BMK Solutions heeft een online tool ontwikkeld die de bedrijven in staat stelt om op een eenvoudige doch efficiënte manier te voldoen aan de verplichtingen opgelegd door de GDPR. Door de tool op een correcte wijze in te vullen maakt u uw bedrijf GDPR compliant.
Aan de hand van een praktische checklist kan op een eenvoudige manier afgetoetst worden of u aan alle wettelijke verplichtingen voldoet. Dit stelt u ook in staat om daar waar nodig bij te sturen.
De GDPR voorziet dat elke verantwoordelijke een intern register van verwerkingsactiviteiten moet bijhouden. Er bestaat wel een uitzondering op deze verplichting, maar deze uitzondering is quasi volledig uitgehold. De uitzondering bestaat er in dat organisaties met minder dan 250 werknemers geen register moeten opstellen. Deze organisaties dienen alsnog een register op te stellen wanneer de verwerking:
Het komt er dus op neer dat iedere organisatie een register zal moeten opstellen. Een organisatie (de verwerkingsverantwoordelijke) dient één register per verwerkingsdoeleinde op te stellen. Verwerkingsdoeleinden kunnen bijvoorbeeld zijn :
De organisatie dient minstens de volgende zaken in het register op te nemen:
Het kan aangeraden zijn om nog bijkomende zaken in het register op te nemen aangezien deze toch moeten worden gecommuniceerd aan de betrokkene zoals bijvoorbeeld de juridische grondslag om persoonsgegevens te verwerken of de specifieke waarborgen bij het doorgeven van persoonsgegevens buiten de Europese Economische Ruimte.
Het register is een document dat de organisatie ter beschikking moet houden van de Privacy commissie. De autoriteit zal deze registers immers als eerste opvragen in geval van vragen over één of meerdere verwerkingen aangezien dit onmiddellijk een eerste zicht geeft over de verwerkingen binnen de organisatie.Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken), ook een kwijtgeraakte usb-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Privacy commissie. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
Na het doorlopen van de bovenstaande stappen is uw bedrijf gdpr compliant. De digitale wereld is echter constant in verandering waardoor het opportuun is om op regelmatige basis een audit uit te voeren op het dataverwerkingsproces. Aan de hand van de registers bent u perfect in staat om daar waar nodig de werkprocessen te verbeteren en of bij te sturen. Om deze verbeteringen bij te houden is het Audit onderdeel toegevoegd aan PrivacyPro. Hierin kan men heel eenvoudig aangeven welke acties men onderneemt om gdpr compliant te worden en te blijven. Denk hierbij niet alleen aan technische en organisatorische maatregelen, maar ook bewustmaking van medewerkers.
Deze acties documenteren geeft niet alleen pluspunten bij een doorlichting van de privacy commissie, maar zorgt er ook voor dat u een duidelijk overzicht heeft over uw genomen en geplande acties.
Wanneer men aan u eigen persoonsgegevens opvraagt moet u deze binnen de 48 uur kunnen aanleveren.
Een eerste stap is uiteraard toegang krijgen tot alle persoonsgegevens. Op het eerste zicht misschien een eenvoudige klus, maar dat is het niet noodzakelijk. Bedrijven en organisaties gebruiken vaak de meest uiteenlopende databronnen, gaande van databases over Excel-files tot pdf's die op diverse toestellen staan. Al die gegevensbronnen handmatig selecteren, is een tijdrovende en onzekere bezigheid. Daarom is het efficiënter een technologische connectie te leggen.
Eens die connectie is gemaakt, kan een zoekrobot de gegevens identificeren en terugvinden.
Nog enkele vragen voor ons? Klaar om GDPR compliant te zijn? Super! Contacteer ons en we helpen u zo snel mogelijk verder!