Blog

Alles wat je moet weten over GDPR als SWX klant

De nieuwe General Data Protection Regulation (GDPR) heeft gevolgen voor veel bedrijven. We leggen je in dit artikel uit welk effect het heeft op klanten van SWX.

Wat is GDPR eigenlijk?

Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet van de Europese Unie, die in 2016 gezamenlijk werd goedgekeurd door het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie. GDPR zal de bestaande Europese richtlijn gegevensbescherming vervangen (die in 1995 in beeld kwam), die van kracht was tot 25 mei 2018.

Alle wetten die aan gegevensbescherming zijn gekoppeld zullen worden beheerst door GDPR.

GDPR heeft tot doel alle EU-lidstaten onder één paraplu te brengen door één enkele wet op gegevensbescherming toe te passen. GDPR is bedoeld om richtlijnen en voorschriften te geven over hoe gegevens worden verwerkt, gebruikt, opgeslagen of uitgewisseld.

Wat zijn de belangrijkste verandering?

Dezelfde regels voor heel de EU, ook voor EU burgers buiten de EU.
Onder persoonlijk data valt nu ook informatie zoals IP adressen en gevoelige data informatie over bijvoorbeeld je culturele achtergrond of gezondheid.

Er komen strengere regels voor dataverzameling. Het wordt moeilijker om zomaar data te koppelen of aan te schaffen. De eindgebruiker moet altijd toestemming geven of je zijn gegevens mag gebruiken.

Hoge boetes worden uitgedeeld wanneer regels worden overtreden. Ongeoorloofde dataverzameling, een data lek of foutief databeheer zal beboet worden met boetes die kunnen oplopen tot 2 procent van de omzet van een bedrijf, maximale boeten is 20 miljoen euro.

Moet ik me zorgen maken – voor wie is het bedoeld?

GDPR is van toepassing op alle organisaties die in de EU zijn geregistreerd of een vestiging of dochteronderneming in de EU hebben. Het is ook van toepassing op een organisatie die goederen of diensten verkoopt aan burgers van de EU en de persoonsgegevens van EU-ingezetenen verwerkt of controleert.

Persoonlijke gegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.
In eenvoudige bewoordingen: als je bedrijf in de EU is gevestigd of als een deel van je klantenbestand zich in de EU bevindt, moet je voldoen aan de GDPR.

Welke partijen zijn betrokken bij GDPR?

Er zijn drie belangrijke belanghebbenden onder deze regelgeving, namelijk:

Data gegevenscontrollers bepalen de doelen en methoden voor het verwerken van persoonlijke gegevens, ze coördineren de verwerking. Klanten van SWX verzamelen persoonlijke gegevens van gebruikers, dus jij bent de verantwoordelijke.

Dataverwerkers zijn verantwoordelijk voor de directe verwerking van persoonsgegevens op basis van de instructies van de voor de verwerking verantwoordelijken. Dit kan bijvoorbeeld onderaannemers zijn. Klanten/resellers van SWX vragen SWX om de data van gebruikers op te slaan in een backup.

SWX is in dit geval dus de dataverwerker. De verwerker is verantwoordelijk voor het naleven van de GDPR regels.

Data subjects: Betrokkenen zijn burgers van de EU die goederen en diensten gebruiken die door de voor de verwerking verantwoordelijken zijn verstrekt.
Stel dat je een bedrijf bent dat een SaaS-product verkoopt aan EU-burgers (Data Subjects) en een derde tool X gebruikt om het gedrag van consumenten op je platform te analyseren.

Je bent de gegevenscontroller en X is in dat geval de gegevensprocessor.

Wat is anders dan voorheen – wat zijn de belangrijkste veranderingen?

GDPR harmoniseert hoe persoonlijke gegevens worden verwerkt, gebruikt, opgeslagen en veilig uitgewisseld in alle EU-lidstaten. De organisaties die onder de radar van de EU komen, moeten de veiligheid aantonen van de gegevens die ze verwerken.

Ze zullen ook aanzienlijke technische en organisatorische maatregelen moeten nemen om hun naleving van de AVG voortdurend aan te tonen.

Beveiligingsacties vereist

GDPR heeft specifieke instructies voor welke soorten beveiligingsacties vereist kunnen zijn:

  • De codering en pseudonimisering van persoonlijke gegevens.
  • Organisaties moeten voorzieningen treffen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technisch en organisatorisch beleid om de beveiliging van de gegevens te waarborgen.
  • Bepalingen inzake vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten.
  • In het geval van een fysiek of technisch incident, hebben organisaties het recht om de beschikbaarheid en toegang tot persoonlijke gegevens tijdig te herstellen.

Persoonlijke gegevens

De AVG wil de persoonlijke gegevens van EU-ingezetenen beschermen en de gegevens die als persoonlijk worden beschouwd zijn:

  • Basis identiteitsinformatie zoals naam, e-mailadres, adres en ID-nummers
  • Web gegevens zoals locatie, IP-adres, cookiegegevens en RFID-tags
  • Gezondheid, genetische en biometrische gegevens
  • Raciale of etnische gegevens
  • Politieke meningen
  • Seksuele oriëntatie

Boetes

De GDPR-autoriteiten kunnen boetes opleggen van maximaal 20 miljoen EUR of 4% van de jaarlijkse bedrijfsomzet, naargelang wat hoger is als er een schending is van de door de autoriteiten genoemde voorwaarden.

Wat zijn de rechten van data-subjects (je gebruikers)?

 

Meldingen over schending

In het geval van een datalek die waarschijnlijk resulteert in ongeautoriseerd gebruik en distributie van gegevens, moeten de Data Controllers de betreffende proefpersonen binnen 72 uur na het bekend worden ervan op de hoogte stellen van de inbreuk.

Op dezelfde manier moeten gegevensverwerkers gegevenscontrollers informeren over de inbreuk binnen het tijdsbestek.

Recht op toegang

GDPR geeft aan Data Subjects het recht informatie te verkrijgen over hoe, waar en voor welk doel hun persoonlijke gegevens worden verwerkt.

Het recht om te worden vergeten

Ook wel Data Erasure genoemd, het recht om te worden vergeten, geeft de Geregistreerde persoon het recht om zijn/haar persoonlijke gegevens uit de logboeken van de Data Controllers te verwijderen.

Het recht om te worden vergeten stelt hen ook in staat om verdere verspreiding en gebruik van de gegevens door derden te stoppen of stop te zetten.

Gegevensoverdracht

GDPR introduceert dataportabiliteit, het recht voor een Betrokkene om de persoonlijke gegevens die hen betreffen te ontvangen, die ze eerder hebben verstrekt in een gangbaar en machinaal leesbaar formaat en het recht hebben om die gegevens naar een andere Controller te verzenden.

Dit betekent in feite dat als je van de ene serviceprovider naar de andere wilt overschakelen, de voormalige serviceprovider je de volledige gegevens moet geven in een machine leesbaar formaat dat kan worden gebruikt om te integreren met de nieuwe serviceprovider.

Privacy door ontwerp

De privacy by design is formeel geïntroduceerd in GDPR om effectief ontwerpen van systemen mogelijk te maken die aansluiten bij de beste praktijken van gegevensbescherming. De voor de verwerking verantwoordelijke moet op een doeltreffende manier passende technische en organisatorische maatregelen nemen om aan de eisen van dit recht te voldoen en de rechten van betrokkenen te beschermen.

De controllers moeten alleen de gegevens bewaren en verwerken die absoluut noodzakelijk zijn voor de uitvoering van hun taken, evenals de toegang tot persoonsgegevens beperken tot gegevensverwerkers.

SWX klanten taken als GDPR/AVG Data Verwerkingsverantwoordelijke

De belangrijkste taak is bekijken of het verzamelen en behouden van informatie van bezoekers van je website wel is toegestaan. De dataverzameling dient aan de onderstaande punten te voldoen:

  • Vraag om toestemming van de datasubject om gegevens te verzamelen;
  • Voldoe de GDPR verplichtingen
  • Voldoe aan de overeenkomst;
  • Richt geen schade aan bij de veiligheid of gezondheid van de data subject;

Data Protection Officers (DPO)

Daarnaast dient de SWX klant de informatie goed te beschermen. Bijvoorbeeld door gebruik te maken van de methode Information Security Board, het instellen van een Security Officer. Zo voldoe je tevens aan de ISO27001 certificering. Er moet een functionaris voor gegevensbescherming worden aangesteld om de goede werking van gegevensbescherming in bepaalde organisaties te vergemakkelijken.

Tot deze organisaties behoren de controllers en verwerkers, waarvan de kernactiviteiten bestaan ​​uit verwerkingsoperaties die regelmatige en systematische monitoring van betrokkenen op grote schaal vereisen of van speciale categorieën gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Schending van beveiliging melden

Een lek of hacking zijn vormen van inbreuk op de beveiliging van personen, waardoor informatie verloren, gewijzigd, ingezien of vernietigd kan worden door onbevoegde personen. Inbreuk moet binnen 72 uur gemeld worden aan de autoriteiten en de data subject (je klanten).

Voor meer informatie kijk je op de website van Privacy Commission (Belgie) of online notificatie van de Autoriteit Persoonsgegevens (Nederland).

De taken van SWX als GDPR/AVG Dataverwerker

Tot onze taken behoren o.a.:

  • Een inbreuk aan je melden, indien hier sprake van is.
  • Back ups maken en logs bijhouden
  • Onderzoeken over andere samenwerkende partijen verwerken volgens de GDPR wetgeving.

Gepost op 01/11/2018
Tags: , , , , ,

Copyright © 2019 - SWX.be - Alle Rechten Voorbehouden.