FAQ: veelgestelde vragen over GDPR

De GDPR is dan wel sinds 25 mei 2018 van kracht, toch rijzen er bij bedrijven en organisaties nog heel wat vragen. Daarom bundelden we voor u de meest gestelde vragen over de GDPR.

De GDPR is van toepassing op persoonsgegevens van EU-burgers. Maar wat is precies de definitie van persoonsgegevens?

Een persoonsgegeven is iedere informatie betreffende een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Het begrip “persoonsgegeven” is zeer breed. Er wordt geen onderscheid gemaakt tussen vertrouwelijke/publiek toegankelijke en professionele/niet professionele informatie. Voorbeelden van persoonsgegevens zijn een naam, een foto, een rijksregisternummer, maar ook een nummerplaat, telefoonnummer of een IP-adres.
Bron: GBA

Welk stappenplan volg ik best om de persoonsgegevens die mijn bedrijf gebruikt, GDPR-conform te maken?

  1. Breng uw gegevens in kaart. Welke gegevens gebruikt u, waarvoor gebruikt u ze en waar houdt u ze bij? Worden ze op een veilige manier beveiligd?
  2. Doe een gap analysis. Weet u van alle gegevens die u gebruikt wel waar ze opgeslagen zijn? Zijn al uw gevoelige gegevens voldoende beschermd? Waar liggen de kwetsbaarheden?
  3. Op basis van de gap analysis kan u een voorstel maken met de nodige verbeteringen.
  4. Implementatie. Zet de voorgestelde maatregelen om in de praktijk.

Bekijk ook het 13-stappenplan van de Gegevensbeschermingsautoriteit.

Ik ben nog niet helemaal in orde met alle nieuwe verplichtingen. Moet ik nu boetes vrezen?

Niet onmiddellijk. De Gegevensbeschermingsautoriteit (dat is de vroegere Privacycommissie) ziet er sinds 25 mei 2018 wel op toe dat bedrijven zich in orde stellen met de GDPR, en is inderdaad bevoegd om boetes op te leggen voor wie niet conform handelt. Wie niet in orde is, riskeert een boete tot 20 miljoen euro of 4% van de algemene jaaromzet als het bedrijf wordt aangeklaagd wegens schending van de privacygegevens. Maar ondernemingen hoeven ook niet te vrezen voor een heksenjacht, dat liet de bevoegde staatssecretaris al verstaan. Er wordt in de eerste plaats ingezet op sensibilisering. Wie nog niet meteen na 25 mei in orde is, hoeft dus niet noodzakelijk boetes te vrezen, maar u neemt toch maar best snel de nodige maatregelen.
Bron: De Morgen

Moet ik nu een Functionaris Gegevensbescherming aanstellen?

In sommige gevallen moet een bedrijf inderdaad een Data Protection Officer (of functionaris voor gegevensbescherming, DPO) aanstellen. Die moet het bedrijf informeren en adviseren over gegevensbescherming, het databeheer en gegevensverwerking monitoren en samenwerken met de toezichthoudende autoriteiten. Maar niet elke onderneming heeft een DPO nodig. De verplichting geldt enkel voor overheidsinstanties, voor organisaties die aan stelselmatige observatie op grote schaal van gegevens doen, en organisaties die enkele bijzondere categorieën gevoelige gegevens, zoals strafrechtelijke veroordelingen en strafbare feiten, verwerken. Wat precies wordt bedoeld met "grote schaal", leest u hier.


Meer weten over GDPR?


Om conform de GDPR te handelen, moet ik een register aanleggen van opgeslagen persoonsgegevens. Wat moet hier precies in staan?

In uw dataregister geeft u best de volgende zaken mee:

  • Welke persoonsgegevens heeft u opgeslagen?
  • Hoe worden die verzameld?
  • Waar worden die gegevens bijgehouden?
  • Wat doet u met die gegevens?
  • Hoe lang heeft u de gegevens nodig?
  • En met wie worden ze gedeeld?

[Tip]: De Gegevensbeschermingsautoriteit stelt voor dit register een handig model ter beschikking.

Welke strategie hanteer ik best voor het beschermen van gegevens?

In theorie hebt u 3 mogelijkheden: pseudonimisatie, anonimisatie of toegangscontrole. Bij pseudonimisatie maakt u gegevens anoniem door een deel van de gegevens weg te laten of te veranderen, anonimisatie betekent het splitsen van de gegevens, waardoor een persoon niet meer identificeerbaar is met maar één deel van de informatie. In de praktijk zijn de eerste twee opties voor veel bedrijven moeilijk haalbaar: ze vereisen verregaande aanpassingen binnen uw applicaties en zijn bijna niet waterdicht uit te voeren. De meest gebruikte weg naar gegevensbescherming zal dus waarschijnlijk toegangscontrole zijn. Hier controleert of verhindert u de toegang tot gegevens met behulp van technische hulpmiddelen. Savaco kan u de juiste systemen aanreiken om een correcte toegangscontrole te bewerkstelligen.

Welke technische middelen kan ik inzetten om de persoonsgegevens die mijn bedrijf gebruikt, beter te beschermen?

Er zijn vandaag tal van manieren om toegangscontrole uit te voeren op de gegevens die in uw bedrijf gebruikt worden. Full disk encryption vormt een goede beveiliging voor het geval een laptop of smartphone van uw medewerkers gestolen wordt. Document encryption gaat nog een stapje verder en zorgt ervoor dat documenten enkel kunnen gelezen worden door bevoegden, ook als ze gedeeld worden. Daarnaast hebt u nood aan de nodige Data Loss Prevention maatregelen, die ervoor zorgen dat uw gegevens niet aan derden verloren gaan. En denkt u best ook na hoe u de mobiele toestellen van uw medewerkers beveiligt (Mobile Device Management). Savaco begeleidt u graag in het vinden van de juiste oplossing.

In de GDPR is niet alleen sprake van technische, maar ook van organisatorische maatregelen om gegevens te beschermen. Op welk soort maatregelen doelt men hiermee?

De GDPR is inderdaad niet alleen een technische zaak. U zorgt ook best voor de nodige documentatie en processen waarmee u kan bewijzen dat u persoonsgegevens goed bewaakt. Enkele voorbeelden:

  • Stel een procedure op met de stappen die u zal ondernemen als er zich een datalek voordoet. Zo bent u voorbereid en weet iedereen meteen wat hem/haar te doen staat.
  • Voorzie een procedure met de te nemen maatregelen wanneer iemand vraagt om 'vergeten' te worden.
  • Ook een regelmatige 'privacy impact assessment' is aan te raden. Met zo'n regelmatige audit van uw eigen organisatie, kan u de risico's van een bepaalde gegevensverwerking in kaart brengen, zodat u waar nodig extra maatregelen kan nemen.

Meer informatie over de organisatorische maatregelen die u voor uw organisatie best neemt, vindt u in het 13-stappenplan van de Gegevensbeschermingsautoriteit.

Zijn uw gegevens voldoende GDPR-beschermd?

Wil u weten waar de kwetsbaarheden in uw ICT-infrastructuur zich bevinden? Zijn al uw gevoelige gegevens voldoende beschermd? Wil u alle security-mogelijkheden uit de kast halen? Laat uw IT-security in kaart brengen.

Vraag een Savaco Security Scan aan