afbeelding van Nathan Slabinck

Door Nathan Slabinck

donderdag, 12 oktober, 2017

De GDPR of General Data Protection Regulation (ook gekend als de Algemene Verordening Gegevensbescherming) is de vernieuwde Europese privacywetgeving die van kracht ging in april 2016. Bedrijven hebben tot 25 mei 2018 de tijd om zich te conformeren aan deze vernieuwde privacyregels. De GDPR is van toepassing op elke onderneming die persoonsgegevens verwerkt van Europese burgers, zowel binnen als buiten de EU. Ondanks het vele werk dat compliancy zal vereisen mag niet vergeten worden dat het de nobele doelstelling van de GDPR is om het basisrecht van de mens op privacy te vrijwaren.

De link naar het officieel document kunt u op het einde van deze blogpost terugvinden onder ‘Conclusie’.

Nu is het zo dat de meeste bedrijven tal van gegevens over klanten, leveranciers en noem maar op bijhouden in een CRM systeem. Dit is natuurlijk noodzakelijk om een goede kwaliteit van de verleende diensten te kunnen garanderen. Maar de vraag moet gesteld worden: Kunnen deze verzamelde gegevens in het CRM systeem gekwalificeerd worden als persoonsgegevens?

Wat zijn persoonsgegevens?

Volgens de letterlijke omschrijving van de GDPR zijn persoonsgegevens “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon [waarbij] als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.” Deze omschrijving is dus vrij ruim toepasbaar. Het mag duidelijk zijn dat e-mailadressen waar de voor- en/of achternaam in voorkomen als persoonsgegevens moeten beschouwd worden. Een algemeen info@ e-mailadres is al wat moeilijker te kwalificeren.

Sleutelbegrippen

Om u, de lezer, een duidelijker beeld te geven van wat de GDPR precies inhoudt hebben we onderstaande tabel opgesteld met enkele sleutelbegrippen:

Term Definitie Voorbeeld
Data Subject Een “natuurlijk persoon” die direct of indirect geïdentificeerd kan worden door informatie zoals een naam, een identificatienummer, locatie data, online identificatie (zoals een gebruikersnaam). Jan Klaasens
Persoonsgegevens Alle informatie gerelateerd aan een geïdentificeerde of identificeerbare data subject. Man. 35 jaar. Adres: Ottergemsesteenweg-Zuid 808, 9000 Gent. Moedertaal: Nederlands
Gevoelige persoonsgegevens Persoonsgegevens met betrekking tot ras of etnische oorsprong, politieke opinies, religieuze of filosofische overtuigingen, vakbondslidmaatschap, informatie over gezondheid, liefdesleven en geaardheid, genetische of biometrische gegevens. Lid van de Sp.a. Katholiek. Heupprothese sinds vorig jaar. Kopie van de vingerafdrukken
Verwerking Alle handelingen met betrekking tot de persoonsgegevens. Elke verzameling, opslag, overdracht, deling, aanpassing, gebruik of verwijdering van persoonsgegevens.
Beheerder (Controller) Een entiteit dat het doel en de manier van verwerking van persoonsgegevens bepaalt. De supermarkt om de hoek die met behulp van de klantenkaart allerhande persoonsgegevens bijhoudt over Jan Klaasens. De supermarkt wordt dus de beheerder van de gegevens die Jan Klaasens afstaat.
Verwerker (Processor) Een entiteit dat in opdracht van de beheerder de verwerking doet van persoonsgegevens. Salesforce wordt de verwerker van Jan zijn persoonsgegevens wanneer de supermarkt de gegevens in hun Salesforce omgeving importeert.
Pseudoniem gegevens Persoonlijke data die niet toegewezen kan worden aan een specifiek data subject zonder bijkomende informatie die ergens anders bewaard wordt. Het IP adres van Jan wordt bewaard wanneer hij de website van de supermarkt bezoekt. Het IP adres op zich is niet voldoende om Jan te identificeren, maar kan wel gerelateerd worden aan Jan mits bijkomende gegevens.
Anonieme gegevens Data dat nooit kan gerelateerd worden aan een geïdentificeerde of identificeerbare data subject. Anonieme tevredenheidsenquêtes.

 

GDPR compliancy

Boetes

Wanneer er over het belang van GDPR compliancy wordt verteld, dan kan het bijna niet anders dan dat de bijhorende, afschrikwekkende boetes vernoemd worden. Inderdaad, afschrikwekkend is hier het juiste woord. Indien de privacycommissie vaststelt dat een onderneming een inbreuk heeft gemaakt op de GDPR wetgeving dan is het mogelijk dat, afhankelijk van het soort data en de specificaties van de inbreuk, de boete oploopt tot € 20 miljoen of 4% van de wereldwijde omzet, dewelke het hoogste bedrag uitmaakt.

Dit zijn inderdaad aanzienlijke bedragen die zelfs voor grote spelers als Google en Facebook grote gevolgen kunnen hebben. Het mag duidelijk zijn dat de Europese Unie de bescherming van de privacy zeer belangrijk vindt en dit ook duidelijk wil communiceren.

Belangrijke principes

Hoofdstuk 2, artikel 5

Van zodra een onderneming op een rechtmatige wijze in het bezit komt van persoonsgegevens wordt ze de beheerder of controller genoemd van deze data. Een eerste luik van de GDPR wetgeving stelt dat als deze onderneming graag wil voldoen aan de vereisten van de GDPR er een aantal belangrijke principes moeten gehanteerd worden doorheen alle bedrijfsprocessen. De effectieve vereisten zijn natuurlijk uitgebreider dan vermeld in de oplijsting hieronder, maar zo kunt u zich al een beeld vormen van wat er verwacht wordt:

1. Eerlijkheid & transparantheid

Er wordt verwacht dat er een correcte, eerlijke vermelding is over hoe er met de persoonsgegevens omgegaan wordt. Dit zowel voor de controller als de processor. Het is belangrijk om weten dat er expliciete toestemming moet gevraagd worden aan het data subject om bepaalde verwerking van de persoonsgegevens te mogen aanvangen. Deze toestemming moet vrijwillig gebeuren aan de hand van een opt-in methode (in tegenstelling tot de tegenwoordig vaak gebruikte opt-out methode).

2. Doelbeperking

Elke onderneming die persoonsgegevens verzamelt zal telkens een duidelijk doel voor deze datacollectie moeten vooropstellen en mededelen met de data subjecten. Goede documentatie en arugmentering waarvoor de verzamelde gegevens nodig zijn is dus een must!

3. Data minimalisatie

Een onderneming mag enkel data verzamelen dat nodig is om hun diensten te verlenen. Enkel die data die absoluut noodzakelijk is mag ingezameld worden. Gegevens verzamelen omdat je ze in de toekomst misschien zal kunnen gebruiken is niet toegelaten.

4. Accuraatheid

Elke onderneming moet zo goed en zo kwaad mogelijk proberen om alle persoonsgegevens waar zij controller over is up-to-date te houden. 

5. Data verwijdering 

Persoonlijke data mag maar bijgehouden worden voor zolang ze nodig is om diensten te leveren. Als de dienstlevering stopgezet wordt, dan moet ook de data verwijderd worden.

6. Beveiliging

Bedrijven moeten gepaste beveiliging (technisch en organisatorisch) voorzien om ongepaste verwerking en ongewenste toegang, verlies, vernietiging of aanpassing te voorkomen. Afhankelijk van het bedrijf en het soort persoonlijke data moet mogelijks ook voorzien worden in encryptie, pseudonimisering, en anonimisering. Indien er toch een inbreuk zou opgemerkt worden, dan heeft de data controller welgeteld 72 uur om deze inbreuk te melden aan de gepaste autoriteiten.

7. Verantwoordelijkheid

Een data controller is verantwoordelijk voor de data die zij bezit. Ze is daarenboven ook verantwoordelijk voor wat de processor doet met deze data. Er wordt aangeraden om een Data Protection Officer (DPO) aan te stellen binnen de onderneming. Tot slot houdt een onderneming ook best rekening met deze principes:

  • Privacy by design 
    = alle nieuwe processen moeten opgesteld worden met privacy als hoofddoel
  • Privacy by default 
    = de standaard optie is altijd diegene die het minst indringend is voor de privacy

De controller moet compliance kunnen aantonen, o.m. door details van alle verwerkingen bij te houden en privacy impact inschattingen te maken.

Rechten van de data subjecten

Hoofdstuk 3

Het tweede grote luik van de GDPR wetgeving bespreekt een aantal rechten die toegekend worden aan data subjecten. 

1. Data toegankelijkheid

Een data subject kan op eender welk moment eisen dat een onderneming aantoont over welke data ze allemaal beschikt met betrekking tot het data subject.

2. Recht om te protesteren

Een data subject kan op eender welk moment eisen dat er geen specifieke verwerking gebeurt van zijn of haar informatie (vb. In verband met directe marketing). 

3. Rechtzetting van informatie

Een data subject kan op eender welk moment verzoeken om bepaalde data over het betrokken data subject aan te passen of te verbeteren.

4. Beperking van verwerking

Een data subject kan ten alle tijde laten weten dat hij/zij niet meer akkoord is met verdere verwerking van zijn/haar informatie. De eerder gegeven toestemming kan dus steeds worden ingetrokken.

5. Data portabiliteit

Een data subject kan op eender welk moment vragen aan een organisatie om alle persoonsgegevens van de betrokken data subject in een draagbaar formaat (pdf, csv, xlsx, etc.) te overhandigen aan het het data subject. 

6. Recht op uitwissing

Gelijkaardig aan het ‘recht om vergeten te worden’ brengt dit met zich mee dat een data subject ten alle tijde kan vragen aan een organisatie om bepaalde of alle data over de betrokken data subject te verwijderen. 

Aangeraden stappen ter uitvoering

De uitleg over de terminologie, de belangrijke principes en de rechten van het data subject, zoals hierboven beschreven zijn slechts een eenvoudige beschrijving van wat GDPR compliancy effectief inhoudt. Om zo goed mogelijk voorbereid te zijn tegen de deadline van 25 mei 2018 raden vrijwel alle beschikbare bronnen aan om minstens twee zaken te regelen. 

1. Stel een bedrijfsoverkoepelend GDPR team op

Ten eerste is het noodzakelijk dat het management op de hoogte gebracht wordt van wat de GDPR allemaal inhoudt. Het management moet beseffen wat er allemaal nodig is om GDPR compliancy te garanderen en bovenal om de monsterlijke boetes te vermijden! Wanneer management groen licht geeft wordt er best een Data Protection Officer (DPO) gezocht. Dit kan iemand zijn binnen het bedrijf die al het een en ander weet over de GDPR of die toch al iets van ervaring heeft met de privacywetgeving.  

Vervolgens wordt het team best samengesteld met gemotiveerde mensen uit de verschillende departementen (vooral information security, procurement, legal, HR, product management & marketing). Het is belangrijk om te beseffen dat GDPR compliancy niet enkel een klein (tijdelijk) project is, maar wel een (gedeeltelijke) aanpassing van bedrijfsvoering is.

Tot slot kan het team nog enkele enthousiaste ‘advocates’ of ambassadeurs zoeken in elk departement die het voortouw willen nemen in de zoektocht naar GDPR compliancy.

2. Analyseer, inventarieer, documenteer & controleer

Eenmaal het intern GDPR team opgesteld is kunnen ze aan de slag gaan om alle huidige bedrijfsprocessen te gaan analyseren. 

Welke data is nodig? Hoe wordt met deze data omgegaan? Waar wordt de data bewaard? Met welke risico’s moeten we rekening houden? Hoe lang hebben we de data nodig? Moeten er extra beveiligingsmaatregelen genomen worden?

Het team kan dusdanig een inventaris opmaken om een duidelijk beeld te schetsen i.v.m. welke data er aanwezig is in de onderneming en waar het bewaard wordt. Dit is essentieel om een antwoord te kunnen bieden aan de rechten van de data subjecten. Een goede documentatie is dus van cruciaal belang. 

Tot slot kan het ook aangeraden worden om regelmatig intern te controleren of alle processen correct aangepast werden om te voldoen aan GDPR compliancy. Ook alle medewerkers moeten op de hoogte zijn dat alle data goed gedocumenteerd dient te worden.

Om jezelf ervan te verzekeren dat alle nodige stappen ondernomen zijn kan je altijd beroep doen op de dienstverlening van een legal agency. Er zijn reeds verschillende agencies die zich specifiek toespitsen op de uitdaging van de GDRP. 

De Belgische Privacycommissie heeft alvast dit document opgesteld met een stappenplan die u kunt volgen: PDF

Salesforce & GDPR

Salesforce geeft aan zeer begaan te zijn met de vooropgestelde uitdaging die de GDPR met zich meebrengt. De GDPR compliancy van uw bedrijf kan natuurlijk niet door Salesforce opgelost worden, maar toch legt Salesforce zich er op toe om hun klanten bij te staan in hun zoektocht naar compliancy. Zo hebben ze een een extra website voorzien om vaak gestelde vragen omtrent GDPR te beantwoorden. Deze kan je hier terugvinden.

Daarnaast hebben ze ook een module beschikbaar op trailhead om enkele basisbegrippen van de GDPR toe te lichten. Indien je Trailhead nog niet kent kan je hier leren hoe je er aan begint!

EU Privacy Law Trailhead Module.png

Tot slot voorziet Salesforce ook in een addendum voor offertes voor al hun klanten. In het ‘Salesforce DPA’ (Data Processing Addendum) staan sterke beloftes van Salesforce met betrekking tot privacy. Zo worden data overdracht raamwerken beschreven die hun klanten ervan verzekeren dat dataoverdracht buiten de EU wettelijk toegelaten is. Dit is mede mogelijk door de nodige certificaten die Salesforce bezit. U kan deze DPA hier in detail nalezen.

Conclusie

Het is geen eenvoudige oefening om als onderneming GDPR compliant te zijn, maar met de nodige inzet en motivatie vanuit alle lagen van de onderneming moet het zeker mogelijk zijn om de juiste richting uit te gaan. Hou wel in gedachten dat dit initieel een project zal zijn dat meerdere maanden zal nodig hebben. Na dit initieel project mag de aandacht van uw organisatie voor GDPR compliancy niet achterwege gelaten worden, maar moet het een nieuwe manier van werken worden.

Salesforce stelt zich ook zeer geëngageerd op de gebruikers van het platform zo goed mogelijk bij te staan in hun zoektocht naar GDPR compliancy.

Het lijkt nu misschien een huzaren project dat veel tijd en motivatie zal vergen, en dat is het ook. Maar we mogen niet vergeten dat dit de nieuwe standaard van werken wordt en dat dit project best meteen van in het begin de nodige aandacht en zorg krijgt.

Hou steeds in het gedachten dat al deze aanpassingen fundamenteel zijn voor de bescherming van persoonlijke data en de privacy van iedereen, ook van u! So let’s make it happen!

Het volledige GDPR wetgeving kunt u raadplegen via deze link 

Bronnen