Moet u wakker liggen van GDPR ?

 

Wat is GDPR?

 

Op 25 mei 2018 werd de nieuwe Europese Privacywetgeving General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) van kracht. In deze verordening worden de regels vastgesteld voor de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. De bestaande Belgische privacywet van 8 december 1992 wordt hierdoor vervangen.

 

 

 

 

 

Geldt GDPR ook voor u?

De GDPR is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, maar ook op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

Een persoonsgegeven is iedere informatie betreffende een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Er zijn bijzondere categorieën van persoonsgegevens, namelijk degene die gevoelig zijn voor discriminatie en daarom zeer zorgvuldig moeten behandeld worden, bv. geloofsovertuiging, medische gegevens, seksuele voorkeur,...

Ook persoonsgegevens die door middel van aanvullende gegevens/informatie aan een specifieke betrokkene kunnen worden gekoppeld (gepseudonimiseerde data), vallen onder de GDPR, bv. IP adres, EAN nummer,... Het begrip persoonsgegevens is dus zeer breed.  

 

De verordening is van toepassing op iedereen die persoonsgegevens verwerkt en:

  • gevestigd is in de Europese Unie (hierna EU);
  • goederen en/of diensten aanbiedt in de EU (zelfs indien men gevestigd is buiten de EU);
  • monitoring van gedrag van individuen uitvoert in de EU.

 

Het toepassingsgebied van GDPR is zeer ruim. Ook al bent u dus een kleine onderneming, maar verwerkt u persoonsgegevens van EU-burgers, zal u onder het toepassingsgebied van de GDPR vallen en zal u alle verplichtingen hieromtrent moeten naleven.

 

Bijvoorbeeld: het bijhouden van klantgegevens zoals naam, adres, e-mail, telefoonnummer,... van de natuurlijke persoon valt onder deze nieuwe regelgeving.

 

Welke rol heeft CLB Group?

Deze vraag dient per activiteit bekeken te worden.

In het geval van CLB Sociaal Secretariaat: hier zijn wij de verwerker van persoonsgegevens (‘data processor’) voor de loonadministratie. Dit omdat wij de gegevens verwerken in opdracht van de werkgevers. De werkgever is in dit verhaal verantwoordelijk voor de data (‘data controller’).

 

Ontdek onze 5 formules en kies welke het best bij u past >

 

Wat doet CLB Group om compliant te zijn met GDPR?

CLB Group baseert zich op het stappenplan dat werd opgemaakt door de privacycommissie.

 

Stap 1: Bewustmaking

De medewerkers worden intern opgeleid en ingelicht rond deze nieuwe regelgeving. Er zijn interne beleidsregels opgesteld omtrent het omgaan met persoonsgegevens.

 

Stap 2: Opmaken van het dataregister

In dit dataregister wordt bijgehouden welke persoonsgegevens we in ons bezit hebben, waar deze gegevens zich bevinden, wie hier toegang toe heeft en welke beveiligingsmaatregelen we hierop toepassen.

 

 

Stap 3: Recht van de betrokkenen

CLB Group heeft procedures opgesteld om te voldoen aan de rechten van de betrokkenen, dus de persoon van wie wij de gegevens bezitten. De persoon heeft dus:

  • Recht op informatie (artikel 13 & 14 AVG)
  • Recht van inzage (artikel 15 AG)
  • Recht op rectificatie (artikel 16 AVG)
  • Recht op gegevenswissing (“right to be forgotten”) (artikel 17 AVG)
  • Recht op overdraagbaarheid (artikel 20 AVG)
  • Recht van bezwaar (artikel 21 AVG)
  • Recht niet te worden onderworpen aan profiling (artikel 22 AVG)

 

 

Stap 4: Wat bij datalekken?

Hierbij wordt er een onderscheid gemaakt tussen de rol als data processor en data controller:

Als data controller dienen we bij een datalek een melding te maken bij de privacycommissie.

Als data processor dien je de data controller op de hoogte te stellen van het datalek.

 

Deze melding moet gebeuren binnen de 72u na het constateren van het lek.

 

  

Stap 5: Privacy by design & auditting

Bij het implementeren van nieuwe software wordt steeds geëvalueerd of de software voldoet aan het principe “Privacy By Design” dit wil zeggen dat de applicatie aan bepaalde beveiligingsmaatregelen moet voldoen zodat de (persoons-)gegevens op een veilige manier worden behandeld.

Ook worden er periodiek audits gehouden om af te toetsen of de genomen beveiligingsmaatregelen nog voldoen en waar nodig worden deze aangepast.

 

Stap 6: Aanstellen van een DPO

 

CLB Group heeft een DPO aangesteld: Nathalie Claes

U kan haar bereiken via gdpr@clbgroup.be

 

 

Stap 7: Herevalueren van bestaande contracten

 

CLB Group zal in het kader van GDPR de bestaande contracten evalueren om te kijken of hier aanpassingen dienen te gebeuren omtrent het verwerken van persoonsgegevens. Indien van toepassing dienen er verwerkersovereenkomsten te worden opgesteld waarin volgende punten worden bepaald:

 

  1. Onderwerp van de verwerking
  2. Duur van de verwerking
  3. Aard en doel van de verwerking
  4. Soort persoonsgegevens die worden verwerkt
  5. Categorieën van betrokkenen bij de verwerker
  6. Technische maatregelen die toegepast dienen te worden tijdens het verwerken van persoonsgegevens
  7. Organisatorische maatregelen die toegepast dienen te worden tijdens het verwerken van persoonsgegevens

 

CLB Group
Industrieterrein Kolmen 1085 - 3570 Alken
011 31 23 41
011 31 45 67
Openingsuren

Sociaal Secretariaat
maandag - donderdag: 8u - 12u en 13u - 16u30
vrijdag: 8u - 12u en 13u - 15u

Externe Preventie
maandag - vrijdag: 8u - 12u en 13u - 16u30