General Data Protection Regulation & SocioPack

Transcriptie

1 General Data Protection Regulation & SocioPack

2 GDPR; een kennismaking 3 GDPR met SocioPack 8 Tips & tricks 12

3 G D P R EEN KENNISMAKING W A T I S G D P R W A T B E T E K E N T D I T V O O R M I J? Vanaf 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG), ook wel de General Data Protection Regulation (GDPR) genoemd, in zijn werking. Dit zijn een stel van regels die gegevens van personen beter moeten beschermen. Dit kunnen telefoonnummer, namen, adressen, politieke voorkeuren, maar ook IP-adressen zijn. Zo moeten alle organisaties die persoonsgegevens verzamelen, duidelijk maken wat ze daarmee doen en hoe ze deze bewaren. Elk bedrijf dat gegevens van Europeanen verwerken, moet volden aan deze nieuwe regelgeving. De GDPR is een schakel van verantwoordelijkheden. Iedereen moet zijn steentje bijdragen. Als bedrijf is het belangrijk dat je je voorbereid op de komst van de GDPR. Indien er grote overtredingen worden vastgesteld, kunnen de boetes hoog oplopen. De privacycommissie heeft een duidelijk en overzichtelijk plan opgesteld dat je kan begeleiden in het GDPR-ready worden. 1. Bewustmaken 2. Dataregister opstellen 3. Communicatie 4. Rechten van betrokkene 5. Verzoek tot toegang W A T I S E R V E R A N D E R D In België bestaat al een uitgebreide privacywetgeving ter bescherming van de persoonsgegevens sinds De GDPR gaat nog iets verder. Personen worden vanaf mei 2018 beter ingelicht en beschermd. Zo moet ieder bedrijf inzage geven in welke gegevens ze verzamelen, de wijze waarop ze dit doen en hoe deze bewaard worden. Het wordt zelfs verplicht aan te geven hoe iemand een klacht kan neerleggen wanneer je de GDPR-regels overtreedt. 6. Wettelijke grondslagen voor de verwerking van de persoonsgegevens 7. toestemmingen 8. Kinderen 9. Datalekken en DPO 10. Gegevensbescherming door ontwerp en effectenbeoordeling 11. internationaal 12. Bestaande contracten Als deze stappen gevolgd worden, bent je normaal helemaal klaar voor de GDPR. Niet iedere stap zal betrekking hebben op je organisatie.

4 1. B E W U S T M A K I N G 3. C O M M U N I C A T I E Zorg dat alle medewerkers ingelicht zijn over de General Data Protection Regulation. Dit kan door infosessies te organiseren, artikels aan te reiken, of deze brochure rond te sturen. De General Data Protection Regulation lijkt zeer ingewikkelde materie, maar je zal merken dat het best meevalt. 2. D A T A R E G I S T E R O P S T E L L EN Het is een ideaal moment om je privacyverklaring eens onderhanden te nemen. In deze privacyverklaring licht je toe welke gegevens je bewaart, waarom je deze verzamelt en bewaart, hoe je de verzamelde gegevens verwerkt en wie dat voor zijn rekening neemt. Daarnaast is het noodzakelijk ook de wettelijke grondslag voor de gegevensverwerking mee te delen. Wanneer je gegevens uitwisselt met andere bedrijven binnen of buiten de Europese Unie, moet je dit ook meedelen. Als laatste moet je vermelden hoe er een klacht ingediend kan worden bij Het is belangrijk dat je alle bedrijfsprocessen in kaart brengt: welke informatie hou je bij, waar komt deze informatie vandaan, wat doe je met de informatie, met wie deel je deze en hoelang bewaar je het. de privacycommissie wanneer de eigenaar van de gegevens overtuigd is dat zijn gegevens foutief verwerkt of bewaard worden. De privacyverklaring moet in een duidelijke en begrijpbare taal geschreven worden voor jouw doelgroep. Een goed dataregister kan erg handig zijn wanneer een persoon zijn gegevens opvraagt om correcties uit te voeren, geanonimiseerd wenst te worden of wanneer er een lek wordt vastgesteld. Zo kan je alles snel en eenvoudig terugvinden. Dankzij het dataregister kan je ook makkelijk aantonen dat je GDPR erg serieus neemt. Tip: De workflows in SocioPack 2020, kunnen een goede basis zijn om de verschillende bedrijfsprocessen in kaart te brengen. Deze flows registreren namelijk de weg die informatie aflegt binnen je organisatie.

5 4. R E C H T E N V A N B E T R O K K E NE De GDPR geeft betrokkenen veel meer rechten. Daarom is het belangrijk dat je nagaat of je al deze rechten kan waarborgen. Zo heeft de betrokken recht op: Tip: Het merendeel van de gegevens die een sociale huisvestingsmaatschappij of OCMW bewaart, zijn wettelijk vastgelegd en kunnen niet zomaar verwijderd of aangepast worden. 5. V E R Z O E K T O T T O E G A N G Informatie over en toegang tot zijn persoonsgegevens Correcties en verwijdering van gegevens Bezwaar te uiten tegen direct marketingpraktijken Bezwaar te uiten tegen geautomatiseerde besluitvorming en profilering De overdraagbaarheid van de gegevens Ga na of je voldoende snel kan reageren op een vraag van een klant en breng de verschillende processen in kaart: Met de komst van de GDPR, zullen ook de toegangsprocedures aangepast worden. Meestal zal je gratis toegang moeten verlenen en dit binnen de 30 dagen. Zorg dus dat je bedrijf in staat is alle verzoeken tijdig af te werken. Wanneer een toegangsverzoek onredelijk, ongegrond of te vaak wordt ingediend, kan dit geweigerd of aangerekend worden. Wanneer iemand toegang vraagt, dien je onderstaande informatie te geven: Hoelang bewaar je informatie Wie neemt de beslissing? Welke rechten heeft de persoon om bepaalde gege- Zijn je systemen hiertoe uitgerust? vens te wijzigen Ga ook na waar je klanteninformatie bewaart want papieren print-outs kunnen persoonsgegevens bevatten. GDPR is niet uitsluitend een ICT-gegeven. Tip: het kan interessant zijn om een portaal op je website te voorzien waarbij klanten zelf hun gegevens kunnen raadplegen. 6. W E T T E L I J K E G R O N D S L A G E N V O O R D E V E R W E R K I N G V A N D E P E R - S O O N S G E G E V E N S Neem je tijd om alle verschillende soorten verwerkingen die je doet te bekijken en de wettelijke grondslag ervan in kaart te brengen. De rechten van de betrokkene zijn afhankelijk van deze grondslag; moet je deze gegevens bewaren bij wet of moet je deze contractueel bewaren. Indien geen van de bovenstaande voorwaarden voldoende zijn, zal je toestemming moeten vragen.

6 7. T O E S T E M M I N G E N Is er geen wettelijke of contractuele basis waarom je bepaalde gegevens mag verzamelen of bewaren, dan moet je een toestemming vragen. Let op, wanneer een klant zijn toestemming niet geeft, mag dit de dienstverlening niet verstoren. Zo mag de normale ondersteuning niet afhankelijk zijn van deze toestemming. Daarnaast moet een toestemming op elk moment ingetrokken kunnen worden. Bovendien kan er geen toestemming worden verleend door niet-reageren of vooraf aangevinkt vakje. Een duidelijke opt-in is vereist. geldboetes worden uitgeschreven bovenop de boete voor 8. K I N D E R E N het lek zelf. Openbare overheden of bedrijven die stelselmatig grote Verwerk of bewaar je persoonsgegevens van kinderen, ontwikkel dan een systeem waarbij een ouder of voogd toestemming kan geven hiervoor. Verder ben je verplicht om je privacyverklaring ook op kindermaat aan te bieden. 9. D A T A L E K K E N & D P O Er zijn twee soorten bedrijven, zei James Comey, voormalig hoofd van de FBI, ooit, zij die gehackt zijn en zij die het nog niet weten dat ze gehackt zijn. Iedere organisatie of bedrijf zal er ooit mee te maken krijgen. De AVG verplicht bedrijven om procedures te ontwikkelen om brokken persoonsgegevens verwerken en observeren moeten een Data Protection Officer aanstellen, toch is het ook voor andere organisaties interessant om een verantwoordelijke aan te stellen die controleert of de databeschermingsregels worden nageleefd binnen jouw organisatie. Zo kan je als organisatie grote geldboetes vermijden indien er zich toch eens een lek voordoet. Dit kan iemand uit je organisatie of een externe partij zijn G E G E V E N S B E S C H E R M I N G D O O R O N T W E R P E N E F F E C T E N B E O O R D E - L I N G persoonlijke datalekken te detecteren, rapporteren en onderzoeken. In het licht hiervan is het interessant om de verschillende vormen van data die verzameld worden te documenteren en bekijk eens welke gegevens binnen de meldingsplicht vallen, want ieder datalek moet anders behandeld worden. Het is voor iedere organisatie of bedrijf interessant om Dit is beter gekend als Privacy by design en Privacy impact assessment (PIA). Deze procedures kunnen gelinkt worden aan organisatorische processen zoals risicobeheer of projectbeheer. De veiligheid en bescherming van gegevens worden dus een belangrijk onderdeel in alle ondernemingen en projecten. een beleid en procedure te ontwikkelen om datalekken te beheren. Het is belangrijk om dit goed uit te werken, want bij het niet naleven van de meldingsplicht kunnen er Ga na wanneer je deze analyse moet uitvoeren. Bepaal wie deze zal uitvoeren. Bekijk of ze globaal of regionaal uitgevoerd worden.

7 Het is verplicht om een effectenbeoordeling uit te voeren komt dit overeen met locatie van de hoofdzetel van je in risicosituaties zoals bij de implementatie of ontwikke- organisatie. ling van een nieuwe technologie of wanneer een profileringsoperatie een aanzienlijk effect kan teweegbrengen voor de betrokkenen. Wanneer de PIA aangeeft dat de 12. BESTAANDE CONTRACTEN gegevensverwerking een hoog risico inhoudt, ben je genoodzaakt advies in te winnen bij de Privacycommissie Neem al je bestaande contracten met verwerkers, Cloud omtrent de wetmatigheid van de verwerking. providers en softwareleveranciers onder de loep en ga na of de huidige contracten voldoen aan de regels. Soms 11. INTERNATIONAAL Indien je internationaal actief bent, dien je te bepalen onder welke toezichthoudende autoriteit je valt. Meestal kan een addendum op bestaande contracten soelaas brengen.

8 S O C I O P A C K & F I A D P R O W O O N P A R T N E R S E N D E S K S O L U T I O N S G D P R - R E A D Y Z I J N D E O P L O S S I N G E N G D P R - R E A D Y? Met GDPR veranderen er ook voor ons enkele zaken. Gelukkig bereiden wij ons hier reeds geruime tijd op voor. Een intern team, samengesteld uit alle departementen van WoonPartners Tot op heden hebben wij nog geen inbreuken tegen GDPR gevonden in SocioPack, FiadPro of Docpro. Uiteraard mogen opmerkingen of vragen gestuurd worden naar privacy@desksolutions.be. en Desk Solutions neemt ieder bedrijfsproces en programma onder de loop. Zo proberen wij een optimale dienstverlening en veilige oplossingen aan te bieden. Onze oplossingen zullen op termijn met een Multi- Factor Authentication uitgerust worden. Dit verhoogt de beveiliging tegen ongewenste indringers en verkleint de kans op datalekken. Omdat wij ondersteuning bieden op uw software, zijn wij een verwerker volgens de GDPR. Een addendum op het bestaande onderhoudscontract is noodzakelijk voor een correcte dienstverlening die de privacy en veiligheid van persoonsgegevens waarborgt. Zonder dit contract kunnen wij geen volledige support meer aan u bieden. Verder bouwen wij aan een portaalsite waarop u als klant zelf enkele gegevens kan nakijken en aanpassen; zoals contactgegevens, -personen en mailinglijsten. Binnen SocioPack zal een standaardrapport aangemaakt worden waardoor de verzamelde gegevens van een huurder makkelijk opgevraagd kunnen worden. Hierdoor kan u snel voldoen aan een vraag tot toegang, beantwoorden. Ook het digitale archief systeem DocPro, is klaar voor de GDPR. Naast de beveiliging ingebouwd in SocioPack, bezit DocPro verschillende andere beveiligingsmechanismes. Zo kan je zelf bepalen wie welke documenten kan zien en is het digitale archief enkel toegankelijk via een persoonlijke inloggegevens.

9 T i p s & t r i c k s M E E R D A N I C T en cijfers. Soms is het een goed idee om een willekeurige zin als wachtwoord te gebruiken. Want wie GDPR omvat meer dan enkel ICT; ook papieren raadt er ooit dat je wachtwoord EenKopKoffieKost 2,50 is. hand-outs, een schriftje met namen of telefoonlijsten bevatten persoonsgegevens en moeten goed en veilig bewaard worden. G E E F I N D R I N G E R S G E E N K A N S B E V E I L I G J E W A C H T W O O R D E N Beveilig je netwerken goed en maak het indringers Wachtwoorden zijn een uitstekende beveiliging voor gevoelige gegevens, maar dan moet je wel een goede wachtwoordenhygiëne erop na houden. Deel je wachtwoord nooit met anderen, schrijf ze niet op papier, in mail of sms. Jouw wachtwoord is voor jou alleen. Ben je vergeetachtig? Installeer dan een wachtwoordbeheerprogramma. Moet je toch je wachtwoord eens delen voor een technische interventie? Zorg dan dat je deze personen of het bedrijf kent en vertrouwt. Benadruk dat zij jouw wachtwoord niet mogen noteren of bijhouden en als je heel zeker wilt moeilijk. Een goede firewall en antivirus zijn onmisbaar in uw netwerk. Dagelijks proberen allerlei indringers uw netwerk en computer te infecteren. Soms om informatie te ontvreemden, soms om geld te stelen en af en toe blokkeren zij ook je devices. Een antivirus behoedt jouw computer tegen virussen. Een firewall beschermt jouw netwerk en zorgt voor een optimale beveiliging tegen virussen, spyware, hackers, SPAM en andere risico s. Koop je binnenkort een nieuwe scanner, printer of laptop? Kies dan zeker voor een beveiligd model. Zelfs een onveilige printer biedt hackers een weg binnenin jouw netwerk. zijn, verander je wachtwoord na de interventie. Zorg ervoor dat je wachtwoorden niet te voorspelbaar zijn. Een goed wachtwoord moet aan verschillende voorwaarden voldoen: neem niets Werd jouw netwerk reeds door Desk Solutions beveiligd en beheerd? Ben je nieuwsgierig hoeveel dreigingen tegengehouden werden? Vraag dan zeker naar jouw rapport. uit je persoonlijke leefsfeer, deze informatie is vaak terug te vinden op sociale media. Combineer hoofdletter, kleine letters, speciale tekens

10 BACK-UP PLAN DE VEILIGHEID VAN CLOUD Neem regelmatig een back-up. Indien er iets Cloud lijkt wel het magische woord van de laatste misloopt, heb je onmiddellijk al jouw data terug jaren. Dit is niet zonder reden. De voordelen van ter beschikking. Daarnaast weet je onmiddellijk cloud zijn talrijk, naast een makkelijke werkwijze en welke informatie in gevaar kan zijn bij dataver- een goede beveiliging van gegevens, zijn jouw ge- lies of na het bezoek van een ongewenste in- gevens altijd bereikbaar. dringer. Een abonnement gaat gepaard met verscheidene Desk Solutions biedt een waaier van lokale en cloud backup oplossing aan die worden afgestemd op jouw noden. licenties Office 365. Dankzij Office 365 heb je over- al toegang tot je s, documenten, contacten en agenda. Microsoft investeert veel tijd om makkelijke en intuïtieve applicaties te ontwikkelen die GDPR-proof zijn voor elk gebruik.