,…

Welke beveiligingsmaatregelen zijn noodzakelijk op IT-vlak?

Het beveiligen van uw IT-omgeving zal op 3 niveau’s dienen te gebeuren:

  • Preventie
  • Detectie
  • Reactie

Het plaatsen van een goede firewall, virusscanner, security suite,… maken deel uit van het preventieluik van de beveiligingsstrategie. Dit luik is niet onbelangrijk, maar GDPR maakt detectie en respons minimaal even belangrijk.

Het detectieluik is onmisbaar wanneer men het heeft over GDPR. Elke IT-laag dient proactief te worden beveiligd zodat ook kan worden vastgesteld wanneer er bijvoorbeeld via het netwerk gegevens zijn weggesluisd. De tools die cybercriminelen gebruiken evolueren continu. Cybersecurity is daarom een continu proces. Managed proactieve security zorgt voor een regelmatige controle, rapportage en analyse van uw systemen.

Als laatste hebben we het reactieluik, wat een onderdeel moet zijn van het globaal plan van aanpak. Dit kan zowel worden opgevolgd door een intern of een extern team. GDPR verplicht u na kennisname van een lek binnen de 72 uur de regulator op de hoogte te brengen hiervan. Naast het detecteren en dichten van lekken door uw team kan er ook een uitgebreid rapport worden opgesteld rond de hele situatie: Wanneer is het lek ontstaan? Hoe is het gebeurd? Wat is er ondernomen om het lek te dichten en om dit in de toekomst te vermijden? Een dergelijk rapport is van doorslaggevend belang om boetes van de regulator te vermijden.

GDPR, alleen een zorg voor uw IT-departement?

Nee, GDPR is niet zomaar te herleiden tot een werkpunt voor de IT-omgeving. Zoals aangehaald is de technische beveiliging slechts een klein onderdeel van de wetgeving. Daarom moet het onderwerp op de agenda van iedere directie of manager terechtkomen en kan er het beste beroep worden gedaan op een IT-consultant en/of een gespecialiseerd GDPR-consulant. De invoering van GDPR in een onderneming kan enkel en alleen vanuit de directie en leidinggevenden worden doorgevoerd. Het zijn ook zij die hoofdelijk aansprakelijk zijn wanneer het privacybeleid niet wordt nageleefd.

Wij kunnen u helpen om GDPR-compliant te worden