Iedereen heeft intussen wel van de GDPR gehoord en weet ook waarvoor hij staat. Maar over de kleine lettertjes in de nieuwe Europese richtlijn doen heel wat geruchten de ronde. En die zijn meer dan eens verkeerd, waarschuwt experte Veerle Van Hecke, compliance manager bij hostingbedrijf Combell.
Heeft élk bedrijf een DPO nodig?
Veerle Van Hecke houdt zich dagelijks bezig met alles wat met informatiebeveiliging te maken heeft. Zij ziet het aantal vragen van bedrijven rond de GDPR sterk stijgen.
“Er is de laatste maanden veel gesproken over Data Protection Officers of DPO’s. Bedrijven vragen me dan ook vaak of wij zo iemand kunnen leveren mocht dat nodig blijken”, geeft Veerle Van Hecke als voorbeeld. “In bijna alle gevallen zeg ik dat dit niet hoeft. Je hebt immers enkel een DPO nodig als je op grote schaal bijzondere persoonsgegevens wil verwerken (zoals etniciteit, DNA, strafrechtelijke gegevens of andere gevoelige informatie), als je op grote schaal regelmatig en stelselmatig mensen observeert met bijvoorbeeld cameratoezicht of als je een overheidsinstelling bent. Een advocatenkantoor zal bijvoorbeeld ongetwijfeld een Data Protection Officer nodig hebben. Maar voor 99% van de kmo’s is zo’n DPO dus eigenlijk helemaal niet vereist.”
“Nog zo’n voorbeeld waar veel zogenaamde consultants op hameren: ‘De GDPR komt eraan dus moet je er snel voor zorgen dat je met encryptie en pseudonimisering werkt’. Dat klopt helemaal niet. De nieuwe richtlijn stelt enkel dat je de persoonsgegevens binnen je bedrijf moet beveiligen. De tekst vermeldt pseudonimisering en encryptie eenvoudigweg als een mogelijke vorm van beveiliging. Maar dat is slechts een voorbeeld, je hoeft die specifieke beveiligingsvormen dus niet per se te kiezen.”
Ben je een dataverwerker of een verwerkingsverantwoordelijke?
Wat moet je als bedrijf dan wel doen met het oog op de GDPR? Om dat te weten, is het volgens Veerle Van Hecke belangrijk het verschil te kennen tussen een verwerker en een verwerkingsverantwoordelijke.
“De verwerkingsverantwoordelijke is de partij die beslist welke gegevens hij nodig heeft en waarom. De verwerker is diegene die in opdracht van de verwerkingsverantwoordelijke iets met die gegevens gaat doen. Bij Combell zijn we bijvoorbeeld zowel verwerker als verwerkingsverantwoordelijke. We hosten of slaan de gegevens die klanten ons aanleveren op, dus zijn we verwerker. Maar we zijn ook zelf verwerkingsverantwoordelijke voor onze eigen klantendatabase en voor bijvoorbeeld onze interne personeelsgegevens. De verantwoordelijkheden van een verwerker en een verwerkingsverantwoordelijke zijn erg gelijklopend, maar toch zijn er nuances.”
Welke dingen moet je zeker doen als verwerkingsverantwoordelijke?
De belangrijkste verantwoordelijkheid van een verwerkingsverantwoordelijke is volgens Veerle Van Hecke uiteraard de beveiliging. “Je moet passende, organisatorische en technische maatregelen nemen voor de beveiliging van persoonsgegevens. Welke maatregelen dat zijn, mag je zoals gezegd dus zelf kiezen.”
“Ten tweede is er de meldingsplecht. Als je als verwerkingsverantwoordelijke een datalek ontdekt, ben je verplicht om dit binnen de 72 uur na de ontdekking van het lek – en dus niet na het ontstaan van het lek – te melden bij een superviserende autoriteit. In België is dat eenvoudigweg de privacycommissie. Zij geven je daarna verdere instructies. Meestal zal je de mensen wier data is gelekt, op de hoogte moeten brengen.”
“Ten derde is er de verantwoordelijkheid voor gegevensbescherming by design en by default. By design betekent bijvoorbeeld dat je voor je webdesign code strings gebruikt die door de markt als conform beschouwd worden. Door je applicatie of website zo veilig mogelijk te bouwen, kan je het aantal menselijke fouten beperken. By default wil dan weer zeggen dat bezoekers van een website of app een actie zelf moeten uitvoeren. Een voorbeeld: het vakje naast de zin ‘Ik wil me inschrijven voor de nieuwsbrief’ mag niet standaard aangevinkt staan, dat moet de bezoeker zelf doen.”
“Tot slot is er nog de Gegevensbeschermingseffectbeoordeling of kortweg GEB, waarbij je op papier moet zetten wat je allemaal bijhoudt. Maar dat geldt enkel in drie gevallen: als je op grote schaal aan profiling doet, als je op grote schaal bijzondere persoonsgegevens wil verwerken, of als je stelselmatig en grootschalig openbaar toegankelijke ruimtes monitort.”
Welke verantwoordelijkheden heb je als dataverwerker?
Ook een verwerker moet passende technische en organisatorische maatregelen treffen in het kader van de GDPR, zegt Veerle Van Hecke: “Doet er zich bijvoorbeeld een inbreuk voor, dan moet een verwerker dat zo snel mogelijk melden aan de verwerkingsverantwoordelijke. Al heeft de wet hier geen duidelijke termijn op gezet. Verder moet je als verwerker ook zorgen voor een duidelijke verwerkingsovereenkomst. Dit is een overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke, waarin expliciet staat opgelijst wie wat doet.”
Wie andere vragen heeft over de GDPR, kan volgens Veerle Van Hecke altijd terecht bij Combell. “We hebben een Data Protection team opgericht dat alle mogelijke vragen van klanten rond privacy en de GDPR beantwoordt. Onze klanten hoeven hier niet extra voor te betalen, het maakt gewoon deel uit van de uitgebreide support die we bieden bij Combell.”