GDPR: wat nu? 3 maand later en we staan nog overeind!

Deadline: 25 mei 2018. Opdracht: in orde zijn met de nieuwe privacywetgeving! Hebben we dit klaargespeeld? En hoe? Wat indien dit nog niet het geval is? Sarah Demey, dataveiligheidsconsulent voor enkele partnerorganisaties van de Taborgroep, geeft nog enkele tips mee.

Sarah, heeft de gevreesde GDPR-wetgeving (de Europese ‘General Data Protection Regulation’) jou slapeloze nachten bezorgd?

Dat valt wel mee (lacht)! Maar er blijft werk aan de winkel.

 

Is ondertussen alles in orde gesteld met de regelgeving?

De implementatie van de nieuwe privacywetgeving is een voortdurend proces dat altijd aandacht zal blijven vragen. De GDPR ging officieel van kracht op 25 mei 2018, en vanaf dan moet je als organisatie kunnen aantonen dat je met de nieuwe wetgeving aan de slag bent gegaan. De GDPR is dus niet iets dat ‘afgerond’ is op die datum.

 

Denk je dat cliënten, medewerkers, … vaak gebruik zullen maken van het recht om hun bijgehouden data te bekijken? Of te laten verwijderen?

Ik denk dat dergelijke verzoeken niet zo vaak zullen voorkomen. Het recht van inzage bijvoorbeeld is niet iets nieuws. Ook onder de privacywet konden personen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. Met de komst van de Europese regelgeving is er wel veel meer media-aandacht voor, een goede zaak. Bovendien werd de lijst van informatie die een organisatie moet kunnen verstrekken bij een inzageverzoek uitgebreid.

Ondanks dat het recht dus al bestond, hebben de organisaties in de voorbije jaren maar heel weinig aanvragen ontvangen.

 

Sinds 25 mei zijn er geen dergelijke nieuwe aanvragen geweest?

Momenteel hebben we in nog geen enkele partnerorganisatie van de Taborgroep een aanvraag ontvangen, maar we hebben ons er wel op voorbereid. Zo is er een register voor de registratie van de aanvragen beschikbaar in de organisaties en werd er ook een interne procedure opgemaakt voor het behandelen van de aanvragen.

 

Welke stappen werden al gezet? Wat is de status van dataveiligheid in de organisaties op vandaag?

Ondertussen hebben we in de organisaties al verschillende stappen ondernomen. Op hun website is er telkens een privacyverklaring beschikbaar, en ook voor de medewerkers van de organisaties zijn we bezig met de opmaak van een privacyverklaring. In die privacyverklaring moet de organisatie zijn cliënten informeren over o.a. welke persoonsgegevens ze verzamelen, hoelang ze de gegevens bewaren en welke maatregelen de organisatie heeft genomen om de gegevens te beschermen.

Daarnaast zijn we ook volop in de weer met de opmaak van het register van verwerkingsactiviteiten. Hierin moeten we in kaart brengen van wie we welke persoonsgegevens verwerken, hoe de gegevens verwerkt worden, waar ze vandaan komen en met wie ze worden gedeeld. Gezien de omvang van sommige van de organisaties en de complexiteit van verwerkingen is dit geen gemakkelijke opdracht.

Een ander belangrijk onderdeel van het proces is het uitvoeren van een risicoanalyse en een maturiteitsmeting. In sommige organisaties zijn we hier ondertussen ook al mee gestart. Op basis van de analyse en de meting zullen we een veiligheidsplan voor de organisaties opstellen.

Aan de hand van de risicoanalyse moeten we nagaan welke risico’s er verbonden zijn aan de veiligheid van informatie die de organisatie verwerkt. Zowel de fysieke als de digitale beveiliging komen aan bod.

Wanneer bepaalde gegevens bewaard worden op papier (bijvoorbeeld de personeelsdossiers) dan moeten we de vraag stellen wie er allemaal toegang heeft tot deze dossiers. Staan de dossiers in een afgesloten kast? Wie heeft er allemaal toegang tot de sleutel van de kast? En hoe zit het met de toegang tot het bureau?

Ook in geval van de opslag van gegevens op de server stellen we gelijkaardige vragen. Hebben alle gebruikers van de server toegang tot alle data? En is dat, gezien de functie van de medewerker in de organisatie, eigenlijk nodig?

Voorbeelden van processen binnen een organisatie m.b.t. de verwerking van persoonsgegevens. v.l.n.r.: voorbeeld van een sollicitatieprocedure; een proces evaluatiegesprekken en register van verwerkingsactiviteiten, en een  proces verkoop

 

Zijn de gevolgen groot voor de organisaties?

De GDPR heeft gevolgen voor de wijze waarop de organisaties moeten omgaan met de persoonsgegevens. Niet alleen op organisatieniveau, maar ook op de werkvloer.

Organisaties hebben nu een grotere verantwoordingsplicht (accountability). Een organisatie die persoonsgegevens in beheer heeft en deze verwerkt blijft verantwoordelijk voor de verwerking, ook al doet hij beroep op een andere partij voor de verwerking.

Je moet oppassen met het gebruik van bepaalde tools voor de verwerking van de persoonsgegevens. Een voorbeeld hiervan is Mailchimp. Veel organisaties gebruiken Mailchimp voor het versturen van hun nieuwsbrieven. Hiervoor voeren ze vaak e-mailadressen (=persoonsgegevens!) in in de tool. Die data worden dan opgeslagen in de VS, buiten de EU.

Een ander voorbeeld heeft betrekking op de toestemming. Om gebruik te maken van foto’s van hun cliënten of medewerkers, moeten de organisaties expliciete toestemming vragen. De toestemming heeft al lang een plaats in de privacywetgeving, maar de regels zijn strenger geworden. De GDPR sluit expliciet uit dat het geven van toestemming stilzwijgend of door inactiviteit zou gebeuren. De toestemming moet ‘vrijwillig, actief, geïnformeerd en duidelijk gespecificeerd’ gegeven worden.

Het is dus niet omdat iemand bijvoorbeeld toestemming heeft gegeven om zijn of haar foto te gebruiken op de website van de organisatie, dat je deze foto ook mag gebruiken op je publieke Facebookpagina.

Voor elke mogelijke publicatie moet je specifiek de toestemming vragen aan de betrokkene.

De organisatie moet ook kunnen aantonen dat ze een geldige toestemming heeft verkregen. Gezien dat bij een mondelinge toestemming zeer moeilijk is, is het aan te raden de toestemming schriftelijk te vragen. En dat kost veel tijd.

Zijn er voordelen?

Door de nieuwe Verordening ontstaat er één enkel pakket regels voor de ganse EU. De nieuwe regelgeving is ook moderner en aangepast aan de nieuwe technologieën (bijvoorbeeld sociale media).

Er zijn zeker voordelen verbonden aan de nieuwe wetgeving. De verplichting tot het opstellen van een register van verwerkingsactiviteiten zorgt er bijvoorbeeld voor dat organisaties moeten stilstaan bij welke persoonsgegevens ze verwerken en hoe ze de gegevens verwerken.

Als ze hierdoor vaststellen dat ze bijvoorbeeld te veel gegevens opvragen, of dat hun processen te omslachtig zijn, zal dit op termijn leiden tot dataminimalisatie en efficiëntere werkprocessen. Iets waar we moeten naar streven.

th2LMWKB9Zbackupgdpr

Welke vragen van organisaties krijg je nu het meest?

Ik ontving al veel vragen over het gebruik van beeldmateriaal en het geven van toestemming. Het zijn veelal praktische vragen.

Een moeilijke is bijvoorbeeld de communicatie over medische gegevens. Het probleem is dat je in vele gevallen niet mag communiceren over medische gegevens via e-mail. Veel gebruiksvriendelijke en praktische alternatieven zijn er hiervoor nog niet. De alternatieven die beschikbaar zijn, zoals bijvoorbeeld elektronische patiënten portalen, zijn nog niet ingevoerd in de organisaties en lossen ook niet alle problemen op (zoals bijvoorbeeld de interne communicatie tussen artsen en hulpverleners). Dit zorgt wel soms voor bezorgdheid in de organisaties.

300px-GevorderdeEersteHulp600

En dan nog tot slot. Sarah, kan je enkele praktische quick wins meegeven aan organisaties?  

  • Zorg voor een duidelijke privacyverklaring op je website. Een belangrijk aspect van de GDPR-wetgeving is de informatieplicht van de organisatie.
    Door het beschikbaar stellen van een privacyverklaring op de website voldoe je als organisatie aan de informatieplicht naar je cliënten toe.
  • Zorg voor het ‘privacy bewustzijn’ bij je medewerkers. De verantwoordelijkheid voor de bescherming van persoonsgegevens ligt niet alleen bij de organisatie zelf, maar ook bij de werknemers van de organisatie. Zorg er voor dat ze het beleid dragen en voorzichtig omspringen met gegevens.
  • Verwerk enkel persoonsgegevens die je als organisatie echt nodig hebt voor het verlenen van je diensten. Hoe minder persoonsgegevens, hoe minder werk. Hoe minder persoonsgegevens, hoe kleiner de kans op gegevenslekken.
  • Breng de verwerkingsactiviteiten van je organisatie in kaart. Het is een uitgelezen kans om de persoonsgegevens die worden verzameld eens goed onder loep te nemen. Overbodige verwerkingen komen dan boven water en kunnen worden stopgezet.